Formació anual de conformitat HIPAA

La Llei de Responsabilitat i Portabilitat de l'Assegurança de Salut es va promulgar el 1996. L'Oficina de Drets Civils del Govern dels Estats Units l'aplica. Es tracta d'un conjunt de directrius federals creades per permetre que els empleats prenguin la seva assegurança mèdica si abandonen un empresari, permeten que la gent accedeixi a l'assegurança mèdica a pesar de les condicions preexistents (sota algunes condicions) i estableixi normes de privadesa per a la salut del pacient informació.

• La norma de privacitat HIPAA protegeix la privadesa d'informació de salut individualment identificable.
• La norma de seguretat de HIPAA estableix normes nacionals per a la seguretat de la informació de salut electrònica.

Es requereix que la llei proporcioni educació i formació HIPAA a les persones que treballen en l'àmbit de la salut per garantir la responsabilitat de la privadesa i la seguretat de la informació de salut protegida. Les entitats cobertes han d'adreçar a tots els membres de la plantilla sobre les polítiques i els procediments de la HIPAA.

1 -

Norma de privacitat HIPAA

Les normes per a la privadesa d'informació de salut identificable individualment (la norma de privacitat) es van dissenyar per abordar específicament la protecció de la informació personal de salut d'un individu. És important per a la vitalitat de la vostra oficina mèdica mantenir el compliment de HIPAA.

Qui està cobert per la norma de privacitat?

• Plans de salut
• Proveïdors sanitaris
• Clíniques d'assistència sanitària

Una entitat coberta, tal com es defineix a HIPAA, pot ser un pla d'assegurança mèdica, un centro de compensació d'assistència mèdica o un proveïdor de serveis sanitaris que transmeti informació de salut protegida per mitjans electrònics i que pugui ser organitzacions, institucions o persones.

Els metges i altres professionals sanitaris que treballen amb pacients i els seus registres mèdics confidencials han de complir les polítiques, els procediments i les lleis dissenyades per protegir la privadesa i la confidencialitat dels pacients. Tots els proveïdors sanitaris tenen la responsabilitat de mantenir entrenat i informat el seu personal respecte del compliment de HIPAA . Ja sigui la divulgació intencionada o accidental, no autoritzada de PHI, es considera una violació de la HIPAA.

• Associats empresarials

Un associat de negocis, tal com ho defineix HIPAA, és qualsevol persona o entitat que realitzi negocis que impliquin l'ús o divulgació d'informació protegida de salut en nom d'una entitat coberta i que no sigui un empleat de l'entitat coberta.

Quina informació està protegida?

PHI o informació de salut protegida es refereix a qualsevol informació d'identificació individual inclosa en el registre mèdic del pacient que es transmet o manté de qualsevol forma.

Usos i divulgacions

Una entitat coberta pot utilitzar o divulgar informació sanitària protegida (PHI) sense autorització sota certes condicions.

1. A l'individu
2. Tractament, pagament i operacions sanitàries
3. Usos i divulgacions amb oportunitat d'acord o objecte
4. Ús accidental i divulgació.
5. Interès públic i activitats de beneficència
6. Conjunt de dades limitat a efectes d'investigació, salut pública o operacions d'assistència sanitària

Notificació de pràctiques de privadesa

Els proveïdors sanitaris tenen l'obligació de proporcionar als pacients un Avis de pràctiques de privadesa. Aquest avís, tal com ho exigeix ​​la Regla de privacitat HIPAA, ofereix als pacients el dret a estar informats sobre els seus drets de privacitat en relació amb la seva informació sanitària protegida (PHI).

L'avís hauria de descriure certa informació en termes fàcils d'entendre:

• Com utilitzarà el proveïdor i revelarà la seva PHI
• Els drets dels pacients tenen relació amb la seva pròpia PHI
• Una declaració que informa al pacient de les lleis que exigeixen al proveïdor mantenir la privadesa de la seva PHI
• Qui els pacients poden contactar per obtenir més informació sobre les polítiques de privadesa del proveïdor

Aplicació i sancions per incompliment

Sancions de diners civils

• $ 100 per incompliment
• Mínim de 25.000 dòlars anuals per violacions múltiples del mateix requisit

Penalitats penals (per obtenir o revelar conscientment PHI en violació de la HIPAA)

• $ 50,000 multa i fins a un any de presó
• $ 100.000 de multa i fins a cinc anys de presó (si la violació implica falses pretensions)
• $ 250,000 multa i fins a deu anys de presó (si la violació implica intenció de vendre, transferir o utilitzar PHI)

2 -

Regla de seguretat HIPAA

Les normes de seguretat per a la protecció de la informació electrònica protegida electrònica (la norma de seguretat)

La seguretat HIPAA es refereix a establir salvaguardes per PHI en qualsevol format electrònic. Inclou qualsevol informació utilitzada, emmagatzemada o transmesa electrònicament. Qualsevol facilitat definida per HIPAA com a entitat coberta té la responsabilitat de garantir la privadesa i la seguretat de la informació del pacient, així com mantenir la confidencialitat de la seva PHI.

Qui està cobert per la regla de seguretat?

• Plans de salut
• Proveïdors sanitaris
• Clíniques d'assistència sanitària

Una entitat coberta, tal com es defineix a HIPAA, pot ser un pla d'assegurança mèdica, un centro de compensació d'assistència mèdica o un proveïdor de serveis sanitaris que transmeti informació de salut protegida per mitjans electrònics i que pugui ser organitzacions, institucions o persones.

• Associats empresarials

Un associat de negocis, tal com ho defineix HIPAA, és qualsevol persona o entitat que realitzi negocis que impliquin l'ús o divulgació d'informació protegida de salut en nom d'una entitat coberta i que no sigui un empleat de l'entitat coberta.

Quina informació està protegida?

La PHI electrònica o la informació protegida de salut es refereix a qualsevol informació d'identificació individual inclosa en el registre mèdic del pacient que es transmet o manté de qualsevol forma. La regla de seguretat exclou la transmissió de PHI per via oral o per escrit.

Simplificació administrativa

Les disposicions de simplificació administrativa de HIPAA estableixen normes nacionals per a la seguretat de la informació electrònica de salut protegida. Això inclou les normes i normes per a operacions i conjunts de codis i identificadors per als empresaris i proveïdors.

Transaccions i estàndards de configuració de codi

Les transaccions estàndard per a l'intercanvi electrònic de dades (EDI) de les dades de salut inclou informació sobre reclamacions i trobades, assessorament sobre pagaments i remeses, estat de reclamacions, elegibilitat, inscripció i desinversió, referències i autoritzacions, coordinació de prestacions i pagament de primes.

Els codis estàndard per a diagnòstics, procediments i codis de medicaments inclouen el HCPCS (Serveis / Procediments auxiliars), CPT-4 (Procediments mèdics), CDT (terminologia dental), ICD-9 (diagnòstic i procediments hospitalaris hospitalaris), ICD-10 ( A partir del 1 d'octubre de 2015) i codis NDC (Codis Nacionals de Drogues).

Normes d'identificació per a empleadors i proveïdors

Els identificadors estàndard inclouen El número d'identificació de l'empresari (EIN) i L'identificador de proveïdor nacional (NPI). L'EIN s'utilitza per identificar els patrons en les transaccions estàndard. La identificació del proveïdor nacional o NPI és un número d'identificació únic de deu dígits que s'utilitza per substituir els identificadors del proveïdor, com ara un número d'identificació de proveïdor únic (UPIN) a les transaccions estàndard HIPAA. Els proveïdors d'atenció mèdica es requereixen mitjançant la regulació de HIPAA per obtenir un NPI.

Les normes per mantenir la seguretat HIPAA inclouen salvaguardes per a tres àrees clau.

Salvaguardes administratives

1. Desenvolupar un procés formal de gestió de la seguretat que inclogui el desenvolupament de polítiques i procediments, auditories internes, plans de contingència i altres salvaguardes per assegurar el compliment del personal d'oficina mèdica.
2. Assignar la responsabilitat de la seguretat a una persona designada per gestionar i supervisar l'ús de mesures de seguretat i la conducta del personal.
3. Implementar funcions que garanteixin al personal una formació adequada i una autorització adequada per accedir a PHI.
4. Definiu els nivells d'accés per a tot el personal i com es concedeix
5. Requerir que tot el personal de l'oficina mèdica, inclosa la gestió, sigui sotmesa a la formació de seguretat i que tingui recordatoris periòdics i l'educació dels usuaris.

Salvaguardes físiques

1. Arxiu PHI en una ubicació segura i espai de treball per als empleats (això inclou l'ús de panys, claus i insígnies que obren portes) que restringeixen l'accés a persones no autoritzades i intrusos.
2. Desenvolupar polítiques per verificar les autoritzacions d'accés, el control d'equips i la manipulació dels visitants. Desenvolupeu i proporcioneu documentació que inclogui instruccions sobre com la vostra oficina mèdica pot ajudar a protegir PHI (per exemple, tancar sessió de l'ordinador abans de deixar-la desatesa)
3. Proporcioneu protecció contra incendis i altres perills

Salvaguardes tècniques

1. Establir una identificació d'usuari exclusiva que inclogui contrasenyes i números de PIN
2. Adopte un control automàtic de control de posició
3. Registre i examina l'activitat del sistema amb finalitats d'auditoria
4. Utilitzeu els controls de xifratge per protegir les dades transmeses a través d'una xarxa

Aplicació i sancions per incompliment

Sancions de diners civils

• $ 100 per incompliment
• Mínim de 25.000 dòlars anuals per violacions múltiples del mateix requisit

Penalitats penals (per obtenir o revelar conscientment PHI en violació de la HIPAA)

• $ 50,000 multa i fins a un any de presó
• $ 100.000 de multa i fins a cinc anys de presó (si la violació implica falses pretensions)
• $ 250,000 multa i fins a deu anys de presó (si la violació implica intenció de vendre, transferir o utilitzar PHI)

3 -

Consells per evitar la violació de la HIPAA

1. Feu els passos necessaris per evitar que es reveli informació a través de la conversa de rutina. Eviteu la divulgació de la informació a través de la conversa rutinària; discutir la informació del pacient a les zones d'espera, passadissos o ascensors; eliminació correcta del PHI; i l'accés a la informació es limita estrictament als empleats els llocs de treball requereixen aquesta informació. La informació bàsica pot semblar tan insignificant que es pot esmentar fàcilment en converses rutinàries, però només s'hauria de compartir en funció de la necessitat de conèixer la base.
2. Eviteu discutir la informació del pacient a les zones d'espera, passadissos o ascensors. La informació sensible pot ser escoltada pels visitants o per altres pacients. A més, assegureu-vos de mantenir els registres dels pacients fora d'àrees accessibles per al públic. Atès que els taulells de facturació i les estacions d'infermeria estan fora de joc, feu una milla addicional per garantir que les computadores estiguin protegides en tot moment. Els titulars de les cartes s'han de muntar i el panell frontal està cobert segons els estàndards HIPAA.
3. PHI mai no s'hauria d'eliminar a la paperera. Qualsevol document llançat a la paperera està obert al públic i, per tant, un incompliment de la informació. Hi ha moltes maneres d'eliminar PHI. L'eliminació adequada del paper PHI inclou la crema o la trituració. El PHI electrònic es pot eliminar mitjançant esborrament, eliminació, reformatat, incineració, fusió o trituració.
4. Hi ha diverses tecnologies disponibles dissenyades per garantir la informació del pacient. Sigui selectiu a l'hora d'escollir dispositius i programari que protegeixin dades a través d'una connexió sense fils, inclosos firewalls, antivirus, anti-spyware i tecnologia de detecció d'intrusos. Utilitzeu molta precaució quan accediu a dades a través d'una connexió remota. Els especialistes en TI suggereixen utilitzar un sistema d'autenticació de dos factors amb tokens de seguretat i contrasenyes.