Ako zaistiť súlad s HIPAA?

JUDr. Bartolomej Gašparovič
JUDr. Bartolomej Gašparovič
11 min čítanie
Aby ste čo najlepšie zaistili súlad s HIPAA
Aby ste čo najlepšie zaistili súlad s HIPAA, zaistite, aby boli vaše zásady univerzálne použiteľné pre každého vo vašej organizácii, ktorý zaobchádza s zdravotnými údajmi o pacientoch alebo k nim má prístup.

Zákon o prenosnosti a zodpovednosti za zdravotné poistenie (HIPAA) je federálnym zákonom, ktorý vyžaduje, aby boli citlivé lekárske informácie uchovávané v bezpečí a v súkromí. Metódy, ktoré používate na organizáciu a sledovanie lekárskych informácií o pacientoch, musia byť v súlade s HIPAA, inak vám môžu hroziť vysoké pokuty alebo dokonca strata profesionálnych licencií. Jednotlivci a obchodní partneri môžu tiež za určitých okolností musieť dodržiavať HIPAA.

Časť 1 zo 4: Zabezpečenie údajov

  1. 1
    Nainštalujte antivírusové programy. Aktívna a aktuálna antivírusová ochrana vo vašich sieťach a na všetkých počítačoch v nej pomôže zaistiť bezpečnosť zdravotných údajov pacienta.
    • Počítačová bezpečnosť chráni nielen súkromie vašich pacientov alebo klientov, ale tiež vás chráni pred právnou zodpovednosťou v prípade krádeže alebo uvoľnenia týchto informácií z vašej organizácie.
    • Antivírusové programy zaisťujú ochranu vašich údajov pred poškodením alebo zničením počítačovými vírusmi alebo škodlivým softvérom.
    • Ak sú vo vašich počítačoch predinštalované antivírusové programy, uistite sa, že sú pravidelne aktualizované. Tiež by ste sa mali uistiť, že každá sieť, ktorú ste vytvorili pre svoje kancelárie, má dostatočné zabezpečenie a antivírusovú ochranu.
    • Ak ste sa niekedy stali obeťou počítačového vírusu, viete, ako môžu vo vašom systéme ničiť súbory a poškodzovať údaje. Ak by dotknuté súbory a údaje obsahovali súkromné lekárske údaje chránené HIPAA, porušovali by ste zákon.
  2. 2
    Pravidelne zálohujte lekárske údaje. Uloženie všetkých údajov na miesto mimo servera zaistí ich bezpečnosť a ochranu v prípade zlyhania pevného disku alebo servera.
    • HIPAA pokrýva všetky zdravotné informácie v akejkoľvek forme, ktorá osobne identifikuje pacienta. Bezpečnostné pokyny HIPAA zaisťujú, aby sa informácie o zdravotnom stave pacienta nedostali do nesprávnych rúk a aby neboli náhodne zmenené alebo zničené.
    • Zálohovanie vašich údajov mimo pracoviska zaisťuje, že súkromné lekárske informácie budú chránené pred stratou alebo poškodením, ak v kancelárii dôjde k katastrofe, ako je povodeň alebo požiar.
    • Zálohy tiež zaisťujú, že všetky omylom odstránené súbory alebo údaje je možné obnoviť.
    • Zvážte tiež vytvorenie pohotovostného plánu na obnovu údajov v prípade núdzového alebo náhodného vymazania. Každý taký plán by mal byť zapísaný, aby ho bolo možné v prípade potreby ľahko implementovať.
  3. 3
    Ovládajte prístup k počítačom. Všetky stroje, na ktorých sú súkromné lekárske informácie, musia byť chránené heslom a uložené na bezpečných miestach.
    • Počítač by ste napríklad nemali dávať na chodbu alebo do oblasti s vysokou návštevnosťou, kde by k nemu mal prístup okrem personálu niekto iný.
    • Počítačom by mal po krátkom období nečinnosti vypršať časový limit a heslá je potrebné uchovávať v bezpečí. Zamestnanci by si mali zapamätať heslá k počítaču, a nie ich nechať zverejniť na počítači alebo v jeho blízkosti.
    • Zaistite, aby zamestnanci nenechávali dokumenty, ktoré obsahujú súkromné lekárske údaje pacienta, v skeneroch, tlačiarňach alebo faxoch.
    • Váš počítačový systém by mal mať k dispozícii funkciu audit trail, aby ste si mohli stiahnuť históriu konkrétneho súboru a mať záznam o každom zamestnancovi, ktorý k súboru pristupoval, kedy k nemu pristupoval a aké zmeny boli vykonané.
  4. 4
    Zaistite, aby bolo nové zariadenie kompatibilné s existujúcimi systémami. Ak získate nové počítače alebo iné vybavenie, musíte sa uistiť, že má zavedenú rovnakú úroveň ochrany.
    • Tiež by ste sa mali uistiť, že akékoľvek nové zariadenie alebo stroje, ktoré uvádzate do prevádzky, majú samy dostatočné bezpečnostné funkcie.
    • Majte na pamäti, že počítač môže mať primerané zabezpečenie, ale nemusí byť kompatibilný s vašim aktuálnym systémom. Podobne nové zariadenie kompatibilné s vašim existujúcim systémom môže vyžadovať inovácie, aby sa zaistila bezpečnosť údajov.
  5. 5
    Šifrujte e -maily a elektronickú komunikáciu. Použitie šifrovania v e -mailoch a mobilných zariadeniach môže pomôcť zabrániť náhodnému odhaleniu zdravotných údajov pacienta.
    • HIPAA nezakazuje používanie e -mailu alebo mobilných zariadení na prenos informácií o pacientovi ani výslovne nevyžaduje šifrovanie e -mailov. Šifrovanie je však možné zaviesť pomerne jednoducho a je to nákladovo efektívna metóda na zaistenie bezpečnosti údajov.
    • Aj keď svoje e -maily nezašifrujete, musíte mať zavedené pravidlá o tom, ako sa s súkromnými informáciami o pacientovi zaobchádza v e -mailoch a mobilných zariadeniach.
    • Ak chcete zistiť, či by ste na zaistenie súladu s HIPAA mali používať šifrovanie, musíte vykonať posúdenie rizika a analyzovať, či nie je riziko, že by k neoprávneným používateľom získali prístup k súkromným informáciám o pacientoch. Ak je riziko relatívne vysoké, vo všeobecnosti by ste mali používať šifrovanie.
    • Vo väčšine prípadov je lepšie urobiť chybu na strane opatrnosti a zašifrovať elektronické údaje, aj keď to HIPAA výslovne nevyžaduje.
    • Ak pacientom umožníte vyžiadať si alebo získať prístup k svojim zdravotným informáciám prostredníctvom e -mailu alebo mobilnej aplikácie, priložte k nim informačné vyhlásenie a uistite sa, že rozumejú rizikám spojeným s týmto prístupom k ich informáciám.
    • Ak vaša organizácia umožňuje ukladanie súkromných lekárskych informácií na mobilné zariadenia, mali by ste mať zásady na ochranu týchto informácií a reguláciu sťahovania týchto zariadení z vašej kancelárie.
    • Rovnako musia byť uchované kontaktné informácie o pacientovi vrátane všetkých zoznamov adries alebo iných programov, ktoré by mohli spájať mená alebo e -mailové adresy s konkrétnymi liekmi alebo typmi liečby.
  6. 6
    Vyžadovať súlad s dodávateľmi IT. Ak máte dodávateľov alebo technologické spoločnosti, ktoré obsluhujú alebo udržiavajú vaše systémy, musíte sa uistiť, že rozumejú bezpečnosti vyžadovanej HIPAA.
    • Uschovajte si zoznam všetkých hardvérových, softvérových a sieťových komponentov, ako sú smerovače, ktoré používa vaša organizácia. Uistite sa, že všetky majú pri inštalácii dostatočné zabezpečenie, napríklad šifrovanie alebo brány firewall.
    • Tiež by ste sa mali uistiť, že všetci technologickí dodávatelia, s ktorými máte zmluvu, rozumejú požiadavkám HIPAA a sú ochotní s vami spolupracovať, aby zaistili koordináciu všetkých oddelených súčastí vašich počítačových systémov tak, aby spĺňali bezpečnostné štandardy.
Údaje obsahovali súkromné lekárske údaje chránené HIPAA
Ak by dotknuté súbory a údaje obsahovali súkromné lekárske údaje chránené HIPAA, porušovali by ste zákon.

Časť 2 zo 4: vývoj politík súladu

  1. 1
    Vytvorte zásady a postupy ochrany osobných údajov a zabezpečenia. Aby ste čo najlepšie zaistili súlad s HIPAA, zaistite, aby boli vaše zásady univerzálne použiteľné pre každého vo vašej organizácii, ktorý zaobchádza s zdravotnými údajmi o pacientoch alebo k nim má prístup.
    • HIPAA vyžaduje písomné zásady, ktoré obsahujú povinné školenia zamestnancov a sankcie za porušenie zásad.
    • Všetky zásady a postupy by mali byť dôkladne písomne zdokumentované a všeobecne dostupné pre všetkých zamestnancov.
    • Akékoľvek dohody, ktoré máte s inými obchodnými partnermi a ktoré môžu zaobchádzať s lekárskymi údajmi, musia tiež odrážať záväzok dodržiavať HIPAA. Ak máte akékoľvek existujúce dohody uzavreté pred účinnosťou zákona, uistite sa, že sú aktualizované tak, aby pokračujúci vzťah odrážal požiadavky HIPAA.
    • Majte na pamäti, že neexistuje žiadna univerzálna politika, ktorú by nariadila HIPAA. Musíte skôr vytvoriť zásady a postupy, ktoré budú riešiť konkrétne potreby vašej organizácie v oblasti ochrany osobných údajov a zabezpečenia.
  2. 2
    Vymenujte úradníkov pre ochranu osobných údajov a bezpečnosť, aby vynucovali dodržiavanie predpisov. Vaši dôstojníci by mali úplne porozumieť všetkým aktuálnym aspektom HIPAA a mať o nich aktuálne informácie.
    • Bezpečnostné štandardy HIPAA vyžadujú, aby ste vymenovali aspoň jednu osobu, ktorá bude pracovať ako váš manažér bezpečnosti. Táto osoba potrebuje nielen porozumieť právnym požiadavkám, ale aj systémom vašej konkrétnej organizácie a tomu, ako spolupracujú.
  3. 3
    Poskytnite všetkým svojim pacientom oznámenie o vašich zásadách ochrany osobných údajov a zabezpečenia. Každý pacient by vo všeobecnosti mal podpísať písomný dokument potvrdzujúci prijatie politík vašej organizácie.
    • Vaše písomné oznámenie musí pacientom vysvetliť ich práva týkajúce sa ich zdravotných informácií a musí im povedať, ako budú ich zdravotné informácie použité alebo zdieľané.
    • Okrem toho, že pacientom poskytnete vlastnú kópiu oznámenia, uistite sa, že máte upozornenie zverejnené na viditeľnom mieste vo vašej kancelárii, aby sa naň ktokoľvek mohol podľa potreby odvolať.
    • Podľa zákona nie sú pacienti povinní podpísať formulár, ale ak pacient odmietne podpísať, musíte urobiť záznam, že ste nedostali jeho podpis.
    • Ak potrebujete zdieľať súkromné lekárske informácie o pacientovi z iného dôvodu, ako je ošetrenie alebo platba na účet, musíte najskôr získať povolenie od pacienta.
  4. 4
    Zdokumentujte všetky porušenia. Ak zamestnanec nedodržiava zásady alebo postupy vašej organizácie, mal by byť podľa toho disciplinárne potrestaný a porušenie by malo byť zaznamenané.
    • Majte na pamäti, že ak niečo nezdokumentujete, nebudete môcť neskôr dokázať, že sa to stalo. Ak sa odhalí porušenie protokolu alebo medzera v zabezpečení, musíte dôkladne zdokumentovať, ako bol problém zistený a aké opatrenia boli prijaté na odstránenie alebo zmiernenie rizika.
    • Ak dôjde k narušeniu bezpečnosti, musíte tiež upozorniť všetkých pacientov, ktorých informácie boli zahrnuté.
    • Ak sa porušenie týka viac ako 500 pacientov, musíte tiež upozorniť veľké médiá v štáte alebo regióne, kde títo ľudia žijú.
HIPAA vyžaduje písomné zásady
HIPAA vyžaduje písomné zásady, ktoré musia byť zdieľané so všetkými zamestnancami, ktorí majú prístup k súkromným zdravotným informáciám.

Časť 3 zo 4: Školenie zamestnancov

  1. 1
    Poskytnite zamestnancom kópie písomných pokynov a zásad. Každý zamestnanec by mal mať svoju vlastnú kópiu týchto zásad, ktoré je potrebné použiť.
    • HIPAA vyžaduje písomné zásady, ktoré musia byť zdieľané so všetkými zamestnancami, ktorí majú prístup k súkromným zdravotným informáciám.
    • Svoje zásady by ste mali pravidelne kontrolovať a aktualizovať, aby boli v súlade s predpismi alebo názormi HHS.
    • Všetci zamestnanci musia byť vyškolení a podrobne informovaní o zásadách a požiadavkách HIPAA predtým, ako začnú pracovať so súkromnými lekárskymi informáciami.
    • Majte na pamäti, že ďalšie osoby, ktoré môžu mať prístup k súkromným zdravotným informáciám, vrátane dobrovoľníkov alebo stážistov, musia tiež absolvovať školenie o požiadavkách HIPAA, aj keď im neplatíte alebo ich považujete za zamestnancov.
  2. 2
    Vykonávajte pravidelné obnovovacie kurzy. Neustále vzdelávanie zaisťuje, že vaši zamestnanci nezabúdajú na správne postupy.
    • HIPAA je presadzovaný Úradom pre občianske práva (OCR) amerického ministerstva zdravotníctva a sociálnych služieb (HHS). Môžete požiadať rečníka OCR, aby so svojimi zamestnancami prediskutoval ochranu osobných údajov o zdravotnom stave vyplnením formulára na webovej stránke HHS.
    • Zdokumentujte svoje tréningové úsilie, aby ste mohli HHS predviesť, že školenie prebieha a zamestnanci, ktorí sa zaoberajú súkromnými informáciami o pacientoch, rozumejú požiadavkám HIPAA.
  3. 3
    Vyžadovať školenie o nových zásadách. Ak sa vaše pravidlá zmenia, mali by ste zaistiť, aby boli vaši zamestnanci poučení o ďalších požiadavkách alebo nových postupoch.
    • Zamestnanci by mali byť pravidelne testovaní, aby sa ubezpečili, že rozumejú štandardom ochrany súkromia a zabezpečenia HIPAA. Skóre testov uložte do personálneho spisu každého zamestnanca, aby boli kópie k dispozícii vášmu audítorovi OCR.
  4. 4
    Vynucovať štandardné postupy pre porušovanie zásad. Zamestnanci by mali pochopiť dôsledky porušovania predpisov a disciplína by sa mala uplatňovať konzistentne a univerzálne.
    • Zamestnanci, ktorí porušia vaše zásady ochrany osobných údajov, by mali byť sankcionovaní a z vašich postupov by nemali existovať žiadne výnimky. Ak urobíte výnimku, vytvorí sa sivá oblasť, pokiaľ ide o uchovávanie bezpečných údajov o pacientoch, a ktorá nebude HHS tolerovať.
Bezpečnostné pokyny HIPAA zaisťujú
Bezpečnostné pokyny HIPAA zaisťujú, aby sa informácie o zdravotnom stave pacienta nedostali do nesprávnych rúk a aby neboli náhodne zmenené alebo zničené.

Časť 4 zo 4: Vykonávanie hodnotení rizík

  1. 1
    Zmluva s externou firmou. Na hodnotenie rizika použite spoločnosť, ktorá nie je prepojená s vašou organizáciou.
    • Firma musí byť oboznámená s požiadavkami HIPAA a vykonávať testy s použitím federálnych štandardov a smerníc HIPAA.
    • Pretože budete podliehať pravidelným auditom od OCR, musíte uchovávať záznamy o spoločnosti, s ktorou uzavierate zmluvu, a výsledky posúdenia rizika na kontrolu audítorom.
  2. 2
    Naplánujte si ročné hodnotenie rizika. Spoločnosť by mala najmenej raz ročne nechať vykonať posúdenie rizika, aby ste sa uistili, že sú vaše systémy v zhode.
    • Posúdenie rizík je obzvlášť dôležité, ak používate počítačové systémy, ktoré boli nainštalované pred nadobudnutím účinnosti HIPAA. Novšie systémy sú s väčšou pravdepodobnosťou v zhode ako existujúce systémy, od ktorých sa nevyžaduje, aby akýmkoľvek spôsobom zabezpečovali údaje.
    • Hodnotenie rizika by malo porovnať vaše počítačové systémy s typom systému požadovaným HIPAA a identifikovať všetky medzery, ktoré váš systém nepokrýva a ktoré vyžadujú zákony.
    • Aj keď má vaša organizácia vysokú úroveň súladu, najlepšie spoločnosti na posudzovanie rizík stále odhalia oblasti, v ktorých je možné váš systém zlepšiť.
  3. 3
    Aktualizujte systémy tak, aby riešili zistené riziká. Ak posúdenie neodhalí bezpečnostné riziká, vykonajte opatrenia potrebné na odstránenie problému.
    • Keď sa vykonávajú revízie HIPAA alebo vydáva nové predpisy HHS, mali by ste skontrolovať svoje systémy a určiť, aké zmeny je potrebné vykonať, aby ste sa uistili, že ich dodržiavate.
    • Ak dôjde k porušeniu vášho bezpečnostného protokolu, mali by ste to okamžite prešetriť a zdokumentovať výsledky tohto vyšetrovania. V závislosti od typu porušenia, ku ktorému došlo, môže byť potrebné upovedomiť postihnutých pacientov alebo upovedomiť HHS alebo iné orgány.
  4. 4
    Revidujte zásady, aby ste minimalizovali riziká. Niektoré riziká odhalené vo vašom hodnotení rizika môžu vyžadovať vývoj nových postupov na najlepšie zabezpečenie zdravotných údajov pacienta.
    • Ak sú na zaistenie súladu s HIPAA nevyhnutné zmeny, komunikujte so zamestnancami, ktorých sa zmena dotkne, a uistite sa, že sú na palube.
    • Komunikácia v rámci jednotlivých oddelení je zásadná, najmä preto, že zamestnanci, ktorí v rámci systému pracujú pravidelne, môžu mať lepšie nápady, ako túto zmenu implementovať efektívnejšie.

Tipy

  • Ak si nie ste istí, či musíte dodržiavať HIPAA, HHS má na svojej webovej stránke k dispozícii tabuľku, ktorá vám môže pomôcť rozhodnúť sa, či sa podľa zákona kvalifikujete ako „krytý subjekt“.

Prečítajte si tiež: Ako hľadať zákony a predpisy o azbestu?

Prečítajte si tiež:

  1. Ako nahlásiť porušenie zákona HIPAA?
  2. Ako zrušiť liek?
  3. Ako získať invalidný vozík prostredníctvom zdravotníckeho ústavu?
Právne vylúčenie zodpovednosti Obsah tohto článku je zameraný na vaše všeobecné informácie a nemá slúžiť ako náhrada profesionálneho práva alebo finančného poradenstva. Nie je zámerom, aby sa na neho používatelia spoľahli pri prijímaní akýchkoľvek investičných rozhodnutí.
Súvisiace články
  1. Ako zabrániť krádeži lekárskych záznamov?Dr. h. c. Cyprián Neruda Ph.D.
  2. Ako vyhrať azbestovú osadu?Vanda Godolová
  3. Ako dodržiavať predpisy o azbestu?Ida Šimková
  4. Ako zažalovať za pôrodné poranenia?Dagmara Zemanová
  5. Ako získať informovaný súhlas s klinickým skúšaním?RNDr. Arpád Tatar
  6. Ako sa brániť v súdnom spore o úraz?RNDr. Arpád Tatar
FacebookTwitterInstagramPinterestLinkedInGoogle+YoutubeRedditDribbbleBehanceGithubCodePenWhatsappEmail