Årlig HIPAA Compliance Training

Sundhedsforsikringsportabilitets- og ansvarlighedsloven blev vedtaget i 1996. Den håndhæves af De Forenede Staters Kontor for Borgerlige Rettigheder. Det er et sæt føderale retningslinjer, der er skabt for at give medarbejderne mulighed for at tage deres sygesikring sammen med dem, hvis de forlader en arbejdsgiver, giver folk adgang til sygesikring på trods af de eksisterende betingelser (under visse forhold) og at oprette privatlivsstandarder for patientens helbred Information.

• HIPAA Privacy Rule beskytter privatlivets fred for individuelt identificerbare sundhedsoplysninger.
• HIPAA Security Rule fastsætter nationale standarder for sikkerhed for elektroniske sundhedsoplysninger.

Det kræves ifølge loven at give HIPAA-uddannelse og træning til personer, der arbejder i sundhedssektoren, for at sikre ansvarlighed for privatlivets fred og sikkerhed for beskyttede sundhedsoplysninger. Dækkede enheder skal træne alle medlemmer af arbejdsstyrken om HIPAA-politikker og -procedurer.

1 -

HIPAA Privacy Rule

Standarderne for privatlivets fred for individuel identificerbare sundhedsoplysninger (Privacy Rule) er designet til specifikt at behandle beskyttelsen af ​​en persons personlige oplysninger om sundhed. Det er vigtigt for vitaliteten af ​​dit medicinske kontor at opretholde HIPAA overholdelse.

Hvem er omfattet af Privacy Rule?

• Sundhedsplaner
• Sundhedspleje
• Sundhedsvæsen Clearinghouses

En overdækket enhed som defineret i HIPAA kan være en sygesikringsplan, et sundhedsvæsen clearinghus eller en sundhedsudbyder, der transmitterer beskyttet sundhedsinformation elektronisk og kan være organisationer, institutioner eller personer.

Læger og andre sundhedspersonale, der arbejder med patienter og deres fortrolige lægejournaler, skal overholde de politikker, procedurer og love, der er designet til at beskytte patientens privatliv og fortrolighed. Alle sundhedsudbydere har et ansvar for at holde deres personale uddannet og informeret om HIPAA overholdelse . Uanset om forsætlig eller utilsigtet uautoriseret offentliggørelse af PHI betragtes som en overtrædelse af HIPAA.

• Business Associates

En forretningsforbindelse, som defineret af HIPAA, er enhver person eller enhed, der driver virksomhed, der involverer brug eller offentliggørelse af beskyttet sundhedsinformation på vegne af en overdækket enhed, og er ikke en medarbejder i den dækkede enhed.

Hvilke oplysninger er beskyttet?

PHI eller beskyttet sundhedsinformation refererer til individuelt identificerende oplysninger, der indgår i patientens lægeattest, som overføres eller opretholdes i enhver form.

Anvendelser og Oplysninger

En omfattet enhed kan anvende eller offentliggøre beskyttede sundhedsoplysninger (PHI) uden tilladelse på visse betingelser.

1. Til individet
2. Behandling, Betaling og Healthcare Operations
3. Anvendelser og Disclosures med mulighed for at blive enige eller objekt
4. Tilfælde og oplysning.
5. Offentlige interesser og fordele
6. Begrænset datasæt med henblik på forskning, folkesundhed eller sundhedssektoren

Beskyttelse af personlige oplysninger

Sundhedsudbydere har pligt til at give deres patienter en meddelelse om fortrolighedspraksis. Denne meddelelse, som krævet af HIPAA Privacy Rule, giver patienterne ret til at blive informeret om deres privatlivsrettigheder, da de vedrører deres beskyttede sundhedsoplysninger (PHI).

Meddelelsen skal beskrive visse oplysninger på let forståelige vilkår:

• Hvordan udbyderen vil bruge og videregive deres PHI
• De rettigheder, patienter har om deres egen PHI
• En erklæring, der informerer patienten om love, der kræver, at udbyderen opretholder privatlivet for deres PHI
• Hvem patienter kan kontakte for yderligere oplysninger om leverandørens privatlivspolitik

Håndhævelse og sanktioner for manglende overholdelse

Civil Penge Sanktioner

• $ 100 pr. Manglende overholdelse
• $ 25.000 maksimum pr. År for flere krænkelser af samme krav

Strafferetlige sanktioner (for bevidst at indhente eller afsløre PHI i strid med HIPAA)

• $ 50.000 fint og op til et års fængsel
• $ 100.000 fint og op til fem års fængsel (hvis krænkelse involverer falske forsæt)
• $ 250.000 fint og op til ti års fængsel (hvis brud indebærer hensigt om at sælge, overføre eller bruge PHI)

2 -

HIPAA sikkerhedsregel

Sikkerhedsstandarderne for beskyttelse af elektronisk beskyttet sundhedsinformation (sikkerhedsreglen)

HIPAA-sikkerhed henviser til etablering af beskyttelsesforanstaltninger for PHI i ethvert elektronisk format. Dette omfatter alle oplysninger, der anvendes, gemmes eller transmitteres elektronisk. Ethvert anlæg, der er defineret af HIPAA som en dækket enhed, har ansvaret for at sikre privatlivets fred og sikkerhed for patientens oplysninger samt opretholde fortroligheden af ​​deres PHI.

Hvem er omfattet af sikkerhedsreglen?

• Sundhedsplaner
• Sundhedspleje
• Sundhedsvæsen Clearinghouses

En overdækket enhed som defineret i HIPAA kan være en sygesikringsplan, et sundhedsvæsen clearinghus eller en sundhedsudbyder, der transmitterer beskyttet sundhedsinformation elektronisk og kan være organisationer, institutioner eller personer.

• Business Associates

En forretningsforbindelse, som defineret af HIPAA, er enhver person eller enhed, der driver virksomhed, der involverer brug eller offentliggørelse af beskyttet sundhedsinformation på vegne af en overdækket enhed, og er ikke en medarbejder i den dækkede enhed.

Hvilke oplysninger er beskyttet?

Elektronisk PHI eller beskyttet sundhedsinformation refererer til individuelt identificerende oplysninger, der indgår i patientens lægeattest, som overføres eller opretholdes i enhver form. Sikkerhedsreglen udelukker PHI overført mundtligt eller skriftligt.

Administrativ forenkling

HIPAA's bestemmelser om administrativ forenkling fastsætter nationale standarder for sikkerhed for elektronisk beskyttet sundhedsinformation. Dette omfatter regler og standarder for transaktioner og kode sæt og identifikatorer for arbejdsgivere og udbydere.

Transaktioner og Code Set Standards

Standardtransaktioner til data om dataoverførsel (EDI) af sundhedsdata omfatter krav til information, betaling og pengeoverførsel, krav på status, berettigelse, tilmelding og afmelding, henvisninger og godkendelser, koordinering af ydelser og præmiebetaling.

Standardkodesæt til diagnose, procedure og narkotikakoder omfatter HCPCS (Supplementary Services / Procedures), CPT-4 (lægeprocedurer), CDT (Dental Terminology), ICD-9 (Diagnose og Hospital Inpatient Procedures), ICD-10 Fra 1. oktober 2015) og NDC (National Drug Codes) koder.

Identifikationsstandarder for arbejdsgivere og udbydere

Standardidentifikatorer omfatter arbejdsgiveridentifikationsnummeret (EIN) og den nationale udbyderidentifikator (NPI). EIN bruges til at identificere arbejdsgivere på standardtransaktionerne. Den nationale udbyderidentifikation eller NPI er et 10-cifret, unikt identifikationsnummer, der anvendes til udbyderidentifikatorer som et UPIN-nummer i HIPAA-standardtransaktioner. Sundhedsplejersker er påkrævet ved regulering af HIPAA for at opnå et NPI.

Reglerne for at opretholde HIPAA-sikkerhed omfatter sikkerhedsforanstaltninger for tre nøgleområder.

Administrative sikkerhedsforanstaltninger

1. Udvikle en formel sikkerhedsstyringsproces, herunder udvikling af politikker og procedurer, interne revisioner, beredskabsplaner og andre sikkerhedsforanstaltninger for at sikre overholdelse af medicinsk kontorspersonale.
2. Tildele ansvaret for sikkerhed til en udpeget person til at styre og overvåge brugen af ​​sikkerhedsforanstaltninger og medarbejdernes adfærd.
3. Gennemfør funktioner, der sikrer, at personalet har en ordentlig uddannelse og korrekt tilladelse til at få adgang til PHI.
4. Definer niveauer for adgang for alle medarbejdere og hvordan det ydes
5. Kræver, at alle læger i kontorspersonalet, herunder ledelsen, gennemgår sikkerhedsuddannelse og har periodiske påmindelser og brugeruddannelse.

Fysiske beskyttelsesforanstaltninger

1. Fil PHI på et sikkert sted og arbejdsområde for medarbejdere (dette inkluderer brugen af ​​låse, nøgler og badges, der låser op døre), der begrænser adgangen til uautoriserede personer og ubudne personer.
2. Udvikle politikker til verificering af adgangstilladelser, udstyrskontrol og håndtering af besøgende. Udvikle og fremlægge dokumentation, herunder vejledning om, hvordan dit lægekontor kan hjælpe med at beskytte PHI (for eksempel at logge af computeren, inden du forlader den uden opsyn)
3. Sørg for beskyttelse mod brand og andre farer

Tekniske sikkerhedsforanstaltninger

1. Opret en unik brugeridentifikation, herunder adgangskoder og pinnumre
2. Adopt en automatisk logoff kontrol
3. Optag og undersøg systemaktivitet til revision
4. Udnyt krypteringskontrol for at beskytte overførte data via et netværk

Håndhævelse og sanktioner for manglende overholdelse

Civil Penge Sanktioner

• $ 100 pr. Manglende overholdelse
• $ 25.000 maksimum pr. År for flere krænkelser af samme krav

Strafferetlige sanktioner (for bevidst at indhente eller afsløre PHI i strid med HIPAA)

• $ 50.000 fint og op til et års fængsel
• $ 100.000 fint og op til fem års fængsel (hvis krænkelse involverer falske forsæt)
• $ 250.000 fint og op til ti års fængsel (hvis brud indebærer hensigt om at sælge, overføre eller bruge PHI)

3 -

Tips til at undgå krænkelse af HIPAA

1. Tag de nødvendige skridt for at undgå at videregive oplysninger gennem rutinemæssig samtale. Undgå offentliggørelse af oplysninger gennem rutinemæssig samtale; diskuterer patientinformation i ventepunkter, gange eller elevatorer korrekt bortskaffelse af PHI og adgang til information er strengt begrænset til medarbejdere, hvis job kræver disse oplysninger. Grundlæggende oplysninger kan virke så ubetydelige, at det let kan nævnes i rutinemæssig samtale, men bør kun deles med et behov for at kende grundlag.
2. Undgå at diskutere patientoplysninger i ventepunkter, gange eller elevatorer. Følsom information kan overhøres af besøgende eller andre patienter. Sørg også for at holde patientjournaler ud af områder, der er tilgængelige for offentligheden. Da indskrivebænke og sygeplejersker stationer er ude i det åbne, gå den ekstra mile for at sikre computere er sikret til enhver tid. Kortholdere skal monteres og frontpanelet er dækket i henhold til HIPAA-standarder.
3. PHI bør aldrig bortskaffes i skraldespanden. Ethvert dokument kastet i skraldespanden er åbent for offentligheden og derfor et brud på oplysninger. Der er mange måder at afhænde PHI på. Korrekt bortskaffelse af papir PHI omfatter brænding eller makulering. Elektronisk PHI kan bortskaffes ved at slette, slette, reformere, forbrænde, smelte eller rive.
4. Der er en række tilgængelige teknologier designet til at sikre patientdata. Vær selektiv ved at vælge enheder og software, der sikrer data via en trådløs forbindelse, herunder firewalls, anti-virus, anti-spyware og intrusionsteknologi. Brug ekstrem forsigtighed, når du åbner data over en fjernforbindelse. IT-specialister foreslår at bruge et tofaktors godkendelsessystem med sikkerhedsmønstre og adgangskoder.