Закон аб медыцынскім страхаванні Партатыўнасць і справаздачнасці быў прыняты ў 1996 годзе забяспечваецца Упраўленнем грамадзянскіх правоў ўрада Злучаных Штатаў. Ён уяўляе сабой набор федэральных кіруючых прынцыпаў, створаных, каб дазволіць супрацоўнікам прымаць іх медыцынскае страхаванне з імі, калі яны пакідаюць працадаўца, дазваляюць людзям атрымаць доступ да медыцынскаму страхаванню, нягледзячы на раней існавалі ўмовы (пры пэўных умовах), а таксама ўсталяваць стандарты прыватнасці для здароўя пацыента інфармацыя.
- HIPAA Правіла прыватнасці абараняе канфідэнцыяльнасць індывідуальна ідэнтыфікуюцца інфармацыі аб стане здароўя.
- HIPAA правілы бяспекі ўсталёўвае нацыянальныя стандарты для забеспячэння бяспекі электроннай медыцынскай інфармацыі.
Гэта патрабуецца па законе для забеспячэння HIPAA адукацыі і прафесійнай падрыхтоўкі для асоб, якія працуюць у сферы аховы здароўя для забеспячэння адказнасці за канфідэнцыяльнасць і бяспекі абараняецца інфармацыі аб стане здароўя. Пакрытыя арганізацыі павінны навучаць ўсіх членаў рабочай сілы па пытаннях палітыкі і працэдур HIPAA.
1 -
HIPAA Правіла прыватнасціСтандарты для прыватнасці індывідуальна ідэнтыфікуюцца медыцынскай інфармацыі (правіла прыватнасці) быў распрацаваны спецыяльна для вырашэння абароны асабістай інфармацыі пра стан здароўя чалавека. Гэта важна для жыццяздольнасці вашага медыцынскага офіса для забеспячэння адпаведнасці HIPAA.
Хто ахопліваецца правілам прыватнасці?
- планы аховы здароўя
- Пастаўшчыкі медыцынскіх паслуг
- Clearinghouses Health Care
Пакрыты сутнасць, як гэта вызначана ў HIPAA, можа быць план медыцынскага страхавання, цэнтра абмену медыцынскай дапамогі або пастаўшчык медыцынскіх паслуг, які перадае канфідэнцыйную медыцынскую інфармацыю ў электронным выглядзе і могуць быць арганізацыі, установы або асобы.
Лекары і іншыя медыцынскія работнікі, якія працуюць з пацыентамі і іх канфідэнцыйныя медыцынскія дакументы павінны прытрымлівацца палітыкі, працэдур і законаў, накіраваных на абарону прыватнага жыцця пацыента і канфідэнцыяльнасць. Усе медыцынскія работнікі абавязаны трымаць іх супрацоўнікі навучаны і інфармаваныя аб захаванні HIPAA . Ці з'яўляецца наўмыснае ці выпадковае, несанкцыянаванае раскрыццё PHI лічыцца парушэннем HIPAA.
- дзелавыя партнёры
Бізнес супрацоўнік, як вызначана HIPAA, з'яўляецца любой асобай або юрыдычнай асобай, якая ажыццяўляе дзейнасць, якое прадугледжвае выкарыстанне або раскрыццё абароненай інфармацыі аб стане здароўя ад імя пакрытых асоб і не з'яўляецца работнік крытага асобы.
Якая інфармацыя Protected?
PHI або Protected Health Information ставіцца да любой індывідуальнай ідэнтыфікацыі інфармацыі, якая змяшчаецца ў медыцынскай дакументацыі пацыента, які перадаецца або падтрымліваецца ў любой форме.
Выкарыстанне і раскрыццё інфармацыі
Пакрытае асоба можа выкарыстоўваць ці раскрываць канфідэнцыйную медыцынскую інфармацыю (PHI) без дазволу ў пэўных умовах.
- Да індывідуальнага
- Лячэнне, аплата і Здароўе Аперацыя
- Выкарыстанне і раскрыццё інфармацыі з магчымасцю дамовіцца або аб'ектам
- Пабочнае Выкарыстанне і раскрыццё інфармацыі.
- Грамадскі інтарэс і карысная дзейнасць
- Абмежаваны набор дадзеных для мэт даследавання аперацый, грамадскае аховы здароўя або медыцынскай дапамогі
Канфідэнцыяльнасць практыкі Апавяшчэнне
Медыцынскія работнікі абавязаны прадастаўляць сваім пацыентам з паведамленнем аб захаванні прыватнасці. Гэта апавяшчэнне, у адпаведнасці з патрабаваннямі HIPAA правілам прыватнасці, дае пацыентам права на атрыманне інфармацыі пра свае правы на прыватнасць, як ён ставіцца да сваёй абароненай інфармацыі аб стане здароўя (PHI).
Паведамленне павінна апісваць пэўную інфармацыю ў лёгка зразумець ўмовы:
- Як правайдэр будзе выкарыстоўваць і раскрываць іх PHI
- Пацыенты маюць рацыю ў дачыненні да іх уласнага PHI
- Заява інфармавання пацыента аб законах патрабуе пастаўшчыка, каб захаваць канфідэнцыяльнасць іх PHI
- Хто пацыенты могуць звяртацца за дадатковай інфармацыяй аб палітыцы прыватнасці правайдэра
Правапрымяненне і штрафы за парушэнне
Грамадзянскія Грошы Штрафы
- $ 100 за невыкананне
- $ 25000 у год максімум за шматразовыя парушэнні аднаго і таго ж патрабаванні
Крымінальная адказнасць (за наўмыснае атрыманне або разгалашэнне PHI ў парушэнне HIPAA)
- $ 50 000 штрафу і да аднаго года пазбаўлення волі
- $ 100 000 штрафу і да пяці гадоў пазбаўлення волі (калі парушэнне звязана падманным шляхам)
- $ За 250 000 штрафу і да дзесяці гадоў пазбаўлення волі (калі парушэнне звязана намер прадаваць, перадаваць або выкарыстоўваць PHI)
2 -
Правіла HIPAA бяспекіСтандарты бяспекі для абароны электроннай інфармацыі Protected аховы здароўя (правілы бяспекі)
Бяспека HIPAA ставіцца да ўстанаўлення гарантый PHI ў любым электронным фармаце. Гэта ўключае ў сябе любую інфармацыю, якую выкарыстоўвае, захоўвацца ці перадавацца ў электронным выглядзе. Любы аб'ект вызначаецца HIPAA як якія ахопліваюць нікчэмнасць нясе адказнасць за забеспячэнне бяспекі і прыватнасці інфармацыі свайго пацыента, а таксама захаванне прыватнасці іх PHI.
Хто ахопліваецца правілам бяспекі?
- планы аховы здароўя
- Пастаўшчыкі медыцынскіх паслуг
- Clearinghouses Health Care
Пакрыты сутнасць, як гэта вызначана ў HIPAA, можа быць план медыцынскага страхавання, цэнтра абмену медыцынскай дапамогі або пастаўшчык медыцынскіх паслуг, які перадае канфідэнцыйную медыцынскую інфармацыю ў электронным выглядзе і могуць быць арганізацыі, установы або асобы.
- дзелавыя партнёры
Бізнес супрацоўнік, як вызначана HIPAA, з'яўляецца любой асобай або юрыдычнай асобай, якая ажыццяўляе дзейнасць, якое прадугледжвае выкарыстанне або раскрыццё абароненай інфармацыі аб стане здароўя ад імя пакрытых асоб і не з'яўляецца работнік крытага асобы.
Якая інфармацыя Protected?
Электронная PHI або Protected Health Information ставіцца да любой індывідуальнай ідэнтыфікацыі інфармацыі, якая змяшчаецца ў медыцынскай дакументацыі пацыента, які перадаецца або падтрымліваецца ў любой форме. Правіла бяспекі выключае PHI перадавалася вусна або ў пісьмовай форме.
спрашчэння адміністрацыйных працэдур
Адміністрацыйныя палажэнні спрашчэння HIPAA усталёўваюць нацыянальныя стандарты для забеспячэння бяспекі электроннай абароненай інфармацыі аб стане здароўя. Гэта ўключае ў сябе правілы і стандарты для здзелак і кодавых набораў і ідэнтыфікатараў для працадаўцаў і пастаўшчыкоў.
Транзакцыі і Кодэкс стандартаў, устаноўленых
Стандартныя аперацыі для электроннага абмену дадзенымі (EDI) дадзеных медыка-санітарнай дапамогі ўключае ў сябе патрабаванні і сутыкаюцца з інфармацыяй, аплата і паведамленне аб пераводзе, сцвярджае статус, правы, рэгістрацыю і disenrollment, Рэфералы і дазволаў, ўзгадненне дапамог i страхавых узносаў.
Стандартны код ўстанаўлівае для дыягностыкі, працэдуры і коды наркотыкаў ўключаюць HCPCS (дапаможныя паслугі / працэдуры), CPT-4 (Працэдуры Лекары), CDT (Стаматалагічная Тэрміналогія), ICD-9 (Дыягностыка і стацыянарнай дапамогі працэдур), МКБ-10 ( па стане на 1 кастрычніка 2015 гады) і НДЦ (Нацыянальны Drug кодаў) кодаў.
Стандарты Ідэнтыфікатар для працадаўцаў і пастаўшчыкоў
Стандартныя ідэнтыфікатары ўключаюць у сябе ідэнтыфікацыйны нумар працадаўцы (EIN) і ідэнтыфікатар нацыянальнага правайдэра (НПИ). EIN выкарыстоўваецца для ідэнтыфікацыі працадаўцаў на стандартных аперацыях. Нацыянальны ідэнтыфікацыйны правайдэр або НПИ з'яўляецца 10-значны, унікальны ідэнтыфікацыйны нумар, які выкарыстоўваецца, каб заняць месца ідэнтыфікатараў пастаўшчыкоў, такіх як унікальны ідэнтыфікацыйны Пастаўшчык ліку (UPIN) у стандартных аперацый HIPAA. Медыцынскія ўстановы абавязаны па рэгуляванні HIPAA атрымаць НПИ.
Правілы для падтрымання бяспекі HIPAA ўключаюць гарантыі для трох ключавых абласцей.
Адміністрацыйныя меры бяспекі
- Распрацаваць фармальны працэс кіравання бяспекай, уключаючы распрацоўку палітыкі і працэдур, унутранага аўдыту, план на выпадак надзвычайных сітуацый і іншых гарантый для забеспячэння выканання медыцынскага персаналу офіса.
- Прызначае адказнасць бяспекі да прызначанага асобе, каб кіраваць і кантраляваць выкарыстанне мер бяспекі і паводзіны персаналу.
- Рэалізаваць функцыі, якія забяспечваюць персанал мае адпаведную падрыхтоўку і належнае дазвол на доступ да PHI.
- Вызначэнне узроўняў доступу для ўсіх супрацоўнікаў і як яна прадастаўляецца
- Патрабаваць, каб усе медыцынскія супрацоўнікі офіса, уключаючы кіраванне праходзяць падрыхтоўку па пытаннях бяспекі і маюць перыядычныя нагадванні і навучанне карыстальнікаў.
Фізічныя меры бяспекі
- Файл PHI ў бяспечным месцы і працоўная прастора для супрацоўнікаў (у тым ліку выкарыстанне замкаў, ключоў і значкі, якія адкрываюць дзверы), якія абмяжоўваюць доступ староннім асобам і зламыснікамі.
- Распрацоўка палітыкі праверкі правоў доступу, кантроль абсталявання і апрацоўкі паведамленняў. Распрацоўка і прадставіць дакументацыю, уключаючы інструкцыі аб тым, як ваш медыцынскі офіс можа дапамагчы абараніць PHI (напрыклад, уваход з кампутара, перш чым пакінуць яго без нагляду)
- Забяспечыць абарону ад агню і іншых небяспек
Тэхнічныя меры бяспекі
- Стварэнне унікальнай ідэнтыфікацыі карыстальніка, уключаючы паролі і нумары кантактаў
- Прыняць аўтаматычны кантроль выхаду з сістэмы
- Запіс і вывучыць дзейнасць сістэмы для мэт аўдыту
- Выкарыстанне элементаў кіравання шыфравання для абароны перадаваных дадзеных па сетцы
Правапрымяненне і штрафы за парушэнне
Грамадзянскія Грошы Штрафы
- $ 100 за невыкананне
- $ 25000 у год максімум за шматразовыя парушэнні аднаго і таго ж патрабаванні
Крымінальная адказнасць (за наўмыснае атрыманне або разгалашэнне PHI ў парушэнне HIPAA)
- $ 50 000 штрафу і да аднаго года пазбаўлення волі
- $ 100 000 штрафу і да пяці гадоў пазбаўлення волі (калі парушэнне звязана падманным шляхам)
- $ За 250 000 штрафу і да дзесяці гадоў пазбаўлення волі (калі парушэнне звязана намер прадаваць, перадаваць або выкарыстоўваць PHI)
3 -
Парады, каб пазбегнуць Парушаючы HIPAA- Прыняць неабходныя меры, каб не раскрываць інфармацыю па звычайнай размове. Пазбягайце раскрыццё інфармацыі з дапамогай звычайнага размовы; абмяркоўваць інфармацыю пра пацыента ў месцах чакання, калідоры або ліфты; Належная утылізацыя PHI; і доступ да інфармацыі строга абмежаваны супрацоўнікамі, чыя праца патрабуе, каб інфармацыя. Асноўная інфармацыя можа здацца настолькі нязначная, што яго лёгка можна згадаць у звычайнай размове, але павінен быць падзелены толькі на неабходнасці ведаць асновы.
- Пазбягайце абмеркаванне інфармацыі пра пацыента ў месцах чакання, калідораў або ліфтаў. Канфідэнцыйная інфармацыя можа быць падслухала наведвальнікамі ці іншымі пацыентамі. Акрамя таго, абавязкова весці ўлік пацыентаў з раёнаў, якія даступныя для грамадскасці. Паколькі стойкі рэгістрацыі і медсясцёр станцыі ў адкрытым, прайсці лішнюю мілю, каб забяспечыць кампутары забяспечаны ў любы час. Трымальнікі дыяграмы павінны быць устаноўлены і пярэдняя панэль пакрыта ў адпаведнасці са стандартамі HIPAA.
- PHI ніколі не варта выкідваць у смеццевы бак. Любы дакумент, выкінутыя ў смецце адкрыты для грамадскасці і, такім чынам, парушэнне інфармацыі. Ёсць шмат спосабаў, каб пазбавіцца ад PHI. Правільная ўтылізацыя паперы PHI ўключае спальванне або драбненню. Электронны PHI можа быць утылізаваны шляхам пры спробе ачысціць, выдаліць яго, перафарматавання, спальваючы, плаўлення, або драбнення.
- Ёсць цэлы шэраг даступных тэхналогій, прызначаных для абароны дадзеных пацыентаў. Будзьце выбарчыя ў выбары прылад і праграмнага забеспячэння, якія мацуюць дадзеныя па бесправадной сувязі, уключаючы брандмаўэр, анты-вірус, анты-шпіёнскага ПА і тэхналогіі выяўлення ўварванняў. Будзьце вельмі асцярожныя пры доступе да дадзеных праз выдаленае злучэнне. ІТ-адмыслоўцы прапануюць выкарыстоўваць сістэму двухфакторную аўтэнтыфікацыі з маркерамі бяспекі і паролямі.