Đào tạo Tuân thủ HIPAA hàng năm

Đạo luật về trách nhiệm giải trình và di chuyển bảo hiểm y tế được ban hành vào năm 1996. Văn phòng Quyền Công dân của Chính phủ Hoa Kỳ được thi hành. Đó là một tập hợp các hướng dẫn liên bang được tạo ra để cho phép nhân viên bảo hiểm y tế với họ nếu họ rời khỏi nhà tuyển dụng, cho phép mọi người tiếp cận với bảo hiểm y tế bất chấp các điều kiện đã có trước đó (trong một số điều kiện) và thiết lập các tiêu chuẩn bảo mật cho sức khỏe của bệnh nhân thông tin.

• Quy tắc bảo mật HIPAA bảo vệ quyền riêng tư của thông tin sức khỏe có thể nhận dạng cá nhân.
• Quy tắc An ninh HIPAA đặt ra các tiêu chuẩn quốc gia về bảo mật thông tin sức khỏe điện tử.

Luật pháp yêu cầu cung cấp giáo dục và đào tạo HIPAA cho các cá nhân làm việc trong ngành chăm sóc sức khỏe để đảm bảo trách nhiệm về quyền riêng tư và bảo mật thông tin sức khỏe được bảo vệ. Các thực thể được bảo hiểm phải đào tạo tất cả các thành viên của lực lượng lao động về các chính sách và thủ tục của HIPAA.

1 -

Quy tắc bảo mật HIPAA

Các Tiêu chuẩn về Quyền riêng tư của Thông tin Y tế Cá nhân (Quy tắc Bảo mật) được thiết kế để giải quyết cụ thể việc bảo vệ thông tin sức khỏe cá nhân của một cá nhân. Điều quan trọng là sức sống của văn phòng y tế của bạn để duy trì sự tuân thủ HIPAA.

Ai được bảo vệ bởi quy tắc bảo mật?

• Kế hoạch y tế
• Nhà cung cấp dịch vụ chăm sóc sức khỏe
• Chăm sóc sức khỏe Clearinghouses

Một thực thể được bảo hiểm, như được định nghĩa trong HIPAA, có thể là một chương trình bảo hiểm y tế, một trung tâm chăm sóc sức khỏe hoặc một nhà cung cấp dịch vụ y tế truyền thông tin y tế được bảo vệ bằng điện tử và có thể là tổ chức, tổ chức hoặc người.

Các bác sĩ và chuyên gia chăm sóc sức khỏe khác làm việc với bệnh nhân và hồ sơ y tế bí mật của họ phải tuân thủ các chính sách, thủ tục và luật được thiết kế để bảo vệ sự riêng tư và bảo mật của bệnh nhân. Tất cả các nhà cung cấp dịch vụ chăm sóc sức khỏe có trách nhiệm giữ cho nhân viên của họ được đào tạo và thông báo về việc tuân thủ HIPAA . Cho dù cố ý hay tình cờ, việc tiết lộ trái phép PHI được coi là vi phạm HIPAA.

• Cộng tác viên

Đối tác kinh doanh, theo định nghĩa của HIPAA, là bất kỳ cá nhân hoặc tổ chức nào thực hiện việc kinh doanh liên quan đến việc sử dụng hoặc tiết lộ thông tin sức khỏe được bảo vệ thay mặt cho thực thể được bảo hiểm và không phải là nhân viên của thực thể được bảo hiểm.

Thông tin nào được bảo vệ?

PHI hoặc Thông tin Y tế được Bảo vệ đề cập đến bất kỳ thông tin nhận diện cá nhân nào được bao gồm trong hồ sơ y tế của bệnh nhân được truyền hoặc duy trì dưới mọi hình thức.

Sử dụng và tiết lộ

Một thực thể được bảo hiểm có thể sử dụng hoặc tiết lộ thông tin sức khỏe được bảo vệ (PHI) mà không được phép trong một số điều kiện nhất định.

1. Đối với cá nhân
2. Điều trị, thanh toán và hoạt động chăm sóc sức khỏe
3. Sử dụng và tiết lộ với cơ hội đồng ý hoặc đối tượng
4. Sử dụng và tiết lộ ngẫu nhiên.
5. Các hoạt động lợi ích và lợi ích công cộng
6. Tập dữ liệu hạn chế cho mục đích nghiên cứu, y tế công cộng hoặc các hoạt động chăm sóc sức khỏe

Thông báo về thực tiễn bảo mật

Các nhà cung cấp dịch vụ chăm sóc sức khỏe có nghĩa vụ cung cấp cho bệnh nhân của họ thông báo về thực tiễn bảo mật. Thông báo này, theo yêu cầu của Quy tắc bảo mật HIPAA, cung cấp cho bệnh nhân quyền được thông báo về quyền riêng tư của họ vì nó liên quan đến thông tin sức khỏe được bảo vệ của họ (PHI).

Thông báo phải mô tả một số thông tin nhất định trong các điều khoản dễ hiểu:

• Nhà cung cấp sẽ sử dụng và tiết lộ PHI của họ như thế nào
• Quyền của bệnh nhân liên quan đến PHI của họ
• Một tuyên bố thông báo cho bệnh nhân của pháp luật yêu cầu các nhà cung cấp để duy trì sự riêng tư của PHI của họ
• Ai bệnh nhân có thể liên hệ để biết thêm thông tin về chính sách bảo mật của nhà cung cấp

Thực thi và hình phạt cho sự không tuân thủ

Tiền phạt dân sự

• $ 100 mỗi lần không tuân thủ
• Tối đa $ 25.000 mỗi năm cho nhiều lần vi phạm cùng một yêu cầu

Hình phạt hình sự (để cố ý có được hoặc tiết lộ PHI vi phạm HIPAA)

• Phạt $ 50,000 và phạt tù một năm
• $ 100.000 tiền phạt và tối đa năm năm tù (nếu vi phạm liên quan đến việc giả vờ sai)
• Phạt 250.000 đô la và phạt tù tối đa mười năm (nếu vi phạm có ý định bán, chuyển nhượng hoặc sử dụng PHI)

2 -

Quy tắc bảo mật HIPAA

Các tiêu chuẩn an ninh về bảo vệ thông tin sức khỏe được bảo vệ bằng điện tử (Quy tắc bảo mật)

Bảo mật HIPAA đề cập đến việc thiết lập các biện pháp bảo vệ cho PHI bằng bất kỳ định dạng điện tử nào. Điều này bao gồm bất kỳ thông tin nào được sử dụng, lưu trữ hoặc truyền đi bằng điện tử. Bất kỳ cơ sở nào được HIPAA định nghĩa là một thực thể được bảo hiểm có trách nhiệm đảm bảo quyền riêng tư và bảo mật thông tin của bệnh nhân cũng như duy trì tính bảo mật của PHI của họ.

Ai được bảo vệ bởi luật an ninh?

• Kế hoạch y tế
• Nhà cung cấp dịch vụ chăm sóc sức khỏe
• Chăm sóc sức khỏe Clearinghouses

Một thực thể được bảo hiểm, như được định nghĩa trong HIPAA, có thể là một chương trình bảo hiểm y tế, một trung tâm chăm sóc sức khỏe hoặc một nhà cung cấp dịch vụ y tế truyền thông tin y tế được bảo vệ bằng điện tử và có thể là tổ chức, tổ chức hoặc người.

• Cộng tác viên

Đối tác kinh doanh, theo định nghĩa của HIPAA, là bất kỳ cá nhân hoặc tổ chức nào thực hiện việc kinh doanh liên quan đến việc sử dụng hoặc tiết lộ thông tin sức khỏe được bảo vệ thay mặt cho thực thể được bảo hiểm và không phải là nhân viên của thực thể được bảo hiểm.

Thông tin nào được bảo vệ?

PHI điện tử hoặc Thông tin sức khỏe được bảo vệ đề cập đến bất kỳ thông tin nhận dạng cá nhân nào được bao gồm trong hồ sơ y tế của bệnh nhân được truyền hoặc duy trì dưới mọi hình thức. Quy tắc bảo mật không bao gồm PHI truyền bằng miệng hoặc bằng văn bản.

Đơn giản hóa hành chính

Các quy định đơn giản hóa hành chính của HIPAA thiết lập các tiêu chuẩn quốc gia về bảo mật thông tin sức khỏe được bảo vệ điện tử. Điều này bao gồm các quy tắc và tiêu chuẩn cho các giao dịch và bộ mã và số nhận dạng cho nhà tuyển dụng và nhà cung cấp.

Giao dịch và tiêu chuẩn đặt mã

Các giao dịch chuẩn cho trao đổi dữ liệu điện tử (EDI) của dữ liệu chăm sóc sức khỏe bao gồm tuyên bố và thông tin gặp gỡ, tư vấn thanh toán và chuyển tiền, trạng thái yêu cầu, điều kiện, đăng ký và hủy đăng ký, giới thiệu và ủy quyền, điều phối lợi ích và thanh toán phí bảo hiểm.

Các bộ mã chuẩn cho chẩn đoán, thủ tục và mã thuốc bao gồm HCPCS (Dịch vụ phụ / Thủ tục), CPT-4 (Thủ thuật bác sĩ), CDT (Thuật ngữ nha khoa), ICD-9 (Chẩn đoán và thủ tục nội trú bệnh viện), ICD-10 ( Kể từ ngày 1 tháng 10 năm 2015) và mã NDC (Mã quốc gia về ma túy).

Tiêu chuẩn định danh cho nhà tuyển dụng và nhà cung cấp

Số nhận dạng chuẩn bao gồm Mã số nhận dạng người sử dụng lao động (EIN) và Số nhận dạng nhà cung cấp quốc gia (NPI). EIN được sử dụng để xác định nhà tuyển dụng trên các giao dịch chuẩn. Số nhận dạng nhà cung cấp quốc gia hoặc NPI là số nhận dạng duy nhất gồm 10 chữ số được sử dụng để thay thế số nhận dạng nhà cung cấp, chẳng hạn như số Nhận dạng nhà cung cấp duy nhất (UPIN) trong giao dịch chuẩn HIPAA. Các nhà cung cấp dịch vụ chăm sóc sức khỏe được yêu cầu theo quy định của HIPAA để có NPI.

Các quy tắc để duy trì bảo mật HIPAA bao gồm các biện pháp bảo vệ cho ba lĩnh vực chính.

Các biện pháp bảo vệ hành chính

1. Xây dựng một quy trình quản lý an ninh chính thức bao gồm phát triển các chính sách và thủ tục, kiểm toán nội bộ, kế hoạch dự phòng và các biện pháp bảo vệ khác để đảm bảo sự tuân thủ của nhân viên văn phòng y tế.
2. Gán trách nhiệm bảo mật cho một người được chỉ định để quản lý và giám sát việc sử dụng các biện pháp an ninh và hành vi của nhân viên.
3. Thực hiện các tính năng đảm bảo nhân viên có đào tạo phù hợp và ủy quyền thích hợp để truy cập PHI.
4. Xác định cấp độ truy cập cho tất cả nhân viên và cách cấp quyền truy cập
5. Yêu cầu tất cả nhân viên văn phòng y tế bao gồm cả quản lý phải trải qua đào tạo an ninh và có nhắc nhở định kỳ và giáo dục người dùng.

Bảo vệ vật lý

1. Nộp tệp PHI ở vị trí an toàn và không gian làm việc cho nhân viên (điều này bao gồm việc sử dụng khóa, khóa và huy hiệu mở khóa cửa) để hạn chế quyền truy cập vào những người không xâm phạm và kẻ xâm nhập.
2. Xây dựng chính sách xác minh quyền truy cập, kiểm soát thiết bị và xử lý khách truy cập. Xây dựng và cung cấp tài liệu bao gồm các hướng dẫn về cách phòng y tế của bạn có thể giúp bảo vệ PHI (ví dụ: đăng xuất khỏi máy tính trước khi rời khỏi máy tính)
3. Cung cấp bảo vệ chống cháy và các mối nguy hiểm khác

Các biện pháp bảo vệ kỹ thuật

1. Thiết lập nhận dạng người dùng duy nhất bao gồm mật khẩu và số pin
2. Áp dụng điều khiển đăng xuất tự động
3. Ghi lại và kiểm tra hoạt động của hệ thống cho mục đích kiểm toán
4. Sử dụng các điều khiển mã hóa để bảo vệ dữ liệu được truyền qua mạng

Thực thi và hình phạt cho sự không tuân thủ

Tiền phạt dân sự

• $ 100 mỗi lần không tuân thủ
• Tối đa $ 25.000 mỗi năm cho nhiều lần vi phạm cùng một yêu cầu

Hình phạt hình sự (để cố ý có được hoặc tiết lộ PHI vi phạm HIPAA)

• $ 50,000 tiền phạt và tối đa một năm tù
• $ 100.000 tiền phạt và tối đa năm năm tù (nếu vi phạm liên quan đến việc giả vờ sai)
• Phạt 250.000 đô la và phạt tù tối đa mười năm (nếu vi phạm có ý định bán, chuyển nhượng hoặc sử dụng PHI)

3 -

Mẹo tránh vi phạm HIPAA

1. Thực hiện các bước cần thiết để tránh tiết lộ thông tin thông qua cuộc trò chuyện thông thường. Tránh tiết lộ thông tin thông qua cuộc trò chuyện thông thường; thảo luận thông tin bệnh nhân trong khu vực chờ đợi, hành lang hoặc thang máy; xử lý đúng PHI; và truy cập thông tin được giới hạn nghiêm ngặt đối với những nhân viên có công việc yêu cầu thông tin đó. Thông tin cơ bản có vẻ không đáng kể đến mức nó có thể dễ dàng được đề cập trong cuộc trò chuyện thông thường nhưng chỉ nên được chia sẻ trên cơ sở cần biết.
2. Tránh thảo luận thông tin bệnh nhân trong khu vực chờ đợi, hành lang hoặc thang máy. Thông tin nhạy cảm có thể được nghe thấy bởi khách truy cập hoặc các bệnh nhân khác. Ngoài ra, hãy chắc chắn giữ hồ sơ bệnh nhân ra khỏi các khu vực có thể truy cập cho công chúng. Vì bàn đăng ký và trạm y tá đang ở ngoài trời, hãy đi thêm dặm để đảm bảo máy tính luôn được bảo mật. Chủ sở hữu biểu đồ phải được gắn và bảng điều khiển phía trước được bao phủ theo tiêu chuẩn HIPAA.
3. PHI không bao giờ được xử lý trong thùng rác. Bất kỳ tài liệu nào được đưa vào thùng rác đều được mở cho công chúng và do đó vi phạm thông tin. Có rất nhiều cách để xử lý PHI. Xử lý đúng giấy PHI bao gồm đốt hoặc băm nhỏ. PHI điện tử có thể được xử lý bằng cách xóa, xóa, định dạng lại, thiêu đốt, tan chảy hoặc băm nhỏ.
4. Có một số công nghệ có sẵn được thiết kế để bảo vệ dữ liệu bệnh nhân. Chọn lọc trong việc chọn thiết bị và phần mềm bảo mật dữ liệu qua kết nối không dây bao gồm tường lửa, công cụ chống vi-rút, chống phần mềm gián điệp và phát hiện xâm nhập. Sử dụng hết sức thận trọng khi truy cập dữ liệu qua kết nối từ xa. Chuyên gia CNTT khuyên bạn nên sử dụng hệ thống xác thực hai yếu tố có mã thông báo bảo mật và mật khẩu.