没有人应该在健康和安全上妥协,这就是HIPAA所确保的。
1996年颁布了《健康保险可携带和责任法案》(HIPAA),以使患者更好地获取其健康信息并规范其保护。多年来,HIPAA已经发展到创造数据泄露通知要求,并确定它适用的实体。
如果你在医疗保健行业工作,人们经常谈论HIPAA,但它是什么,你如何满足它的要求?
《健康保险携带与责任法案》(HIPAA)描述了受保护健康信息(PHI)的正确使用和披露,如何保护它,以及在发生违约时该怎么办。卫生与公众服务部(HHS)负责监管HIPAA,而民权办公室(OCR)负责执行合规工作。
当针对医疗保健机构提出不合规投诉时,OCR将对该组织进行调查,以确定索赔是否属实。如果组织被发现违反了HIPAA,罚款和纠正措施可能会被施加。
HIPAA法规由三个主要规则组成。HIPAA隐私、安全和违规通知规则为医疗保健组织提供了共享信息、保护敏感患者信息以及响应和报告违规行为的指导方针。
HIPAA隐私规则主要关注使用和披露受保护的健康信息。仅允许在特定原因下使用和披露PHI,例如治疗、付款和医疗保健。任何其他使用或披露都需要患者事先书面同意。
HIPAA最低标准还要求限制对PHI的访问。访问PHI的权限应该只授予工作需要的员工。这种接触也应限于执行其工作职能所必需的资料。
例如,行政助理可能需要访问一些患者信息来安排预约。这名员工可能需要知道病人的姓名、联系方式、保险信息,在某些情况下,还需要基本的程序信息,以确定预约的持续时间。他们不需要查看病人的全部档案。
你们的隐私实践通知(NPP)必须清楚地概述你们的组织如何使用和披露患者信息。它还应该讨论患者的知情权。患者应在摄入后提供NPP以供复查。
患者的权利(HIPAA访问权)在隐私规则中也有详细说明。HIPAA访问权标准要求医疗保健提供者应要求向患者提供访问其医疗记录的权限。所要求的记录必须在提出要求后30天内提供给患者。患者也有权在适用时收到他们要求的格式的记录。
HIPAA安全规则要求维护PHI的机密性、完整性和可用性。从本质上讲,这意味着医疗保健组织必须保护PHI的隐私,并防止未经授权的更改或破坏。HIPAA保障措施有助于实现最佳数据安全.
HIPAA安全措施是为防止未经授权的访问、使用或披露PHI而采取的管理、技术和物理措施。
管理保障是为员工提供正确使用和披露PHI的指导方针的政策和过程。他们还概述了员工的HIPAA培训和安全风险评估要求。
技术保障措施是保护电子PHI (ePHI)的措施。技术保障措施的常见例子包括加密、用户认证、访问控制和审计控制。
物理防护措施,如锁和报警系统,保护组织的物理位置。
HIPAA违约通知规则要求涵盖的公司和业务伙伴报告PHI违约。
并非所有事件都是违约。常见的违规示例包括黑客攻击事件、未授权访问PHI、向未授权方披露PHI、纸质记录被盗或丢失,以及未加密的便携式电子设备被盗或丢失。
例如,加密笔记本电脑被盗或丢失就不属于泄密行为,因为信息无法被访问。如果笔记本电脑上的信息不安全,并被未经授权的人访问,这将是一个漏洞。
患者数据泄露是强制性的。违规组织必须在发现事件后60天内以书面形式通知受影响的患者。各组织还必须向卫生与公众服务部(HHS)报告该违规行为。
如果事件影响不到500名患者,各组织在日历年结束后有最多60天的时间向HHS报告。如果事件影响到500名或更多患者,组织必须在发现后30天向HHS报告。影响500名或更多患者的违规行为也必须向媒体报告。
HIPAA保护患者信息,即受保护的健康信息(PHI)。PHI被定义为与过去、现在或未来提供的医疗保健相关的任何个人可识别的健康信息。
电子保护健康信息(ePHI)是指以电子格式存储的PHI,例如在笔记本电脑或电子健康记录平台上。ePHI也必须受到HIPAA的保护。
美国卫生与公众服务部(HHS)将受保护的健康信息分为18个唯一标识符。这18个标识符中的每一个都被认为是PHI,如果它与医疗保健服务的提供相关联。
来源:法规遵循集团
以下是18个HIPAA标识符:
一个常见的误解是,HIPAA适用于访问或披露健康信息。虽然HIPAA限制PHI的使用和披露,但HIPAA仅适用于涉及治疗、支付或医疗保健业务的组织。这些组织被称为“覆盖实体”和“业务伙伴”。
有可能访问PHI或ePHI的组织必须符合HIPAA。
涉及的实体包括医疗保健提供商、保险公司和票据交换所。医生、牙医、心理健康专业人员、脊椎按摩师和健康保险提供者都是被覆盖的实体。
业务伙伴是由可能访问PHI的覆盖实体签约的供应商。电子健康记录(EHR)平台、电子邮件服务提供商、在线预约调度程序和托管服务提供商是商业伙伴的常见示例。
HIPAA合规涉及几个步骤。这只能算是及格或不及格。你要么听话,要么不听话。您需要满足HIPAA合规的每个步骤的要求,并每年完成其中的一些要求。
来源:法规遵循集团
安全风险评估(sra)对于满足HIPAA要求至关重要。要符合HIPAA标准,您必须填写HIPAA安全风险评估每年。这是因为sra衡量您当前对HIPAA标准的保护。当您当前的工作不足以满足HIPAA标准时,就会出现空白。
“缺口”是可能导致HIPAA违反和违规的缺陷。这就是补救计划发挥作用的地方。补救计划创建可操作的步骤,以消除合规性差距。为了有效,补救计划必须是具体的,包括将采取什么措施来缩小差距,谁负责补救,以及补救的时间表。
政策和程序的设计必须考虑到HIPAA的三条规则。政策和程序应适应组织的类型和规模,并应每年加以审查和更新,以使其有效。
政策及程序概述:
在过去,组织使用HIPAA手册作为他们的政策和程序。然而,由于HIPAA手册是开箱即用的,它们无法解决组织如何运作的细微差别。
适合小型医疗实践的政策和程序可能不适用于大型医院集团,就像为承保实体编写的政策和程序可能不适用于业务伙伴一样。
有可能获得PHI或ePHI的员工需要每年进行培训。培训应包括HIPAA最佳实践、组织政策和程序概述以及网络安全最佳实践。
HIPAA建议员工在入职时就应该接受培训,所以每年举办一次培训课程是不够的。灵活的HIPAA员工培训计划对于满足培训需求至关重要。
使用一个在线培训工具是实现这一目标的最佳方式。通过在线培训计划,员工可以在需要时被分配培训,按照自己的节奏完成培训,管理员可以跟踪员工的进度。
提示:使用独立的HIPAA培训计划可以帮助您满足一些HIPAA培训要求,但要确保员工也接受过组织政策和程序方面的培训。
HIPAA商业伙伴协议(HIPAA BAAs)是必须在承保实体与其业务伙伴(或两个业务伙伴)之间签署的法律合同。HIPAA baa应在交换PHI或ePHI之前签署。并不是每个供应商都愿意或能够充当业务伙伴;如果提供者没有签署BAA,它就不能履行任何业务伙伴职责。
假设您正在寻找一个允许患者自己预约的在线预约调度程序。您找到了一个满足您管理需求的供应商,但它不想签署附属协议。在他们签署BAA之前,您不能与该提供者签订患者调度合同。
HIPAA合规性的一部分是实施经过测试的事件响应计划。控件可以快速识别、响应和报告事件事件响应计划。具有经过测试的事件响应计划的组织在降低成本的同时,极大地减少了从事件中恢复所需的时间。
虽然许多违规行为会导致HIPAA违规,但违规行为本身从来都不是公司被罚款的原因。当组织未能遵守HIPAA标准时,就会发生违反HIPAA的情况。HIPAA罚款可根据违规的严重程度而定。
来源:法规遵循集团
违反HIPAA的常见例子包括:
那么,一个组织什么时候会因为违规而被罚款呢?
HIPAA的罚款是根据察觉到的疏忽程度来发放的。
被发现违反HIPAA的组织通常会受到OCR监控和纠正措施的影响。纠正行动计划由OCR在完成HIPAA违规调查后制定,当组织发现缺陷时。它们旨在通过使组织的合规计划与HIPAA标准保持一致来防止进一步的违规和事件。
《健康保险可携带性与责任法案》应该是任何涉及医疗保健的组织(受保实体或商业伙伴)的首要任务。简单地说,要在医疗保健领域工作,您必须符合HIPAA。
如果没有HIPAA,患者数据很容易受到未经授权的使用和泄露。当数据泄露发生时,患者不仅会对组织保护其机密信息的能力失去信心,而且还可能导致HIPAA违规和昂贵的罚款。
通过实施有效的符合所有HIPAA标准的HIPAA合规计划,您可以改善整体安全状况,并降低违反和违规的可能性。
患者现在更加了解HIPAA和他们的权利。HIPAA合规让他们放心,他们可以放心地将敏感信息交给您。
隐私管理不会以获得一种类型的遵从性为终点。了解关于数据隐私管理并确保您的组织安全。
