Formazione annuale sulla conformità HIPAA

Assistenza geriatrica Comp Compensazione sanitaria

Tecnologia medica

Forniture mediche

La legge sulla portabilità e responsabilità dell’assicurazione sanitaria è stata emanata nel 1996. È applicata dall’Ufficio dei diritti civili del governo degli Stati Uniti. È un insieme di linee guida federali create per consentire ai dipendenti di prendere la loro assicurazione medica con loro se lasciano un datore di lavoro, consentono alle persone di accedere all’assicurazione medica nonostante condizioni preesistenti (in alcune condizioni) e di stabilire standard di privacy per la salute di un paziente informazione.

La regola sulla privacy HIPAA protegge la privacy delle informazioni sanitarie identificabili individualmente.

La norma di sicurezza HIPAA stabilisce standard nazionali per la sicurezza delle informazioni sanitarie elettroniche.
È richiesto dalla legge di fornire istruzione e formazione HIPAA alle persone che lavorano nel settore sanitario per garantire la responsabilità per la privacy e la sicurezza delle informazioni sanitarie protette. Le entità coperte devono formare tutti i membri della forza lavoro sulle politiche e procedure HIPAA.

Regola di riservatezza 1HIPAA

Gli standard per la privacy delle informazioni sanitarie identificabili individualmente (la regola sulla privacy) sono stati progettati per affrontare specificamente la protezione delle informazioni sulla salute personale di una persona. È importante per la vitalità del tuo studio medico mantenere la conformità HIPAA.

Chi è coperto dalla regola sulla privacy?

Piani sanitari

Fornitori di assistenza sanitaria
Centri di assistenza sanitaria
Un’entità coperta, come definita in HIPAA, può essere un piano di assicurazione sanitaria, un centro di assistenza sanitaria o un operatore sanitario che trasmette informazioni sanitarie protette elettronicamente e può essere organizzazioni, istituzioni o persone .

I medici e altri operatori sanitari che lavorano con i pazienti e le loro cartelle cliniche riservate devono rispettare le politiche, le procedure e le leggi volte a proteggere la privacy e la riservatezza dei pazienti. Tutti gli operatori sanitari hanno la responsabilità di mantenere il personale addestrato e informato in merito alla conformità HIPAA. Se la divulgazione intenzionale o accidentale e non autorizzata di PHI è considerata una violazione di HIPAA.

Collaboratori commerciali

Un socio in affari, come definito da HIPAA, è qualsiasi persona fisica o giuridica che svolge attività che comportano l’uso o la divulgazione di informazioni sanitarie protette per conto di un’entità coperta e non è un dipendente dell’entità coperta.

Quali informazioni sono protette?

PHI o Informazioni sanitarie protette si riferisce a qualsiasi informazione identificativa individuale inclusa nella cartella clinica del paziente che viene trasmessa o mantenuta in qualsiasi forma.

Usi e divulgazioni

Un’entità coperta può utilizzare o divulgare informazioni sanitarie protette (PHI) senza autorizzazione in determinate condizioni.

All’individuo

Operazioni di trattamento, pagamento e assistenza sanitaria
Usi e divulgazioni con opportunità di accordo o oggetto
Uso e divulgazione accidentale.
Attività di interesse pubblico e vantaggi
Set di dati limitati per scopi di ricerca, sanità pubblica o assistenza sanitaria
Informativa sulle pratiche di riservatezza

Gli operatori sanitari hanno l’obbligo di fornire ai propri pazienti un avviso di pratiche sulla privacy. Questo avviso, come richiesto dalla HIPAA Privacy Rule, dà ai pazienti il diritto di essere informati sui loro diritti alla privacy in relazione alle loro informazioni sanitarie protette (PHI).

L’avviso dovrebbe descrivere alcune informazioni in termini facili da capire:

Come il fornitore utilizzerà e divulgherà il proprio PHI

I diritti dei pazienti hanno riguardo al proprio PHI
Una dichiarazione che informa il paziente delle leggi che richiedono al fornitore di mantenere la privacy delle PHI
Chi può contattare i pazienti per ulteriori informazioni in merito alle politiche sulla privacy del fornitore
Applicazione e sanzioni per non conformità

Sanzioni civili$ 100 per mancato rispetto

$ 25.000 all’anno massimo per violazioni multiple dello stesso requisito
Penalità penali (per ottenere consapevolmente o divulgare PHI in violazione di HIPAA)

$ 50.000 di multa e fino a un anno di reclusione

$ 100.000 di multa e fino a cinque anni di reclusione (se la violazione comporta falsi pretesti)
$ 250.000 di multa e fino a dieci anni di reclusione ( se la violazione implica l’intenzione di vendere, trasferire o utilizzare PHI)
Regola di sicurezza 2HIPAA

Gli standard di sicurezza per la protezione delle informazioni sanitarie protette elettroniche (la regola di sicurezza)

La sicurezza HIPAA si riferisce all’istituzione di salvaguardie per PHI in qualsiasi formato elettronico. Ciò include qualsiasi informazione utilizzata, memorizzata o trasmessa elettronicamente. Qualsiasi struttura definita da HIPAA come entità coperta ha la responsabilità di garantire la privacy e la sicurezza delle informazioni dei suoi pazienti, nonché di mantenere la riservatezza delle loro PHI.

Chi è coperto dalla regola di sicurezza?

Piani sanitari

Fornitori di assistenza sanitaria
Centri di assistenza sanitaria
Un’entità coperta, come definita in HIPAA, può essere un piano di assicurazione sanitaria, un centro di assistenza sanitaria o un operatore sanitario che trasmette informazioni sanitarie protette elettronicamente e può essere organizzazioni, istituzioni o persone .

Collaboratori commerciali

Un socio in affari, come definito da HIPAA, è qualsiasi persona fisica o giuridica che svolge attività che comportano l’uso o la divulgazione di informazioni sanitarie protette per conto di un’entità coperta e non è un dipendente dell’entità coperta.

Quali informazioni sono protette?

La PHI elettronica o Informazioni sanitarie protette si riferisce a qualsiasi informazione identificativa individuale inclusa nella cartella clinica del paziente che viene trasmessa o mantenuta in qualsiasi forma. La regola di sicurezza esclude la PHI trasmessa oralmente o per iscritto.

Semplificazione amministrativa

Le disposizioni sulla semplificazione amministrativa di HIPAA stabiliscono norme nazionali per la sicurezza delle informazioni sanitarie protette dal punto di vista elettronico. Ciò include le regole e gli standard per le transazioni e le serie di codici e gli identificatori per datori di lavoro e fornitori.

Transazioni e standard di set di codici

Le transazioni standard per l’Electronic Data Interchange (EDI) dei dati di assistenza sanitaria includono reclami e informazioni sugli incontri, consigli di pagamento e rimessa, stato dei reclami, eleggibilità, iscrizione e disen traggio, rinvii e autorizzazioni, coordinamento delle prestazioni e premio pagamento.

I set di codici standard per diagnosi, procedure e codici farmaci includono HCPCS (Servizi ausiliari / Procedure), CPT-4 (Procedure per i medici), CDT (Terminologia dentale), ICD-9 (Diagnosi e procedure ospedaliere ospedaliere), ICD-10 (Dal 1 ° ottobre 2015) e codici NDC (National Drug Codes)

Standard identificativi per datori di lavoro e fornitori

Gli identificatori standard includono il numero di identificazione del datore di lavoro (EIN) e l’identificatore del provider nazionale (NPI). L’EIN viene utilizzato per identificare i datori di lavoro sulle transazioni standard. Il National Provider Identification o NPI è un numero identificativo univoco di 10 cifre utilizzato per sostituire gli identificativi del provider, come un numero di identificazione del provider univoco (UPIN) nelle transazioni standard HIPAA. I fornitori di assistenza sanitaria sono richiesti dalla regolamentazione di HIPAA per ottenere un NPI.

Le regole per il mantenimento della sicurezza HIPAA includono misure di salvaguardia per tre aree chiave.

Salvaguardie amministrative

Sviluppare un processo formale di gestione della sicurezza che includa lo sviluppo di politiche e procedure, audit interni, piano di emergenza e altre misure di salvaguardia per garantire la conformità da parte del personale dell’ufficio medico.

Assegnare la responsabilità della sicurezza a una persona designata per gestire e supervisionare l’uso delle misure di sicurezza e la condotta del personale.
Implementare funzionalità che garantiscano allo staff una formazione adeguata e un’autorizzazione appropriata per accedere a PHI.
Definire i livelli di accesso per tutto il personale e il modo in cui è concesso
Richiedere che tutto il personale dell’ufficio medico, compresa la direzione, si sottoponga a formazione sulla sicurezza e abbia promemoria periodici e formazione degli utenti.
Protezione fisica

File PHI in un luogo sicuro e un’area di lavoro per i dipendenti (questo include l’uso di serrature, chiavi e badge che sbloccano le porte) che limitano l’accesso a persone non autorizzate e intrusi.

Sviluppare politiche per verificare le autorizzazioni di accesso, il controllo delle attrezzature e la gestione dei visitatori. Sviluppare e fornire la documentazione comprese le istruzioni su come il tuo studio medico può aiutare a proteggere le PHI (ad esempio, disconnettendo il computer prima di lasciarlo incustodito)
Fornire protezione contro gli incendi e altri pericoli
Salvaguardie tecniche

Stabilire un’identificazione utente unica comprendente password e numeri di pin

Adottare un controllo logoff automatico
Registrare ed esaminare l’attività del sistema a fini di controllo
Utilizzare i controlli di crittografia per proteggere i dati trasmessi su una rete
Applicazione e sanzioni per non conformità

Sanzioni civili$ 100 per mancato rispetto

$ 25.000 massimo all’anno per più violazioni dello stesso requisito
Penalità penali (per ottenere consapevolmente o divulgare PHI in violazione di HIPAA)

$ 50.000 fino a un anno di detenzione

$ 100.000 di multa e fino a cinque anni di reclusione (se la violazione comporta false pretese)
$ 250.000 di multa e fino a dieci anni di reclusione (se violazione invo ls intento a vendere, trasferire o utilizzare PHI)
3Tips per evitare Violare HIPAA

Adottare le misure necessarie per evitare di divulgare informazioni attraverso una conversazione di routine. Evitare la divulgazione di informazioni attraverso la conversazione di routine; discutere le informazioni dei pazienti nelle aree di attesa, nei corridoi o negli ascensori; corretto smaltimento delle PHI; e l’accesso alle informazioni deve essere strettamente limitato ai dipendenti il cui lavoro richiede tali informazioni. Le informazioni di base possono sembrare così insignificanti che possono essere facilmente citate nella conversazione di routine, ma dovrebbero essere condivise solo sulla base della necessità di conoscere.

Evitare di discutere le informazioni dei pazienti nelle aree di attesa, nei corridoi o negli ascensori. Le informazioni sensibili possono essere ascoltate dai visitatori o da altri pazienti. Assicurati inoltre di tenere i registri dei pazienti fuori dalle aree accessibili al pubblico. Dal momento che gli sportelli per il check-in e le postazioni per le infermiere sono all’aperto, fare il possibile per assicurarsi che i computer siano sempre protetti. I portadocumenti dovrebbero essere montati e il pannello frontale coperto secondo gli standard HIPAA.
PHI non dovrebbe mai essere smaltito nel cestino. Qualsiasi documento gettato nella spazzatura è aperto al pubblico e quindi una violazione delle informazioni. Ci sono molti modi per smaltire PHI. Il corretto smaltimento della carta PHI include la masterizzazione o la frantumazione. La PHI elettronica può essere eliminata cancellando, eliminando, riformattando, incenerendo, fondendo o triturando.
Esistono numerose tecnologie disponibili progettate per proteggere i dati dei pazienti. Essere selettivi nella scelta di dispositivi e software che proteggano i dati tramite una connessione wireless, inclusi firewall, anti-virus, anti-spyware e tecnologia di rilevamento delle intrusioni. Usare estrema cautela quando si accede ai dati tramite una connessione remota. Gli specialisti IT suggeriscono di utilizzare un sistema di autenticazione a due fattori con token e password di sicurezza.