Đào tạo tuân thủ HIPAA hàng năm

Đạo luật về trách nhiệm giải trình và trách nhiệm bảo hiểm y tế được ban hành vào năm 1996. Nó được thi hành bởi Văn phòng Quyền Công dân của Chính phủ Hoa Kỳ. Đó là một bộ hướng dẫn liên bang được tạo ra để cho phép nhân viên mang theo bảo hiểm y tế nếu họ rời khỏi chủ nhân, cho phép mọi người truy cập bảo hiểm y tế bất chấp các điều kiện có sẵn (trong một số điều kiện) và để thiết lập các tiêu chuẩn bảo mật cho sức khỏe của bệnh nhân thông tin.

• Quy tắc bảo mật của HIPAA bảo vệ quyền riêng tư của thông tin sức khỏe có thể nhận dạng cá nhân.
• Quy tắc bảo mật HIPAA đặt ra các tiêu chuẩn quốc gia về bảo mật thông tin y tế điện tử.

Luật pháp yêu cầu cung cấp giáo dục và đào tạo HIPAA cho các cá nhân làm việc trong ngành chăm sóc sức khỏe để đảm bảo trách nhiệm cho sự riêng tư và bảo mật của thông tin sức khỏe được bảo vệ. Các thực thể được bảo hiểm phải đào tạo tất cả các thành viên của lực lượng lao động về các chính sách và thủ tục của HIPAA.

1

Quy tắc bảo mật của HIPAA

Tiêu chuẩn về quyền riêng tư của thông tin sức khỏe nhận dạng cá nhân (Quy tắc bảo mật) được thiết kế để giải quyết cụ thể việc bảo vệ thông tin sức khỏe cá nhân của một cá nhân. Điều quan trọng đối với sức sống của văn phòng y tế của bạn là duy trì sự tuân thủ HIPAA.

Ai được bảo vệ bởi Quy tắc bảo mật?

• Kế hoạch y tế
• Nhà cung cấp dịch vụ chăm sóc sức khỏe
• Trung tâm chăm sóc sức khỏe

Một thực thể được bảo hiểm, như được định nghĩa trong HIPAA, có thể là một chương trình bảo hiểm y tế, phòng thanh toán y tế hoặc nhà cung cấp dịch vụ chăm sóc sức khỏe truyền thông tin y tế được bảo vệ bằng điện tử và có thể là tổ chức, tổ chức hoặc người.

Các bác sĩ và các chuyên gia chăm sóc sức khỏe khác làm việc với bệnh nhân và hồ sơ y tế bí mật của họ phải tuân thủ các chính sách, quy trình và luật được thiết kế để bảo vệ quyền riêng tư và bảo mật của bệnh nhân. Tất cả các nhà cung cấp dịch vụ chăm sóc sức khỏe có trách nhiệm giữ cho nhân viên của họ được đào tạo và thông báo về việc tuân thủ HIPAA. Cho dù cố ý hay vô tình, việc tiết lộ trái phép PHI đều được coi là vi phạm HIPAA.

• Cộng tác viên kinh doanh

Một cộng tác viên kinh doanh, theo định nghĩa của HIPAA, là bất kỳ cá nhân hoặc tổ chức nào tiến hành kinh doanh liên quan đến việc sử dụng hoặc tiết lộ thông tin sức khỏe được bảo vệ thay mặt cho một thực thể được bảo hiểm và không phải là nhân viên của thực thể được bảo hiểm.

Thông tin nào được bảo vệ?

PHI hoặc Thông tin sức khỏe được bảo vệ đề cập đến bất kỳ thông tin nhận dạng cá nhân nào có trong hồ sơ y tế của bệnh nhân được truyền hoặc duy trì dưới mọi hình thức.

Công dụng và công bố

Một thực thể được bảo hiểm có thể sử dụng hoặc tiết lộ thông tin sức khỏe được bảo vệ (PHI) mà không được phép trong các điều kiện nhất định.

1. Cho cá nhân
2. Điều trị, thanh toán và chăm sóc sức khỏe
3. Sử dụng và tiết lộ với cơ hội đồng ý hoặc đối tượng
4. Sử dụng ngẫu nhiên và tiết lộ.
5. Hoạt động lợi ích và lợi ích công cộng
6. Bộ dữ liệu hạn chế cho các mục đích nghiên cứu, y tế công cộng hoặc hoạt động chăm sóc sức khỏe

Thông báo thực hành quyền riêng tư

Các nhà cung cấp dịch vụ chăm sóc sức khỏe có nghĩa vụ cung cấp cho bệnh nhân của họ một Thông báo về Thực hành quyền riêng tư. Thông báo này, theo yêu cầu của Quy tắc quyền riêng tư của HIPAA, cho bệnh nhân quyền được thông báo về quyền riêng tư của họ vì nó liên quan đến thông tin sức khỏe được bảo vệ của họ (PHI).

Thông báo cần mô tả một số thông tin theo các thuật ngữ dễ hiểu:

• Nhà cung cấp sẽ sử dụng và tiết lộ PHI của họ như thế nào
• Các bệnh nhân có quyền liên quan đến PHI của chính họ
• Một tuyên bố thông báo cho bệnh nhân về luật pháp yêu cầu nhà cung cấp duy trì sự riêng tư của PHI của họ
• Ai bệnh nhân có thể liên hệ để biết thêm thông tin về chính sách quyền riêng tư của nhà cung cấp

Cưỡng chế và hình phạt cho sự không tuân thủ

Hình phạt tiền dân sự

• $ 100 mỗi lần không tuân thủ
• $ 25.000 tối đa mỗi năm cho nhiều vi phạm của cùng một yêu cầu

Hình phạt hình sự (vì cố ý lấy hoặc tiết lộ PHI vi phạm HIPAA)

• Phạt 50.000 đô la và phạt tù một năm
• Phạt $ 100.000 và phạt tù đến năm năm (nếu vi phạm liên quan đến giả vờ)
• Phạt $ 250.000 và phạt tù đến mười năm (nếu vi phạm liên quan đến ý định bán, chuyển nhượng hoặc sử dụng PHI)

2

Quy tắc bảo mật của HIPAA

Các tiêu chuẩn bảo mật để bảo vệ thông tin sức khỏe được bảo vệ điện tử (Quy tắc bảo mật)

Bảo mật HIPAA đề cập đến việc thiết lập các biện pháp bảo vệ cho PHI ở bất kỳ định dạng điện tử nào. Điều này bao gồm bất kỳ thông tin được sử dụng, lưu trữ hoặc truyền điện tử. Bất kỳ cơ sở nào được HIPAA xác định là một thực thể được bảo hiểm đều có trách nhiệm đảm bảo quyền riêng tư và bảo mật thông tin bệnh nhân của mình cũng như duy trì tính bảo mật của PHI của họ.

Ai được bảo vệ bởi Quy tắc bảo mật?

• Kế hoạch y tế
• Nhà cung cấp dịch vụ chăm sóc sức khỏe
• Trung tâm chăm sóc sức khỏe

Một thực thể được bảo hiểm, như được định nghĩa trong HIPAA, có thể là một chương trình bảo hiểm y tế, phòng thanh toán y tế hoặc nhà cung cấp dịch vụ chăm sóc sức khỏe truyền thông tin y tế được bảo vệ bằng điện tử và có thể là tổ chức, tổ chức hoặc người.

• Cộng tác viên kinh doanh

Một cộng tác viên kinh doanh, theo định nghĩa của HIPAA, là bất kỳ cá nhân hoặc tổ chức nào tiến hành kinh doanh liên quan đến việc sử dụng hoặc tiết lộ thông tin sức khỏe được bảo vệ thay mặt cho một thực thể được bảo hiểm và không phải là nhân viên của thực thể được bảo hiểm.

Thông tin nào được bảo vệ?

PHI điện tử hoặc Thông tin sức khỏe được bảo vệ đề cập đến bất kỳ thông tin nhận dạng cá nhân nào có trong hồ sơ y tế của bệnh nhân được truyền hoặc duy trì dưới mọi hình thức. Quy tắc bảo mật loại trừ PHI được truyền bằng miệng hoặc bằng văn bản.

Đơn giản hóa hành chính

Các quy định đơn giản hóa hành chính của HIPAA thiết lập các tiêu chuẩn quốc gia về bảo mật thông tin sức khỏe được bảo vệ điện tử. Điều này bao gồm các quy tắc và tiêu chuẩn cho các giao dịch, bộ mã và định danh cho nhà tuyển dụng và nhà cung cấp.

Giao dịch và tiêu chuẩn đặt mã

Các giao dịch tiêu chuẩn cho Trao đổi dữ liệu điện tử (EDI) của dữ liệu chăm sóc sức khỏe bao gồm khiếu nại và thông tin gặp phải, tư vấn thanh toán và chuyển tiền, tình trạng khiếu nại, đủ điều kiện, đăng ký và hủy đăng ký, giới thiệu và ủy quyền, phối hợp lợi ích và thanh toán phí bảo hiểm.

Bộ mã tiêu chuẩn để chẩn đoán, thủ tục và mã thuốc bao gồm HCPCS (Dịch vụ / Quy trình phụ trợ), CPT-4 (Quy trình bác sĩ), CDT (Thuật ngữ nha khoa), ICD-9 (Chẩn đoán và Quy trình điều trị nội trú tại bệnh viện), ICD-10 (Kể từ ngày 1 tháng 10 năm 2015) và mã NDC (Mã thuốc quốc gia).

Tiêu chuẩn định danh cho chủ lao động và nhà cung cấp

Số nhận dạng tiêu chuẩn bao gồm Số nhận dạng chủ nhân (EIN) và Số nhận dạng nhà cung cấp quốc gia (NPI). EIN được sử dụng để xác định nhà tuyển dụng trên các giao dịch tiêu chuẩn. Số nhận dạng nhà cung cấp quốc gia hoặc NPI là một số nhận dạng duy nhất gồm 10 chữ số, được sử dụng để thay thế cho số nhận dạng nhà cung cấp, chẳng hạn như số nhận dạng nhà cung cấp duy nhất (UPIN) trong các giao dịch tiêu chuẩn của HIPAA. Các nhà cung cấp dịch vụ chăm sóc sức khỏe được yêu cầu theo quy định của HIPAA để có được NPI.

Các quy tắc để duy trì bảo mật HIPAA bao gồm các biện pháp bảo vệ cho ba lĩnh vực chính.

Bảo vệ hành chính

1. Xây dựng quy trình quản lý an ninh chính thức bao gồm xây dựng các chính sách và thủ tục, kiểm toán nội bộ, kế hoạch dự phòng và các biện pháp bảo vệ khác để đảm bảo sự tuân thủ của nhân viên văn phòng y tế.
2. Giao trách nhiệm bảo mật cho một người được chỉ định để quản lý và giám sát việc sử dụng các biện pháp an ninh và hành vi của nhân viên.
3. Thực hiện các tính năng đảm bảo nhân viên được đào tạo phù hợp và ủy quyền thích hợp để truy cập PHI.
4. Xác định mức độ truy cập cho tất cả nhân viên và cách cấp
5. Yêu cầu tất cả nhân viên văn phòng y tế bao gồm quản lý trải qua đào tạo bảo mật và có nhắc nhở định kỳ và giáo dục người dùng.

Bảo vệ vật lý

1. Lưu PHI vào một vị trí và không gian làm việc an toàn cho nhân viên (điều này bao gồm việc sử dụng khóa, chìa khóa và huy hiệu mở khóa cửa) để hạn chế quyền truy cập vào người và kẻ xâm nhập trái phép.
2. Phát triển các chính sách để xác minh ủy quyền truy cập, kiểm soát thiết bị và xử lý khách truy cập. Phát triển và cung cấp tài liệu bao gồm các hướng dẫn về cách văn phòng y tế của bạn có thể giúp bảo vệ PHI (ví dụ: đăng xuất khỏi máy tính trước khi không để lại)
3. Cung cấp bảo vệ chống cháy và các mối nguy hiểm khác

Bảo vệ kỹ thuật

1. Thiết lập nhận dạng người dùng duy nhất bao gồm mật khẩu và số pin
2. Áp dụng điều khiển đăng xuất tự động
3. Ghi lại và kiểm tra hoạt động hệ thống cho mục đích kiểm toán
4. Sử dụng các điều khiển mã hóa để bảo vệ dữ liệu truyền qua mạng

Cưỡng chế và hình phạt cho sự không tuân thủ

Hình phạt tiền dân sự

• $ 100 mỗi lần không tuân thủ
• $ 25.000 tối đa mỗi năm cho nhiều vi phạm của cùng một yêu cầu

Hình phạt hình sự (vì cố ý lấy hoặc tiết lộ PHI vi phạm HIPAA)

• Phạt 50.000 đô la và phạt tù tới một năm
• Phạt $ 100.000 và phạt tù đến năm năm (nếu vi phạm liên quan đến giả vờ)
• Phạt $ 250.000 và phạt tù đến mười năm (nếu vi phạm liên quan đến ý định bán, chuyển nhượng hoặc sử dụng PHI)

3

Mẹo để tránh vi phạm HIPAA

1. Thực hiện các bước cần thiết để tránh tiết lộ thông tin thông qua cuộc trò chuyện thông thường. Tránh tiết lộ thông tin thông qua cuộc trò chuyện thường lệ; thảo luận về thông tin bệnh nhân trong khu vực chờ, hành lang hoặc thang máy; xử lý đúng PHI; và việc truy cập thông tin được giới hạn nghiêm ngặt đối với những nhân viên có công việc yêu cầu thông tin đó. Thông tin cơ bản có vẻ không đáng kể đến mức nó có thể dễ dàng được đề cập trong cuộc trò chuyện thông thường nhưng chỉ nên được chia sẻ trên cơ sở cần biết.
2. Tránh thảo luận về thông tin bệnh nhân trong khu vực chờ, hành lang hoặc thang máy. Thông tin nhạy cảm có thể được nghe bởi khách truy cập hoặc bệnh nhân khác. Ngoài ra hãy chắc chắn để giữ hồ sơ bệnh nhân ra khỏi khu vực mà công chúng có thể truy cập.Vì bàn làm việc và trạm y tá ở ngoài trời, hãy đi thêm một dặm để đảm bảo máy tính luôn được bảo mật. Người giữ biểu đồ nên được gắn và bảng mặt trước được bảo hiểm theo tiêu chuẩn HIPAA.
3. PHI không bao giờ được xử lý trong thùng rác. Bất kỳ tài liệu nào bị ném vào thùng rác đều được mở cho công chúng và do đó vi phạm thông tin. Có nhiều cách để loại bỏ PHI. Xử lý đúng cách giấy PHI bao gồm đốt hoặc xé nhỏ. PHI điện tử có thể được xử lý bằng cách xóa, xóa, định dạng lại, thiêu hủy, tan chảy hoặc băm nhỏ.
4. Có một số công nghệ có sẵn được thiết kế để bảo mật dữ liệu bệnh nhân. Hãy chọn lọc trong việc lựa chọn các thiết bị và phần mềm bảo mật dữ liệu qua kết nối không dây bao gồm tường lửa, chống vi-rút, chống phần mềm gián điệp và công nghệ phát hiện xâm nhập. Hãy hết sức thận trọng khi truy cập dữ liệu qua kết nối từ xa. Các chuyên gia CNTT đề nghị sử dụng hệ thống xác thực hai yếu tố với mã thông báo bảo mật và mật khẩu.