Latihan Pematuhan HIPAA Tahunan

Akta Portabiliti dan Akauntabiliti Insurans Kesihatan telah digubal pada tahun 1996. Ia dikuatkuasakan oleh Pejabat Hak Sivil Kerajaan Amerika Syarikat. Ini adalah satu set garis panduan persekutuan yang dibuat untuk membolehkan pekerja mengambil insurans perubatan mereka jika mereka meninggalkan majikan, membenarkan orang masuk ke insurans perubatan walaupun ada keadaan yang sedia ada (di bawah beberapa keadaan), dan menubuhkan piawaian privasi untuk kesihatan pesakit maklumat.

• Peraturan Privasi HIPAA melindungi privasi maklumat kesihatan yang dapat dikenal pasti secara individu.
• Peraturan Keselamatan HIPAA menetapkan piawaian kebangsaan untuk keselamatan maklumat kesihatan elektronik.

Ia dikehendaki oleh undang-undang untuk menyediakan pendidikan dan latihan HIPAA kepada individu yang bekerja dalam industri penjagaan kesihatan untuk memastikan akauntabiliti privasi dan keselamatan maklumat kesihatan yang dilindungi. Entiti yang dilindungi mesti melatih semua anggota tenaga kerja pada dasar dan prosedur HIPAA.

1 -

Peraturan Privasi HIPAA

Piawaian untuk Privasi Maklumat Kesihatan Individu yang dikenalpasti (Peraturan Privasi) direka untuk menangani secara khusus perlindungan maklumat peribadi seseorang individu. Adalah penting untuk kecergasan pejabat perubatan anda untuk mengekalkan pematuhan HIPAA.

Siapa yang Dilindungi oleh Peraturan Privasi?

• Pelan Kesihatan
• Penyedia penjagaan kesihatan
• Clearinghouses Penjagaan Kesihatan

Entiti yang dilindungi, seperti yang ditakrifkan dalam HIPAA, boleh menjadi pelan insurans kesihatan, penjelasan penjagaan kesihatan atau penyedia penjagaan kesihatan yang menghantar maklumat kesihatan terlindung secara elektronik dan boleh menjadi organisasi, institusi atau orang.

Doktor dan profesional penjagaan kesihatan lain yang bekerja dengan pesakit dan rekod perubatan sulit mereka harus mematuhi dasar, prosedur, dan undang-undang yang direka untuk melindungi privasi dan kerahsiaan pesakit. Semua penyedia penjagaan kesihatan mempunyai tanggungjawab untuk memastikan kakitangan mereka terlatih dan dimaklumkan mengenai pematuhan HIPAA . Sama ada pendedahan yang tidak disengajakan atau tidak sengaja, PHI dianggap melanggar HIPAA.

• Perniagaan Bersekutu

Rakan perniagaan, seperti yang ditakrifkan oleh HIPAA, adalah mana-mana orang atau entiti yang menjalankan perniagaan yang melibatkan penggunaan atau pendedahan maklumat kesihatan yang dilindungi bagi pihak entiti yang dilindungi dan bukannya pekerja entiti yang dilindungi.

Apakah Maklumat yang Dilindungi?

PHI atau Maklumat Kesihatan yang Dilindungi merujuk kepada maklumat pengenalpastian individu yang termasuk dalam rekod perubatan pesakit yang dihantar atau dikekalkan dalam sebarang bentuk.

Kegunaan dan Pendedahan

Entiti yang dilindungi boleh menggunakan atau mendedahkan maklumat kesihatan terlindung (PHI) tanpa kebenaran di bawah syarat tertentu.

1. Kepada Individu
2. Rawatan, Bayaran, dan Operasi Penjagaan Kesihatan
3. Kegunaan dan Pendedahan dengan Peluang untuk Setuju atau Objek
4. Penggunaan dan Pendedahan Sengaja.
5. Aktiviti Faedah dan Faedah Awam
6. Set Data Terbatas untuk tujuan penyelidikan, kesihatan awam atau operasi penjagaan kesihatan

Notis Amalan Privasi

Penyedia penjagaan kesihatan mempunyai kewajipan untuk menyediakan pesakit mereka dengan Notis Amalan Privasi. Notis ini, seperti yang dikehendaki oleh Peraturan Privasi HIPAA, memberi pesakit hak untuk dimaklumkan mengenai hak privasi mereka kerana ia berkaitan dengan maklumat kesihatan mereka yang dilindungi (PHI).

Pemberitahuan harus menerangkan maklumat tertentu dengan mudah untuk memahami istilah:

• Bagaimana pembekal akan menggunakan dan mendedahkan PHI mereka
• Pesakit hak berkenaan mempunyai PHI sendiri
• Pernyataan yang memaklumkan kepada pesakit undang-undang yang memerlukan penyedia untuk mengekalkan privasi PHI mereka
• Siapa pesakit boleh menghubungi untuk maklumat lanjut mengenai dasar privasi pembekal

Penguatkuasaan dan Penalti bagi Ketidakpatuhan

Penalti Wang Sivil

• $ 100 setiap kegagalan untuk mematuhi
• Maksimum $ 25,000 setahun untuk beberapa pelanggaran keperluan yang sama

Hukuman Jenayah (untuk mengetahui atau mendedahkan PHI yang melanggar HIPAA)

• $ 50,000 denda dan sehingga satu tahun penjara
• $ 100,000 denda dan sehingga lima tahun penjara (jika pelanggaran melibatkan pretenses palsu)
• $ 250,000 denda dan sehingga sepuluh tahun penjara (jika pelanggaran melibatkan niat untuk menjual, memindahkan atau menggunakan PHI)

2 -

Peraturan Keselamatan HIPAA

Standard Keselamatan untuk Perlindungan Maklumat Kesihatan Perlindungan Elektronik (Peraturan Keselamatan)

Keselamatan HIPAA merujuk kepada penubuhan perlindungan untuk PHI dalam sebarang format elektronik. Ini termasuk apa-apa maklumat yang digunakan, disimpan atau dihantar secara elektronik. Mana-mana kemudahan yang ditakrifkan oleh HIPAA sebagai entiti yang dilindungi mempunyai tanggungjawab untuk memastikan privasi dan keselamatan maklumat pesakitnya serta mengekalkan kerahsiaan PHI mereka.

Siapa yang Dilindungi oleh Peraturan Keselamatan?

• Pelan Kesihatan
• Penyedia penjagaan kesihatan
• Clearinghouses Penjagaan Kesihatan

Entiti yang dilindungi, seperti yang ditakrifkan dalam HIPAA, boleh menjadi pelan insurans kesihatan, penjelasan penjagaan kesihatan atau penyedia penjagaan kesihatan yang menghantar maklumat kesihatan terlindung secara elektronik dan boleh menjadi organisasi, institusi atau orang.

• Perniagaan Bersekutu

Rakan perniagaan, seperti yang ditakrifkan oleh HIPAA, adalah mana-mana orang atau entiti yang menjalankan perniagaan yang melibatkan penggunaan atau pendedahan maklumat kesihatan yang dilindungi bagi pihak entiti yang dilindungi dan bukannya pekerja entiti yang dilindungi.

Apakah Maklumat yang Dilindungi?

Maklumat Elektronik PHI atau Maklumat Kesihatan yang Dilindungi merujuk kepada maklumat pengenalpastian individu yang termasuk dalam rekod perubatan pesakit yang dihantar atau dikekalkan dalam sebarang bentuk. Peraturan keselamatan tidak termasuk PHI yang dipancarkan secara lisan atau secara bertulis.

Penyederhanaan Pentadbiran

Peruntukan penyederhanaan pentadbiran HIPAA menetapkan piawaian kebangsaan untuk keselamatan maklumat kesihatan dilindungi elektronik. Ini termasuk peraturan dan piawaian untuk urus niaga dan set kod dan pengenal untuk majikan dan pembekal.

Urus Niaga dan Piawaian Set Kod

Transaksi standard untuk Data Penukaran Data Elektronik (EDI) mengenai data penjagaan kesihatan termasuk maklumat tuntutan dan pertemuan, nasihat pembayaran dan pengiriman, status tuntutan, kelayakan, pendaftaran dan penyerahan, rujukan dan kebenaran, koordinasi manfaat dan pembayaran premium.

Kod standard yang ditetapkan untuk diagnosis, prosedur dan kod ubat termasuk HCPCS (Perkhidmatan Tambahan / Prosedur), CPT-4 (Prosedur Doktor), CDT (Terminologi Gigi), ICD-9 (Diagnosis dan Prosedur Pesakit Dalam Hospital) Sehingga 1 Oktober 2015) dan Kod NDC (Kod Dadah Kebangsaan).

Piawaian Pengenal untuk Majikan dan Penyedia

Pengenal standard termasuk Nombor Pengenalan Majikan (EIN) dan Pengenal Kebangsaan Penyedia (NPI). EIN digunakan untuk mengenal pasti majikan mengenai transaksi standard. Pengenal Kebangsaan atau NPI adalah 10 digit, nombor pengenalan yang unik yang digunakan untuk mengambil tempat pengenal penyedia seperti nombor pengenalan Unique Provider (UPIN) dalam transaksi standard HIPAA. Penyedia penjagaan kesihatan diperlukan oleh peraturan HIPAA untuk mendapatkan NPI.

Peraturan untuk mengekalkan keselamatan HIPAA termasuk perlindungan untuk tiga bidang utama.

Perlindungan Pentadbiran

1. Membangunkan proses pengurusan keselamatan formal termasuk pembangunan dasar dan prosedur, audit dalaman, pelan kontingensi dan perlindungan lain untuk memastikan pematuhan oleh kakitangan pejabat perubatan.
2. Tugaskan tanggungjawab keselamatan kepada orang yang ditetapkan untuk mengurus dan menyelia penggunaan langkah-langkah keselamatan dan kelakuan kakitangan.
3. Melaksanakan ciri-ciri yang memastikan kakitangan mempunyai latihan yang betul dan kebenaran yang tepat untuk mengakses PHI.
4. Tentukan tahap akses untuk semua kakitangan dan bagaimana ia diberikan
5. Memerlukan bahawa semua kakitangan pejabat perubatan termasuk pengurusan menjalani latihan keselamatan dan mempunyai peringatan berkala dan pendidikan pengguna.

Perlindungan fizikal

1. File PHI di lokasi yang selamat dan ruang kerja untuk pekerja (ini termasuk penggunaan kunci, kunci, dan lencana yang membuka kunci pintu) yang menyekat akses kepada orang yang tidak dibenarkan dan penceroboh.
2. Membangunkan dasar untuk mengesahkan kebenaran akses, kawalan peralatan, dan pengendalian pelawat. Membangun dan menyediakan dokumentasi termasuk arahan bagaimana pejabat perubatan anda dapat membantu melindungi PHI (contohnya, log keluar komputer sebelum meninggalkannya tanpa pengawasan)
3. Memberi perlindungan terhadap kebakaran dan bahaya lain

Perlindungan Teknikal

1. Menubuhkan pengenalan pengguna yang unik termasuk kata laluan dan nombor pin
2. Mengamalkan kawalan logoff automatik
3. Catat dan periksa aktiviti sistem untuk tujuan pengauditan
4. Gunakan kawalan penyulitan untuk melindungi data yang dihantar melalui rangkaian

Penguatkuasaan dan Penalti bagi Ketidakpatuhan

Penalti Wang Sivil

• $ 100 setiap kegagalan untuk mematuhi
• Maksimum $ 25,000 setahun untuk beberapa pelanggaran keperluan yang sama

Hukuman Jenayah (untuk mengetahui atau mendedahkan PHI yang melanggar HIPAA)

• $ 50,000 denda dan sehingga satu tahun penjara
• $ 100,000 denda dan sehingga lima tahun penjara (jika pelanggaran melibatkan pretenses palsu)
• $ 250,000 denda dan sehingga sepuluh tahun penjara (jika pelanggaran melibatkan niat untuk menjual, memindahkan atau menggunakan PHI)

3 -

Tips untuk Menghindari Melanggar HIPAA

1. Ambil langkah-langkah yang perlu untuk mencegah daripada mendedahkan maklumat melalui perbualan rutin. Elakkan pendedahan maklumat melalui perbualan rutin; membincangkan maklumat pesakit di kawasan menunggu, lorong atau lif; pelupusan PHI yang betul; dan akses kepada maklumat adalah terhad kepada pekerja yang pekerjaannya memerlukan maklumat tersebut. Maklumat asas boleh kelihatan sangat tidak penting yang dapat disebut dengan mudah dalam perbualan rutin tetapi hanya perlu dikongsi dengan keperluan untuk mengetahui asasnya.
2. Elakkan membincangkan maklumat pesakit di kawasan menunggu, lorong atau lif. Maklumat sensitif boleh didengar oleh pengunjung atau pesakit lain. Juga pastikan untuk menyimpan rekod pesakit daripada kawasan yang boleh diakses oleh orang ramai. Oleh kerana stesen meja dan jururawat daftar keluar berada di tempat terbuka, pergi lebih jauh untuk memastikan komputer terjamin sepanjang masa. Pemegang carta perlu dipasang dan panel depan dilindungi mengikut piawaian HIPAA.
3. PHI tidak boleh dilupuskan dalam tong sampah. Sebarang dokumen yang dibuang di sampah terbuka kepada orang ramai dan oleh itu pelanggaran maklumat. Terdapat banyak cara untuk melupuskan PHI. Pembuangan kertas PHI yang betul termasuk membakar atau mencarik. PHI Elektronik boleh dilupuskan dengan memadam, memotong, memformat semula, membakar, mencairkan, atau mencarik.
4. Terdapat beberapa teknologi yang tersedia yang direka untuk menjamin data pesakit. Selektif dalam memilih peranti dan perisian yang mengamankan data melalui sambungan wayarles termasuk firewall, anti-virus, anti-spyware, dan teknologi pengesanan pencerobohan. Gunakan peringatan yang melampau apabila mengakses data melalui sambungan jauh. Pakar IT mencadangkan menggunakan sistem pengesahan dua faktor dengan token keselamatan dan kata laluan.