“ 健康保險流通與責任法案”於1996年頒布,由美國政府公民權利辦公室執行。 這是一套聯邦指導方針,旨在允許員工在離開雇主時為他們提供醫療保險,允許人們在預先存在的條件下(在某些情況下)獲得醫療保險,並為患者的健康建立隱私標準信息。
- HIPAA隱私規則保護個人可識別的健康信息的隱私。
- HIPAA安全規則制定了電子健康信息安全的國家標準。
法律要求HIPAA的教育和培訓對在醫療行業工作的個人提供保護,以確保對受保護的健康信息的隱私和安全負責。 涵蓋實體必鬚根據HIPAA政策和程序對所有員工進行培訓。
1 -
HIPAA隱私規則“個人可識別健康信息隱私標準”(隱私規則)旨在專門針對個人健康信息的保護。 保持HIPAA合規性對於您的醫療辦公室的活力非常重要。
隱私規則涉及誰?
- 健康計劃
- 醫療保健機構
- 衛生保健清算所
HIPAA中定義的涵蓋實體可以是健康保險計劃,醫療保健信息交換中心或醫療保健提供者,以電子方式傳輸受保護的健康信息,並且可以是組織,機構或人員。
與患者及其保密病歷一起工作的醫生和其他醫療保健專業人員必須遵守旨在保護患者隱私和機密性的政策,程序和法律。 所有醫療保健提供者都有責任讓他們的工作人員接受有關HIPAA合規性的培訓和信息。 無論是故意還是意外,未經授權披露PHI都被視為違反HIPAA。
- 商業夥伴
HIPAA定義的商業夥伴是代表被涵蓋實體開展涉及使用或披露受保護健康信息的業務的任何人員或實體,並且不是被涵蓋實體的僱員。
什麼信息受到保護?
PHI或受保護的健康信息是指以任何形式傳輸或維護的患者醫療記錄中包含的任何單獨識別信息。
使用和披露
被保險實體可能在特定條件下未經授權使用或披露受保護的健康信息(PHI)。
- 給個人
- 治療,付款和醫療保健業務
- 有機會同意或反對的使用和披露
- 附帶使用和披露。
- 公共利益和利益活動
- 有限數據集用於研究,公共衛生或醫療保健操作
隱私慣例通知
醫療保健提供者有義務向患者提供隱私慣例通知。 根據HIPAA隱私規則的要求,此通知使患者有權了解其與其受保護的健康信息(PHI)相關的隱私權。
通知應以易於理解的術語描述某些信息:
- 供應商將如何使用和披露他們的PHI
- 患者擁有關於他們自己的PHI的權利
- 聲明通知患者法律要求提供者維護他們的PHI的隱私
- 哪些患者可以聯繫有關提供者隱私政策的進一步信息
違規行為的執行和處罰
民事罰款
- 每次失敗100美元
- 每年最多25,000美元用於多次違反相同要求
刑罰(對於故意獲得或披露違反HIPAA的PHI)
- 罰款50,000美元,最高一年徒刑
- 罰款100,000美元,最高達五年監禁(如果違規涉及虛假藉口)
- 罰款25萬美元,最高可判處監禁10年(如果違規涉及意圖出售,轉讓或使用PHI)
2 -
HIPAA安全規則電子保護健康信息保護安全標準(安全規則)
HIPAA安全是指以任何電子格式為PHI建立保護措施。 這包括使用,存儲或電子傳輸的任何信息。 由HIPAA定義為涵蓋實體的任何設施都有責任確保患者信息的隱私性和安全性,並保證其PHI的機密性。
誰被安全規則覆蓋?
- 健康計劃
- 醫療保健機構
- 衛生保健清算所
HIPAA中定義的涵蓋實體可以是健康保險計劃,醫療保健信息交換中心或醫療保健提供者,以電子方式傳輸受保護的健康信息,並且可以是組織,機構或人員。
- 商業夥伴
HIPAA定義的商業夥伴是代表被涵蓋實體開展涉及使用或披露受保護健康信息的業務的任何人員或實體,並且不是被涵蓋實體的僱員。
什麼信息受到保護?
電子PHI或受保護的健康信息是指病人醫療記錄中包含的以任何形式傳輸或維護的任何單獨識別信息。 安全規則不包括口頭或書面傳送的PHI。
行政簡化
HIPAA的行政簡化規定為電子保護健康信息的安全建立了國家標準。 這包括雇主和提供者的交易規則和標準以及代碼集和標識符。
交易和代碼集標準
醫療保健數據電子數據交換(EDI)的標準交易包括索賠和遭遇信息,支付和匯款通知書,索賠狀態,資格,登記和撤銷,轉介和授權,協調福利和保費付款。
用於診斷,程序和藥物代碼的標準代碼集包括HCPCS (輔助服務/程序), CPT-4 (內科醫生程序),CDT(牙科術語), ICD-9 (診斷和醫院住院程序), ICD-10截至2015年10月1日)和國家藥品代碼(NDC)代碼。
雇主和供應商標識標準
標準標識符包括雇主識別號碼(EIN)和國家供應商標識符(NPI)。 EIN用於標識標準交易的雇主。 國家提供者標識或NPI是一個10位數的唯一標識號碼,用於取代提供商標識符,例如HIPAA標準交易中的唯一提供商標識號(UPIN)。 根據HIPAA的規定,醫療保健提供者需要獲得NPI。
維護HIPAA安全的規則包括三個關鍵領域的保障措施。
行政保障措施
- 制定正式的安全管理流程,包括制定政策和程序,內部審計,應急計劃和其他保障措施,以確保醫務人員遵守。
- 將安全責任分配給指定人員,以管理和監督安全措施的使用和工作人員的行為。
- 實施確保員工獲得適當培訓和適當授權以訪問PHI的功能。
- 為所有員工定義訪問級別及其授予方式
- 要求包括管理層在內的所有醫務人員接受安全培訓並定期提醒和接受用戶培訓。
物理保護措施
- 將PHI文件存放在員工的安全位置和工作區(這包括使用可解鎖門的鎖,鑰匙和徽章),以限制對未經授權的人員和入侵者的訪問。
- 制定驗證訪問授權,設備控制和處理訪問者的政策。 開發並提供文檔,包括關於醫療辦公室如何幫助保護PHI的說明(例如,在離開計算機之前無人看管)
- 提供防火和其他危害
技術保障
- 建立唯一的用戶標識,包括密碼和密碼
- 採用自動註銷控制
- 記錄並檢查系統活動以進行審計
- 利用加密控制來保護通過網絡傳輸的數據
違規行為的執行和處罰
民事罰款
- 每次失敗100美元
- 每年最多25,000美元用於多次違反相同要求
刑罰(對於故意獲得或披露違反HIPAA的PHI)
- 罰款50,000美元,最高一年徒刑
- 罰款100,000美元,最高達五年監禁(如果違規涉及虛假藉口)
- 罰款25萬美元,最高可判處監禁10年(如果違規涉及意圖出售,轉讓或使用PHI)
3 -
避免違反HIPAA的提示- 採取必要措施,避免通過日常會話洩露信息。 避免通過日常會話洩露信息; 在候診區,走廊或電梯中討論患者信息; 妥善處置PHI; 並且信息的獲取嚴格限於工作要求信息的僱員。 基本信息可能顯得微不足道,以至於在日常會話中很容易提及,但只能在需要了解基礎的情況下共享。
- 避免在等候區,走廊或電梯上討論患者信息。 敏感信息可能會被訪客或其他患者聽到。 此外,請務必將患者記錄保存在公眾可以訪問的區域之外。 由於辦理登機手續辦公桌和護士站都在外面,所以請多走一步,以確保計算機始終處於安全狀態。 根據HIPAA標準,應該安裝圖表支架並覆蓋前面板。
- PHI不應該被丟棄在垃圾桶裡。 扔在垃圾箱中的任何文件都向公眾開放,因此違反了信息。 有很多方法可以處理PHI。 妥善處理紙張PHI包括燃燒或粉碎。 電子PHI可以通過擦除,刪除,重新格式化,焚燒,熔化或粉碎來處置。
- 有許多可用的技術用於保護患者數據。 在選擇通過包括防火牆,防病毒,反間諜軟件和入侵檢測技術的無線連接來保護數據的設備和軟件方面有選擇性。 通過遠程連接訪問數據時要格外小心。 IT專家建議使用帶有安全令牌和密碼的雙因素身份驗證系統。