HIPAA Basics; HIPAA Made Easy

author
6 minutes, 44 seconds Read

Söker du en HIPAA-sammanfattning eller HIPAA 101-guide?Börja här.

När det gäller att förstå HIPAA-principerna kan uppgiften verka skrämmande. Att läsa förordningen innebär att sortera bland komplicerad juridik, och att förlita sig på hörsägen kan leda till fler missförstånd än förtydliganden.

Det är därför vi har sammanställt denna HIPAA 101-guide om grunderna. Du får allt du behöver för att säkert förstå lagen, i en lättläst guide som hjälper dig att förstå HIPAA-efterlevnad.

Vad är HIPAA?

The Health Insurance Portability and Accountability Act of 1996 (HIPAA) är en serie nationella standarder som hälso- och sjukvårdsorganisationer måste ha på plats för att skydda sekretessen och säkerheten för skyddad hälsoinformation (PHI). PHI är all demografisk individuellt identifierbar information som kan användas för att identifiera en patient. Vanliga exempel på PHI är namn, adress, e-post, telefonnummer, ansiktsbilder,

För att komma igång ska vi titta på några viktiga definitioner som rör HIPAA:s grunder.

Det finns två typer av organisationer som beskrivs i HIPAA-reglerna, bland annat:

  • Covered Entities (CE): Hälso- och sjukvårdsleverantörer, sjukförsäkringar och clearingcentraler för hälso- och sjukvård. CE är involverade i den direkta skapandet av PHI och måste följa HIPAA-bestämmelserna fullt ut.
  • Business Associates (BA): Alla organisationer som anlitas av en CE (eller annan BA) och som nödvändigtvis kommer att komma i kontakt med PHI under det arbete som de har anlitats för att utföra. Vanliga exempel på BAs är IT-leverantörer, praktikförvaltningsföretag, leverantörer av fysisk lagring, leverantörer av molnlagring, e-postkryptering, databackup och många andra. BAs är inte skyldiga att följa HIPAA Privacy Rule i sin helhet, men måste följa resten av de regelstandarder som gäller.

Sedan HIPAA först antogs 1996 har det genomgått många ändringar, revideringar och tillägg. Tillsammans har dessa kommit att kallas HIPAA-reglerna. HIPAA-reglerna omfattar:

  • HIPAA Privacy Rule: Privacy Rule: I Privacy Rule fastställs nationella standarder för sekretess, integritet och tillgänglighet för PHI. Regeln beskriver skyddsåtgärder som måste finnas för att säkerställa att PHI hålls privat. Regeln fastställer också riktlinjer för patienters rätt att få tillgång till sina medicinska journaler, förutom användning, utlämnande och tillstånd som CE måste ha.
  • HIPAA Security Rule: HIPAA:s säkerhetsregel: Säkerhetsregeln fastställer nationella standarder för att upprätthålla säkerheten för PHI genom en rad tekniska, fysiska och administrativa skyddsåtgärder som CE:s och BA:s måste genomföra.
  • HIPAA Breach Notification Rule: Breach Notification Rule beskriver de processer som HIPAA-innehavare måste följa i händelse av ett dataintrång. Beroende på hur många personer som berörs av en viss överträdelse finns det olika tidsfrister och anmälningsstandarder som krävs enligt regeln.
  • HIPAA Omnibus Rule: HIPAA Omnibus Rule: Omnibus Rule innebar flera stora förändringar i HIPAA-reglerna, särskilt när det gäller BA:s roll. Sedan regeln först trädde i kraft 2013 har BAs haft en lagstadgad skyldighet att bli HIPAA-kompatibla. Dessutom fastställde Omnibus Rule strängare regler för genomförandet av Business Associate Agreements, vilket kommer att diskuteras senare i den här artikeln.

Nu när du har en känsla för grunderna för HIPAA-överensstämmelse ska vi göra en djupdykning i vad som är nödvändigt för att din praktik ska kunna följa lagen på ett effektivt sätt.

Hur man blir HIPAA-kompatibel

HIPAA-revisioner

Det första steget i ett effektivt program för efterlevnad av HIPAA är att utföra en rad revisioner. Dessa revisioner kommer att ge dig en utgångspunkt för var din verksamhet står i förhållande till HIPAA-lagstiftningen.

Det finns ingen fördefinierad lista över revisioner som måste utföras, men dessa revisioner bör utföras i alla delar av din verksamhet för att mäta din efterlevnad av HIPAA-standarderna. Varje HIPAA-regel består av många HIPAA-standarder, var och en med sina egna implementeringsspecifikationer. För att effektivt kunna granska din verksamhet måste du använda dessa HIPAA-standarder som grund för dina granskningar. Genom att granska din verksamhet mot HIPAA-standarderna får du en känsla för var dina brister i efterlevnaden finns, så att du kan börja åtgärda dem senare.

Planer för avhjälpning

När du har slutfört dina granskningar och utvecklat dina brister i din nuvarande HIPAA-efterlevnad kan du börja åtgärda dessa brister.

Planer för avhjälpning bör öppnas för varje brist som dina granskningar har avslöjat. Dessa måste vara fullständigt dokumenterade i ett centralt arkiv, med begränsad rollbaserad åtkomst beroende på vilka parter som är involverade i korrigeringsprocessen. Varje åtgärdsplan måste tilldela någon i din personal ansvaret för att åtgärda luckan, tillsammans med åtgärder och en tidsplan för slutförandet.

När din organisation stänger varje lucka måste du dokumentera processen tills alla luckor är stängda.

Policies, Procedures, Employee Training

Policies and procedures are the cornerstone of an effective HIPAA compliance program.

HIPAA-beholden organizations are required to have policies and procedures in place that address each HIPAA standard. De ska skapa enhetliga processer i alla delar av din organisation för hantering av PHI och alla andra HIPAA-mandaterade implementeringsspecifikationer.

Även om de standarder som varje policy och procedur måste ta upp kommer att vara desamma för varje HIPAA-beholden enhet, måste det faktiska språket i policys och procedurer anpassas till behoven i din organisation. Det är därför som det inte anses vara en effektiv lösning för HIPAA-överensstämmelse att hitta en lösning som en policypärm. Om de policyer som din organisation implementerar inte är tillämpliga på omfattningen av din verksamhet kommer de inte att kunna skydda dig i händelse av en HIPAA-överträdelse.

När din organisation har implementerat HIPAA-policyer och -rutiner måste du se till att alla anställda har utbildats i deras innehåll. Och för att korrekt dokumentera att denna utbildning har ägt rum måste din organisation låta alla anställda underteckna ett intyg om att de har läst och förstått innehållet i varje policy. Dessa intyg bör finnas på plats för att skydda din organisation från ansvar i händelse av att en anställd orsakar en HIPAA-överträdelse i konflikt med en av dina policyer.

Anställdas utbildning måste genomföras årligen. Alla nya anställda som ansluter sig till din organisation måste utbildas i policyer och förfaranden som en del av deras inskolningsprocess.

BA/Vendor Management

En annan viktig komponent i HIPAA-överensstämmelse är att förstå hur man skyddar PHI som nås av leverantörer. Som diskuterats ovan är en BA en leverantör som du anlitar och vars arbete nödvändigtvis innebär att han/hon kommer i kontakt med PHI av något slag.

HIPAA föreskriver att innan PHI kan delas måste din organisation underteckna ett Business Associate Agreement (BAA) med denna leverantör. Detta gäller för relationer mellan CE:s och BA:s, förutom relationer mellan en BA och en annan (en BA till en BA kallas ”underleverantör” enligt HIPAA).

BAA:s MÅSTE verkställas innan någon PHI kan delas. I ett effektivt BAA bör följande anges:

  1. Organisation 1 erkänner att de är skyldiga till HIPAA.
  2. Ba av organisation 1 erkänner att de är skyldiga till HIPAA.
  3. Hansvarsskyldigheten i händelse av dataintrång åligger den part som är ansvarig för intrånget.

Similar Posts

Lämna ett svar

Din e-postadress kommer inte publiceras.