Jährliches HIPAA Compliance Training
- Die HIPAA-Datenschutzregel schützt die Privatsphäre von individuell identifizierbaren Gesundheitsinformationen.
- Die HIPAA-Sicherheitsregel legt nationale Standards für die Sicherheit elektronischer Gesundheitsinformationen fest.
1
HIPAA-Datenschutzregel
Die Datenschutzstandards für individuell identifizierbare Gesundheitsinformationen (die Datenschutzregel) waren speziell auf den Schutz der persönlichen Gesundheitsinformationen einer Person ausgerichtet. Für die Vitalität Ihrer Arztpraxis ist es wichtig, die HIPAA-Konformität aufrechtzuerhalten.Wer unter die Datenschutzbestimmungen fällt?
- Gesundheitspläne
- Gesundheitsdienstleister
- Clearingstellen für das Gesundheitswesen
Ärzte und andere Angehörige der Gesundheitsberufe, die mit Patienten und deren vertraulichen medizinischen Unterlagen arbeiten, müssen die Richtlinien, Verfahren und Gesetze zum Schutz der Privatsphäre und der Vertraulichkeit von Patienten einhalten. Alle Gesundheitsdienstleister sind verpflichtet, ihre Mitarbeiter über die Einhaltung der HIPAA-Bestimmungen zu informieren und zu schulen. Unabhängig davon, ob beabsichtigt oder versehentlich, gilt die unbefugte Weitergabe von PHI als Verstoß gegen die HIPAA.
- Geschäftspartner
Welche Informationen sind geschützt??
PHI- oder geschützte Gesundheitsinformationen beziehen sich auf alle individuell identifizierbaren Informationen in der Krankenakte eines Patienten, die in irgendeiner Form übermittelt oder aufbewahrt werden.Verwendungen und Angaben
Unter bestimmten Bedingungen kann ein betroffenes Unternehmen geschützte Gesundheitsinformationen (PHI) ohne Genehmigung verwenden oder offenlegen.
- Für den Einzelnen
- Behandlung, Bezahlung und Gesundheitspflege
- Verwendungen und Offenlegungen mit der Möglichkeit zu einer Einigung oder einem Widerspruch
- Nebengebrauch und Offenlegung.
- Aktivitäten von öffentlichem Interesse und Nutzen
- Eingeschränkter Datensatz für Zwecke der Forschung, des Gesundheitswesens oder des Gesundheitswesens
Hinweis zum Datenschutz
Leistungserbringer im Gesundheitswesen sind verpflichtet, ihren Patienten Hinweise zum Datenschutz zu geben. Dieser Hinweis, wie in der HIPAA-Datenschutzrichtlinie vorgeschrieben, gibt Patienten das Recht, über ihre Datenschutzrechte in Bezug auf ihre geschützten Gesundheitsinformationen (PHI) informiert zu werden..Der Hinweis sollte bestimmte Informationen in leicht verständlichen Begriffen beschreiben:
- Wie der Anbieter seine PHI verwendet und offenlegt
- Die Rechte der Patienten in Bezug auf ihre eigene PHI
- Eine Erklärung, die den Patienten über Gesetze informiert, nach denen der Anbieter die Privatsphäre seiner PHI schützen muss
- An wen sich Patienten wenden können, um weitere Informationen zu den Datenschutzrichtlinien des Anbieters zu erhalten
Durchsetzung und Strafen bei Nichteinhaltung
Zivilgeldstrafen- 100 US-Dollar pro Nichteinhaltung
- Maximal 25.000 USD pro Jahr für mehrere Verstöße gegen dieselbe Anforderung
- Geldstrafe von 50.000 USD und Freiheitsstrafe von bis zu einem Jahr
- Geldstrafe von 100.000 USD und Freiheitsstrafe von bis zu fünf Jahren (wenn die Verletzung falsche Täuschungen beinhaltet)
- 250.000 US-Dollar Geldstrafe und Freiheitsstrafe von bis zu zehn Jahren (wenn der Verstoß die Absicht beinhaltet, PHI zu verkaufen, zu übertragen oder zu verwenden)
HIPAA-Sicherheitsregel
Die Sicherheitsstandards für den Schutz elektronisch geschützter Gesundheitsinformationen (die Sicherheitsregel)HIPAA-Sicherheit bezieht sich auf die Einrichtung von Sicherheitsvorkehrungen für PHI in jedem elektronischen Format. Dies schließt jegliche Informationen ein, die elektronisch verwendet, gespeichert oder übertragen werden. Jede Einrichtung, die von der HIPAA als gedeckte Einrichtung definiert wurde, ist dafür verantwortlich, die Vertraulichkeit und Sicherheit der Patientendaten zu gewährleisten und die Vertraulichkeit ihrer PHI zu wahren.
Wer ist von der Sicherheitsregel gedeckt??
- Gesundheitspläne
- Gesundheitsdienstleister
- Clearingstellen für das Gesundheitswesen
- Geschäftspartner
Welche Informationen sind geschützt??
Elektronische PHI- oder geschützte Gesundheitsinformationen beziehen sich auf alle individuell identifizierbaren Informationen, die in der Krankenakte eines Patienten enthalten sind und in irgendeiner Form übertragen oder aufbewahrt werden. Die Sicherheitsregel schließt mündlich oder schriftlich übermittelte PHI aus.Verwaltungsvereinfachung
Die Bestimmungen der HIPAA zur Verwaltungsvereinfachung legen nationale Standards für die Sicherheit elektronisch geschützter Gesundheitsinformationen fest. Dies umfasst die Regeln und Standards für Transaktionen sowie Codesätze und Kennungen für Arbeitgeber und Anbieter.Transaktionen und Standards für Codes
Zu den Standardtransaktionen für den elektronischen Datenaustausch (EDI) von Gesundheitsdaten gehören Schaden- und Begegnungsinformationen, Zahlungs- und Überweisungshinweise, Schadenstatus, Berechtigung, An- und Abmeldung, Überweisungen und Genehmigungen, Leistungskoordination und Prämienzahlung.Zu den Standardcodes für Diagnose-, Verfahrens- und Arzneimittelcodes gehören HCPCS (Nebendienstleistungen / Verfahren), CPT-4 (Arztverfahren), CDT (Zahnterminologie), ICD-9 (Diagnose- und Krankenhauspatientenverfahren), ICD-10 (Krankenhauspatientenverfahren). Stand: 1. Oktober 2015) und NDC-Codes (National Drug Codes).
Identifizierungsstandards für Arbeitgeber und Anbieter
Zu den Standardidentifikatoren gehören die Employer Identification Number (EIN) und die National Provider Identifier (NPI). Das EIN wird verwendet, um Arbeitgeber bei den Standardtransaktionen zu identifizieren. Die National Provider Identification (NPI) ist eine 10-stellige, eindeutige Identifikationsnummer, die bei HIPAA-Standardtransaktionen anstelle von Anbieterkennungen verwendet wird, z. B. eine eindeutige Anbieterkennnummer (UPIN). Anbieter von Gesundheitsleistungen sind gemäß der HIPAA-Verordnung verpflichtet, einen NPI zu erhalten.Die Regeln zur Aufrechterhaltung der HIPAA-Sicherheit umfassen Schutzmaßnahmen für drei Schlüsselbereiche.
Administrative Sicherheitsvorkehrungen
- Entwicklung eines formalen Sicherheitsmanagementprozesses, einschließlich der Entwicklung von Richtlinien und Verfahren, internen Audits, Notfallplänen und anderen Sicherheitsvorkehrungen, um sicherzustellen, dass die Mitarbeiter der Arztpraxis die Vorschriften einhalten.
- Übertragen Sie die Verantwortung für die Sicherheit einer bestimmten Person, um die Anwendung von Sicherheitsmaßnahmen und das Verhalten des Personals zu verwalten und zu überwachen.
- Implementieren Sie Funktionen, die sicherstellen, dass das Personal über die richtige Schulung und Berechtigung zum Zugriff auf PHI verfügt.
- Definieren Sie die Zugriffsebenen für alle Mitarbeiter und wie sie gewährt werden
- Fordern Sie, dass alle Mitarbeiter der Arztpraxis, einschließlich des Managements, eine Sicherheitsschulung absolvieren und regelmäßige Erinnerungen und Schulungen für Benutzer erhalten.
- Speichern Sie PHI an einem sicheren Ort und in einem sicheren Arbeitsbereich für Mitarbeiter (dies schließt die Verwendung von Schlössern, Schlüsseln und Ausweisen zum Entriegeln von Türen ein), die den Zugriff auf unbefugte Personen und Eindringlinge beschränken.
- Entwickeln Sie Richtlinien zum Überprüfen von Zugriffsberechtigungen, zur Gerätekontrolle und zum Behandeln von Besuchern. Entwicklung und Bereitstellung von Dokumentation, einschließlich Anweisungen, wie Ihre Arztpraxis zum Schutz von PHI beitragen kann (z. B. Abmelden des Computers, bevor er unbeaufsichtigt bleibt)
- Vor Feuer und anderen Gefahren schützen
- Richten Sie eine eindeutige Benutzeridentifikation ein, einschließlich Passwörtern und PIN-Nummern
- Übernehmen Sie eine automatische Abmeldesteuerung
- Zeichnen Sie die Systemaktivität zu Überwachungszwecken auf und untersuchen Sie sie
- Verwenden Sie Verschlüsselungskontrollen, um über ein Netzwerk übertragene Daten zu schützen
Durchsetzung und Strafen bei Nichteinhaltung
Zivilgeldstrafen- 100 US-Dollar pro Nichteinhaltung
- Maximal 25.000 USD pro Jahr für mehrere Verstöße gegen dieselbe Anforderung
- Geldstrafe von 50.000 USD und Freiheitsstrafe von bis zu einem Jahr
- Geldstrafe von 100.000 USD und Freiheitsstrafe von bis zu fünf Jahren (wenn die Verletzung falsche Täuschungen beinhaltet)
- 250.000 US-Dollar Geldstrafe und Freiheitsstrafe von bis zu zehn Jahren (wenn der Verstoß die Absicht beinhaltet, PHI zu verkaufen, zu übertragen oder zu verwenden)
Tipps, um Verletzungen der HIPAA zu vermeiden
- Ergreifen Sie die erforderlichen Maßnahmen, um zu verhindern, dass Informationen im Rahmen von Routinegesprächen weitergegeben werden. Vermeiden Sie die Weitergabe von Informationen durch Routinegespräche. Besprechen von Patienteninformationen in Wartebereichen, Fluren oder Aufzügen; ordnungsgemäße Entsorgung von PHI; und der Zugang zu Informationen ist streng auf Mitarbeiter beschränkt, deren Jobs diese Informationen erfordern. Grundlegende Informationen können so unbedeutend erscheinen, dass sie leicht in Routinegesprächen erwähnt werden können, aber nur auf der Grundlage von Kenntnissen weitergegeben werden sollten.
- Vermeiden Sie es, Patienteninformationen in Wartebereichen, Fluren oder Aufzügen zu besprechen. Sensible Informationen können von Besuchern oder anderen Patienten abgehört werden. Stellen Sie außerdem sicher, dass Patientenakten nicht in Bereichen aufbewahrt werden, die der Öffentlichkeit zugänglich sind. Da die Check-in-Schalter und die Schwesternstationen im Freien sind, müssen Sie zusätzliche Anstrengungen unternehmen, um sicherzustellen, dass die Computer jederzeit gesichert sind. Kartenhalter sollten montiert und die Frontplatte gemäß den HIPAA-Standards abgedeckt werden.
- PHI darf niemals in den Hausmüll gegeben werden. Jedes Dokument, das in den Papierkorb geworfen wird, ist für die Öffentlichkeit zugänglich und stellt daher einen Verstoß gegen Informationen dar. Es gibt viele Möglichkeiten, PHI zu entsorgen. Zur ordnungsgemäßen Entsorgung von Papier gehört das Verbrennen oder Zerkleinern. Elektronisches PHI kann durch Löschen, Neuformatieren, Verbrennen, Schmelzen oder Zerkleinern entsorgt werden.
- Es gibt eine Reihe verfügbarer Technologien zur Sicherung von Patientendaten. Seien Sie wählerisch bei der Auswahl von Geräten und Software, die Daten über eine drahtlose Verbindung schützen, einschließlich Firewalls, Antiviren-, Antispyware- und Intrusion Detection-Technologie. Seien Sie äußerst vorsichtig, wenn Sie über eine Remoteverbindung auf Daten zugreifen. IT-Spezialisten empfehlen die Verwendung eines Zwei-Faktor-Authentifizierungssystems mit Sicherheitstoken und Passwörtern.