'
Articles

HIPAA Basics; HIPAA Made Easy

author
6 minutes, 3 seconds Read

Søger du efter et HIPAA resumé eller en HIPAA 101 guide?Start her.

Når det kommer til at forstå HIPAA basics, kan opgaven virke skræmmende. At læse forordningen betyder at sortere gennem kompleks juridisk sprogbrug, og at stole på rygter kan føre til flere misforståelser end afklaringer.

Det er derfor, vi har sammensat denne HIPAA 101 The Basics-guide. Du får alt, hvad du behøver for at forstå loven med sikkerhed, i en letlæselig vejledning, der hjælper dig med at forstå HIPAA-overholdelse.

Hvad er HIPAA?

The Health Insurance Portability and Accountability Act of 1996 (HIPAA) er en række nationale standarder, som sundhedsorganisationer skal have på plads for at beskytte privatlivets fred og sikkerheden af beskyttede sundhedsoplysninger (PHI). PHI er enhver demografisk individuelt identificerbar information, der kan bruges til at identificere en patient. Almindelige eksempler på PHI omfatter navne, adresser, e-mails, telefonnumre, fotos af hele ansigtet,

Hvor vi går i gang, skal vi se på et par vigtige definitioner, der vedrører HIPAA-grundlæggende oplysninger.

Der er to typer organisationer, der er beskrevet i HIPAA-reguleringen, herunder:

  • Covered Entities (CE): Sundhedsudbydere, sygesikringsordninger og clearinghuse for sundhedsydelser. CE’er er involveret i den direkte oprettelse af PHI og skal overholde HIPAA-bestemmelserne i deres fulde omfang.
  • Business Associates (BA): Enhver organisation, der er ansat af en CE (eller anden BA), og som nødvendigvis vil komme i kontakt med PHI i forbindelse med det arbejde, de er blevet ansat til at udføre. Almindelige eksempler på BA’er omfatter it-leverandører, praksisadministrationsfirmaer, leverandører af fysisk opbevaring, leverandører af cloud-lagring, e-mail-kryptering, data-backup og mange andre. BA’er er ikke forpligtet til at overholde HIPAA Privacy Rule i sin helhed, men skal overholde resten af de lovgivningsmæssige standarder, der gælder.

Siden den først blev vedtaget i 1996, har HIPAA undergået mange ændringer, revisioner og tilføjelser. Samlet set er disse blevet kendt som HIPAA-reglerne. HIPAA-reglerne omfatter:

  • HIPAA Privacy Rule: Privacy Rule:: Privacy Rule fastsætter nationale standarder for beskyttelse af privatlivets fred, integritet og tilgængelighed af PHI. Reglen skitserer de sikkerhedsforanstaltninger, der skal være på plads for at sikre, at PHI holdes privat. Reglen fastlægger også retningslinjer for patienters ret til at få adgang til deres patientjournaler, ud over de anvendelser, videregivelser og tilladelser, som CE’er skal have på plads.
  • HIPAA Security Rule: Sikkerhedsreglen fastsætter nationale standarder for opretholdelse af sikkerheden af PHI gennem en række tekniske, fysiske og administrative sikkerhedsforanstaltninger, som CE’er og BA’er skal implementere.
  • HIPAA Breach Notification Rule: Reglen om anmeldelse af brud skitserer de processer, som HIPAA-holdenheder skal følge i tilfælde af et brud på datasikkerheden. Afhængigt af antallet af personer, der er berørt af et givent brud, er der forskellige tidsfrister og anmeldelsesstandarder, som reglen kræver.
  • HIPAA Omnibus Rule: HIPAA Omnibus Rule: Omnibus-reglen har foretaget flere store ændringer i HIPAA-reguleringen, især med hensyn til BA’ernes rolle. Siden reglen først trådte i kraft i 2013, har BA’er været underlagt en lovpligtig forpligtelse til at blive HIPAA-kompatible. Omnibusreglen fastsatte desuden strengere regler for udførelse af Business Associate Agreements, som vil blive diskuteret senere i dette stykke.

Nu da du har en fornemmelse for grundlaget for HIPAA-overholdelse, vil vi tage et dyk ned i, hvad der er nødvendigt for, at din praksis effektivt kan overholde loven.

Hvordan man bliver HIPAA-kompatibel

HIPAA-revisioner

Det første skridt i ethvert effektivt overholdelsesprogram er at udføre en række revisioner. Disse revisioner vil give dig et udgangspunkt for, hvor din praksis står i forhold til HIPAA-loven.

Der er ingen foruddefineret liste over revisioner, der skal udføres, men disse revisioner bør udføres på tværs af alle elementer af din virksomhed for at måle din overholdelse af HIPAA-standarderne. Hver HIPAA-regel består af mange HIPAA-standarder, der hver især har deres egne implementeringsspecifikationer. For at kunne foretage en effektiv revision af din virksomhed skal du bruge disse HIPAA-standarder som grundlag for dine revisioner. Ved at auditere din virksomhed i forhold til HIPAA-standarderne får du en fornemmelse af, hvor dine huller i overholdelsen er, så du kan gå i gang med at rette dem senere.

Saneringsplaner

Når du har gennemført dine audits og udviklet dine huller i din nuværende HIPAA-overholdelse, kan du begynde at rette disse huller.

Saneringsplaner bør åbnes for hvert hul, som dine audits har afdækket. Disse skal være fuldt dokumenteret i ét centralt arkiv med begrænset rollebaseret adgang afhængigt af de parter, der er involveret i afhjælpningsprocessen. Hver afhjælpningsplan skal tildele ansvaret til en person i dit personale for at afhjælpe hullet, sammen med handlingselementer og en tidsplan for færdiggørelse.

Når din organisation lukker hvert enkelt hul, skal du dokumentere processen, indtil alle huller er lukket.

Politikker, procedurer, uddannelse af medarbejdere

Politikker og procedurer er hjørnestenen i et effektivt HIPAA-overholdelsesprogram.

HIPAA-overholdelsesorganisationer er forpligtet til at have politikker og procedurer, der omhandler hver enkelt HIPAA-standard. De skal skabe ensartede processer på tværs af alle dele af din organisation til håndtering af PHI og alle andre HIPAA-mandaterede implementeringsspecifikationer.

Selv om de standarder, som hver politik og procedure skal adressere, vil være de samme for alle HIPAA-pligtige enheder, skal selve sproget i politikkerne og procedurerne være skræddersyet til din organisations behov. Derfor anses det ikke for en effektiv løsning til HIPAA-overholdelse at finde en løsning som et policy binder. Hvis de politikker, som din organisation implementerer, ikke gælder for omfanget af din virksomhed, vil de ikke kunne beskytte dig i tilfælde af en HIPAA-overtrædelse.

Når din organisation har implementeret HIPAA-politikker og -procedurer, skal du sikre, at alle medarbejdere er blevet uddannet i deres indhold. Og for at dokumentere korrekt, at denne uddannelse har fundet sted, skal din organisation få alle medarbejdere til at underskrive en attest om, at de har læst og forstået indholdet af hver politik. Disse attesteringer skal være på plads for at beskytte din organisation mod ansvar i tilfælde af, at en medarbejder forårsager en HIPAA-overtrædelse i konflikt med en af dine politikker.

Medarbejderuddannelse skal gennemføres årligt. Alle nye medarbejdere, der kommer til din organisation, skal uddannes i politikker og procedurer som en del af deres onboarding-proces.

BA/Vendor Management

En anden vigtig komponent i HIPAA-overholdelse er at forstå, hvordan man beskytter PHI, som leverandører har adgang til. Som nævnt ovenfor er en BA en leverandør, som du ansætter, og hvis arbejde nødvendigvis indebærer et møde med PHI af enhver art.

HIPAA kræver, at din organisation skal underskrive en Business Associate Agreement (BAA) med denne leverandør, før der kan udveksles PHI. Dette gælder for relationer mellem CE’er og BA’er, ud over relationer mellem en BA og en anden BA (en BA af en BA kaldes en “underleverandør” i henhold til HIPAA).

BAA’er SKAL udføres, før der kan udveksles PHI. En effektiv BAA bør angive, at:

  1. Organisation 1 anerkender, at de er forpligtede over for HIPAA.
  2. Ba af organisation 1 anerkender, at de er forpligtede over for HIPAA.
  3. Hovedansvaret i tilfælde af et databrud tilhører den part, der er ansvarlig for bruddet.

Similar Posts

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.