HIPAA összefoglalót vagy HIPAA 101 útmutatót keres?Kezdje itt.
A HIPAA alapjainak megértése ijesztő feladat lehet. A rendelet elolvasása bonyolult jogi nyelvezetet jelent, és a szóbeszédre hagyatkozás több félreértéshez vezethet, mint tisztázáshoz.
Ezért állítottuk össze ezt a HIPAA 101 Az alapok útmutatót. A könnyen olvasható útmutatóban mindent megkap, ami a törvény magabiztos megértéséhez szükséges, és segít a HIPAA-megfelelés megértésében.
Mi a HIPAA?
Az 1996. évi Egészségbiztosítási hordozhatósági és elszámoltathatósági törvény (HIPAA) egy sor olyan nemzeti szabványt tartalmaz, amelyeket az egészségügyi szervezeteknek be kell tartaniuk a védett egészségügyi információk (PHI) adatvédelmének és biztonságának biztosítása érdekében. A PHI minden olyan demográfiai, egyénileg azonosítható információ, amely a beteg azonosítására használható. A PHI általános példái közé tartoznak a nevek, címek, e-mail címek, telefonszámok, teljes arcképek,
Mielőtt belekezdenénk, nézzünk meg néhány kulcsfontosságú meghatározást, amelyek a HIPAA alapjaival kapcsolatosak.
A HIPAA-szabályozásban kétféle szervezet van körvonalazva, ezek:
- Fedezett szervezetek (CE): Egészségügyi szolgáltatók, egészségbiztosítási tervek és egészségügyi elszámolóházak. A CE-k részt vesznek a PHI közvetlen létrehozásában, és teljes mértékben meg kell felelniük a HIPAA-szabályozásnak.
- Üzleti partnerek (BA): Minden olyan szervezet, amelyet egy CE (vagy más BA) alkalmaz, és amely szükségszerűen találkozik a PHI-vel a munka során, amelynek elvégzésére felbérelték. A BA-k gyakori példái közé tartoznak az informatikai szolgáltatók, a praxiskezelő cégek, a fizikai tárolást, a felhőalapú tárolást, az e-mail titkosítást, az adatmentést és sok mást biztosító szolgáltatók. Az BA-knak nem kell teljes egészében megfelelniük a HIPAA adatvédelmi szabályának, de meg kell felelniük a többi vonatkozó szabályozási előírásnak.
A HIPAA 1996-os hatályba lépése óta számos változáson, módosításon és kiegészítésen ment keresztül. Ezek együttesen a HIPAA-szabályok néven váltak ismertté. A HIPAA-szabályok a következők:
- HIPAA adatvédelmi szabály: Az adatvédelmi szabály nemzeti szabványokat határoz meg a PHI adatvédelmére, integritására és hozzáférhetőségére vonatkozóan. A szabály felvázolja azokat a biztosítékokat, amelyeknek biztosítaniuk kell a PHI bizalmas kezelését. A szabály a betegeknek az egészségügyi dokumentációjukhoz való hozzáférési jogaira vonatkozó iránymutatásokat is meghatároz, a felhasználás, a nyilvánosságra hozatal és az engedélyek mellett, amelyekkel a CE-knek rendelkezniük kell.
- HIPAA biztonsági szabály: A biztonsági szabály nemzeti szabványokat határoz meg a PHI biztonságának fenntartására egy sor technikai, fizikai és adminisztratív biztosítékon keresztül, amelyeket a CE-knek és BA-knak végre kell hajtaniuk.
- HIPAA Breach Notification Rule: A Breach Notification Rule (Szabályzat az adatvédelmi incidensek bejelentéséről) azokat a folyamatokat vázolja fel, amelyeket a HIPAA-köteles szervezeteknek adatszegés esetén követniük kell. Az adott jogsértés által érintett személyek számától függően a szabály különböző határidőket és értesítési szabványokat ír elő.
- HIPAA Omnibus Rule: Az Omnibus Rule több jelentős változást hozott a HIPAA-szabályozásban, különösen a BA-k szerepét illetően. A szabály első, 2013-as hatálybalépése óta a BA-kat szabályozási kötelezettség terheli a HIPAA-nak való megfelelésre. Emellett az Omnibus Rule szigorúbb szabályokat állapított meg az üzleti társulási megállapodások teljesítésére vonatkozóan, amelyekről a cikk későbbi részében lesz szó.
Most, hogy már van némi érzéke a HIPAA-megfelelés alapjaihoz, belemerülünk abba, hogy mi szükséges ahhoz, hogy az Ön praxisa hatékonyan megfeleljen a törvénynek.
Hogyan váljon HIPAA-megfelelővé
HIPAA-ellenőrzések
Minden hatékony megfelelési program első lépése az ellenőrzések sorozatának végrehajtása. Ezek az auditok adnak egy alapszintet arról, hogy a rendelője hol áll a HIPAA-törvényhez képest.
Nincs előre meghatározott listája az elvégzendő auditoknak, azonban ezeket az auditokat a vállalkozás minden elemében végre kell hajtani, hogy mérni lehessen a HIPAA-szabványoknak való megfelelést. Minden HIPAA-szabály számos HIPAA-szabványból áll, amelyek mindegyike saját végrehajtási előírásokkal rendelkezik. Ahhoz, hogy hatékonyan auditálhassa vállalkozását, ezeket a HIPAA-szabványokat kell alapul vennie az ellenőrzésekhez. Azáltal, hogy vállalkozását a HIPAA-szabványok alapján auditálja, képet kaphat arról, hogy hol vannak hiányosságok a megfelelőségben, így a későbbiekben hozzáfoghat ezek kijavításához.
Korrekciós tervek
Mihelyt elvégezte az auditokat, és megállapította a jelenlegi HIPAA-megfelelőség hiányosságait, elkezdheti a hiányosságok kijavítását.
Az auditok által feltárt minden egyes hiányosságra korrekciós tervet kell nyitni. Ezeket teljes körűen dokumentálni kell egy központi adattárban, korlátozott szerepkör alapú hozzáféréssel, a javítási folyamatban részt vevő felektől függően. Minden egyes javítási tervnek ki kell jelölnie valakit a munkatársai közül a hiányosságok kijavításáért, valamint cselekvési elemeket és a befejezés ütemezését.
Amint a szervezet lezárja az egyes hiányosságokat, dokumentálnia kell a folyamatot, amíg az összes hiányosságot be nem zárja.
Szabályzatok, eljárások, alkalmazottak képzése
A szabályzat és az eljárások a hatékony HIPAA-megfelelőségi program sarokkövei.
A HIPAA-t betartó szervezeteknek rendelkezniük kell olyan szabályzatokkal és eljárásokkal, amelyek minden egyes HIPAA-szabvánnyal foglalkoznak. Ezek célja, hogy a szervezet minden részében egységes folyamatokat hozzanak létre a PHI kezelésére és a HIPAA által előírt összes többi végrehajtási előírásra vonatkozóan.
Noha az egyes irányelvek és eljárások által kezelendő szabványok minden HIPAA-köteles szervezet esetében azonosak lesznek, az irányelvek és eljárások tényleges nyelvezetét az Ön szervezetének igényeihez kell igazítani. Ezért nem tekinthető hatékony megoldásnak a HIPAA-megfelelőség szempontjából az olyan megoldások megtalálása, mint a szabályzatgyűjtemény. Ha a szervezet által bevezetett irányelvek nem az Ön tevékenységi körére vonatkoznak, akkor nem lesznek képesek megvédeni Önt a HIPAA megsértése esetén.
Mihelyt a szervezet bevezette a HIPAA irányelveket és eljárásokat, gondoskodnia kell arról, hogy minden alkalmazottat kiképezzenek azok tartalmáról. És annak érdekében, hogy megfelelően dokumentálja, hogy ez a képzés megtörtént, szervezetének minden alkalmazottal alá kell íratnia egy igazolást, amelyben kijelenti, hogy elolvasták és megértették az egyes irányelvek tartalmát. Ezekre az igazolásokra azért van szükség, hogy megvédje szervezetét a felelősségtől abban az esetben, ha egy alkalmazott valamelyik irányelvvel ellentétes HIPAA-szabálysértést okoz.
Az alkalmazottak képzését évente el kell végezni. Minden új alkalmazottat, aki csatlakozik a szervezetéhez, a beilleszkedési folyamat részeként ki kell képezni az irányelvekről és eljárásokról.
BA/Vendor Management
A HIPAA-megfelelés másik lényeges eleme annak megértése, hogyan kell védeni a PHI-t, amelyhez a szállítók hozzáférnek. Amint azt fentebb tárgyaltuk, a BA az Ön által alkalmazott olyan szállító, akinek a munkája szükségszerűen PHI-vel való találkozással jár.
A HIPAA előírja, hogy a PHI megosztása előtt a szervezetnek üzleti társulási megállapodást (BAA) kell kötnie ezzel a szállítóval. Ez vonatkozik a CE-k és BA-k közötti kapcsolatokra, valamint az egyik BA és a másik BA közötti kapcsolatokra is (egy BA BA BA-ját a HIPAA szerint “alvállalkozónak” nevezik).
A PHI megosztása előtt KÖTELEZŐ megkötni a BAA-kat. Egy hatékony BAA-nak ki kell mondania, hogy:
- Az 1. szervezet elismeri, hogy a HIPAA-nak megfelelően kötelezett.
- Az 1. szervezet BA-ja elismeri, hogy a HIPAA-nak megfelelően kötelezett.
- Az adatok megsértése esetén a felelősség a jogsértésért felelős felet terheli.