Formación anual de cumprimento de HIPAA

A Lei de Portabilidade e Responsabilidade do Seguro de Saúde foi promulgada en 1996. A Oficina de Dereitos Civís do Goberno dos Estados Unidos aplica a súa aplicación. É un conxunto de directrices nacionais creadas para permitir que os traballadores adquiran o seu seguro médico con eles se abandonan un empregado, permiten que a xente acceda ao seguro médico a pesar das condicións preexistentes (baixo algunhas condicións) e estableza normas de privacidade para a saúde dun paciente información.

• A regra de privacidade HIPAA protexe a privacidade da información de saúde individualmente identificable.
• A regra de seguridade de HIPAA establece as normas nacionais para a seguridade da información médica electrónica.

É requirido pola lei para proporcionar educación e formación HIPAA para persoas físicas que traballan na industria da saúde para garantir a responsabilidade pola privacidade e seguridade da información protexida de saúde. As entidades cubertas deben adestrar a todos os membros da forza de traballo ás políticas e procedementos de HIPAA.

1 -

Regra de privacidade HIPAA

Os estándares para a privacidade da información de saúde individualmente identificable (a regra de privacidade) foron deseñados para abordar específicamente a protección da información persoal de saúde dun individuo. É importante para a vitalidade da súa oficina médica manter o cumprimento de HIPAA.

Quen está cuberto pola regra de privacidade?

• Plans de saúde
• Provedores de coidados de saúde
• Centros de atención sanitaria

Unha entidade cuberta, tal como se define en HIPAA, pode ser un plan de seguro de saúde, unha clínica de asistencia sanitaria ou un provedor de asistencia sanitaria que transmite de forma electrónica información médica protexida e poida ser organizacións, institucións ou persoas.

Os médicos e outros profesionais sanitarios que traballan cos pacientes e os seus registros médicos confidenciais deben adherirse ás políticas, procedementos e leis destinados a protexer a privacidade e a confidencialidade do paciente. Todos os provedores de asistencia sanitaria teñen a responsabilidade de manter o persoal capacitado e informado sobre o cumprimento de HIPAA . Se a divulgación intencionada ou accidental e non autorizada de PHI é considerada unha violación da HIPAA.

• Asociados de empresas

Un asociado comercial, tal como o define HIPAA, é calquera persoa ou entidade que realice negocios que impliquen o uso ou divulgación de información médica protexida en nome dunha entidade cuberta e non sexa un empregado da entidade cuberta.

Que información está protexida?

PHI ou información de saúde protexida refírese a calquera información de identificación individual incluída no historial médico dun paciente que se transmite ou mantén en calquera forma.

Usos e divulgacións

Unha entidade cuberta pode utilizar ou divulgar información de saúde protexida (PHI) sen autorización baixo certas condicións.

1. Para o individuo
2. Tratamento, pagamento e operacións sanitarias
3. Usos e divulgacións con oportunidade de acordo ou obxecto
4. Uso e divulgación accidental.
5. Interese público e actividades de beneficio
6. Conxunto de datos limitado para fins de investigación, saúde pública ou asistencia sanitaria

Aviso de prácticas de privacidade

Os prestadores de servizos sanitarios teñen a obrigación de proporcionar aos seus pacientes un Aviso de Prácticas de Privacidade. Este aviso, tal e como esixe a regra de privacidade HIPAA, dá ao paciente o dereito a estar informado sobre os seus dereitos de privacidade xa que se relaciona coa súa información médica protexida (PHI).

O aviso debe describir certa información en termos de fácil comprensión:

• Como o provedor utilizará e divulgará o seu PHI
• Os dereitos dos pacientes teñen respecto do seu propio PHI
• Unha declaración informando ao paciente das leis que esixen que o proveedor manteña a privacidade do seu PHI
• Quen os pacientes poden contactar para obter máis información sobre as políticas de privacidade do proveedor

Aplicación e penalidades por incumprimento

Penas de diñeiro civil

• $ 100 por falta de cumprimento
• Máximo de 25.000 dólares ao ano por múltiples infraccións do mesmo requisito

Penalidades penais (para obter ou divulgar conscientemente PHI en violación da HIPAA)

• Multa de 50.000 dólares e ata un ano de prisión
• 100.000 dólares de multa e ata cinco anos de prisión (se a violación implica pretextos falsos)
• Multa de 250.000 dólares e ata 10 anos de prisión (se a violación implica a intención de vender, transferir ou usar PHI)

2 -

Regra de seguridade HIPAA

As normas de seguridade para a protección da información médica protexida electrónica (a regra de seguridade)

A seguridade de HIPAA refírese a establecer salvagardas para PHI en calquera formato electrónico. Inclúe toda a información utilizada, almacenada ou transmitida de forma electrónica. Calquera facilidade definida por HIPAA como entidade cuberta ten a responsabilidade de garantir a privacidade e seguridade da información do seu paciente e manter a confidencialidade do seu PHI.

Quen está cuberto pola regra de seguridade?

• Plans de saúde
• Provedores de coidados de saúde
• Centros de atención sanitaria

Unha entidade cuberta, tal como se define en HIPAA, pode ser un plan de seguro de saúde, unha clínica de asistencia sanitaria ou un provedor de asistencia sanitaria que transmite de forma electrónica información médica protexida e poida ser organizacións, institucións ou persoas.

• Asociados de empresas

Un asociado comercial, tal como o define HIPAA, é calquera persoa ou entidade que realice negocios que impliquen o uso ou divulgación de información médica protexida en nome dunha entidade cuberta e non sexa un empregado da entidade cuberta.

Que información está protexida?

O PHI electrónico ou a Información de Saúde Protexida refírese a calquera información de identificación individual incluída no historial médico dun paciente que se transmite ou mantén en calquera forma. A regra de seguridade exclúe o PHI transmitido por vía oral ou por escrito.

Simplificación administrativa

As disposicións de simplificación administrativa do HIPAA establecen normas nacionais para a seguridade da información electrónica de saúde protexida. Isto inclúe as regras e estándares para operacións e conxuntos de códigos e identificadores para os empresarios e provedores.

Transaccións e normas de conxunto de códigos

As transaccións estándar para o intercambio electrónico de datos (EDI) dos datos de asistencia sanitaria inclúen información sobre reclamacións e encontros, asesoramento sobre pagamentos e remesas, estatuto de reclamacións, admisibilidad, inscrición e desistencia, referencias e autorizacións, coordinación de beneficios e pagamento de premios.

Os códigos estándar para o diagnóstico, o procedemento e os códigos de medicamentos inclúen o HCPCS (Servizos / Procedementos Auxiliares), CPT-4 (Procedementos Médicos), CDT (Terminoloxía Dental), ICD-9 (Diagnóstico e procedementos hospitalizados), ICD-10 A partir do 1 de outubro de 2015) e os códigos NDC (Código Nacional de Drogas).

Normas de identificación para empresarios e provedores

Os identificadores estándar inclúen o número de identificación do empresario (EIN) eo identificador de provedor nacional (NPI). O EIN úsase para identificar aos empresarios nas transaccións estándar. A identificación de provedor nacional ou NPI é un número de identificación único de 10 díxitos usado para substituír os identificadores de provedores, como un número de identificación de provedor único (UPIN) nas transaccións estándar de HIPAA. Os provedores de coidados de saúde son requiridos pola regulación da HIPAA para obter un NPI.

As regras para manter a seguridade HIPAA inclúen salvagardas para tres áreas clave.

Salvaguardias Administrativas

1. Desenvolver un proceso formal de xestión de seguridade, incluíndo o desenvolvemento de políticas e procedementos, auditorías internas, plan de continxencia e outras salvagardais para garantir o cumprimento do persoal médico.
2. Asignar a responsabilidade da seguridade a unha persoa designada para xestionar e supervisar o uso de medidas de seguridade e a conduta do persoal.
3. Implementar funcións que garantan que o persoal teña unha adecuada formación e autorización adecuada para acceder a PHI.
4. Define os niveis de acceso para todo o persoal e como se lle concede
5. Exigir que todo o persoal da oficina médica, incluída a administración, sexa adestrada en seguridade e teña un recordatorio periódico e unha educación para o usuario.

Salvaguardias físicas

1. Arquea PHI nunha localización segura e espazo de traballo para os empregados (isto inclúe o uso de bloqueos, chaves e crachás que desbloquean portas) que restrinxen o acceso a persoas e intrusos non autorizados.
2. Desenvolver políticas para verificar as autorizacións de acceso, control de equipos e manipular os visitantes. Desenvolva e facilite documentación que inclúe instrucións sobre como a súa oficina médico pode axudar a protexer a PHI (por exemplo, desconectarse da computadora antes de deixar sen supervisión)
3. Proporciona protección contra incendios e outros riscos

Salvaguardias Técnicas

1. Establecer identificación de usuario exclusiva, incluíndo contrasinais e números de PIN
2. Adopte un control automático do logotipo
3. Rexistrar e analizar a actividade do sistema para fins de auditoría
4. Utilice controis de cifrado para protexer os datos transmitidos a través dunha rede

Aplicación e penalidades por incumprimento

Penas de diñeiro civil

• $ 100 por falta de cumprimento
• Máximo de 25.000 dólares ao ano por múltiples infraccións do mesmo requisito

Penalidades penais (para obter ou divulgar conscientemente PHI en violación da HIPAA)

• Multa de $ 50.000 e ata un ano de prisión
• 100.000 dólares de multa e ata cinco anos de prisión (se a violación implica pretextos falsos)
• Multa de 250.000 dólares e ata 10 anos de prisión (se a violación implica a intención de vender, transferir ou usar PHI)

3 -

Consellos para evitar a violación do HIPAA

1. Tire os pasos necesarios para non divulgar información a través da conversa de rutina. Evite a divulgación da información a través da conversa de rutina; discutir a información do paciente en áreas de espera, corredores ou ascensores; eliminación correcta do PHI; e o acceso á información estará estrictamente limitado aos empregados cuxos empregos requiren esa información. A información básica pode parecer tan insignificante que pode ser facilmente mencionada na conversa de rutina, pero só debe compartirse nunha necesidade de coñecer a base.
2. Evite discutir a información do paciente en áreas de espera, pasadizos ou ascensores. A información sensible pode ser escoitada polos visitantes ou por outros pacientes. Asegúrese tamén de manter rexistros do paciente fóra das áreas que sexan accesibles ao público. Dado que os cuartos de check-in e as estacións de enfermeiros están ao aire libre, ve a milla extra para asegurar que as computadoras estean protexidas en todo momento. Os porta-carteis deben ser montados eo panel frontal cuberto segundo os estándares HIPAA.
3. PHI nunca debe ser eliminado no lixo. Calquera documento xogado na papeleira está aberto ao público e, polo tanto, un incumprimento da información. Hai moitas formas de eliminar PHI. A eliminación adecuada do papel PHI inclúe a queima ou trituración. A PHI electrónica pódese eliminar eliminando, eliminando, reformateando, incinerando, derretendo ou triturado.
4. Existen varias tecnoloxías dispoñibles para protexer os datos do paciente. Sexa selectivo na elección de dispositivos e software que protexan os datos a través dunha conexión sen fíos, incluíndo firewalls, antivirus, antispyware e tecnoloxía de detección de intrusos. Use unha extrema precaución ao acceder a datos a través dunha conexión remota. Os especialistas en TI suxiren usar un sistema de autenticación de dous factores con fichas de seguridade e contrasinais.