تدريب امتثال HIPAA السنوي

صدر قانون التأمين الصحي وقابلية التأمين في عام 1996. ويقوم مكتب الحقوق المدنية التابع لحكومة الولايات المتحدة بإنفاذه. هي عبارة عن مجموعة من الإرشادات الفيدرالية التي تم إنشاؤها للسماح للموظفين بالحصول على التأمين الطبي معهم إذا تركوا صاحب العمل ، والسماح للأشخاص بالوصول إلى التأمين الطبي على الرغم من الظروف الموجودة من قبل (في بعض الظروف) ، ووضع معايير الخصوصية لصحة المريض معلومات.

• تحمي قاعدة خصوصية HIPAA خصوصية المعلومات الصحية التي يمكن التعرف عليها بشكل فردي.
• تحدد قاعدة HIPAA للأمن معايير وطنية لأمن المعلومات الصحية الإلكترونية.

يشترط القانون توفير التعليم والتدريب لـ HIPAA للأفراد العاملين في قطاع الرعاية الصحية لضمان المساءلة عن خصوصية وأمن المعلومات الصحية المحمية. يجب على الكيانات المشمولة تدريب جميع أعضاء القوى العاملة على سياسات وإجراءات HIPAA.

1 -

قانون الخصوصية HIPAA

تم تصميم معايير خصوصية المعلومات الصحية القابلة للتحديد الفردي (قاعدة الخصوصية) لتتناول على وجه التحديد حماية المعلومات الصحية الشخصية للفرد. من المهم لحيوية مكتبك الطبي الحفاظ على امتثال HIPAA.

من تغطيه قاعدة الخصوصية؟

• خطط الصحة
• مقدمي الرعاية الصحية
• غرف مقاصة الرعاية الصحية

يمكن أن يكون الكيان المغطى ، كما هو محدد في HIPAA ، عبارة عن خطة تأمين صحي أو دار مقاصة للرعاية الصحية أو مقدم رعاية صحية ينقل المعلومات الصحية المحمية إلكترونيًا ويمكن أن يكون منظمات أو مؤسسات أو أشخاصًا.

يجب أن يلتزم الأطباء وغيرهم من المتخصصين في الرعاية الصحية الذين يعملون مع المرضى وسجلاتهم الطبية السرية بالسياسات والإجراءات والقوانين المصممة لحماية خصوصية المرضى وسريتهم. تقع على عاتق جميع مقدمي الرعاية الصحية مسؤولية الحفاظ على تدريب وتدريب موظفيهم فيما يتعلق بامتثال HIPAA . ما إذا كان الكشف المتعمد أو غير المصرح به لـ PHI يعتبر انتهاكًا لقانون HIPAA.

• شركاء الأعمال

شريك الأعمال ، كما هو محدد من قبل HIPAA ، هو أي شخص أو كيان يقوم بأعمال تنطوي على استخدام أو الكشف عن المعلومات الصحية المحمية نيابة عن كيان مشمول وليس موظفًا في الكيان المشمول.

ما هي المعلومات المحمية؟

تشير المعلومات الصحية المحمية أو المعلومات الصحية المحمية إلى أي معلومات محددة بشكل فردي يتم تضمينها في سجل المريض الطبي الذي يتم نقله أو صيانته بأي شكل من الأشكال.

الاستخدامات والإفصاحات

يجوز للكيان المشمول أن يستخدم أو يكشف عن المعلومات الصحية المحمية (PHI) دون تصريح في ظل ظروف معينة.

1. إلى الفرد
2. العلاج والدفع والعمليات الصحية
3. استخدام وإفصاحات مع فرصة للموافقة أو كائن
4. الاستخدام العرضي والإفصاح.
5. المصلحة العامة وأنشطة المنفعة
6. مجموعة بيانات محدودة لأغراض البحث أو الصحة العامة أو عمليات الرعاية الصحية

إشعار ممارسات الخصوصية

يلتزم مقدمو الرعاية الصحية بتزويد مرضاهم بإشعار ممارسات الخصوصية. يمنح هذا الإشعار ، كما هو مطلوب بموجب قاعدة خصوصية HIPAA ، للمرضى الحق في الاطلاع على حقوق الخصوصية الخاصة بهم من حيث صلتها بالمعلومات الصحية المحمية (PHI).

يجب أن يصف الإشعار معلومات معينة في مصطلحات سهلة الفهم:

• كيف سيستخدم الموفر ويكشف عن معلوماته الصحية المحمية
• حقوق المرضى لديهم بشأن PHI الخاصة بهم
• بيان يخبر المريض بالقوانين التي تقضي بأن يحافظ المزود على خصوصية معلوماته الصحية المحمية
• من يستطيع المرضى الاتصال للحصول على مزيد من المعلومات حول سياسات خصوصية الموفر

إنفاذ وعقوبات لعدم الامتثال

عقوبات مالية مدنية

• 100 دولار لكل فشل في الامتثال
• 25000 دولار كحد أقصى في السنة لانتهاكات متعددة لنفس الشرط

عقوبات جنائية (للحصول على معلومات بيانية أو الكشف عنها بشكل متعمد في انتهاك لـ HIPAA)

• 50،000 دولار غرامة وحتى السجن لمدة سنة واحدة
• غرامة قدرها 100000 دولار والسجن لمدة تصل إلى خمس سنوات (إذا كان هناك انتهاك يتضمن ادعاءات كاذبة)
• غرامة مالية تصل إلى 250،000 دولار وسجن لمدة تصل إلى عشر سنوات (إذا كان الانتهاك ينطوي على بيع أو نقل أو استخدام PHI)

2 -

HIPAA قاعدة الأمن

معايير الأمان لحماية المعلومات الصحية الإلكترونية المحمية (القاعدة الأمنية)

يشير قانون HIPAA إلى وضع ضمانات لمعلومات الصحة النباتية في أي شكل إلكتروني. ويشمل ذلك أي معلومات مستخدمة أو مخزنة أو منقولة إلكترونيًا. إن أي مرفق محدد من قبل HIPAA ككيان مغطى يتحمل مسؤولية ضمان خصوصية وأمن معلومات المريض بالإضافة إلى الحفاظ على سرية معلوماته الصحية المحمية.

من تغطيه القاعدة الأمنية؟

• خطط الصحة
• مقدمي الرعاية الصحية
• غرف مقاصة الرعاية الصحية

يمكن أن يكون الكيان المغطى ، كما هو محدد في HIPAA ، عبارة عن خطة تأمين صحي أو دار مقاصة للرعاية الصحية أو مقدم رعاية صحية ينقل المعلومات الصحية المحمية إلكترونيًا ويمكن أن يكون منظمات أو مؤسسات أو أشخاصًا.

• شركاء الأعمال

شريك الأعمال ، كما هو محدد من قبل HIPAA ، هو أي شخص أو كيان يقوم بأعمال تنطوي على استخدام أو الكشف عن المعلومات الصحية المحمية نيابة عن كيان مشمول وليس موظفًا في الكيان المشمول.

ما هي المعلومات المحمية؟

تشير المعلومات الصحية الإلكترونية أو المعلومات الصحية المحمية إلى أي معلومات تحدد بشكل فردي مضمنة في سجل المريض الطبي الذي يتم نقله أو صيانته بأي شكل من الأشكال. تستبعد قاعدة الأمان PHI التي يتم إرسالها شفهياً أو كتابياً.

تبسيط إداري

تضع أحكام تبسيط الإدارة في قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة معاييرًا وطنية لأمن المعلومات الصحية الإلكترونية المحمية. ويشمل ذلك القواعد والمعايير الخاصة بالمعاملات ومجموعات الشفرات والمعرفات لأصحاب العمل ومقدمي الخدمات.

المعاملات ومجموعة التعليمات البرمجية المعايير

تشمل المعاملات المعيارية لتبادل البيانات الإلكترونية (EDI) لبيانات الرعاية الصحية ، المطالبات ومعلومات عن المواجهة ، وتقديم المشورة بشأن المدفوعات والتحويلات ، وحالة المطالبات ، والأهلية ، والتسجيل ، وإعادة الانتخاب ، والإحالات والتخويلات ، وتنسيق المزايا ودفعات قسط التأمين.

تشمل مجموعات الشفرات القياسية للتشخيص والإجراء ورموز الأدوية HCPCS (الخدمات / الإجراءات المساعدة) ، CPT-4 (إجراءات الأطباء) ، CDT (مصطلحات طب الأسنان) ، ICD-9 (التشخيص وإجراءات المستشفيات الداخلية) ، ICD-10 ( اعتبارا من 1 أكتوبر 2015) ورموز NDC (رموز المخدرات الوطنية).

معايير تحديد الهوية لأصحاب العمل ومزودي الخدمة

تشمل المعرفات القياسية رقم تعريف صاحب العمل (EIN) ومعرّف المزود الوطني (NPI). يتم استخدام EIN لتحديد أصحاب العمل في المعاملات القياسية. رقم تعريف الموفر الوطني أو NPI هو رقم تعريف فريد مكون من 10 أرقام يُستخدم لتحل محل معرّفات الموفر مثل رقم تعريف الموفر الفريد (UPIN) في معاملات HIPAA القياسية. مطلوب مقدمي الرعاية الصحية من خلال تنظيم HIPAA للحصول على NPI.

تتضمن قواعد الحفاظ على أمن HIPAA ضمانات لثلاثة مجالات رئيسية.

الضمانات الإدارية

1. تطوير عملية رسمية لإدارة الأمن بما في ذلك تطوير السياسات والإجراءات ، ومراجعة الحسابات الداخلية ، وخطة الطوارئ وغيرها من الضمانات لضمان امتثال موظفي المكتب الطبي.
2. تعيين مسؤولية الأمن لشخص محدد لإدارة والإشراف على استخدام التدابير الأمنية وسلوك الموظفين.
3. تنفيذ الميزات التي تضمن حصول الموظفين على التدريب المناسب والتفويض المناسب للوصول إلى المعلومات الصحية المحمية.
4. تحديد مستويات الوصول لجميع الموظفين وكيف يتم منحها
5. تتطلب أن جميع موظفي المكتب الطبي بما في ذلك الإدارة يخضعون للتدريب الأمني ​​ولديهم تذكيرات دورية وتعليم المستخدمين.

الضمانات المادية

1. ملف PHI في مكان آمن ومساحة عمل للموظفين (يشمل ذلك استخدام الأقفال والمفاتيح والشارات التي تفتح الأبواب) والتي تقيد الوصول إلى الأشخاص غير المصرح لهم والمتطفلين.
2. تطوير سياسات للتحقق من تفويضات الوصول ، والتحكم في المعدات ، والتعامل مع الزوار. تطوير وتقديم الوثائق بما في ذلك تعليمات حول كيفية قيام المكتب الطبي الخاص بك بمساعدتك على حماية PHI (على سبيل المثال ، تسجيل الخروج من الكمبيوتر قبل تركه دون مراقبة)
3. توفير الحماية ضد الحريق والأخطار الأخرى

الضمانات الفنية

1. إنشاء هوية مستخدم فريدة بما في ذلك كلمات المرور وأرقام التعريف الشخصي
2. اعتماد التحكم التلقائي في الخروج
3. تسجيل ودراسة نشاط النظام لأغراض المراجعة
4. استخدام عناصر التحكم في التشفير لحماية البيانات المرسلة عبر شبكة

إنفاذ وعقوبات لعدم الامتثال

عقوبات مالية مدنية

• 100 دولار لكل فشل في الامتثال
• 25000 دولار كحد أقصى في السنة لانتهاكات متعددة لنفس الشرط

عقوبات جنائية (للحصول على معلومات بيانية أو الكشف عنها بشكل متعمد في انتهاك لـ HIPAA)

• 50،000 دولار غرامة وحتى السجن لمدة سنة واحدة
• غرامة قدرها 100000 دولار والسجن لمدة تصل إلى خمس سنوات (إذا كان هناك انتهاك يتضمن ادعاءات كاذبة)
• غرامة مالية تصل إلى 250،000 دولار وسجن لمدة تصل إلى عشر سنوات (إذا كان الانتهاك ينطوي على بيع أو نقل أو استخدام PHI)

3 -

نصائح لتجنب انتهاك HIPAA

1. اتخذ الخطوات اللازمة لمنع الكشف عن المعلومات من خلال المحادثة الروتينية. تجنب الإفصاح عن المعلومات من خلال المحادثة الروتينية ؛ مناقشة معلومات المريض في مناطق الانتظار أو الممرات أو المصاعد ؛ التخلص السليم من المعلومات الصحية المحمية ؛ والوصول إلى المعلومات يقتصر فقط على الموظفين الذين تتطلب وظائفهم تلك المعلومات. قد تبدو المعلومات الأساسية غير ذات أهمية بحيث يمكن ذكرها بسهولة في المحادثة الروتينية ولكن يجب مشاركتها فقط على أساس الحاجة إلى المعرفة.
2. تجنب مناقشة معلومات المريض في مناطق الانتظار أو الممرات أو المصاعد. يمكن سماع المعلومات الحساسة من قبل الزوار أو غيرهم من المرضى. تأكد أيضًا من الاحتفاظ بسجلات المرضى خارج المناطق التي يمكن للجمهور الوصول إليها. نظرًا لأن مكاتب تسجيل الوصول والممرضات في العراء مفتوحة ، فاختر الميل الإضافي لضمان تأمين أجهزة الكمبيوتر في جميع الأوقات. يجب تركيب حاملات المخطط وتغطية اللوحة الأمامية وفقًا لمعايير HIPAA.
3. يجب عدم التخلص من PHI في سلة المهملات. أي مستند يتم طرحه في سلة المهملات مفتوح للجمهور وبالتالي يكون خرقًا للمعلومات. هناك العديد من الطرق للتخلص من PHI. اﻟﺘﺨﻠﺺ اﻟﺼﺤﻴﺢ ﻣﻦ اﻟﻮرق PHI ﻳﺸﻤﻞ اﻟﺤﺮق أو اﻟﺘﻤﺰﻳﻖ. ﻳﻤﻜﻦ اﻟﺘﺨﻠﺺ ﻣﻦ اﻟﻤﻌﻠﻮﻣﺎت اﻟﺼﺤﻴﺔ اﻟﻤﺤﻤﻴﺔ اﻹﻟﻜﺘﺮوﻧﻴﺔ ﺑﻤﺴﺢ أو ﺣﺬف أو إﻋﺎدة اﻟﺘﻬﻴﺌﺔ أو اﻟﺘﺮﻣﻴﺪ أو اﻟﺼﻬﺮ أو اﻟﺘﻘﻄﻴﻊ.
4. هناك عدد من التقنيات المتاحة المصممة لتأمين بيانات المرضى. كن انتقائياً في اختيار الأجهزة والبرامج التي تؤمِّن البيانات عبر اتصال لاسلكي بما في ذلك جدران الحماية ومكافحة الفيروسات ومكافحة برامج التجسس وتقنية الكشف عن التسلل. توخي أقصى درجات الحذر عند الوصول إلى البيانات عبر اتصال بعيد. يقترح خبراء تكنولوجيا المعلومات استخدام نظام مصادقة ثنائية مع رموز الأمان وكلمات المرور.