Ustawa o przenośności i ochronie ubezpieczenia zdrowotnego (HIPAA) rządu federalnego stworzyła wytyczne dotyczące tego, w jaki sposób świadczeniodawcy opieki zdrowotnej postępują z danymi dotyczącymi zdrowia pacjentów. Niestety wytyczne HIPAA są niejasne. Nie ma łatwej listy kontrolnej, której można użyć do znalezienia oprogramowania zgodnego z HIPAA. Zamiast tego, HIPAA nakazuje stworzenie zestawu procedur dostępu i wysyłania informacji o stanie zdrowia pacjenta. Następnie musisz znaleźć dostawcę oprogramowania, którego oprogramowanie umożliwi Ci wdrożenie Twoich procedur.
Kroki
Część 1 z 3: Tworzenie odpowiednich procedur
Krok 1. Prowadź dziennik kontroli
Musisz śledzić, kto ma dostęp do danych pacjenta. Oznacza to, że musisz utworzyć oddzielne nazwy użytkownika i hasła dla każdej osoby, która ma dostęp do informacji o stanie zdrowia pacjenta. W ramach dziennika kontrolnego należy śledzić następujące elementy:
- które rejestrują użytkownika, do którego uzyskano dostęp
- data uzyskania dostępu
- czy użytkownik przeglądał informacje, aktualizował je lub usuwał
Krok 2. Utwórz poziomy dostępu
HIPAA wymaga również, aby pracownik widział tylko „niezbędne minimum” informacji do wykonywania swojej pracy. Na przykład lekarz będzie musiał zobaczyć więcej informacji zdrowotnych niż recepcjonistka. W związku z tym musisz stworzyć poziomy dostępu, w których podajesz tylko tyle informacji, ile każda osoba potrzebuje do wykonywania swojej pracy.
- Niektórzy pracownicy mogą pracować tylko z niektórymi pacjentami. W takiej sytuacji powinni mieć dostęp tylko do dokumentacji pacjenta dla osób, z którymi pracują.
- Aby skutecznie tworzyć poziomy dostępu, musisz jasno zdefiniować role w swojej organizacji. Może to wymagać przyjrzenia się opisom stanowisk i zmiany obowiązków.
Krok 3. Utwórz funkcję „zastąpienia awaryjnego”
Nawet jeśli utworzysz poziomy dostępu, mogą wystąpić sytuacje, w których ktoś będzie musiał uzyskać dostęp do wszystkich informacji w nagłych wypadkach. Z tego powodu powinieneś stworzyć „zastąpienie”, które pozwoli osobie uzyskać wszelkie informacje niezbędne do skutecznego leczenia pacjentów.
- Niemniej jednak należy skonfigurować oprogramowanie tak, aby korzystanie z tej funkcji zastępowania podlegało kontroli.
- Na przykład możesz skonfigurować oprogramowanie tak, aby za każdym razem, gdy ktoś korzysta z funkcji zastępowania, kilka innych osób jest automatycznie wysyłanych e-mailem jednocześnie. Oprogramowanie powinno również śledzić wszelkie informacje, do których ta osoba ma dostęp.
- Powinieneś również napisać proces przeglądu dla każdego użycia funkcji override. Na przykład osoba, która go używa, może później spotkać się z przełożonym, aby uzasadnić użycie.
Krok 4. Zabezpiecz swoje dane
HIPAA wymaga, aby Twoje dane były bezpieczne. W praktyce oznacza to, że należy używać haseł i chronić dane za firewallem.
- Musisz również upewnić się, że Twoje e-maile są bezpieczne. W szczególności musisz używać odpowiedniej technologii szyfrowania wiadomości e-mail.
- Aby uzyskać więcej informacji na temat upewniania się, że Twój adres e-mail jest zgodny z HIPAA, zobacz Upewnianie się, że adres e-mail jest zgodny z HIPAA.
Krok 5. Zeskanuj formularze autoryzacji pacjenta
Jesteś zobowiązany do podpisania przez pacjentów formularzy upoważniających do wykorzystania ich danych w celu ich opieki. Każdy formularz powinien zawierać opis do czego będziesz wykorzystywać dane oraz datę ważności.
- Powinieneś śledzić te upoważnienia, w tym datę podpisania formularza i nazwisko osoby podpisującej.
- Należy również zeskanować formularz i zachować jego kopię cyfrową.
Krok 6. Potwierdź, że Twój system rozliczeniowy jest zgodny
HIPAA ustandaryzował przesyłanie informacji rozliczeniowych. Z tego powodu każdy używany system rozliczeniowy musi obsługiwać standardy HIPAA.
W tej chwili robi to praktycznie każdy system rozliczeniowy na rynku. Niemniej jednak powinieneś potwierdzić u swojego dostawcy, że jest on zgodny z HIPAA
Krok 7. Zapytaj dostawców o backup
HIPAA wymaga również, abyś zachował swoje dane, aby pacjent mógł je zobaczyć, kiedy tylko o to poprosi. Oznacza to, że musisz tworzyć kopie zapasowe wszystkich informacji. Jeśli przechowujesz informacje na papierze, potrzebujesz kopii przechowywanych poza siedzibą firmy lub utworzonych cyfrowych skanów. Jeśli przechowujesz dane w formie elektronicznej, należy wykonać ich kopię zapasową.
- Zapytaj dostawców, jak tworzą kopie zapasowe swoich systemów. Dowiedz się, jak zapewniają ciągłość działania systemu w razie wypadku.
- Jeśli hostujesz system danych na własnych serwerach, musisz dowiedzieć się, jakie masz procedury tworzenia kopii zapasowych, a także swoje plany awaryjne.
Krok 8. Niech partnerzy biznesowi podpiszą umowy
Każdy, kto widzi Twoje dane, musi zgodzić się na przestrzeganie tych samych zasad i procedur co Twoja organizacja. Dlatego należy przygotować umowę „współpracownika biznesowego” do podpisania przez wszystkich dostawców.
- Health and Human Services ma przykładową umowę dostępną pod adresem https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html. Możesz go zmodyfikować, aby odpowiadał Twoim celom.
- W Internecie znajdują się również przykładowe umowy. Na przykład Centrum Nauki o Zdrowiu UT ma formularz umowy, z którego możesz skorzystać.
- Powinieneś również poprosić swojego prawnika z zakresu opieki zdrowotnej o sprawdzenie każdej umowy, aby upewnić się, że jest ona wystarczająca, aby Cię chronić.
Część 2 z 3: Wyszukiwanie dostawców oprogramowania i danych
Krok 1. Zapytaj innych świadczeniodawców opieki zdrowotnej
Jeśli otwierasz firmę, musisz kupić oprogramowanie. Być może będziesz musiał zatrudnić kogoś do hostowania twoich danych na ich serwerach (lub do tworzenia kopii zapasowych twoich własnych serwerów).
Zapytaj innych dostawców, z jakich dostawców korzystają. Praktycznie wszyscy świadczeniodawcy opieki zdrowotnej są objęci HIPAA, więc powinni byli poważnie zastanowić się, czy ich oprogramowanie jest zgodne. Powinieneś poprosić o rekomendacje
Krok 2. Porównaj ceny
Po uzyskaniu rekomendacji dla różnych dostawców musisz porównać ich ceny. Powinieneś do nich zadzwonić, aby uzyskać wycenę. Ich numery telefonów powinny znajdować się w Internecie.
- Ceny będą zależeć od liczby osób, które muszą uzyskać dostęp do Twojego systemu, więc upewnij się, że masz dostęp do tego numeru.
- Jeśli Twoja firma się rozwija, powinieneś pomyśleć z kilkuletnim wyprzedzeniem. Na przykład, jeśli masz pięciu pracowników, ale uważasz, że podwoisz swoją wielkość, upewnij się, że otrzymasz wycenę, ile kosztuje posiadanie 10 użytkowników. Nie chcesz zmieniać oprogramowania po zaledwie roku.
Krok 3. Dowiedz się, jak dostawca monitoruje zmiany w HIPAA
Przepisy HIPAA wciąż ewoluują. Należy oczekiwać, że sprzedawca będzie nadążał za zmianami w prawie. Kontaktując się z dostawcami, należy zadać następujące pytania:
- W jaki sposób dostawca monitoruje zmiany w przepisach HIPAA? Czy ma plan działania, aby nadążyć za zmianami w prawie? Poszukaj konkretnych przykładów. Czy firma zatrudnia prawnika, który monitoruje zmiany w prawie?
- Jaki procent klientów dostawcy musi być zgodny z HIPAA? Jeśli większość klientów firmy musi przestrzegać HIPAA, możesz być pewien, że wprowadzi niezbędne zmiany, aby zachować zgodność z HIPAA - w przeciwnym razie zniknie z rynku.
Część 3 z 3: Zrozumienie wymagań HIPAA
Krok 1. Sprawdź, czy HIPAA dotyczy Ciebie
Musisz przestrzegać HIPAA, jeśli Twoja organizacja przesyła drogą elektroniczną jakiekolwiek informacje rozliczeniowe do jakiejkolwiek firmy ubezpieczeniowej, w tym Medicaid i Medicare. Informacje mogą obejmować faktury lub inne informacje potrzebne do znalezienia ochrony ubezpieczeniowej. Ogólnie rzecz biorąc, HIPAA reguluje dostawców następujących usług:
- terapia
- poradnictwo
- opieka medyczna
- wszelkie inne usługi, które obciążają firmy ubezpieczeniowe
Krok 2. Znajdź prawnika ds. opieki zdrowotnej
Zasady HIPAA są skomplikowane i trudne do zrozumienia. Aby upewnić się, że przestrzegasz przepisów, powinieneś zatrudnić prawnika ds. opieki zdrowotnej dla swojej organizacji. Prawnik opieki zdrowotnej może pomóc w rozwiązaniu problemów związanych z zarządzaniem ryzykiem i kwestiami regulacyjnymi. Możesz zatrzymać tę osobę „na rachunkach”, co oznacza, że płacisz opłatę co miesiąc. W zamian prawnik jest zawsze dostępny, aby odpowiedzieć na Twoje pytania.
- Możesz uzyskać zalecenia dla prawnika zajmującego się opieką zdrowotną, pytając innych świadczeniodawców opieki zdrowotnej, z których korzystają. Jeśli nie otrzymasz żadnych rekomendacji, możesz odwiedzić stowarzyszenie prawników w swoim stanie, które powinno prowadzić program poleceń. Poproś o skierowanie do adwokata służby zdrowia.
- Zapytaj prawnika o jego doświadczenie. Będziesz potrzebować kogoś, kto ma duże doświadczenie w przestrzeganiu przepisów, a nie tylko w reprezentowaniu firm w procesach sądowych.
Krok 3. Bądź bezpieczny, nie żałuj
Technicznie rzecz biorąc, nie musisz tworzyć nazw użytkowników, poziomów dostępu, a nawet mieć oprogramowania w swojej organizacji. Zamiast tego HIPAA wymaga jedynie podjęcia „rozsądnych kroków” i ujawnienia tylko „niezbędnych minimalnych” informacji. Niemniej jednak, ze względów praktycznych, musisz stworzyć procedury dostępu i dystrybucji informacji opisane powyżej, jeśli planujesz prowadzić nowoczesne biuro z komputerami i pocztą elektroniczną. Procedury te pomogą chronić Cię przed nieuprawnionym ujawnieniem informacji o pacjencie.
- Kary za naruszenie HIPAA mogą być surowe. Możesz zostać ukarany grzywną w wysokości do 50 000 USD za każde naruszenie, maksymalnie do 1,5 miliona USD rocznie. Istnieją również sankcje karne dla tych, którzy świadomie naruszają zasady.
- W związku z tym lepiej jest postępować zgodnie z praktykami i procedurami, które stają się standardem w Twojej branży. Doświadczeni prawnicy i sprzedawcy opieki zdrowotnej mogą poprowadzić Cię we właściwym kierunku.
