Pelatihan Kepatuhan HIPAA Tahunan

Undang - undang Portabilitas dan Akuntabilitas Asuransi Kesehatan diberlakukan pada tahun 1996. Hal ini diberlakukan oleh Kantor Hak Sipil Pemerintah Amerika Serikat. Ini adalah seperangkat pedoman federal yang dibuat untuk memungkinkan karyawan untuk mengambil asuransi medis mereka dengan mereka jika mereka meninggalkan majikan, memungkinkan orang mengakses asuransi medis meskipun kondisi yang sudah ada sebelumnya (dalam beberapa kondisi), dan untuk menetapkan standar privasi untuk kesehatan pasien informasi.

• Aturan Privasi HIPAA melindungi privasi informasi kesehatan yang dapat diidentifikasi secara individual.
• Aturan Keamanan HIPAA menetapkan standar nasional untuk keamanan informasi kesehatan elektronik.

Diwajibkan oleh hukum untuk memberikan pendidikan dan pelatihan HIPAA kepada individu yang bekerja di industri kesehatan untuk memastikan akuntabilitas untuk privasi dan keamanan informasi kesehatan yang dilindungi. Perusahaan tertutup harus melatih semua anggota angkatan kerja tentang kebijakan dan prosedur HIPAA.

1 -

Aturan Privasi HIPAA

Standar untuk Privasi Informasi Kesehatan Individu yang Dapat Diidentifikasi (Aturan Privasi) dirancang untuk secara khusus menangani perlindungan informasi kesehatan pribadi seseorang. Penting bagi vitalitas kantor medis Anda untuk mempertahankan kepatuhan HIPAA.

Siapa yang Ditanggung oleh Aturan Privasi?

• Rencana Kesehatan
• Penyedia layanan kesehatan
• Perawatan Kesehatan Clearinghouses

Entitas tertutup, sebagaimana didefinisikan dalam HIPAA, dapat berupa rencana asuransi kesehatan, clearinghouse perawatan kesehatan atau penyedia layanan kesehatan yang mentransmisikan informasi kesehatan yang dilindungi secara elektronik dan dapat berupa organisasi, lembaga atau orang.

Dokter dan profesional perawatan kesehatan lainnya yang bekerja dengan pasien dan catatan medis rahasia mereka harus mematuhi kebijakan, prosedur, dan hukum yang dirancang untuk melindungi privasi dan kerahasiaan pasien. Semua penyedia layanan kesehatan memiliki tanggung jawab untuk menjaga staf mereka dilatih dan diberi informasi mengenai kepatuhan HIPAA . Apakah pengungkapan PHI yang disengaja atau tidak disengaja, tidak sah dianggap sebagai pelanggaran HIPAA.

• Asosiasi bisnis

Rekan bisnis, sebagaimana didefinisikan oleh HIPAA, adalah setiap orang atau badan yang melakukan bisnis yang melibatkan penggunaan atau pengungkapan informasi kesehatan yang dilindungi atas nama entitas yang dilindungi dan bukan merupakan karyawan dari entitas yang dilindungi.

Informasi Apa yang Dilindungi?

PHI atau Informasi Kesehatan yang Dilindungi mengacu pada setiap informasi identifikasi individu yang termasuk dalam rekam medis pasien yang ditransmisikan atau dipelihara dalam bentuk apa pun.

Penggunaan dan Pengungkapan

Entitas tertutup dapat menggunakan atau mengungkapkan informasi kesehatan yang dilindungi (PHI) tanpa otorisasi dalam kondisi tertentu.

1. Kepada Individu
2. Perawatan, Pembayaran, dan Operasi Perawatan Kesehatan
3. Penggunaan dan Pengungkapan dengan Peluang untuk Menyetujui atau Objek
4. Penggunaan Insidental dan Pengungkapan.
5. Kegiatan Kepentingan Umum dan Manfaat
6. Set Data Terbatas untuk keperluan penelitian, kesehatan masyarakat atau perawatan kesehatan

Pemberitahuan Praktik Privasi

Penyedia layanan kesehatan memiliki kewajiban untuk memberikan pasien mereka Pemberitahuan Praktik Privasi. Pemberitahuan ini, sebagaimana diharuskan oleh Aturan Privasi HIPAA, memberi pasien hak untuk diberitahu tentang hak privasi mereka yang berkaitan dengan informasi kesehatan yang dilindungi (PHI).

Pemberitahuan harus menggambarkan informasi tertentu dengan istilah yang mudah dipahami:

• Bagaimana penyedia akan menggunakan dan mengungkapkan PHI mereka
• Para pasien hak memiliki tentang PHI mereka sendiri
• Sebuah pernyataan yang memberi tahu pasien tentang undang-undang yang mengharuskan penyedia untuk menjaga privasi PHI mereka
• Pasien yang dapat dihubungi untuk informasi lebih lanjut mengenai kebijakan privasi penyedia

Penegakan dan Hukuman untuk Ketidakpatuhan

Hukuman Uang Sipil

• $ 100 per kegagalan untuk mematuhi
• $ 25.000 maksimum per tahun untuk beberapa pelanggaran dengan persyaratan yang sama

Hukuman Pidana (karena secara sadar memperoleh atau mengungkapkan PHI yang melanggar HIPAA)

• $ 50.000 denda dan hingga satu tahun penjara
• $ 100.000 denda dan hingga lima tahun penjara (jika pelanggaran melibatkan kepura-puraan palsu)
• $ 250.000 denda dan hingga sepuluh tahun penjara (jika pelanggaran melibatkan niat untuk menjual, mentransfer, atau menggunakan PHI)

2 -

Aturan Keamanan HIPAA

Standar Keamanan untuk Perlindungan Informasi Kesehatan Elektronik yang Dilindungi (Aturan Keamanan)

Keamanan HIPAA mengacu pada penetapan perlindungan untuk PHI dalam format elektronik apa pun. Ini termasuk informasi apa pun yang digunakan, disimpan, atau dikirim secara elektronik. Setiap fasilitas yang didefinisikan oleh HIPAA sebagai entitas tertutup memiliki tanggung jawab untuk memastikan privasi dan keamanan informasi pasiennya serta menjaga kerahasiaan PHI mereka.

Siapa yang Ditanggung oleh Aturan Keamanan?

• Rencana Kesehatan
• Penyedia layanan kesehatan
• Perawatan Kesehatan Clearinghouses

Entitas tertutup, sebagaimana didefinisikan dalam HIPAA, dapat berupa rencana asuransi kesehatan, clearinghouse perawatan kesehatan atau penyedia layanan kesehatan yang mentransmisikan informasi kesehatan yang dilindungi secara elektronik dan dapat berupa organisasi, lembaga atau orang.

• Asosiasi bisnis

Rekan bisnis, sebagaimana didefinisikan oleh HIPAA, adalah setiap orang atau badan yang melakukan bisnis yang melibatkan penggunaan atau pengungkapan informasi kesehatan yang dilindungi atas nama entitas yang dilindungi dan bukan merupakan karyawan dari entitas yang dilindungi.

Informasi Apa yang Dilindungi?

PHI Elektronik atau Informasi Kesehatan yang Dilindungi mengacu pada setiap informasi identifikasi individu yang termasuk dalam rekam medis pasien yang ditransmisikan atau dipelihara dalam bentuk apa pun. Aturan keamanan tidak termasuk PHI yang dikirimkan secara lisan atau tertulis.

Penyederhanaan Administratif

Ketentuan penyederhanaan administrasi dari HIPAA menetapkan standar nasional untuk keamanan informasi kesehatan yang dilindungi elektronik. Ini termasuk aturan dan standar untuk transaksi dan kumpulan kode dan pengidentifikasi untuk pemberi kerja dan penyedia.

Transaksi dan Standar Kode Set

Transaksi standar untuk Data Elektronik Interchange (EDI) dari data perawatan kesehatan termasuk klaim dan informasi pertemuan, saran pembayaran dan pengiriman uang, status klaim, kelayakan, pendaftaran dan pembatalan, rujukan dan otorisasi, koordinasi manfaat dan pembayaran premi.

Kode standar untuk diagnosis, prosedur, dan kode obat termasuk HCPCS (Layanan / Prosedur Tambahan), CPT-4 (Prosedur Dokter), CDT (Terminologi Gigi), ICD-9 (Diagnosis dan prosedur rawat inap di rumah sakit), ICD-10 ( Mulai 1 Oktober 2015) dan kode NDC (National Drug Codes).

Standar Identifier untuk Pengusaha dan Penyedia

Pengenal standar termasuk Nomor Identifikasi Pengusaha (EIN) dan Pengenal Penyedia Nasional (NPI). EIN digunakan untuk mengidentifikasi pengusaha pada transaksi standar. Identifikasi Penyedia Nasional atau NPI adalah 10 digit, nomor identifikasi unik yang digunakan untuk menggantikan pengenal penyedia layanan seperti Nomor Identifikasi Penyedia Unik (UPIN) dalam transaksi standar HIPAA. Penyedia layanan kesehatan diharuskan oleh peraturan HIPAA untuk mendapatkan NPI.

Aturan untuk menjaga keamanan HIPAA termasuk perlindungan untuk tiga bidang utama.

Perlindungan Administratif

1. Mengembangkan proses manajemen keamanan formal termasuk pengembangan kebijakan dan prosedur, audit internal, rencana kontinjensi dan perlindungan lainnya untuk memastikan kepatuhan oleh staf kantor medis.
2. Tetapkan tanggung jawab keamanan kepada orang yang ditunjuk untuk mengelola dan mengawasi penggunaan langkah-langkah keamanan dan perilaku staf.
3. Menerapkan fitur yang memastikan staf memiliki pelatihan yang tepat dan otorisasi yang tepat untuk mengakses PHI.
4. Tentukan tingkat akses untuk semua staf dan bagaimana itu diberikan
5. Perlu bahwa semua staf kantor medis termasuk manajemen menjalani pelatihan keamanan dan memiliki pengingat dan pendidikan pengguna secara berkala.

Perlindungan Fisik

1. File PHI di lokasi aman dan ruang kerja untuk karyawan (ini termasuk penggunaan kunci, kunci, dan lencana yang membuka pintu) yang membatasi akses ke orang yang tidak berwenang dan penyusup.
2. Kembangkan kebijakan untuk memverifikasi otorisasi akses, kontrol peralatan, dan penanganan pengunjung. Kembangkan dan berikan dokumentasi termasuk instruksi tentang bagaimana kantor medis Anda dapat membantu melindungi PHI (misalnya, keluar dari komputer sebelum meninggalkannya tanpa pengawasan)
3. Memberikan perlindungan terhadap api dan bahaya lainnya

Pengamanan Teknis

1. Buat identifikasi pengguna unik termasuk kata sandi dan nomor pin
2. Adopsi kontrol logoff otomatis
3. Rekam dan periksa aktivitas sistem untuk tujuan audit
4. Memanfaatkan kontrol enkripsi untuk melindungi data yang dikirimkan melalui jaringan

Penegakan dan Hukuman untuk Ketidakpatuhan

Hukuman Uang Sipil

• $ 100 per kegagalan untuk mematuhi
• $ 25.000 maksimum per tahun untuk beberapa pelanggaran dengan persyaratan yang sama

Hukuman Pidana (karena secara sadar memperoleh atau mengungkapkan PHI yang melanggar HIPAA)

• $ 50.000 denda dan hingga satu tahun penjara
• $ 100.000 denda dan hingga lima tahun penjara (jika pelanggaran melibatkan kepura-puraan palsu)
• $ 250.000 denda dan hingga sepuluh tahun penjara (jika pelanggaran melibatkan niat untuk menjual, mentransfer, atau menggunakan PHI)

3 -

Tips Menghindari Pelanggaran HIPAA

1. Ambil langkah yang diperlukan untuk mencegah pengungkapan informasi melalui percakapan rutin. Hindari pengungkapan informasi melalui percakapan rutin; mendiskusikan informasi pasien di area tunggu, lorong atau lift; pembuangan PHI yang tepat; dan akses terhadap informasi sangat terbatas pada karyawan yang pekerjaannya membutuhkan informasi itu. Informasi dasar dapat terlihat sangat tidak berarti sehingga dapat dengan mudah disebutkan dalam percakapan rutin tetapi hanya boleh dibagikan berdasarkan kebutuhan untuk mengetahui dasar.
2. Hindari mendiskusikan informasi pasien di area tunggu, lorong atau lift. Informasi sensitif dapat didengar oleh pengunjung atau pasien lain. Juga pastikan untuk menyimpan catatan pasien dari area yang dapat diakses oleh publik. Karena meja check-in dan stasiun perawat berada di tempat terbuka, bekerja ekstra untuk memastikan komputer aman setiap saat. Pemegang kartu harus dipasang dan panel depan ditutup sesuai dengan standar HIPAA.
3. PHI tidak boleh dibuang di tempat sampah. Dokumen apa pun yang dibuang ke tempat sampah terbuka untuk umum dan karena itu pelanggaran informasi. Ada banyak cara untuk membuang PHI. Pembuangan kertas yang tepat PHI termasuk membakar atau memotong-motong. PHI elektronik dapat dibuang dengan menghapus, menghapus, memformat ulang, membakar, meleleh, atau memotong-motong.
4. Ada sejumlah teknologi yang tersedia yang dirancang untuk mengamankan data pasien. Bersikap selektif dalam memilih perangkat dan perangkat lunak yang mengamankan data melalui koneksi nirkabel termasuk firewall, anti-virus, anti-spyware, dan teknologi deteksi intrusi. Gunakan sangat hati-hati ketika mengakses data melalui koneksi jarak jauh. Pakar TI menyarankan menggunakan sistem otentikasi dua faktor dengan token keamanan dan kata sandi.