La legge sulla portabilità e responsabilità delle assicurazioni sanitarie è stata emanata nel 1996. È applicata dall'Ufficio dei diritti civili del governo degli Stati Uniti. È un insieme di linee guida federali create per consentire ai dipendenti di prendere la loro assicurazione medica con loro se lasciano un datore di lavoro, consentono alle persone di accedere all'assicurazione medica nonostante condizioni preesistenti (in alcune condizioni) e di stabilire standard di privacy per la salute di un paziente informazione.
- La regola della privacy HIPAA protegge la privacy delle informazioni sanitarie identificabili individualmente.
- La regola di sicurezza HIPAA stabilisce standard nazionali per la sicurezza delle informazioni sanitarie elettroniche.
È richiesto dalla legge di fornire istruzione e formazione HIPAA alle persone che lavorano nel settore sanitario per garantire la responsabilità per la privacy e la sicurezza delle informazioni sanitarie protette. Le entità coperte devono formare tutti i membri della forza lavoro sulle politiche e procedure HIPAA.
1 -
Regole sulla privacy HIPAAGli standard per la privacy delle informazioni sanitarie identificabili individualmente (la regola sulla privacy) sono stati progettati per affrontare specificamente la protezione delle informazioni sulla salute personale di una persona. È importante per la vitalità del tuo studio medico mantenere la conformità HIPAA.
Chi è coperto dalla regola sulla privacy?
- Piani di salute
- Fornitori di servizi sanitari
- Clearinghouses di assistenza sanitaria
Un'entità coperta, come definito in HIPAA, può essere un piano di assicurazione sanitaria, una camera di compensazione sanitaria o un fornitore di assistenza sanitaria che trasmette informazioni sanitarie protette elettronicamente e può essere organizzazioni, istituzioni o persone.
I medici e altri operatori sanitari che lavorano con i pazienti e le loro cartelle cliniche riservate devono rispettare le politiche, le procedure e le leggi volte a proteggere la privacy e la riservatezza dei pazienti. Tutti gli operatori sanitari hanno la responsabilità di mantenere il personale addestrato e informato in merito alla conformità HIPAA . Se la divulgazione intenzionale o accidentale e non autorizzata di PHI è considerata una violazione di HIPAA.
- Soci in affari
Un socio in affari, come definito da HIPAA, è qualsiasi persona fisica o giuridica che svolge attività che comportano l'uso o la divulgazione di informazioni sanitarie protette per conto di un'entità coperta e non è un dipendente dell'entità coperta.
Quali informazioni sono protette?
PHI o informazioni sanitarie protette si riferisce a qualsiasi informazione identificativa individuale inclusa nella cartella clinica del paziente che viene trasmessa o mantenuta in qualsiasi forma.
Usi e informazioni
Un'entità coperta può utilizzare o divulgare informazioni sanitarie protette (PHI) senza autorizzazione in determinate condizioni.
- Per l'individuo
- Trattamento, pagamento e operazioni sanitarie
- Usi e divulgazioni con opportunità di accordo o oggetto
- Uso e divulgazione accidentale.
- Interesse pubblico e attività a beneficio
- Data Set limitato per scopi di ricerca, sanità pubblica o operazioni di assistenza sanitaria
Avviso sulla privacy
Gli operatori sanitari hanno l'obbligo di fornire ai propri pazienti un avviso di pratiche sulla privacy. Questo avviso, come richiesto dalla HIPAA Privacy Rule, dà ai pazienti il diritto di essere informati sui loro diritti alla privacy in relazione alle loro informazioni sanitarie protette (PHI).
L'avviso dovrebbe descrivere alcune informazioni in termini di facile comprensione:
- In che modo il fornitore utilizzerà e divulgherà il proprio PHI
- I diritti dei pazienti hanno riguardo al loro PHI
- Una dichiarazione che informa il paziente delle leggi che richiedono al fornitore di mantenere la privacy delle sue PHI
- Chi può contattare i pazienti per ulteriori informazioni in merito alle politiche sulla privacy del provider
Esecuzione e sanzioni per non conformità
Sanzioni civili
- $ 100 per mancato rispetto
- $ 25.000 al massimo all'anno per più violazioni dello stesso requisito
Penalità penali (per ottenere consapevolmente o divulgare PHI in violazione di HIPAA)
- $ 50.000 di multa e fino a un anno di reclusione
- $ 100.000 di multa e fino a cinque anni di reclusione (se la violazione comporta falsi pretesti)
- $ 250.000 di multa e fino a dieci anni di reclusione (se la violazione implica l'intenzione di vendere, trasferire o utilizzare PHI)
2 -
Regola di sicurezza HIPAAGli standard di sicurezza per la protezione delle informazioni elettroniche protette per la salute (la regola di sicurezza)
La sicurezza HIPAA si riferisce alla creazione di salvaguardie per PHI in qualsiasi formato elettronico. Ciò include qualsiasi informazione utilizzata, memorizzata o trasmessa elettronicamente. Qualsiasi struttura definita da HIPAA come entità coperta ha la responsabilità di garantire la privacy e la sicurezza delle informazioni dei suoi pazienti, nonché di mantenere la riservatezza delle loro PHI.
Chi è coperto dalla regola di sicurezza?
- Piani di salute
- Fornitori di servizi sanitari
- Clearinghouses di assistenza sanitaria
Un'entità coperta, come definito in HIPAA, può essere un piano di assicurazione sanitaria, una camera di compensazione sanitaria o un fornitore di assistenza sanitaria che trasmette informazioni sanitarie protette elettronicamente e può essere organizzazioni, istituzioni o persone.
- Soci in affari
Un socio in affari, come definito da HIPAA, è qualsiasi persona fisica o giuridica che svolge attività che comportano l'uso o la divulgazione di informazioni sanitarie protette per conto di un'entità coperta e non è un dipendente dell'entità coperta.
Quali informazioni sono protette?
PHI elettronico o Informazioni sanitarie protette si riferisce a qualsiasi informazione identificativa individuale inclusa nella cartella clinica del paziente che viene trasmessa o mantenuta in qualsiasi forma. La regola di sicurezza esclude la PHI trasmessa oralmente o per iscritto.
Semplificazione amministrativa
Le disposizioni sulla semplificazione amministrativa di HIPAA stabiliscono norme nazionali per la sicurezza delle informazioni sanitarie protette dal punto di vista elettronico. Ciò include le regole e gli standard per le transazioni e le serie di codici e gli identificatori per datori di lavoro e fornitori.
Transazioni e standard di set di codici
Le transazioni standard per l'Electronic Data Interchange (EDI) dei dati sanitari comprendono reclami e informazioni sugli incontri, consigli di pagamento e rimessa, stato delle richieste, ammissibilità, iscrizione e disen traggio, rinvii e autorizzazioni, coordinamento delle prestazioni e pagamento del premio.
Set di codici standard per diagnosi, procedure e codici farmaci includono HCPCS (Servizi ausiliari / Procedure), CPT-4 (Procedure per i medici), CDT (Terminologia dentale), ICD-9 (Diagnosi e procedure ospedaliere ospedaliere), ICD-10 ( A partire dal 1 ottobre 2015) e codici NDC (National Drug Codes).
Standard di identificazione per datori di lavoro e fornitori
Gli identificatori standard includono il numero di identificazione del datore di lavoro (EIN) e il National Provider Identifier (NPI). L'EIN viene utilizzato per identificare i datori di lavoro sulle transazioni standard. Il National Provider Identification o NPI è un numero identificativo univoco di 10 cifre utilizzato per sostituire gli identificativi del provider, come un numero di identificazione del provider univoco (UPIN) nelle transazioni standard HIPAA. I fornitori di assistenza sanitaria sono richiesti dalla regolamentazione di HIPAA per ottenere un NPI.
Le regole per il mantenimento della sicurezza HIPAA includono salvaguardie per tre aree chiave.
Tutele amministrative
- Sviluppare un processo formale di gestione della sicurezza che includa lo sviluppo di politiche e procedure, audit interni, piani di emergenza e altre misure di salvaguardia per garantire la conformità da parte del personale dell'ufficio medico.
- Assegnare la responsabilità della sicurezza a una persona designata per gestire e supervisionare l'uso delle misure di sicurezza e la condotta del personale.
- Implementare funzionalità che garantiscano allo staff una formazione adeguata e un'autorizzazione appropriata per accedere a PHI.
- Definire i livelli di accesso per tutto il personale e il modo in cui è concesso
- Richiedere che tutto il personale dell'ufficio medico, compresa la direzione, si sottoponga a formazione sulla sicurezza e abbia promemoria periodici e formazione degli utenti.
Salvaguardie fisiche
- File PHI in un luogo sicuro e un'area di lavoro per i dipendenti (questo include l'uso di serrature, chiavi e badge che sbloccano le porte) che limitano l'accesso a persone non autorizzate e intrusi.
- Sviluppare politiche per verificare le autorizzazioni di accesso, il controllo delle attrezzature e la gestione dei visitatori. Sviluppare e fornire la documentazione comprese le istruzioni su come il tuo studio medico può aiutare a proteggere le PHI (ad esempio, disconnettendo il computer prima di lasciarlo incustodito)
- Fornire protezione contro l'incendio e altri pericoli
Misure di sicurezza tecniche
- Stabilire un'identificazione utente unica, comprese password e numeri di pin
- Adottare un controllo di disconnessione automatico
- Registrare ed esaminare l'attività del sistema a fini di controllo
- Utilizzare i controlli di crittografia per proteggere i dati trasmessi su una rete
Esecuzione e sanzioni per non conformità
Sanzioni civili
- $ 100 per mancato rispetto
- $ 25.000 al massimo all'anno per più violazioni dello stesso requisito
Penalità penali (per ottenere consapevolmente o divulgare PHI in violazione di HIPAA)
- $ 50.000 di multa e fino a un anno di reclusione
- $ 100.000 di multa e fino a cinque anni di reclusione (se la violazione comporta falsi pretesti)
- $ 250.000 di multa e fino a dieci anni di reclusione (se la violazione implica l'intenzione di vendere, trasferire o utilizzare PHI)
3 -
Consigli per evitare la violazione di HIPAA- Adottare le misure necessarie per evitare di divulgare informazioni attraverso una conversazione di routine. Evitare la divulgazione di informazioni attraverso la conversazione di routine; discutere le informazioni dei pazienti nelle aree di attesa, nei corridoi o negli ascensori; corretto smaltimento delle PHI; e l'accesso alle informazioni deve essere strettamente limitato ai dipendenti il cui lavoro richiede tali informazioni. Le informazioni di base possono sembrare così insignificanti che possono essere facilmente citate nella conversazione di routine, ma dovrebbero essere condivise solo sulla base della necessità di conoscere.
- Evitare di discutere le informazioni dei pazienti nelle aree di attesa, nei corridoi o negli ascensori. Le informazioni sensibili possono essere ascoltate dai visitatori o da altri pazienti. Assicurati inoltre di tenere i registri dei pazienti fuori dalle aree accessibili al pubblico. Dal momento che gli sportelli per il check-in e le postazioni per le infermiere sono all'aperto, fare il possibile per assicurarsi che i computer siano sempre protetti. I portadocumenti dovrebbero essere montati e il pannello frontale coperto secondo gli standard HIPAA.
- PHI non dovrebbe mai essere smaltito nel cestino. Qualsiasi documento gettato nella spazzatura è aperto al pubblico e quindi una violazione delle informazioni. Ci sono molti modi per smaltire PHI. Il corretto smaltimento della carta PHI include la masterizzazione o la frantumazione. La PHI elettronica può essere eliminata cancellando, eliminando, riformattando, incenerendo, fondendo o triturando.
- Esistono numerose tecnologie disponibili progettate per proteggere i dati dei pazienti. Essere selettivi nella scelta di dispositivi e software che proteggano i dati tramite una connessione wireless, inclusi firewall, anti-virus, anti-spyware e tecnologia di rilevamento delle intrusioni. Usare estrema cautela quando si accede ai dati tramite una connessione remota. Gli specialisti IT suggeriscono di utilizzare un sistema di autenticazione a due fattori con token e password di sicurezza.