Formazione annuale per la conformità HIPAA

La legge sulla portabilità e responsabilità delle assicurazioni sanitarie è stata emanata nel 1996. È applicata dall'Ufficio dei diritti civili del governo degli Stati Uniti. È un insieme di linee guida federali create per consentire ai dipendenti di prendere la loro assicurazione medica con loro se lasciano un datore di lavoro, permettono alle persone di accedere all'assicurazione medica nonostante condizioni preesistenti (in alcune condizioni) e di stabilire standard di privacy per la salute di un paziente informazione. 

• La regola della privacy HIPAA protegge la privacy delle informazioni sanitarie identificabili individualmente.
• La regola di sicurezza HIPAA stabilisce standard nazionali per la sicurezza delle informazioni sanitarie elettroniche.

È richiesto dalla legge di fornire istruzione e formazione HIPAA alle persone che lavorano nel settore sanitario per garantire la responsabilità per la privacy e la sicurezza delle informazioni sanitarie protette. Le entità coperte devono formare tutti i membri della forza lavoro sulle politiche e procedure HIPAA.
1

Regola di privacy HIPAA

Gli standard per la privacy delle informazioni sanitarie identificabili individualmente (la regola sulla privacy) sono stati progettati per affrontare specificamente la protezione delle informazioni sulla salute personale di una persona. È importante per la vitalità del tuo studio medico mantenere la conformità HIPAA.

Chi è coperto dalla regola sulla privacy?

• Piani di salute
• Fornitori di servizi sanitari
• Clearinghouses di assistenza sanitaria

 Un'entità coperta, come definita in HIPAA, può essere un piano di assicurazione sanitaria, un centro di assistenza sanitaria o un operatore sanitario che trasmette informazioni sanitarie protette elettronicamente e può essere organizzazioni, istituzioni o persone.
I medici e altri operatori sanitari che collaborano con i pazienti e le loro cartelle cliniche riservate devono rispettare le politiche, le procedure e le leggi volte a proteggere la privacy e la riservatezza dei pazienti. Tutti gli operatori sanitari hanno la responsabilità di mantenere il personale addestrato e informato in merito alla conformità HIPAA. Se la divulgazione intenzionale o accidentale e non autorizzata di PHI è considerata una violazione di HIPAA.

• Soci in affari

Un socio in affari, come definito da HIPAA, è qualsiasi persona fisica o giuridica che conduce affari che comportano l'uso o la divulgazione di informazioni sanitarie protette per conto di un'entità coperta e non è un dipendente dell'entità coperta. 

Quali informazioni sono protette?

PHI o informazioni sanitarie protette si riferisce a qualsiasi informazione identificativa individuale inclusa nella cartella clinica del paziente che viene trasmessa o mantenuta in qualsiasi forma. 
Usi e informazioni
Un'entità coperta può utilizzare o divulgare informazioni sanitarie protette (PHI) senza autorizzazione in determinate condizioni.

1. Per l'individuo
2. Trattamento, pagamento e operazioni sanitarie
3. Usi e divulgazioni con opportunità di accordo o oggetto
4. Uso e divulgazione secondari.
5. Interesse pubblico e attività a beneficio
6. Data Set limitato per scopi di ricerca, sanità pubblica o operazioni di assistenza sanitaria

Avviso sulla privacy

Gli operatori sanitari hanno l'obbligo di fornire ai propri pazienti un avviso di pratiche sulla privacy. Questo avviso, come richiesto dalla HIPAA Privacy Rule, dà ai pazienti il ​​diritto di essere informati sui loro diritti alla privacy in relazione alle loro informazioni sanitarie protette (PHI).
L'avviso dovrebbe descrivere alcune informazioni in termini facili da capire:

• In che modo il fornitore utilizzerà e divulgherà il proprio PHI
• I diritti dei pazienti hanno riguardo al loro PHI
• Una dichiarazione che informa il paziente delle leggi che richiedono al fornitore di mantenere la privacy delle sue PHI
• Chi può contattare i pazienti per ulteriori informazioni in merito alle politiche sulla privacy del provider

Esecuzione e sanzioni per non conformità

Sanzioni civili

• $ 100 per mancato rispetto
• $ 25.000 al massimo all'anno per più violazioni dello stesso requisito

Penalità penali (per ottenere consapevolmente o divulgare PHI in violazione di HIPAA)

• $ 50.000 di multa e fino a un anno di reclusione
• $ 100.000 di multa e fino a cinque anni di reclusione (se la violazione comporta falsi pretesti)
• $ 250.000 di multa e fino a dieci anni di reclusione (se la violazione implica l'intenzione di vendere, trasferire o utilizzare PHI)

2

Regola di sicurezza HIPAA

Gli standard di sicurezza per la protezione delle informazioni elettroniche protette per la salute (la regola di sicurezza)
La sicurezza HIPAA si riferisce alla creazione di salvaguardie per le PHI in qualsiasi formato elettronico. Ciò include qualsiasi informazione utilizzata, memorizzata o trasmessa elettronicamente. Qualsiasi struttura definita da HIPAA come entità coperta ha la responsabilità di garantire la privacy e la sicurezza delle informazioni dei suoi pazienti e di mantenere la riservatezza delle loro PHI.

Chi è coperto dalla regola di sicurezza?

• Piani di salute
• Fornitori di servizi sanitari
• Clearinghouses di assistenza sanitaria

 Un'entità coperta, come definita in HIPAA, può essere un piano di assicurazione sanitaria, un centro di assistenza sanitaria o un operatore sanitario che trasmette informazioni sanitarie protette elettronicamente e può essere organizzazioni, istituzioni o persone.

• Soci in affari

Un socio in affari, come definito da HIPAA, è qualsiasi persona fisica o giuridica che conduce affari che comportano l'uso o la divulgazione di informazioni sanitarie protette per conto di un'entità coperta e non è un dipendente dell'entità coperta.

Quali informazioni sono protette?

PHI elettronico o Informazioni sanitarie protette si riferisce a qualsiasi informazione identificativa individuale inclusa nella cartella clinica del paziente che viene trasmessa o mantenuta in qualsiasi forma. La regola di sicurezza esclude la PHI trasmessa oralmente o per iscritto.

Semplificazione amministrativa

Le disposizioni sulla semplificazione amministrativa dell'HIPAA stabiliscono norme nazionali per la sicurezza delle informazioni sanitarie protette dal punto di vista elettronico. Ciò include le regole e gli standard per le transazioni e le serie di codici e gli identificatori per datori di lavoro e fornitori.

Transazioni e standard di set di codici

Le transazioni standard per l'Electronic Data Interchange (EDI) dei dati sanitari comprendono reclami e informazioni sugli incontri, consigli di pagamento e rimessa, stato dei reclami, ammissibilità, iscrizione e disen traggio, rinvii e autorizzazioni, coordinamento delle prestazioni e pagamento del premio.
Set di codici standard per diagnosi, procedure e codici di farmaci includono HCPCS (Servizi ausiliari / Procedure), CPT-4 (Procedure per i medici), CDT (Terminologia dentale), ICD-9 (Diagnosi e procedure ospedaliere ospedaliere), ICD-10 ( A partire dal 1 ottobre 2015) e codici NDC (National Drug Codes).

Standard di identificazione per datori di lavoro e fornitori

Gli identificatori standard includono il numero di identificazione del datore di lavoro (EIN) e il National Provider Identifier (NPI). L'EIN viene utilizzato per identificare i datori di lavoro sulle transazioni standard. Il National Provider Identification o NPI è un numero identificativo univoco di 10 cifre utilizzato per sostituire gli identificativi del provider come un numero di identificazione del provider univoco (UPIN) nelle transazioni standard HIPAA. I fornitori di assistenza sanitaria sono richiesti dalla regolamentazione di HIPAA per ottenere un NPI.
Le regole per il mantenimento della sicurezza HIPAA includono misure di salvaguardia per tre aree chiave.
Tutele amministrative

1. Sviluppare un processo formale di gestione della sicurezza che includa lo sviluppo di politiche e procedure, audit interni, piano di emergenza e altre misure di salvaguardia per garantire la conformità da parte del personale dell'ufficio medico.
2. Assegnare la responsabilità della sicurezza a una persona designata per gestire e supervisionare l'uso delle misure di sicurezza e la condotta del personale.
3. Implementare funzionalità che garantiscano allo staff una formazione adeguata e un'autorizzazione appropriata per accedere a PHI.
4. Definire i livelli di accesso per tutto il personale e il modo in cui è concesso
5. Richiedere che tutto il personale dell'ufficio medico, compresa la direzione, si sottoponga a formazione sulla sicurezza e abbia promemoria periodici e formazione degli utenti.

Salvaguardie fisiche

1. File PHI in un luogo sicuro e spazio di lavoro per i dipendenti (questo include l'uso di serrature, chiavi e badge che sbloccano le porte) che limitano l'accesso a persone non autorizzate e intrusi.
2. Sviluppare politiche per verificare le autorizzazioni di accesso, il controllo delle attrezzature e la gestione dei visitatori. Sviluppare e fornire documentazione comprendente istruzioni su come il tuo studio medico può aiutare a proteggere le PHI (ad esempio, disconnettendo il computer prima di lasciarlo incustodito)
3. Fornire protezione contro il fuoco e altri pericoli

Misure di sicurezza tecniche

1. Stabilire un'identificazione utente unica, comprese password e numeri di pin
2. Adottare un controllo di disconnessione automatico
3. Registrare ed esaminare l'attività del sistema a fini di controllo
4. Utilizzare i controlli di crittografia per proteggere i dati trasmessi su una rete

 Esecuzione e sanzioni per non conformità

Sanzioni civili

• $ 100 per mancato rispetto
• $ 25.000 al massimo all'anno per più violazioni dello stesso requisito

Penalità penali (per ottenere consapevolmente o divulgare PHI in violazione di HIPAA)

• $ 50.000 di multa e fino a un anno di reclusione
• $ 100.000 di multa e fino a cinque anni di reclusione (se la violazione comporta falsi pretesti)
• $ 250.000 di multa e fino a dieci anni di reclusione (se la violazione implica l'intenzione di vendere, trasferire o utilizzare PHI)

3

Consigli per evitare la violazione di HIPAA

1. Adottare le misure necessarie per evitare di divulgare informazioni attraverso una conversazione di routine. Evitare la divulgazione di informazioni attraverso la conversazione di routine; discutere le informazioni dei pazienti nelle aree di attesa, nei corridoi o negli ascensori; corretto smaltimento delle PHI; e l'accesso alle informazioni è strettamente limitato ai dipendenti il ​​cui lavoro richiede tali informazioni. Le informazioni di base possono sembrare così insignificanti da poter essere facilmente citate nella conversazione di routine, ma dovrebbero essere condivise solo sulla base del bisogno di sapere.
2. Evitare di discutere le informazioni dei pazienti nelle aree di attesa, nei corridoi o negli ascensori. Le informazioni sensibili possono essere ascoltate dai visitatori o da altri pazienti. Assicurati inoltre di tenere i registri dei pazienti fuori dalle aree accessibili al pubblico. Dal momento che i banchi per il check-in e le postazioni per le infermiere sono all'aperto, fare il possibile per assicurarsi che i computer siano sempre protetti. I portadocumenti dovrebbero essere montati e il pannello frontale coperto secondo gli standard HIPAA.
3. PHI non dovrebbe mai essere smaltito nel cestino. Qualsiasi documento gettato nella spazzatura è aperto al pubblico e quindi una violazione delle informazioni. Ci sono molti modi per smaltire PHI. Smaltimento corretto della carta PHI include bruciore o triturazione. La PHI elettronica può essere eliminata cancellando, eliminando, riformattando, incenerendo, fondendo o triturando.
4. Esistono numerose tecnologie disponibili progettate per proteggere i dati dei pazienti. Essere selettivi nella scelta di dispositivi e software che proteggano i dati tramite una connessione wireless, inclusi firewall, anti-virus, anti-spyware e tecnologia di rilevamento delle intrusioni. Usare estrema cautela quando si accede ai dati tramite una connessione remota. Gli specialisti IT suggeriscono di utilizzare un sistema di autenticazione a due fattori con token e password di sicurezza.