Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) została uchwalona, aby zapobiec publicznemu dostępowi do informacji dotyczących opieki zdrowotnej. W związku z tym HIPAA nakazuje, aby niektóre podmioty objęte ubezpieczeniem stosowały odpowiednie procesy w celu ochrony informacji o pacjentach. Jeśli jesteś świadczeniodawcą opieki zdrowotnej objętym ustawą HIPAA, musisz upewnić się, że Twój adres e-mail jest zgodny z HIPAA. Niestety nie ma prostego sposobu na samodzielne zrobienie tego. Zamiast tego musisz zatrudnić dostawcę usług poczty e-mail, który jest zgodny z HIPAA.
Kroki
Część 1 z 2: Nauka wymagań HIPAA
Krok 1. Zrozum grzywny
HIPAA zawiera zarówno Zasadę Prywatności, jak i Zasadę Bezpieczeństwa. Zasada prywatności chroni informacje umożliwiające identyfikację pacjenta, a zasada bezpieczeństwa określa krajowe standardy bezpieczeństwa chronionych informacji w formie elektronicznej. Te zasady mają zęby: za naruszenie grozi kara w wysokości 1,5 miliona dolarów za każde naruszenie.
Krok 2. Przeczytaj regułę bezpieczeństwa
Rząd federalny wymaga, aby elektroniczna komunikacja informacji dotyczących opieki zdrowotnej spełniała określone wymagania dotyczące bezpieczeństwa i prywatności. Te wymagania są złożone. Aby wiadomość e-mail była zgodna z ustawą HIPAA, musisz upewnić się, że stosujesz wystarczające zabezpieczenia, aby zapewnić integralność, bezpieczeństwo i poufność informacji elektronicznych.
- Zasadę bezpieczeństwa można przeczytać, odwiedzając witrynę Health and Human Services pod adresem https://www.hhs.gov/ocr/privacy/hipaa/administrative/securityrule/. Linki do odpowiedniego tekstu ustawowego.
- Możesz również przeczytać tekst regulacji. Dokument ten będzie zawierał wszystkie przepisy, które zostały uchwalone w celu wdrożenia statutu HIPAA.
- Ta informacja jest wysoce techniczna i trudna do zrozumienia dla osoby nie będącej ekspertem. Powinieneś spotkać się z prawnikiem ds. opieki zdrowotnej, aby omówić swoje wymagania dotyczące bezpieczeństwa poczty e-mail.
Krok 3. Spotkaj się z prawnikiem
Doświadczony prawnik ds. opieki zdrowotnej powinien być w stanie pomóc Ci zrozumieć wymagania prawne, a także znaleźć sposoby na zapewnienie zgodności Twojego systemu poczty e-mail. Będziesz chciał spotkać się z prawnikiem, który specjalizuje się zwłaszcza w prawie opieki zdrowotnej.
Aby znaleźć prawnika do spraw opieki zdrowotnej, odwiedź izbę adwokacką swojego stanu. Powinien zawierać linki do programów polecających (lub hostować sam program polecający). Po wejściu na stronę otrzymasz numer telefonu, pod który możesz zadzwonić, lub katalog, który możesz przeszukać
Część 2 z 2: Upewnienie się, że Twój e-mail jest zgodny z HIPAA
Krok 1. Zbadaj dostawców usług e-mail zgodnych z HIPAA
Wymagania techniczne są tak skomplikowane, że jeśli nie jesteś ekspertem w dziedzinie systemów informatycznych, będziesz musiał zatrudnić dostawcę usług poczty e-mail zgodnego z HIPAA, aby zapewnić swój system poczty e-mail. Darmowe, internetowe usługi poczty e-mail, takie jak Yahoo i Gmail, nie są wystarczającymi systemami poczty e-mail. W rzeczywistości nie zapewniają bezpieczeństwa. Aby znaleźć zgodnego dostawcę usług, możesz wykonać następujące czynności:
- Porozmawiaj ze swoim prawnikiem ds. opieki zdrowotnej. Powinien znać dostawców usług e-mail zgodnych z HIPAA.
- Przeszukaj internet. Kilka firm reklamuje swoje usługi w Internecie. Wyszukaj „e-mail zgodny z hipaa”.
Krok 2. Skontaktuj się z dostawcami usług poczty e-mail zgodnymi z HIPAA
Gdy masz już nazwy dostawców usług poczty e-mail, powinieneś przejrzeć strony internetowe firm i sprawdzić, czy wyglądają profesjonalnie. Następnie zadzwoń do firmy i zapytaj, czy może dać ci skierowania. Powinieneś również zapytać o usługi, które świadczą. Dostawca usług poczty e-mail zgodny z HIPAA powinien:
- Ogranicz dostęp do informacji elektronicznych. Dostawca usług poczty elektronicznej powinien przechowywać swoje serwery w bezpiecznym miejscu, do którego dostęp mają wyłącznie upoważnieni pracownicy.
- Kontroluj, kto uzyskuje dostęp do informacji. Usługodawca powinien mieć możliwość śledzenia, kto uzyskuje dostęp do informacji w systemie. Odpowiedni dziennik bezpieczeństwa powinien śledzić użytkownika, który uzyskał dostęp do informacji, dzień i godzinę uzyskania dostępu oraz do kogo informacje zostały wysłane.
- Bezpieczna transmisja e-mail. Usługodawca powinien również odpowiednio zabezpieczyć wszystkie transmisje poczty elektronicznej za pomocą szyfrowania i innych technik.
Krok 3. Uzyskaj zgodę pacjenta
Niezależnie od usługodawcy, z którego korzystasz, zawsze musisz uzyskać zgodę pacjenta na przesyłanie informacji medycznych drogą elektroniczną. Czasami pacjent prześle Ci informację mailem, ale nie należy zakładać, że oznacza to zgodę na otrzymywanie informacji drogą elektroniczną.
Zamiast tego powinieneś poprosić pacjentów o podpisanie karty kontaktowej. W tym formularzu pacjent powie Ci, w jaki sposób woli się z nim kontaktować. Powinieneś poprosić obecnych pacjentów o podpisanie jednego i upewnić się, że wszyscy nowi pacjenci podpiszą go podczas pierwszej wizyty
Krok 4. Użyj szyfrowania
Według Health and Human Services szyfrowanie nie jest obowiązkowe, chyba że po ocenie ryzyka zostanie uznane za odpowiednie zabezpieczenie. W praktyce oznacza to jednak, że prawie zawsze będziesz musiał zaszyfrować wiadomości e-mail i załączniki.
- Szyfrowanie to technika, która przekształca oryginalny tekst w tekst zakodowany. Jest to sposób na zabezpieczenie informacji na wypadek ich przechwycenia przez osobę trzecią.
- Twój dostawca usług poczty e-mail zgodny z HIPAA powinien wyjaśnić Ci swoje techniki szyfrowania komunikacji.
Krok 5. Zachowaj zapisy
HIPAA wymaga przechowywania wiadomości e-mail przez okres do sześciu lat. Nazywa się to „Zasadą sześcioletniego okresu retencji”. Twój dostawca usług poczty e-mail powinien być w stanie zagwarantować, że będzie przechowywać wiadomości e-mail przez ten czas.
Krok 6. Nie używaj poczty e-mail, jeśli to konieczne
Może się okazać, że koszty przestrzegania przepisów związanych z legalnym przesyłaniem informacji o stanie zdrowia pacjenta przekraczają Twój budżet. Jeśli tak, zawsze masz możliwość niewysyłania tych informacji drogą elektroniczną.