Cercetați un rezumat HIPAA sau un ghid HIPAA 101?Începeți aici.
Când vine vorba de înțelegerea bazelor HIPAA, sarcina poate părea descurajantă. Citirea regulamentului înseamnă sortarea unui limbaj juridic complex, iar bazarea pe zvonuri poate duce la mai multe neînțelegeri decât clarificări.
De aceea am realizat acest ghid HIPAA 101 Noțiuni de bază. Veți obține tot ceea ce aveți nevoie pentru a înțelege cu încredere legea, într-un ghid ușor de citit pentru a vă ajuta să înțelegeți conformitatea HIPAA.
Ce este HIPAA?
Legea din 1996 privind portabilitatea și responsabilitatea în domeniul asigurărilor de sănătate (Health Insurance Portability and Accountability Act of 1996) (HIPAA) este o serie de standarde naționale pe care organizațiile de asistență medicală trebuie să le aibă în vigoare pentru a proteja confidențialitatea și securitatea informațiilor medicale protejate (PHI). PHI reprezintă orice informație demografică identificabilă individual care poate fi utilizată pentru a identifica un pacient. Exemple comune de PHI includ nume, adrese, e-mailuri, numere de telefon, fotografii faciale complete,
Înainte de a începe, să analizăm câteva definiții cheie care se referă la elementele de bază ale HIPAA.
Există două tipuri de organizații descrise în regulamentul HIPAA, printre care:
- Entități acoperite (EC): Furnizorii de servicii medicale, planurile de asigurări de sănătate și centrele de compensare a serviciilor medicale. EC sunt implicate în crearea directă a PHI și trebuie să se conformeze în totalitate reglementării HIPAA.
- Asociați de afaceri (BA): Orice organizație angajată de un EC (sau de un alt BA) care se va întâlni în mod necesar cu PHI pe parcursul activității pentru care a fost angajat. Printre exemplele comune de BA se numără furnizorii de IT, firmele de management al practicii, furnizorii de stocare fizică, furnizorii de stocare în cloud, de criptare a e-mailurilor, de back-up de date și multe altele. BA nu sunt obligați să respecte regula de confidențialitate HIPAA în întregime, dar trebuie să respecte restul standardelor de reglementare care se aplică.
De când a fost promulgată pentru prima dată în 1996, HIPAA a suferit multe modificări, revizuiri și adăugiri. În mod colectiv, acestea au ajuns să fie cunoscute sub denumirea de Reguli HIPAA. Regulile HIPAA includ:
- Regula HIPAA privind confidențialitatea: Regula privind confidențialitatea stabilește standarde naționale pentru confidențialitatea, integritatea și disponibilitatea ISP. Regula subliniază măsurile de protecție care trebuie să fie puse în aplicare pentru a se asigura că ISP sunt păstrate private. Regula stabilește, de asemenea, orientări privind drepturile pacienților de a avea acces la dosarele lor medicale, pe lângă utilizările, divulgările și autorizațiile pe care EC trebuie să le aibă în vigoare.
- Regula de securitate HIPAA: Regula de securitate stabilește standarde naționale pentru menținerea securității PHI printr-o serie de măsuri de protecție tehnice, fizice și administrative pe care EC și BA trebuie să le pună în aplicare.
- HIPAA Breach Notification Rule: Regula de notificare a încălcărilor (Breach Notification Rule) descrie procesele pe care entitățile deținătoare de HIPAA trebuie să le urmeze în cazul unei încălcări a datelor. În funcție de numărul de persoane afectate de o anumită încălcare, există diferite termene și standarde de notificare pe care regula le impune.
- HIPAA Omnibus Rule: Regula Omnibus a adus mai multe modificări majore reglementării HIPAA, în special în ceea ce privește rolul BA. De când regula a intrat în vigoare pentru prima dată în 2013, BA au avut obligația de reglementare de a deveni conforme cu HIPAA. În plus, Regula Omnibus a stabilit reguli mai stricte pentru executarea Acordurilor de parteneriat comercial, care vor fi discutate mai târziu în acest articol.
Acum că aveți o idee despre bazele conformității HIPAA, vom face o incursiune în ceea ce este necesar pentru ca cabinetul dvs. să se conformeze în mod eficient cu legea.
Cum să deveniți conform HIPAA
Auditările HIPAA
Primul pas în orice program eficient de conformitate este de a executa o serie de audituri. Aceste audituri vă vor oferi o bază de referință cu privire la situația în care se situează cabinetul dumneavoastră în raport cu legislația HIPAA.
Nu există o listă predefinită de audituri care trebuie efectuate, însă aceste audituri ar trebui să fie executate în toate elementele afacerii dumneavoastră pentru a măsura conformitatea dumneavoastră cu standardele HIPAA. Fiecare regulă HIPAA este compusă din mai multe standarde HIPAA, fiecare cu propriile specificații de implementare. Pentru a vă audita eficient activitatea, trebuie să utilizați aceste standarde HIPAA ca bază pentru auditurile dumneavoastră. Prin auditarea afacerii dvs. în raport cu standardele HIPAA, vă veți face o idee despre unde se află lacunele dvs. în materie de conformitate, astfel încât să puteți începe să le remediați ulterior.
Planuri de remediere
După ce ați finalizat auditurile și ați dezvoltat lacunele în ceea ce privește conformitatea HIPAA actuală, atunci puteți începe să remediați aceste lacune.
Planurile de remediere trebuie deschise pentru fiecare lacună pe care auditurile dvs. au descoperit-o. Acestea trebuie să fie complet documentate într-un depozit central, cu acces limitat în funcție de roluri, în funcție de părțile implicate în procesul de remediere. Fiecare plan de remediere trebuie să atribuie responsabilitatea unei persoane din personalul dvs. de a remedia lacuna, împreună cu elemente de acțiune și un termen de finalizare.
În timp ce organizația dvs. închide fiecare lacună, trebuie să documentați procesul până când toate lacunele sunt închise.
Politici, proceduri, instruire a angajaților
Politicile și procedurile sunt piatra de temelie a unui program eficient de conformitate HIPAA.
Organizațiile care dețin HIPAA trebuie să aibă politici și proceduri care să abordeze fiecare standard HIPAA. Acestea au rolul de a crea procese uniforme în toate părțile organizației dvs. pentru manipularea PHI și toate celelalte specificații de implementare impuse de HIPAA.
Chiar dacă standardele pe care trebuie să le abordeze fiecare politică și procedură vor fi aceleași pentru fiecare entitate HIPAA-beholden, limbajul real al politicilor și procedurilor trebuie să fie adaptat la nevoile organizației dvs. Acesta este motivul pentru care găsirea unei soluții precum un dosar de politici nu este considerată o soluție eficientă pentru conformitatea HIPAA. Dacă politicile pe care organizația dvs. le implementează nu se aplică domeniului dvs. de activitate, acestea nu vă vor putea proteja în cazul unei încălcări HIPAA.
După ce organizația dvs. a implementat politicile și procedurile HIPAA, trebuie să vă asigurați că toți angajații au fost instruiți cu privire la conținutul acestora. Iar pentru a documenta în mod corespunzător faptul că această instruire a avut loc, organizația dvs. trebuie să solicite tuturor angajaților să semneze o adeverință prin care să declare că au citit și înțeles conținutul fiecărei politici. Aceste atestate trebuie să existe pentru a vă proteja organizația de răspundere în cazul în care un angajat cauzează o încălcare a HIPAA în conflict cu una dintre politicile dumneavoastră.
Cursurile de instruire a angajaților trebuie să fie executate anual. Toți angajații noi care se alătură organizației dumneavoastră trebuie să fie instruiți cu privire la politici și proceduri ca parte a procesului de integrare.
BA/Gestiunea furnizorilor
O altă componentă esențială a conformității HIPAA este înțelegerea modului de protejare a PHI care este accesată de către furnizori. După cum s-a discutat mai sus, un BA este un furnizor pe care îl angajați și al cărui loc de muncă implică în mod necesar o întâlnire cu PHI de orice fel.
HiPAA impune ca, înainte ca orice PHI să poată fi împărtășită, organizația dvs. să execute un Acord de Asociere Comercială (BAA) cu acest furnizor. Acest lucru se aplică relațiilor dintre EC și BA, în plus față de relațiile dintre un BA și altul (un BA al unui BA se numește „subcontractant” în conformitate cu HIPAA).
ABAA TREBUIE să fie executat înainte ca orice PHI să poată fi partajat. Un BAA eficient ar trebui să precizeze că:
- Organizația 1 recunoaște că este obligată să respecte HIPAA.
- BA a organizației 1 recunoaște că este obligată să respecte HIPAA.
- Răspunderea în cazul unei încălcări a datelor aparține părții responsabile de încălcare.
.