Jaarlijkse HIPAA-conformiteitstraining

De Portability and Accountability Act van de ziekteverzekering werd in 1996 vastgesteld. Deze wordt gehandhaafd door het Office of Civil Rights van de regering van de Verenigde Staten. Het is een reeks federale richtlijnen die zijn opgesteld om werknemers in staat te stellen hun medische verzekering mee te nemen als ze een werkgever verlaten, mensen toegang geven tot een medische verzekering ondanks reeds bestaande voorwaarden (onder bepaalde voorwaarden), en privacystandaarden vast te stellen voor de gezondheid van een patiënt informatie.

• De HIPAA-privacyregel beschermt de privacy van individueel identificeerbare gezondheidsinformatie.
• De HIPAA-beveiligingsregel stelt nationale normen voor de beveiliging van elektronische gezondheidsinformatie.

Het is wettelijk verplicht om HIPAA-educatie en -training te bieden aan personen die werkzaam zijn in de gezondheidszorg om verantwoordelijkheid te nemen voor de privacy en veiligheid van beschermde gezondheidsinformatie. Gedekte entiteiten moeten alle personeelsleden trainen op HIPAA-beleid en -procedures.

1 -

HIPAA Privacyregel

De normen voor de privacy van individueel identificeerbare gezondheidsinformatie (de privacyregel) was bedoeld om specifiek de bescherming van iemands persoonlijke gezondheidsinformatie aan te pakken. Het is belangrijk voor de vitaliteit van uw medische kantoor om de HIPAA-conformiteit te behouden.

Wie valt onder de privacyregel?

• Gezondheidsplannen
• Zorgaanbieders
• Clearinghouses in de gezondheidszorg

Een gedekte entiteit, zoals gedefinieerd in HIPAA, kan een ziekteverzekeringsplan zijn, een verrekencentrum voor de gezondheidszorg of een zorgaanbieder die beschermde gezondheidsinformatie elektronisch verzendt en die organisaties, instellingen of personen kan zijn.

Artsen en andere beroepsbeoefenaren in de gezondheidszorg die met patiënten werken en hun vertrouwelijke medische dossiers moeten zich houden aan het beleid, de procedures en de wetten die zijn ontworpen om de privacy en vertrouwelijkheid van de patiënt te beschermen. Alle zorgaanbieders hebben de verantwoordelijkheid om hun personeel getraind en op de hoogte te houden met betrekking tot HIPAA-conformiteit . Of opzettelijke of onopzettelijke, ongeoorloofde openbaarmaking van PHI wordt beschouwd als een overtreding van HIPAA.

• Zakenpartners

Een zakenpartner, zoals gedefinieerd door HIPAA, is een persoon of entiteit die zaken doet met betrekking tot het gebruik of de openbaarmaking van beschermde gezondheidsinformatie namens een onder de post vallende entiteit en die geen werknemer is van de gedekte entiteit.

Welke informatie is beschermd?

PHI of beschermde gezondheidsinformatie verwijst naar elke individueel identificeerbare informatie die is opgenomen in het medische dossier van een patiënt en die wordt doorgegeven of in welke vorm dan ook wordt bijgehouden.

Gebruik en onthullingen

Een gedekte entiteit mag beschermde gezondheidsinformatie (PHI) zonder toestemming onder bepaalde voorwaarden gebruiken of vrijgeven.

1. Aan het individu
2. Behandelingen, betalingen en gezondheidszorg
3. Gebruik en onthullingen met mogelijkheid tot overeenstemming of bezwaar
4. Incidenteel gebruik en openbaarmaking.
5. Publiek belang en voordelen activiteiten
6. Beperkte dataset voor doeleinden van onderzoek, volksgezondheid of gezondheidszorg

Privacy Practices Notice

Zorgaanbieders zijn verplicht om hun patiënten een Notice of Privacy Practices te verstrekken. Deze kennisgeving, zoals vereist door de HIPAA-privacyregel, geeft patiënten het recht op informatie over hun privacyrechten in verband met hun beschermde gezondheidsinformatie (PHI).

De kennisgeving moet bepaalde informatie in gemakkelijk te begrijpen termen beschrijven:

• Hoe de provider hun PHI gebruikt en vrijgeeft
• De rechten die patiënten hebben met betrekking tot hun eigen PHI
• Een verklaring waarin de patiënt wordt geïnformeerd over wetten die van de aanbieder verlangen dat hij de privacy van zijn PHI handhaaft
• Met wie kunnen patiënten contact opnemen voor meer informatie over het privacybeleid van de provider

Handhaving en straffen voor niet-naleving

Burgerlijk geld Sancties

• $ 100 per niet-naleving
• $ 25.000 maximum per jaar voor meerdere schendingen van dezelfde vereiste

Strafrechtelijke sancties (voor het bewust verkrijgen of bekendmaken van PHI in strijd met HIPAA)

• $ 50.000 boete en een gevangenisstraf van maximaal een jaar
• $ 100.000 boete en tot vijf jaar gevangenisstraf (als overtreding valse voorwendselen met zich meebrengt)
• 250.000 dollar boete en opsluiting tot tien jaar (als schending de intentie inhoudt om PHI te verkopen, over te dragen of te gebruiken)

2 -

HIPAA-beveiligingsregel

De beveiligingsnormen voor de bescherming van elektronische beschermde gezondheidsinformatie (de beveiligingsregel)

HIPAA-beveiliging verwijst naar het instellen van veiligheidsmaatregelen voor PHI in elk elektronisch formaat. Dit omvat alle informatie die elektronisch wordt gebruikt, opgeslagen of verzonden. Elke faciliteit die door HIPAA wordt gedefinieerd als een gedekte entiteit heeft de verantwoordelijkheid om de privacy en veiligheid van de informatie van haar patiënt te waarborgen en de vertrouwelijkheid van hun PHI te handhaven.

Wie valt onder de beveiligingsregel?

• Gezondheidsplannen
• Zorgaanbieders
• Clearinghouses in de gezondheidszorg

Een gedekte entiteit, zoals gedefinieerd in HIPAA, kan een ziekteverzekeringsplan zijn, een verrekencentrum voor de gezondheidszorg of een zorgaanbieder die beschermde gezondheidsinformatie elektronisch verzendt en die organisaties, instellingen of personen kan zijn.

• Zakenpartners

Een zakenpartner, zoals gedefinieerd door HIPAA, is een persoon of entiteit die zaken doet met betrekking tot het gebruik of de openbaarmaking van beschermde gezondheidsinformatie namens een onder de post vallende entiteit en die geen werknemer is van de gedekte entiteit.

Welke informatie is beschermd?

Elektronische PHI of beschermde gezondheidsinformatie verwijst naar elke individueel identificeerbare informatie die is opgenomen in het medische dossier van een patiënt en die wordt doorgegeven of in welke vorm dan ook wordt bijgehouden. De beveiligingsregel sluit PHI uit dat mondeling of schriftelijk wordt doorgegeven.

Administratieve vereenvoudiging

De administratieve vereenvoudigingsbepalingen van HIPAA stellen nationale normen vast voor de beveiliging van elektronische beschermde gezondheidsinformatie. Dit omvat de regels en standaarden voor transacties en codesets en identificaties voor werkgevers en leveranciers.

Transacties en codeset-normen

Standaardtransacties voor de elektronische gegevensuitwisseling (EDI) van gegevens over gezondheidszorg omvatten claims en ontmoetingsinformatie, betalings- en overboekingsadvies, claimstatus, geschiktheid, inschrijving en uitschrijving, verwijzingen en autorisaties, coördinatie van uitkeringen en premiebetaling.

Standaard codesets voor diagnose, procedure en medicatiecodes omvatten de HCPCS (ondersteunende diensten / procedures), CPT-4 ( Artsenprocedures ), CDT (Dental Terminology), ICD-9 (Diagnose en ziekenhuis klinische procedures), ICD-10 ( Met ingang van 1 oktober 2015) en NDC-codes (National Drug Codes).

Identificatienormen voor werkgevers en leveranciers

Standaard-ID's zijn Het Employer Identification Number (EIN) en de National Provider Identifier (NPI). De EIN wordt gebruikt om werkgevers te identificeren bij de standaardtransacties. De nationale provideridentificatie of NPI is een 10-cijferig, uniek identificatienummer dat wordt gebruikt om de provider-identificatiegegevens, zoals een Unique Provider Identification Number (UPIN), te vervangen in standaard HIPAA-transacties. Zorgaanbieders zijn verplicht door HIPAA te reguleren om een ​​NPI te verkrijgen.

De regels voor het handhaven van de HIPAA-beveiliging omvatten waarborgen voor drie belangrijke gebieden.

Administratieve veiligheidscontrole

1. Ontwikkel een formeel proces voor beveiligingsbeheer, inclusief de ontwikkeling van beleid en procedures, interne audits, noodplannen en andere voorzorgsmaatregelen om ervoor te zorgen dat medisch kantoorpersoneel hieraan voldoet.
2. Wijs de verantwoordelijkheid van de beveiliging toe aan een aangewezen persoon om het gebruik van beveiligingsmaatregelen en het gedrag van het personeel te beheren en te controleren.
3. Voer functies uit die ervoor zorgen dat het personeel de juiste training en juiste autorisatie heeft om toegang te krijgen tot PHI.
4. Definieer toegangsniveaus voor alle medewerkers en hoe deze worden toegekend
5. Vereisen dat alle medische kantoorpersoneel, inclusief het management, een beveiligingsopleiding volgt en periodieke herinneringen en gebruikerseducatie ontvangt.

Fysieke veiligheidscontroles

1. Bestand PHI op een veilige locatie en werkruimte voor werknemers (dit omvat het gebruik van vergrendelingen, sleutels en badges die deuren ontgrendelen) die de toegang tot onbevoegde personen en indringers beperken.
2. Ontwikkel beleid voor het verifiëren van toegangsrechten, apparatuurbeheer en het afhandelen van bezoekers. Ontwikkel en verstrek documentatie inclusief instructies over hoe uw medische kantoor kan helpen om PHI te beschermen (bijvoorbeeld afmelden van de computer voordat u deze onbeheerd achterlaat)
3. Bieden bescherming tegen brand en andere gevaren

Technische veiligheidsmaatregelen

1. Breng unieke gebruikersidentificatie tot stand, inclusief wachtwoorden en pincodes
2. Keur een automatische uitlogcontrole goed
3. Registreer en onderzoek systeemactiviteit voor auditdoeleinden
4. Gebruik coderingsbesturingselementen om verzonden gegevens via een netwerk te beveiligen

Handhaving en straffen voor niet-naleving

Burgerlijk geld Sancties

• $ 100 per niet-naleving
• $ 25.000 maximum per jaar voor meerdere schendingen van dezelfde vereiste

Strafrechtelijke sancties (voor het bewust verkrijgen of bekendmaken van PHI in strijd met HIPAA)

• $ 50.000 boete en opsluiting tot één jaar
• $ 100.000 boete en tot vijf jaar gevangenisstraf (als overtreding valse voorwendselen met zich meebrengt)
• 250.000 dollar boete en opsluiting tot tien jaar (als schending de intentie inhoudt om PHI te verkopen, over te dragen of te gebruiken)

3 -

Tips om te voorkomen dat u HIPAA schendt

1. Neem de noodzakelijke stappen om te voorkomen dat u informatie vrijgeeft via een routinegesprek. Vermijd openbaarmaking van informatie door middel van routine gesprekken; bespreken van patiëntinformatie in wachtruimtes, gangen of liften; juiste verwijdering van PHI; en de toegang tot informatie is strikt beperkt tot werknemers van wie de baan die informatie vereist. Basisinformatie kan zo onbeduidend lijken dat het gemakkelijk in een routinegesprek kan worden vermeld, maar alleen moet worden gedeeld op basis van een behoefte om te weten.
2. Voorkom overleg met patiënteninformatie in wachtruimtes, gangen of liften. Gevoelige informatie kan door bezoekers of andere patiënten worden afgeluisterd. Zorg er ook voor dat u patiëntendossiers bijhoudt van gebieden die toegankelijk zijn voor het publiek. Omdat de incheckbalies en verpleegstersposten open zijn, doe er alles aan om ervoor te zorgen dat computers altijd veilig zijn. Kaarthouders moeten worden gemonteerd en het voorpaneel moet worden bedekt volgens de HIPAA-normen.
3. PHI mag nooit in de prullenbak worden gegooid. Elk document dat in de prullenbak wordt gegooid is open voor het publiek en is daarom een ​​inbreuk op de informatie. Er zijn veel manieren om van PHI af te komen. Correcte verwijdering van papier PHI omvat branden of versnipperen. Elektronische PHI kan worden verwijderd door te wissen, te verwijderen, opnieuw te formatteren, te verbranden, te smelten of te versnipperen.
4. Er zijn een aantal beschikbare technologieën ontworpen om patiëntgegevens te beveiligen. Wees selectief bij het kiezen van apparaten en software die gegevens beveiligen via een draadloze verbinding, inclusief firewalls, antivirus-, antispyware- en intrusion detection-technologie. Wees uiterst voorzichtig wanneer u gegevens via een externe verbinding gebruikt. IT-specialisten stellen voor om een ​​tweefactorauthenticatiesysteem met beveiligingstokens en -wachtwoorden te gebruiken.