Årlig HIPAA Compliance Training

Hensikringsforsikringsportabiliteten og ansvarlighetsloven ble vedtatt i 1996. Den håndheves av USAs regjeringskontor for sivile rettigheter. Det er et sett med føderale retningslinjer laget for å tillate ansatte å ta med seg sykeforsikring hos dem dersom de forlater en arbeidsgiver, gi folk adgang til sykeforsikring til tross for eksisterende forhold (under visse forhold) og å etablere personvernstandarder for pasientens helse informasjon.

• HIPAA-personvernregelen beskytter personvernet for individuelt identifiserbar helseinformasjon.
• HIPAAs sikkerhetsregel fastsetter nasjonale standarder for sikkerheten til elektronisk helseinformasjon.

Det kreves ved lov å gi HIPAA utdanning og opplæring til personer som arbeider i helsevesenet for å sikre ansvar for personvern og sikkerhet for beskyttet helseinformasjon. Dekkede enheter må trene alle medlemmer av arbeidsstyrken på HIPAAs retningslinjer og prosedyrer.

1 -

HIPAA Personvernregel

Standarder for personvern av individuelt identifiserbar helseinformasjon (Privacy Rule) ble utformet for å spesifikt ta opp beskyttelse av en persons personlige helseinformasjon. Det er viktig for vitaliteten til ditt medisinske kontor å opprettholde HIPAA-overholdelse.

Hvem er dekket av personvernregelen?

• Helseplaner
• Helsepersonell
• Helsevesenet Clearinghouses

En dekket enhet som definert i HIPAA kan være en helseforsikringsplan, et helsevesen eller en helsepersonell som overfører beskyttet helseinformasjon elektronisk og kan være organisasjoner, institusjoner eller personer.

Leger og andre helsepersonell som jobber med pasienter og deres konfidensielle journaler, må overholde retningslinjer, prosedyrer og lover som er utformet for å beskytte pasientens personvern og konfidensialitet. Alle helsepersonell har ansvar for å holde personalet stablet og informert om HIPAA-overholdelse . Enten tilsiktet eller utilsiktet, uautorisert avsløring av PHI anses å være et brudd på HIPAA.

• Business Associates

En forretningsforetak, som definert av HIPAA, er enhver person eller enhet som driver virksomhet som involverer bruk eller utlevering av beskyttet helsemessig informasjon på vegne av en dekket enhet, og er ikke en ansatt i den dekkede enheten.

Hvilken informasjon er beskyttet?

PHI eller beskyttet helseinformasjon refererer til individuelt identifiserende opplysninger som inngår i pasientens medisinske rekord som overføres eller vedlikeholdes i noen form.

Bruksområder og opplysninger

En dekket enhet kan bruke eller avsløre beskyttet helseinformasjon (PHI) uten autorisasjon under visse forhold.

1. Til individet
2. Behandling, betaling og helsetjenester
3. Bruk og opplysning med mulighet til å godta eller objekt
4. Tilfeldig bruk og avsløring.
5. Offentlige interesser og fordeler
6. Begrenset datasett for forskning, folkehelse eller helsesektoren

Personvernpraksis

Helsepersonell har plikt til å gi sine pasienter en varsel om personvern. Denne kunngjøringen, som kreves av HIPAA Privacy Rule, gir pasienten rett til å bli informert om deres personvernrettigheter som det gjelder deres beskyttede helseinformasjon (PHI).

Innkallingen bør beskrive visse opplysninger i enkle å forstå vilkårene:

• Hvordan leverandøren vil bruke og avsløre deres PHI
• Rettighetene pasientene har om sin egen PHI
• En uttalelse som informerer pasienten om lover som krever at leverandøren opprettholder personvernet til deres PHI
• Hvem pasienter kan kontakte for ytterligere informasjon om leverandørens retningslinjer for personvern

Håndhevelse og straff for manglende overholdelse

Sivile penger straff

• $ 100 per manglende overholdelse
• $ 25.000 maksimum per år for flere brudd på samme krav

Straffesvikt (for bevisst å skaffe eller avsløre PHI i strid med HIPAA)

• $ 50.000 fint og opptil ett års fengsel
• $ 100.000 fint og opptil fem års fengsel (hvis brudd involverer falske forutsetninger)
• $ 250.000 fint og opptil ti års fengsel (hvis brudd involverer intensjon om å selge, overføre eller bruke PHI)

2 -

HIPAA sikkerhetsregel

Sikkerhetsstandarder for beskyttelse av elektronisk beskyttet helseinformasjon (sikkerhetsregel)

HIPAA-sikkerhet refererer til å etablere beskyttelsesforanstaltninger for PHI i ethvert elektronisk format. Dette inkluderer all informasjon som brukes, lagres eller overføres elektronisk. Ethvert anlegg som er definert av HIPAA som en overdrevet enhet har ansvaret for å sikre personvernet og sikkerheten til pasientens informasjon, samt å opprettholde konfidensialiteten til deres PHI.

Hvem er dekket av sikkerhetsregelen?

• Helseplaner
• Helsepersonell
• Helsevesenet Clearinghouses

En dekket enhet som definert i HIPAA kan være en helseforsikringsplan, et helsevesen eller en helsepersonell som overfører beskyttet helseinformasjon elektronisk og kan være organisasjoner, institusjoner eller personer.

• Business Associates

En forretningsforetak, som definert av HIPAA, er enhver person eller enhet som driver virksomhet som involverer bruk eller utlevering av beskyttet helsemessig informasjon på vegne av en dekket enhet, og er ikke en ansatt i den dekkede enheten.

Hvilken informasjon er beskyttet?

Elektronisk PHI eller beskyttet helseinformasjon refererer til individuelt identifiserende opplysninger som inngår i pasientens medisinske rekord som overføres eller vedlikeholdes i noen form. Sikkerhetsregelen utelukker PHI overført muntlig eller skriftlig.

Administrativ forenkling

HIPAAs forvaltningsforenkling fastsetter nasjonale standarder for sikkerheten til elektronisk beskyttet helseinformasjon. Dette inkluderer regler og standarder for transaksjoner og kodesett og identifikatorer for arbeidsgivere og tilbydere.

Transaksjoner og Code Set Standards

Standard transaksjoner for datautvekslingsdata (EDI) av helsevesenets data inkluderer krav og møter informasjon, betalings- og overføringsråd, krav på status, berettigelse, innmelding og avmelding, henvisninger og autorisasjoner, samordning av ytelser og premieutbetaling.

Standard kode sett for diagnose, prosedyren og narkotikakoder inkluderer HCPCS (Ancillary Services / Procedures), CPT-4 ( Legerprosedyrer ), CDT (Dental Terminology), ICD-9 (Diagnose og sykehusinpatientprosedyrer), ICD-10 Fra 1. oktober 2015) og NDC (National Drug Codes) koder.

Identifikasjonsstandarder for arbeidsgivere og leverandører

Standardidentifikatorer inkluderer arbeidsgiveridentifikasjonsnummeret (EIN) og den nasjonale leverandøridentifikatoren (NPI). EIN brukes til å identifisere arbeidsgivere på standardtransaksjonene. Nasjonalleverandøridentifikasjon eller NPI er et 10-sifret unikt identifikasjonsnummer som brukes til å benytte leverandøridentifikatorer som et unikt leverandøridentifikasjonsnummer (UPIN) i HIPAA-standardtransaksjoner. Helsepersonell er pålagt ved regulering av HIPAA for å oppnå et NPI.

Reglene for å opprettholde HIPAA-sikkerhet inkluderer sikkerhetskontroller for tre hovedområder.

Administrative garantier

1. Utvikle en formell sikkerhetshåndteringsprosess, inkludert utvikling av retningslinjer og prosedyrer, interne revisjoner, beredskapsplan og andre garantier for å sikre overholdelse av medisinsk kontorspersonell.
2. Tilordne sikkerhetsansvar til en utpekt person til å styre og overvåke bruken av sikkerhetsforanstaltninger og oppførsel av personalet.
3. Implementere funksjoner som sikrer at personalet har riktig trening og riktig autorisasjon for å få tilgang til PHI.
4. Definer tilgangsnivå for alle ansatte og hvordan det gis
5. Krev at alle medisinske kontorpersonale, inkludert ledelsen, gjennomgår sikkerhetsopplæring og har periodiske påminnelser og brukeropplæring.

Fysisk sikkerhet

1. Fil PHI på et sikkert sted og arbeidsområde for ansatte (dette inkluderer bruk av låser, nøkler og merker som låser opp dører) som begrenser tilgangen til uautoriserte personer og inntrengere.
2. Utvikle retningslinjer for å kontrollere tilgangstillatelser, utstyrskontroll og håndtering av besøkende. Utvikle og gi dokumentasjon, inkludert instruksjoner om hvordan ditt medisinske kontor kan bidra til å beskytte PHI (for eksempel logge av datamaskinen før du forlater den uten tilsyn)
3. Sørg for beskyttelse mot brann og andre farer

Tekniske sikkerhetstiltak

1. Opprett unike brukeridentifikasjoner, inkludert passord og pinnumre
2. Vedta en automatisk logoff-kontroll
3. Registrere og undersøke systemaktivitet for revisjonsformål
4. Bruk krypteringskontroller for å beskytte overførte data over et nettverk

Håndhevelse og straff for manglende overholdelse

Sivile penger straff

• $ 100 per manglende overholdelse
• $ 25.000 maksimum per år for flere brudd på samme krav

Straffesvikt (for bevisst å skaffe eller avsløre PHI i strid med HIPAA)

• $ 50.000 fint og opptil ett års fengsel
• $ 100.000 fint og opptil fem års fengsel (hvis brudd involverer falske forutsetninger)
• $ 250.000 fint og opptil ti års fengsel (hvis brudd involverer intensjon om å selge, overføre eller bruke PHI)

3 -

Tips for å unngå brudd på HIPAA

1. Ta de nødvendige skritt for å holde seg unna å informere gjennom rutinemessig samtale. Unngå avsløring av informasjon gjennom rutinemessig samtale; diskutere pasientinformasjon i venteområder, ganger eller heiser; riktig avhending av PHI; og tilgang til informasjon er strengt begrenset til ansatte hvis jobber krever denne informasjonen. Grunnleggende opplysninger kan virke så ubetydelige at det lett kan nevnes i rutinemessig samtale, men bør bare deles på et behov for å kjenne grunnlag.
2. Unngå å diskutere pasientinformasjon i venteområder, ganger eller heiser. Følsom informasjon kan overhøres av besøkende eller andre pasienter. Sørg også for å holde pasientrekord ut av områder som er tilgjengelige for allmennheten. Siden innkvarteringsbord og sykepleierstasjoner er ute i det åpne, går du ekstra kilometer for å sikre at datamaskiner er sikret til enhver tid. Kartholderne skal monteres og frontpanelet dekkes i henhold til HIPAA-standarder.
3. PHI skal aldri kastes i søppelkassen. Ethvert dokument kastet i søppelet er åpent for publikum og derfor brudd på informasjon. Det er mange måter å avhende PHI på. Riktig avhending av papir PHI inkluderer brenning eller makulering. Elektronisk PHI kan avhendes ved å slette, slette, reformere, forbrenne, smelte eller knuse.
4. Det finnes en rekke tilgjengelige teknologier utviklet for å sikre pasientdata. Vær selektiv når du velger enheter og programvare som sikrer data over en trådløs tilkobling, inkludert brannmurer, anti-virus, anti-spyware og inntrengingsdetekteringsteknologi. Bruk ekstrem forsiktighet når du får tilgang til data over en ekstern tilkobling. IT-spesialister foreslår at du bruker et tofaktors autentiseringssystem med sikkerhetsdokumenter og passord.