Che cosa c'è da sapere su Il rispetto di HIPAA

HIPAA - l'Health Insurance Portability e Accountability Act - è una legge federale sviluppato, in parte, a definire e regolamentare l'uso delle informazioni sanitarie negli Stati Uniti. Soggetti che forniscono, o forniscono pagano per i servizi sanitari, farmaci o attrezzature, così come i loro partner commerciali e fornitori, sono influenzati da questa nuova serie di regolamenti. Questo articolo riassume il lavoro che deve essere fatto per soddisfare i requisiti necessari per diventare conforme a HIPAA.

La legge definisce e vendere regola

- come viene identificato e utilizzato informazioni sulla salute, comprese le forme di transazione standard e set di codici per la comunicazione tra fornitori e contribuenti,

- cosa informazioni, noto come informazioni sanitarie protette (PHI) è da considerarsi privata e come deve essere gestita, e vendere

- le politiche e le procedure per la protezione PHI sicurezza.

Il presente regolamento rientrano tutti nel titolo II di HIPAA e sono conosciuti collettivamente come la semplificazione amministrativa Compliance Act (ASCA). Come suggerisce il nome, tutti gli enti di cui alla ASCA devono essere in regola entro i termini previsti dal regolamento. Queste scadenze sono:

Le operazioni standardizzate e codice imposta - 16 ottobre 2002
Privacy - 14 apr 2003
Sicurezza - data non è stata ancora fissata.

Si noti, tuttavia, che il Dipartimento di Salute e Servizi Umani consentirà ai soggetti coperti di applicare per una proroga di un anno per le Transazioni e Codice Imposta scadenza se presentare un modulo di modello piano di conformità che comprende una mostra calendario come intendono diventare compatibile durante il periodo di proroga. La domanda deve pervenire entro e non oltre il 15 ottobre 2002. Inoltre, alcuni piani sanitari di piccole dimensioni hanno un anno supplementare per rispettare tutte le scadenze. Molto più dettagliato sulla HIPAA e la ASCA può essere trovato presso i Centri per Medicare e Medicaid Services sito web: http://www.cms.gov/hipaa/hipaa2/default.asp che contiene anche collegamenti a ulteriori risorse.

In che modo la ASCA influisce mia pratica o istituzione?

Direttamente o indirettamente, si saranno interessati se fornite servizi sanitari o di fornitori di servizi di supporto per la salute. Soggetti contemplati che scelgono di trasmettere informazioni relative paziente identificabile per via elettronica sono tenuti ad attuare tali norme. In pratica, questo significa che qualsiasi provider che manda le fatture direttamente ai contribuenti di terze parti da ASCA richiede che quelle fatture inviate per via elettronica con un piccolo numero di eccezioni.

Inoltre, un'entità cade sotto HIPAA se si tratta di un piano sanitario, stanza di compensazione, di terze parti assicuratore, datore di lavoro mantenendo le cartelle cliniche, centro di riabilitazione, il sangue, sperma o tessuto dell'organo banca, assistente sociale o consulente, a lungo struttura di assistenza termine, società un'ambulanza o farmacia. Tuttavia, molte più aziende e servizi sono influenzati, compresi quelli che forniscono servizi o forniture per i fornitori di servizi di salute o per i pazienti sotto la direzione di fornitori. Avranno bisogno di nuovi accordi commerciali che assicurano la conformità HIPAA e devono attuare misure informazioni di privacy e sicurezza accettabili. Se queste aziende fatturano direttamente contribuenti di terze parti, avranno anche bisogno di attuare le operazioni e il codice fissa norme.

fornitori di tecnologie Fuori, fornitori di trascrizione, commercialisti, avvocati e chiunque altro che possono venire in contatto con le informazioni per il paziente nel corso di normali trattative commerciali saranno colpiti. In breve, se si crea, mantenere, gestire o avere accesso a informazioni mediche personali, si dovrebbe essere preoccupati per diventare conforme alle normative HIPAA.

Ad oggi, il lavoro di attuazione HIPAA si è concentrato sulla definizione di transazioni standard per l'utilizzo da parte dei fornitori e contribuenti di terze parti, e la creazione di definizioni standard per gli operatori sanitari, i datori di lavoro, piani sanitari e gli individui da utilizzare nella creazione di informazioni cartella clinica . Set di codici sono stati creati per definire i termini medici standard, codici di diagnosi, malattie, infortuni, ecc codici di procedura mediche sono anche in fase di definizione per le azioni intraprese per prevenire, diagnosticare, trattare o il gestore di malattie, lesioni e menomazioni, così come per i farmaci, attrezzature, forniture e altri oggetti prescritti per il trattamento.

Mentre molti di questi set di codici sono quelli familiari a fornitori di oggi, ci sono alcuni cambiamenti nel formato delle transazioni e dei codici che possono essere utilizzati, che possono influenzare la trasmissione di informazioni tra i fornitori e contribuenti. A titolo di esempio, non possono più essere utilizzati codici locali. Quindi, se un assicuratore specifica ha chiesto ai provider di aggiungere un codice nazionale procedimento con un suffisso per caratterizzare ulteriormente la procedura, l'assicuratore dovrà sviluppare un altro modo di ottenere le informazioni che cerca. Ciò significa che i fornitori dovranno imparare una nuova procedura per la codifica transazioni reclamo.

Come faccio a diventare compatibile?

La maggior parte del lavoro e il costo sarà a ridisegnare i processi di uffici in tutto la privacy del paziente e nello sviluppo di un programma di sicurezza completo attorno informazioni sui pazienti. Le aree che dovranno essere rivisti includono le politiche scritte e le procedure, le norme, la formazione del personale, i controlli tecnici e procedurali, la valutazione dei rischi, il controllo e il monitoraggio della conformità. Un provider deve assegnare la responsabilità per la gestione corrente del programma di sicurezza delle informazioni. I fornitori devono accettare per iscritto a mantenere lo stesso livello di sicurezza e privacy come i fornitori con cui lavorano.

Che cosa devo fare?

Il primo passo è quello di eseguire un “ valutazione delle carenze &"; per determinare cosa deve essere fatto per diventare conformi. Le procedure, i processi e la gestione delle informazioni devono essere tutti recensione alla luce della ASCA. Ad esempio, i processi di ufficio comuni, come un infermiere che chiedono informazioni medico su un paziente su un citofono aperto quando un altro paziente possa origliare la conversazione deve essere modificato per assicurare la privacy del paziente.

Una volta che il campo di applicazione del necessario cambiamento è capito, un piano di attuazione dovrebbe essere sviluppato.

Il prossimo importante passo operativo è di finanziare ed eseguire il piano di attuazione. Inoltre, tutto il personale ei dipendenti che gestiscono le informazioni del paziente o discutono con soggetti esterni devono essere addestrati su come mantenere le informazioni private e sicure. Questa formazione dovrebbe includere anche istruzioni su tutte le nuove procedure che vengono sviluppati e implementati.

E i miei computer e software?

Una organizzazione interessata deve attuare misure, politiche e procedure per garantire la sicurezza di tutti i sistemi informatici che contengono informazioni identificabili individualmente salute del paziente. Questi sarebbero coordinate e integrate con altre pratiche di gestione della configurazione del sistema al fine di garantire l'integrità del sistema in caso di modifiche all'hardware o al software di sistema. Qualsiasi software acquistato come un pacchetto da un fornitore esterno deve essere conforme.

Inoltre, le parti interessate devono fornire un piano di emergenza che prevede la risposta alle emergenze del sistema informativo, comprese le periodiche backup dei dati, avere e strutture per le prove per le attività continuative in caso di emergenza, e lo sviluppo di disastro efficace procedure di recupero. Controlli informatici e le misure di sicurezza devono essere documentate nella stessa maniera come altre politiche e procedure.

Ogni organizzazione è anche richiesto di avere una politica in materia di uso workstation. Tali istruzioni e procedure documentate devono delineare le funzioni proprie da svolgere e il modo in cui tali funzioni sono da eseguire (ad esempio, disconnessione prima di lasciare un terminale non custodito). Le restrizioni devono essere messe in atto per evitare che personale non autorizzato di accedere alle informazioni memorizzate sull'entità &'; s computer.

Strutture che utilizzano le reti di comunicazione hanno l'obbligo di proteggere i messaggi contenenti informazioni sulla salute quando li trasmettono per via elettronica per impedire loro di essere intercettati e letti da soggetti diversi dal destinatario. Essi devono anche proteggere i loro sistemi informatici dagli intrusi che cercano di accedere alle informazioni dei punti di comunicazione esterna. Ciò significa tipicamente che qualche forma di crittografia deve essere utilizzato per proteggere tali informazioni. Come pure, ci deve essere documentato le politiche e le funzioni di sicurezza per l'uso di fax, e-mail, Internet, dettatura remoto e servizi di trascrizione Hotel  .;