Podstawy HIPAA; HIPAA Made Easy

author
6 minutes, 12 seconds Read

Szukasz podsumowania HIPAA lub przewodnika HIPAA 101? Zacznij tutaj.

Jeśli chodzi o zrozumienie podstaw HIPAA, zadanie może wydawać się zniechęcające. Czytanie rozporządzenia oznacza sortowanie przez skomplikowany język prawny, a poleganie na pogłoskach może prowadzić do większej liczby nieporozumień niż wyjaśnień.

Dlatego właśnie stworzyliśmy ten przewodnik HIPAA 101 Podstawy. Dostaniesz wszystko, czego potrzebujesz, aby pewnie zrozumieć prawo, w łatwym do przeczytania przewodniku, który pomoże Ci zrozumieć zgodność z HIPAA.

Co to jest HIPAA?

Ustawa o przenoszeniu i odpowiedzialności za ubezpieczenia zdrowotne z 1996 r. (HIPAA) to seria krajowych standardów, które organizacje opieki zdrowotnej muszą posiadać w celu ochrony prywatności i bezpieczeństwa chronionych informacji zdrowotnych (PHI). PHI to wszelkie demograficzne, indywidualnie identyfikowalne informacje, które mogą być użyte do identyfikacji pacjenta. Typowe przykłady PHI obejmują nazwiska, adresy, e-maile, numery telefonów, pełne zdjęcia twarzy,

Zanim zaczniemy, spójrzmy na kilka kluczowych definicji, które odnoszą się do podstaw HIPAA.

Istnieją dwa rodzaje organizacji nakreślone w przepisach HIPAA, w tym:

  • Objęte podmioty (CE): dostawcy usług opieki zdrowotnej, plany ubezpieczeń zdrowotnych i centra rozliczeniowe opieki zdrowotnej. CE są zaangażowane w bezpośrednie tworzenie PHI i muszą być zgodne z pełnym zakresem regulacji HIPAA.
  • Współpracownicy biznesowi (BA): Każda organizacja wynajęta przez CE (lub innego BA), która z konieczności zetknie się z PHI w trakcie pracy, do której wykonania została wynajęta. Typowe przykłady współpracowników to dostawcy usług IT, firmy zarządzające praktykami, dostawcy usług przechowywania danych fizycznych, dostawcy usług przechowywania danych w chmurze, dostawcy usług szyfrowania poczty elektronicznej, tworzenia kopii zapasowych danych i wielu innych. BA nie są zobowiązane do przestrzegania HIPAA Privacy Rule w całości, ale muszą być zgodne z resztą standardów regulacyjnych, które mają zastosowanie.

Od czasu jego pierwszego uchwalenia w 1996 roku, HIPAA przeszedł wiele zmian, poprawek i dodatków. Wspólnie, te przyszły być znane jako Zasady HIPAA. Reguły HIPAA obejmują:

  • Reguła Prywatności HIPAA: Reguła Prywatności ustanawia krajowe standardy prywatności, integralności i dostępności PHI. Reguła nakreśla zabezpieczenia, które muszą być na miejscu, aby zapewnić, że PHI jest zachowana prywatność. Reguła ta ustanawia również wytyczne dotyczące praw pacjentów do dostępu do ich dokumentacji medycznej, oprócz zastosowań, ujawnień i autoryzacji, które muszą być wprowadzone przez CE.
  • HIPAA Security Rule: Security Rule ustanawia krajowe standardy utrzymywania bezpieczeństwa PHI poprzez szereg zabezpieczeń technicznych, fizycznych i administracyjnych, które CE i BA muszą wdrożyć.
  • HIPAA Breach Notification Rule: Reguła powiadamiania o naruszeniach określa procesy, które muszą być przestrzegane przez podmioty odpowiedzialne za HIPAA w przypadku naruszenia danych. W zależności od liczby osób, których dotyczy dane naruszenie, istnieją różne terminy i standardy powiadamiania, których wymaga ta reguła.
  • HIPAA Omnibus Rule: The Omnibus Rule wprowadziła kilka istotnych zmian do regulacji HIPAA, szczególnie w odniesieniu do roli BA. Odkąd Reguła po raz pierwszy weszła w życie w 2013 r., BA są zobowiązani regulacyjnie do uzyskania zgodności z HIPAA. Dodatkowo, Omnibus Rule ustanowił bardziej rygorystyczne zasady dotyczące wykonywania umów Business Associate, które zostaną omówione w dalszej części tego kawałka.

Teraz, gdy masz poczucie fundamentów zgodności z HIPAA, weźmiemy nurkowanie w to, co jest niezbędne dla Twojej praktyki, aby skutecznie przestrzegać prawa.

Jak uzyskać zgodność z HIPAA

Audyty HIPAA

Pierwszym krokiem w każdym skutecznym programie zgodności jest przeprowadzenie serii audytów. Audyty te dadzą Ci podstawę do określenia, gdzie Twoja praktyka stoi w stosunku do prawa HIPAA.

Nie ma predefiniowanej listy audytów, które muszą być przeprowadzone, jednak audyty te powinny być wykonane we wszystkich elementach Twojej działalności, aby zmierzyć Twoją zgodność ze standardami HIPAA. Każda reguła HIPAA składa się z wielu standardów HIPAA, z których każdy posiada własną specyfikację implementacji. Aby skutecznie przeprowadzać audyty swojej firmy, należy używać tych standardów HIPAA jako podstawy do przeprowadzania audytów. Audytując swoją firmę pod kątem standardów HIPAA, uzyskasz poczucie, gdzie są luki w zgodności, dzięki czemu będziesz mógł je później naprawić.

Plany naprawcze

Po zakończeniu audytów i opracowaniu luk w bieżącej zgodności z HIPAA, możesz zacząć naprawiać te luki.

Plany naprawcze powinny być otwarte dla każdej luki, którą ujawniły audyty. Muszą one być w pełni udokumentowane w jednym centralnym repozytorium, z ograniczonym dostępem opartym na rolach w zależności od stron zaangażowanych w proces naprawczy. Każdy plan naprawczy musi przypisać odpowiedzialność do kogoś z personelu za usunięcie luki, wraz z elementami działań i harmonogramem realizacji.

Jak Twoja organizacja zamyka każdą lukę, musisz udokumentować proces, aż wszystkie luki zostaną zamknięte.

Polityki, procedury, szkolenia pracowników

Polityki i procedury są podstawą skutecznego programu zgodności z HIPAA.

Organizacje przestrzegające HIPAA są zobowiązane do posiadania polityk i procedur, które odnoszą się do każdego standardu HIPAA. Są one przeznaczone do tworzenia jednolitych procesów we wszystkich częściach organizacji do obsługi PHI i wszystkich innych HIPAA-mandated implementation specifications.

Nawet jeśli standardy, że każda polityka i procedura musi adresować będą takie same dla każdego podmiotu HIPAA-holden, rzeczywisty język polityk i procedur musi być dostosowany do potrzeb organizacji. Dlatego właśnie znalezienie rozwiązania takiego jak segregator polityk nie jest uważane za skuteczne rozwiązanie dla zgodności z HIPAA. Jeśli polityki, które wdraża Twoja organizacja, nie odnoszą się do zakresu Twojej działalności, nie będą one w stanie chronić Cię w przypadku naruszenia HIPAA.

Po wdrożeniu przez Twoją organizację polityk i procedur HIPAA, musisz upewnić się, że wszyscy pracownicy zostali przeszkoleni w zakresie ich treści. Aby właściwie udokumentować, że takie szkolenie miało miejsce, organizacja musi zlecić wszystkim pracownikom podpisanie zaświadczenia, że przeczytali i zrozumieli treść każdej polityki. Te poświadczenia powinny być wprowadzone w celu ochrony organizacji przed odpowiedzialnością w przypadku, gdy pracownik spowoduje naruszenie HIPAA w konflikcie z jedną z polityk.

Szkolenie pracowników musi być przeprowadzane co roku. Każdy nowy pracownik, który dołączy do organizacji, musi zostać przeszkolony w zakresie polityki i procedur w ramach procesu przyjęcia do pracy.

BA/Zarządzanie dostawcami

Kolejnym istotnym elementem zgodności z HIPAA jest zrozumienie, jak chronić informacje PHI, do których dostęp mają dostawcy. Jak omówiono powyżej, BA jest sprzedawcą, którego zatrudniasz, a którego praca koniecznie wymaga spotkania z PHI jakiegokolwiek rodzaju.

HIPAA nakazuje, że zanim jakakolwiek PHI może być współdzielona, Twoja organizacja musi zawrzeć umowę Business Associate Agreement (BAA) z tym sprzedawcą. Dotyczy to relacji między CE a BA, a także relacji między jednym BA a drugim (BA jednego BA jest nazywany „podwykonawcą” zgodnie z HIPAA).

Umowy BAA MUSZĄ być zawarte przed udostępnieniem jakichkolwiek informacji PHI. Skuteczna umowa BAA powinna stanowić, że:

  1. Organizacja 1 uznaje, że jest zobowiązana do przestrzegania przepisów HIPAA.
  2. BA organizacji 1 uznaje, że jest zobowiązana do przestrzegania przepisów HIPAA.
  3. Odpowiedzialność w przypadku naruszenia danych należy do strony odpowiedzialnej za naruszenie.

.

Similar Posts

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.