Pelatihan Kepatuhan HIPAA Tahunan

Portabilitas Asuransi Kesehatan dan Akuntabilitas Act diundangkan pada tahun 1996. Ini ditegakkan oleh Kantor Hak Sipil Pemerintah Amerika Serikat. Ini adalah seperangkat pedoman federal yang dibuat untuk memungkinkan karyawan membawa asuransi kesehatan mereka jika mereka meninggalkan majikan, memberikan orang akses ke asuransi kesehatan terlepas dari kondisi yang sudah ada sebelumnya (dalam beberapa kondisi), dan untuk menetapkan standar privasi untuk kesehatan pasien. informasi.

• Peraturan Privasi HIPAA melindungi privasi dari informasi kesehatan yang dapat diidentifikasi secara individual.
• Peraturan Keamanan HIPAA menetapkan standar nasional untuk keamanan informasi kesehatan elektronik.

Undang-undang diharuskan untuk menyediakan pendidikan dan pelatihan HIPAA kepada individu yang bekerja di industri perawatan kesehatan untuk memastikan akuntabilitas atas privasi dan keamanan informasi kesehatan yang dilindungi. Entitas yang dilindungi harus melatih semua anggota angkatan kerja tentang kebijakan dan prosedur HIPAA.

1

Aturan Privasi HIPAA

Standar untuk Privasi Informasi Kesehatan yang Dapat Diidentifikasi Individual (Aturan Privasi) dirancang untuk secara khusus menangani perlindungan informasi kesehatan pribadi individu. Penting bagi vitalitas kantor medis Anda untuk mempertahankan kepatuhan HIPAA.

Siapa yang Dicakup oleh Aturan Privasi?

• Paket Kesehatan
• Penyedia layanan kesehatan
• Lembaga Kliring Perawatan Kesehatan

Entitas yang dilindungi, sebagaimana didefinisikan dalam HIPAA, dapat berupa rencana asuransi kesehatan, clearing house layanan kesehatan atau penyedia layanan kesehatan yang mentransmisikan informasi kesehatan yang dilindungi secara elektronik dan dapat berupa organisasi, institusi atau orang.

Dokter dan profesional kesehatan lainnya yang bekerja dengan pasien dan catatan medis rahasia mereka harus mematuhi kebijakan, prosedur, dan undang-undang yang dirancang untuk melindungi privasi dan kerahasiaan pasien. Semua penyedia layanan kesehatan memiliki tanggung jawab untuk membuat staf mereka terlatih dan mendapat informasi tentang kepatuhan HIPAA. Baik disengaja atau tidak disengaja, pengungkapan PHI yang tidak sah dianggap sebagai pelanggaran HIPAA.

• Asosiasi bisnis

Seorang rekan bisnis, sebagaimana didefinisikan oleh HIPAA, adalah setiap orang atau entitas yang menjalankan bisnis yang melibatkan penggunaan atau pengungkapan informasi kesehatan yang dilindungi atas nama entitas yang dilindungi dan bukan karyawan dari entitas yang dilindungi.

Informasi Apa Yang Dilindungi?

PHI atau Informasi Kesehatan yang Dilindungi mengacu pada informasi pengidentifikasi individual yang termasuk dalam rekam medis pasien yang ditransmisikan atau disimpan dalam bentuk apa pun.

Penggunaan dan Pengungkapan

Entitas yang dilindungi dapat menggunakan atau mengungkapkan informasi kesehatan yang dilindungi (PHI) tanpa izin dalam kondisi tertentu.

1. Kepada Individu
2. Perawatan, Pembayaran, dan Operasi Layanan Kesehatan
3. Penggunaan dan Pengungkapan dengan Peluang untuk Menyetujui atau Obyek
4. Penggunaan dan Pengungkapan Insiden.
5. Minat Publik dan Kegiatan Manfaat
6. Perangkat Data Terbatas untuk keperluan penelitian, kesehatan masyarakat atau operasi perawatan kesehatan

Pemberitahuan Praktik Privasi

Penyedia layanan kesehatan berkewajiban untuk memberikan Pemberitahuan Praktik Privasi kepada pasiennya. Pemberitahuan ini, sebagaimana diharuskan oleh Aturan Privasi HIPAA, memberi pasien hak untuk diberi tahu tentang hak privasi mereka karena berkaitan dengan informasi kesehatan yang dilindungi (PHI) mereka.

Pemberitahuan tersebut harus menggambarkan informasi tertentu dalam istilah yang mudah dipahami:

• Bagaimana penyedia akan menggunakan dan mengungkapkan PHI mereka
• Hak pasien miliki tentang PHI mereka sendiri
• Pernyataan yang memberi tahu pasien tentang hukum yang mewajibkan penyedia untuk menjaga privasi PHI mereka
• Siapa yang dapat dihubungi pasien untuk informasi lebih lanjut mengenai kebijakan privasi penyedia

Penegakan dan Sanksi untuk Ketidakpatuhan

Denda Uang Sipil

• $ 100 per kegagalan untuk mematuhi
• Maksimal $ 25.000 per tahun untuk berbagai pelanggaran dengan persyaratan yang sama

Sanksi Pidana (karena secara sadar memperoleh atau mengungkapkan PHI yang melanggar HIPAA)

• Denda $ 50.000 dan penjara satu tahun
• Denda $ 100.000 dan hukuman penjara hingga lima tahun (jika pelanggaran melibatkan alasan palsu)
• Denda $ 250.000 dan hukuman penjara hingga sepuluh tahun (jika pelanggaran melibatkan niat untuk menjual, mentransfer, atau menggunakan PHI)

2

Aturan Keamanan HIPAA

Standar Keamanan untuk Perlindungan Informasi Kesehatan Elektronik yang Dilindungi (Aturan Keamanan)

Keamanan HIPAA mengacu pada penetapan perlindungan bagi PHI dalam format elektronik apa pun. Ini termasuk semua informasi yang digunakan, disimpan atau dikirim secara elektronik. Fasilitas apa pun yang ditetapkan oleh HIPAA sebagai entitas tertutup memiliki tanggung jawab untuk memastikan privasi dan keamanan informasi pasiennya serta menjaga kerahasiaan PHI mereka.

Siapa yang Dicakup oleh Aturan Keamanan?

• Paket Kesehatan
• Penyedia layanan kesehatan
• Lembaga Kliring Perawatan Kesehatan

Entitas yang dilindungi, sebagaimana didefinisikan dalam HIPAA, dapat berupa rencana asuransi kesehatan, clearing house layanan kesehatan atau penyedia layanan kesehatan yang mentransmisikan informasi kesehatan yang dilindungi secara elektronik dan dapat berupa organisasi, institusi atau orang.

• Asosiasi bisnis

Seorang rekan bisnis, sebagaimana didefinisikan oleh HIPAA, adalah setiap orang atau entitas yang menjalankan bisnis yang melibatkan penggunaan atau pengungkapan informasi kesehatan yang dilindungi atas nama entitas yang dilindungi dan bukan karyawan dari entitas yang dilindungi.

Informasi Apa Yang Dilindungi?

PHI Elektronik atau Informasi Kesehatan yang Dilindungi mengacu pada informasi pengidentifikasi individual yang termasuk dalam rekam medis pasien yang ditransmisikan atau disimpan dalam bentuk apa pun. Aturan keamanan tidak termasuk PHI yang ditransmisikan secara lisan atau tertulis.

Penyederhanaan Administratif

Ketentuan penyederhanaan administratif HIPAA menetapkan standar nasional untuk keamanan informasi kesehatan yang dilindungi elektronik. Ini termasuk aturan dan standar untuk transaksi dan set kode dan pengidentifikasi untuk pengusaha dan penyedia.

Standar Transaksi dan Kode Set

Transaksi standar untuk Electronic Data Interchange (EDI) dari data perawatan kesehatan termasuk klaim dan informasi perjumpaan, saran pembayaran dan pengiriman uang, status klaim, kelayakan, pendaftaran dan penghapusan, rujukan dan otorisasi, koordinasi manfaat dan pembayaran premi.

Set kode standar untuk diagnosis, prosedur, dan kode obat termasuk HCPCS (Layanan / Prosedur Pelengkap), CPT-4 (Prosedur Dokter), CDT (Terminologi Gigi), ICD-9 (Diagnosis dan Prosedur rawat inap rumah sakit), ICD-10 (Pada 1 Oktober 2015) dan kode NDC (Kode Obat Nasional).

Standar Pengidentifikasi untuk Pengusaha dan Penyedia

Pengidentifikasi standar termasuk Nomor Identifikasi Pemberi Kerja (EIN) dan Pengidentifikasi Penyedia Nasional (NPI). EIN digunakan untuk mengidentifikasi pengusaha pada transaksi standar. Identifikasi Penyedia Nasional atau NPI adalah 10 digit, nomor identifikasi unik yang digunakan untuk menggantikan pengidentifikasi penyedia seperti nomor Identifikasi Penyedia Unik (UPIN) dalam transaksi standar HIPAA. Penyedia layanan kesehatan diharuskan oleh peraturan HIPAA untuk mendapatkan NPI.

Aturan untuk menjaga keamanan HIPAA termasuk perlindungan untuk tiga bidang utama.

Perlindungan Administratif

1. Mengembangkan proses manajemen keamanan formal termasuk pengembangan kebijakan dan prosedur, audit internal, rencana darurat dan perlindungan lainnya untuk memastikan kepatuhan oleh staf kantor medis.
2. Tetapkan tanggung jawab keamanan kepada orang yang ditunjuk untuk mengelola dan mengawasi penggunaan langkah-langkah keamanan dan perilaku staf.
3. Menerapkan fitur yang memastikan staf memiliki pelatihan yang tepat dan otorisasi yang tepat untuk mengakses PHI.
4. Tentukan tingkat akses untuk semua staf dan bagaimana itu diberikan
5. Mewajibkan semua staf kantor medis termasuk manajemen menjalani pelatihan keamanan dan memiliki pengingat berkala dan pendidikan pengguna.

Perlindungan Fisik

1. File PHI di lokasi yang aman dan ruang kerja untuk karyawan (ini termasuk penggunaan kunci, kunci, dan lencana yang membuka kunci pintu) yang membatasi akses ke orang dan pengganggu yang tidak berwenang.
2. Kembangkan kebijakan untuk memverifikasi otorisasi akses, kontrol peralatan, dan penanganan pengunjung. Kembangkan dan berikan dokumentasi termasuk instruksi tentang bagaimana kantor medis Anda dapat membantu melindungi PHI (misalnya, mematikan komputer sebelum meninggalkannya tanpa pengawasan)
3. Memberikan perlindungan terhadap kebakaran dan bahaya lainnya

Perlindungan Teknis

1. Menetapkan identifikasi pengguna yang unik termasuk kata sandi dan nomor pin
2. Adopsi kontrol logoff otomatis
3. Rekam dan periksa aktivitas sistem untuk tujuan audit
4. Memanfaatkan kontrol enkripsi untuk melindungi data yang dikirimkan melalui jaringan

Penegakan dan Sanksi untuk Ketidakpatuhan

Denda Uang Sipil

• $ 100 per kegagalan untuk mematuhi
• Maksimal $ 25.000 per tahun untuk berbagai pelanggaran dengan persyaratan yang sama

Sanksi Pidana (karena secara sadar memperoleh atau mengungkapkan PHI yang melanggar HIPAA)

• Denda $ 50.000 dan penjara satu tahun
• Denda $ 100.000 dan hukuman penjara hingga lima tahun (jika pelanggaran melibatkan alasan palsu)
• Denda $ 250.000 dan hukuman penjara hingga sepuluh tahun (jika pelanggaran melibatkan niat untuk menjual, mentransfer, atau menggunakan PHI)

3

Tips Menghindari Melanggar HIPAA

1. Ambil langkah-langkah yang perlu untuk menjaga dari pengungkapan informasi melalui percakapan rutin. Hindari pengungkapan informasi melalui percakapan rutin; mendiskusikan informasi pasien di ruang tunggu, lorong atau lift; pembuangan PHI secara tepat; dan akses ke informasi sangat terbatas pada karyawan yang pekerjaannya memerlukan informasi itu. Informasi dasar dapat tampak sangat tidak penting sehingga dapat dengan mudah disebutkan dalam percakapan rutin tetapi hanya boleh dibagikan berdasarkan kebutuhan untuk mengetahui dasar.
2. Hindari mendiskusikan informasi pasien di ruang tunggu, lorong atau lift. Informasi sensitif dapat didengar oleh pengunjung atau pasien lain. Pastikan juga untuk menyimpan catatan pasien di luar area yang dapat diakses oleh publik.Karena meja check-in dan stasiun perawat berada di tempat terbuka, bekerja keras untuk memastikan komputer diamankan setiap saat. Pemegang bagan harus dipasang dan panel depan tertutup sesuai dengan standar HIPAA.
3. PHI tidak boleh dibuang di tempat sampah. Setiap dokumen yang dibuang ke tempat sampah terbuka untuk umum dan karenanya merupakan pelanggaran informasi. Ada banyak cara untuk membuang PHI. Pembuangan kertas PHI yang benar mencakup pembakaran atau penghancuran. PHI elektronik dapat dibuang dengan menghapus, menghapus, memformat ulang, membakar, mencairkan, atau mencacah.
4. Ada sejumlah teknologi yang tersedia yang dirancang untuk mengamankan data pasien. Selektif dalam memilih perangkat dan perangkat lunak yang mengamankan data melalui koneksi nirkabel termasuk firewall, anti-virus, anti-spyware, dan teknologi deteksi intrusi. Berhati-hatilah saat mengakses data melalui koneksi jarak jauh. Spesialis TI menyarankan untuk menggunakan sistem otentikasi dua faktor dengan token keamanan dan kata sandi.