Czym jest HIPAA? Or is it HIPPA?
Jeśli jesteś nawet zdalnie związany z branżą opieki zdrowotnej, to są szanse, że słyszałeś o czymś, co nazywa się HIPAA (czasami błędnie określane jako HIPPA).
Ale poza tym, że jest to podstawowa kwestia dla dostawców usług opieki zdrowotnej, czym jest HIPAA?
Co oznacza skrót HIPAA?
Ten mylący akronim, HIPAA, oznacza Health Insurance Portability and Accountability Act z 1996 r., który jest ustawodawstwem Stanów Zjednoczonych określającym przepisy dotyczące prywatności i bezpieczeństwa danych w celu ochrony informacji medycznych, takich jak dokumentacja medyczna i inne identyfikowalne informacje zdrowotne.
Ustawa zawiera pięć sekcji, zwanych tytułami:
- Tytuł I chroni ubezpieczenie zdrowotne osób, które straciły lub zmieniły pracę, a także zapobiega grupowym planom zdrowotnym odmowy lub ograniczania niektórych świadczeń.
- Tytuł II daje Departamentowi Zdrowia i Usług Społecznych USA prawo do ustanowienia krajowych standardów dla branży opieki zdrowotnej podczas przetwarzania transakcji elektronicznych. Wymaga również od organizacji opieki zdrowotnej zabezpieczenia elektronicznego dostępu do danych zdrowotnych, aby pozostać w zgodzie z przepisami.
- Tytuł III zawiera przepisy związane z podatkami i wytyczne dotyczące opieki medycznej.
- Tytuł IV dalej definiuje reformę ubezpieczeń zdrowotnych, w tym przepisy dotyczące osób z wcześniej istniejącymi warunkami i tych, którzy szukają ciągłego pokrycia.
- Tytuł V zawiera przepisy dotyczące ubezpieczeń na życie będących własnością firmy oraz traktowania osób, które utraciły obywatelstwo amerykańskie dla celów podatku dochodowego.
Większość wiadomości dotyczących naruszeń HIPAA odnosi się do Tytułu II HIPAA, w szczególności do sekcji zawierających wymagania dotyczące zgodności z HIPAA i zabezpieczenia danych zdrowotnych pacjentów:
- Reguła prywatności HIPAA. Reguła prywatności obejmuje wykorzystanie i ujawnianie chronionych informacji zdrowotnych (PHI) oraz standardy, które muszą być przestrzegane, aby osoby fizyczne mogły zrozumieć i kontrolować sposób, w jaki ich indywidualnie identyfikowalne informacje zdrowotne są wykorzystywane przez organizację.
- Reguła bezpieczeństwa HIPAA. Security Rule określa standardy bezpieczeństwa, które muszą być wdrożone w celu ochrony elektronicznych chronionych informacji zdrowotnych (ePHI), czyli informacji zdrowotnych lub dokumentacji zdrowotnej, które są przechowywane lub przekazywane w formie elektronicznej. Obejmuje to definicję zabezpieczeń technicznych, zabezpieczeń fizycznych i zabezpieczeń administracyjnych.
- HIPAA Enforcement Rule (Zasady egzekwowania przepisów HIPAA). Przepisy wykonawcze określają, w jaki sposób HIPAA będzie egzekwowana i co się stanie, jeśli zostanie wykryta niezgodność.
Jednakże niedocenianym elementem HIPAA Title II są dodatkowe przepisy dodane w 2010 r. z ustawy Affordable Care Act (ACA), które obejmowały transakcje HIPAA.
Znane jako uproszczenie administracyjne HIPAA, celem było uproszczenie biznesowej strony opieki zdrowotnej. Jest to klucz do pomocy w interoperacyjności i upewniając się, że organizacje wszystkich rozmiarów w ramach systemu opieki zdrowotnej mogą pracować z tych samych standardów.
SEE RELATED: Complete Guide to HIPAA Compliance for Busy Professionals
SEE RELATED: What Does a HIPAA Transaction Mean to Me?
Who does HIPAA apply to?
Regulacje HIPAA dotyczą podmiotów objętych i ich partnerów biznesowych. Podmiot objęty definiuje się jako:
- Podmiot świadczący usługi opieki zdrowotnej, taki jak lekarze, kliniki lub apteki
- Plan zdrowotny, taki jak firmy ubezpieczeń zdrowotnych, HMO i zakładowe plany zdrowotne
- Działalność rozliczeniowa w zakresie opieki zdrowotnej, która przetwarza niestandardowe informacje zdrowotne otrzymywane od innego podmiotu na standardowe
Podmioty stowarzyszone, takie jak partnerzy, są stronami trzecimi, które podmiot objęty przepisami może wyznaczyć do pełnienia w jego imieniu określonych funkcji lub wykonywania czynności, które wiążą się z wykorzystaniem PHI. Niektóre przykłady obejmują:
- Administratora strony trzeciej, który pomaga ubezpieczycielowi zdrowotnemu w przetwarzaniu roszczeń
- Prawnika, którego usługi obejmują dostęp do PHI
- Dostawcę szyfrowania poczty elektronicznej, takiego jak Paubox
W każdym przypadku ważne jest podpisanie umowy o współpracy biznesowej (BAA), aby upewnić się, że strona trzecia podejmuje właściwe kroki w celu spełnienia wymagań zgodności z przepisami HIPAA.
HITECH Act and the Omnibus Rule
W 2009 r. ustawa Health Information Technology for Economic and Clinical Health (HITECH) została podpisana, aby promować przyjęcie i znaczące wykorzystanie technologii w opiece zdrowotnej.
Odnośne zachęty, wymagania i regulacje były niezwykle wpływowe, a opieka zdrowotna wciąż stara się dotrzymać im kroku. Ustawa HITECH zawiera zastrzeżenia, że technologie nie naruszają zasad HIPAA.
Reguła HIPAA Omnibus Rule została wprowadzona przez HHS w 2013 r. w celu zmodyfikowania HIPAA zgodnie z wytycznymi określonymi przez ustawę HITECH, dotyczącymi obowiązków partnerów biznesowych podmiotów objętych ochroną. Zwiększyła również kary za naruszenia zgodności z HIPAA do maksymalnie 1,5 miliona dolarów za jeden incydent.
Upewnij się, że Twoja poczta elektroniczna jest zgodna z HIPAA. Nie jesteś pewien jak to zrobić? Zebraliśmy ten darmowy krótki przewodnik po poczcie elektronicznej zgodnej z HIPAA.
DOWNLOAD NOW
Unikanie naruszeń HIPAA
Poruszenia HIPAA mogą okazać się dość kosztowne dla organizacji opieki zdrowotnej.
W najprostszym ujęciu, naruszenie HIPAA ma miejsce, gdy podmiot objęty ochroną nie utrzymuje odpowiednich zabezpieczeń w celu zapobieżenia zamierzonemu lub niezamierzonemu wykorzystaniu lub ujawnieniu PHI, zgodnie z wytycznymi zawartymi w HIPAA Privacy Rule.
Koszty mogą obejmować podmioty objęte ochroną oraz wszelkie podmioty współpracujące, których dotyczy naruszenie, powiadamiające pacjentów po naruszeniu ochrony danych. Oprócz kosztów powiadomienia, są wszelkie grzywny nałożone przez Biuro Praw Obywatelskich (OCR) po naruszeniu HIPAA są sprawdzane.
Grzywny za naruszenie HIPAA same w sobie mogą osiągnąć 1,5 miliona dolarów i obejmować karę więzienia, jeśli są zarzuty karne związane z naruszeniami.
Unikanie naruszeń wymaga planowania. Podmioty objęte ochroną i podmioty stowarzyszone mogą ograniczyć ryzyko, upewniając się, że personel przechodzi przez programy szkoleniowe w zakresie zgodności z HIPAA. Konsultanci mogą również wejść na pokład, aby upewnić się, że właściwe procesy są na miejscu, aby uniknąć i radzić sobie z wszelkimi naruszeniami.
SEE RELATED: The Complete Guide to HIPAA Violations
Conclusion
Ale nie ma oficjalnej pieczęci zatwierdzenia lub programu certyfikacji dla zgodności z HIPAA, istnieje wiele firm, które oferują poświadczenia, które pokazują, że organizacja podjęła odpowiednie kroki, aby spełnić wymagania HIPAA.
Jak technologia nadal staje się częścią opieki zdrowotnej, zawsze będą nowe potencjalne miejsca, w których może dojść do naruszenia. Jednak pamiętając o zasadach HIPAA, wszystkie organizacje mogą być pewne, że robią wszystko, co w ich mocy, aby chronić PHI.