พรบ. ความสามารถในการพกพาและความรับผิดชอบในการประกันสุขภาพ ได้มีการประกาศใช้เมื่อปีพ. ศ. 2539 โดยมีสำนักงานสิทธิพลเมืองของรัฐบาลสหรัฐอเมริกา มันเป็นชุดของแนวทางของรัฐบาลกลางที่สร้างขึ้นเพื่อให้พนักงานใช้ประกันสุขภาพของพวกเขากับพวกเขาหากพวกเขาออกจากนายจ้างให้ผู้คนสามารถเข้าถึงการประกันทางการแพทย์แม้จะมีเงื่อนไขที่มีอยู่ก่อน (ภายใต้เงื่อนไขบางอย่าง) และเพื่อสร้างมาตรฐานความเป็นส่วนตัวสำหรับสุขภาพของผู้ป่วย ข้อมูล.
- กฎ ความเป็นส่วนตัวของ HIPAA ปกป้องความเป็นส่วนตัวของข้อมูลสุขภาพที่ระบุตัวบุคคล
- กฎความปลอดภัยของ HIPAA กำหนดมาตรฐานแห่งชาติเพื่อความปลอดภัยของข้อมูลด้านสุขภาพอิเล็กทรอนิกส์
กฎหมายกำหนดให้มีการศึกษาและฝึกอบรม HIPAA แก่บุคคลที่ทำงานในอุตสาหกรรมการดูแลสุขภาพเพื่อให้มั่นใจถึงความรับผิดชอบต่อความเป็นส่วนตัวและความปลอดภัยของข้อมูลสุขภาพที่ได้รับการป้องกัน องค์กรที่ได้รับการคุ้มครองต้องฝึกอบรมพนักงานทุกคนเกี่ยวกับนโยบายและขั้นตอน HIPAA
1 -
กฎความเป็นส่วนตัวของ HIPAAมาตรฐานด้านความเป็นส่วนตัวของข้อมูลด้านสุขภาพที่ระบุได้เฉพาะบุคคล (กฎความเป็นส่วนตัว) ได้รับการออกแบบเพื่อปกป้องข้อมูลส่วนบุคคลของแต่ละบุคคลโดยเฉพาะ เป็นสิ่งสำคัญสำหรับความมีชีวิตชีวาของสำนักงานแพทย์ของคุณเพื่อให้สอดคล้องกับ HIPAA
ใครบ้างที่ได้รับการคุ้มครองโดยกฎความเป็นส่วนตัว?
- แผนสุขภาพ
- ผู้ให้บริการด้านสุขภาพ
- ศูนย์หักบัญชีการดูแลสุขภาพ
นิติบุคคลที่ครอบคลุมตามที่กำหนดใน HIPAA อาจเป็นแผนประกันสุขภาพสำนักหักบัญชีด้านการดูแลสุขภาพหรือผู้ให้บริการด้านการดูแลสุขภาพที่ส่งข้อมูลสุขภาพที่ได้รับการป้องกันทางอิเล็กทรอนิกส์และสามารถเป็นองค์กรสถาบันหรือบุคคลได้
แพทย์และบุคลากรทางการแพทย์อื่น ๆ ที่ทำงานร่วมกับผู้ป่วยและเวชระเบียนที่เป็นความลับต้องเป็นไปตามนโยบายขั้นตอนและกฎหมายที่ออกแบบมาเพื่อปกป้องข้อมูลส่วนบุคคลและความลับของผู้ป่วย ผู้ให้บริการด้านการดูแลสุขภาพทุกคนมีหน้าที่รับผิดชอบเพื่อให้พนักงานได้รับการฝึกอบรมและทราบเกี่ยวกับการ ปฏิบัติตามข้อกำหนดของ HIPAA การเปิดเผยข้อมูล PHI ที่ไม่ได้รับอนุญาตโดยเจตนาหรือโดยอุบัติเหตุเป็นการละเมิด HIPAA
- นักธุรกิจ
ผู้ร่วมธุรกิจตามที่กำหนดโดย HIPAA คือบุคคลหรือกิจการที่ดำเนินธุรกิจเกี่ยวกับการใช้หรือการเปิดเผยข้อมูลสุขภาพที่ได้รับการคุ้มครองในนามของกิจการที่ครอบคลุมและไม่ได้เป็นพนักงานของนิติบุคคลที่ครอบคลุม
ข้อมูลอะไรที่ได้รับการคุ้มครอง?
PHI หรือข้อมูลสุขภาพที่ได้รับการคุ้มครองหมายถึงข้อมูลระบุตัวบุคคลที่รวมอยู่ในเวชระเบียนของผู้ป่วยที่ส่งหรือเก็บไว้ในรูปแบบใด ๆ
การใช้และการเปิดเผยข้อมูล
นิติบุคคลที่ครอบคลุมสามารถใช้หรือเปิดเผยข้อมูลสุขภาพที่มีการป้องกัน (PHI) โดยไม่ได้รับอนุญาตภายใต้เงื่อนไขบางประการ
- สำหรับบุคคลธรรมดา
- การดำเนินการชำระเงินและการดำเนินงานเพื่อสุขภาพ
- การใช้และการเปิดเผยข้อมูลด้วยโอกาสที่จะเห็นด้วยหรือวัตถุ
- การใช้และเปิดเผยข้อมูลโดยไม่ได้ตั้งใจ
- กิจกรรมเพื่อประโยชน์สาธารณะและผลประโยชน์
- ชุดข้อมูล จำกัด สำหรับการวิจัยการสาธารณสุขหรือการดูแลสุขภาพ
คำบอกกล่าวเรื่องการเก็บข้อมูลส่วนบุคคล
ผู้ให้บริการด้านสุขภาพมีหน้าที่ต้องแจ้งให้ผู้ป่วยทราบถึงหลักปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคล ประกาศนี้ตามที่กำหนดโดยกฎความเป็นส่วนตัวของ HIPAA ทำให้ผู้ป่วยมีสิทธิที่จะได้รับทราบเกี่ยวกับสิทธิความเป็นส่วนตัวของตนเองเนื่องจากเกี่ยวข้องกับข้อมูลสุขภาพที่ได้รับการป้องกัน (PHI) ของพวกเขา
คำบอกกล่าวควรอธิบายข้อมูลบางอย่างในคำศัพท์ที่เข้าใจได้ง่าย:
- ผู้ให้บริการจะใช้และเปิดเผย PHI อย่างไร
- สิทธิผู้ป่วยมีเกี่ยวกับ PHI ของตัวเอง
- คำแถลงเกี่ยวกับการแจ้งให้ผู้ป่วยทราบถึงกฎหมายที่กำหนดให้ผู้ให้บริการรักษาความเป็นส่วนตัวของ PHI ของตน
- ผู้ป่วยสามารถติดต่อสอบถามข้อมูลเพิ่มเติมเกี่ยวกับนโยบายความเป็นส่วนตัวของผู้ให้บริการได้
การบังคับใช้และการลงโทษสำหรับการไม่ปฏิบัติตามข้อกำหนด
บทลงโทษทางแพ่ง
- $ 100 ต่อการไม่ปฏิบัติตาม
- สูงสุด $ 25,000 ต่อปีสำหรับการละเมิดข้อกำหนดเดียวกันหลายครั้ง
บทลงโทษทางอาญา (เพื่อทราบหรือได้รับ PHI ที่ละเมิด HIPAA)
- ค่าปรับ 50,000 ดอลลาร์และไม่เกินหนึ่งปี
- 100,000 ดอลลาร์ปรับและไม่เกินห้าปีจำคุก (ถ้าการละเมิดเกี่ยวข้องกับเท็จหลอกลวง)
- จำคุก 250,000 เหรียญปรับและจำคุกไม่เกิน 10 ปี (หากการละเมิดเกี่ยวข้องกับการขายโอนหรือใช้ PHI)
2 -
กฎความปลอดภัยของ HIPAAมาตรฐานการรักษาความปลอดภัยสำหรับการคุ้มครองข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ (กฎความปลอดภัย)
การรักษาความปลอดภัย HIPAA หมายถึงการสร้างความปลอดภัยสำหรับ PHI ในรูปแบบอิเล็กทรอนิกส์ใด ๆ รวมถึงข้อมูลใด ๆ ที่ใช้จัดเก็บหรือส่งทางอิเล็กทรอนิกส์ สถานที่ใด ๆ ที่กำหนดโดย HIPAA ในฐานะนิติบุคคลที่ครอบคลุมมีหน้าที่รับผิดชอบในการรักษาความเป็นส่วนตัวและความปลอดภัยของข้อมูลผู้ป่วยรวมถึงการรักษาความลับของ PHI ด้วย
ใครบ้างที่ได้รับการคุ้มครองโดยกฎความปลอดภัย?
- แผนสุขภาพ
- ผู้ให้บริการด้านสุขภาพ
- ศูนย์หักบัญชีการดูแลสุขภาพ
นิติบุคคลที่ครอบคลุมตามที่กำหนดใน HIPAA อาจเป็นแผนประกันสุขภาพสำนักหักบัญชีด้านการดูแลสุขภาพหรือผู้ให้บริการด้านการดูแลสุขภาพที่ส่งข้อมูลสุขภาพที่ได้รับการป้องกันทางอิเล็กทรอนิกส์และสามารถเป็นองค์กรสถาบันหรือบุคคลได้
- นักธุรกิจ
ผู้ร่วมธุรกิจตามที่กำหนดโดย HIPAA คือบุคคลหรือกิจการที่ดำเนินธุรกิจเกี่ยวกับการใช้หรือการเปิดเผยข้อมูลสุขภาพที่ได้รับการคุ้มครองในนามของกิจการที่ครอบคลุมและไม่ได้เป็นพนักงานของนิติบุคคลที่ครอบคลุม
ข้อมูลอะไรที่ได้รับการคุ้มครอง?
Electronic PHI หรือ Protected Health Information หมายถึงข้อมูลที่ระบุตัวบุคคลซึ่งรวมอยู่ในเวชระเบียนของผู้ป่วยที่ส่งหรือเก็บไว้ในรูปแบบใด ๆ กฎความปลอดภัยไม่รวม PHI ที่ส่งทางปากหรือเป็นลายลักษณ์อักษร
การทำให้เข้าใจง่ายในการดูแลระบบ
ข้อกำหนดเรื่องความเรียบง่ายในการบริหารของ HIPAA กำหนดมาตรฐานแห่งชาติเพื่อความปลอดภัยของข้อมูลด้านสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ ซึ่งรวมถึงกฎและมาตรฐานสำหรับธุรกรรมและชุดรหัสและตัวระบุสำหรับนายจ้างและผู้ให้บริการ
การทำธุรกรรมและมาตรฐานชุดรหัส
ธุรกรรมมาตรฐานสำหรับ Data Data Interchange (EDI) ของข้อมูลการดูแลสุขภาพรวมถึงการเรียกร้องและการพบข้อมูลการชำระเงินและการโอนเงินคำแนะนำสถานะการเรียกร้องการมีสิทธิ์การลงทะเบียนและการยกเลิกการลงทะเบียนการอ้างอิงและการอนุมัติการประสานงานของผลประโยชน์และการชำระเบี้ยประกันภัย
ชุดรหัสมาตรฐานสำหรับการวินิจฉัยขั้นตอนและรหัสยารวมถึง HCPCS (บริการเสริม / ขั้นตอนการปฏิบัติงาน), CPT-4 (กระบวนการแพทย์), CDT (คำศัพท์ทางทันตกรรม), ICD-9 (การวินิจฉัยและการรักษาผู้ป่วยในโรงพยาบาล), ICD-10 ( ตั้งแต่วันที่ 1 ตุลาคม 2015) และรหัส NDC (รหัสยาแห่งชาติ)
มาตรฐานตัวบ่งชี้สำหรับนายจ้างและผู้ให้บริการ
ตัวระบุมาตรฐานรวมถึงหมายเลขประจำตัวผู้จ้าง (EIN) และตัวระบุผู้ให้บริการระดับชาติ (NPI) EIN ใช้เพื่อระบุนายจ้างในธุรกรรมมาตรฐาน การระบุผู้ให้บริการระดับชาติหรือ NPI คือหมายเลขรหัสประจำตัวที่ไม่ซ้ำกัน 10 หลักที่ใช้เพื่อระบุสถานที่ของตัวระบุผู้ให้บริการเช่นหมายเลขระบุผู้ให้บริการ (UPIN) ในการทำธุรกรรมมาตรฐานของ HIPAA ผู้ให้บริการด้านสุขภาพต้องได้รับการควบคุมโดย HIPAA เพื่อขอรับ NPI
กฎสำหรับการรักษาความปลอดภัย HIPAA รวมถึงการป้องกันสำหรับสามประเด็นสำคัญ
มาตรการป้องกันทางปกครอง
- พัฒนากระบวนการบริหารจัดการความปลอดภัยอย่างเป็นทางการรวมถึงการพัฒนานโยบายและขั้นตอนการตรวจสอบภายในแผนฉุกเฉินและมาตรการป้องกันอื่น ๆ เพื่อให้พนักงานของสำนักงานแพทย์ปฏิบัติตามข้อกำหนด
- กำหนดความรับผิดชอบในการรักษาความปลอดภัยให้แก่บุคคลที่ได้รับมอบหมายเพื่อจัดการและควบคุมการใช้มาตรการรักษาความปลอดภัยและการปฏิบัติงานของพนักงาน
- ใช้คุณลักษณะที่ทำให้พนักงานมีการฝึกอบรมที่เหมาะสมและมีอำนาจในการเข้าถึง PHI
- กำหนดระดับการเข้าถึงสำหรับพนักงานทั้งหมดและวิธีการได้รับ
- กำหนดให้บุคลากรทางการแพทย์ทุกคนรวมทั้งผู้บริหารจัดการฝึกอบรมด้านการรักษาความปลอดภัยและมีการแจ้งเตือนเป็นระยะและการศึกษาของผู้ใช้
การป้องกันทางกายภาพ
- ไฟล์ PHI ในที่ปลอดภัยและพื้นที่ทำงานสำหรับพนักงาน (ซึ่งรวมถึงการใช้กุญแจกุญแจและป้ายที่ปลดล็อกประตู) ที่ จำกัด การเข้าถึงบุคคลที่ไม่ได้รับอนุญาตและผู้บุกรุก
- พัฒนานโยบายในการตรวจสอบสิทธิ์การเข้าถึงการควบคุมอุปกรณ์และการจัดการผู้เข้าชม พัฒนาและจัดเตรียมเอกสารรวมถึงคำแนะนำเกี่ยวกับวิธีการที่สำนักงานแพทย์ของคุณสามารถช่วยในการปกป้อง PHI (ตัวอย่างเช่นออกจากระบบคอมพิวเตอร์ก่อนออกจากระบบโดยไม่ต้องใส่)
- ให้การป้องกันไฟและอันตรายอื่น ๆ
การป้องกันทางเทคนิค
- สร้างรหัสผู้ใช้ที่ไม่ซ้ำกันรวมถึงรหัสผ่านและหมายเลขพิน
- ใช้การควบคุมการออกจากระบบอัตโนมัติ
- บันทึกและตรวจสอบกิจกรรมของระบบเพื่อวัตถุประสงค์ในการตรวจสอบ
- ใช้การเข้ารหัสเพื่อควบคุมข้อมูลที่ส่งผ่านเครือข่าย
การบังคับใช้และการลงโทษสำหรับการไม่ปฏิบัติตามข้อกำหนด
บทลงโทษทางแพ่ง
- $ 100 ต่อการไม่ปฏิบัติตาม
- สูงสุด $ 25,000 ต่อปีสำหรับการละเมิดข้อกำหนดเดียวกันหลายครั้ง
บทลงโทษทางอาญา (เพื่อทราบหรือได้รับ PHI ที่ละเมิด HIPAA)
- ค่าปรับ 50,000 ดอลลาร์และไม่เกินหนึ่งปี
- 100,000 ดอลลาร์ปรับและไม่เกินห้าปีจำคุก (ถ้าการละเมิดเกี่ยวข้องกับเท็จหลอกลวง)
- จำคุก 250,000 เหรียญปรับและจำคุกไม่เกิน 10 ปี (หากการละเมิดเกี่ยวข้องกับการขายโอนหรือใช้ PHI)
3 -
เคล็ดลับเพื่อหลีกเลี่ยงการละเมิด HIPAA- ทำตามขั้นตอนที่จำเป็นเพื่อไม่ให้เปิดเผยข้อมูลผ่านการสนทนาประจำ หลีกเลี่ยงการเปิดเผยข้อมูลผ่านการสนทนาเป็นประจำ การพูดคุยเกี่ยวกับข้อมูลผู้ป่วยในพื้นที่รอการเดินหรือลิฟท์; การกำจัดยาที่เหมาะสมของ PHI; และการเข้าถึงข้อมูลจะถูก จำกัด อย่างเคร่งครัดสำหรับพนักงานที่มีงานต้องการข้อมูลนั้น ข้อมูลพื้นฐานอาจดูเหมือนไม่สำคัญเท่าที่จะสามารถกล่าวถึงได้ในการสนทนาเป็นประจำ แต่ควรแชร์เฉพาะเมื่อจำเป็นต้องรู้พื้นฐานเท่านั้น
- หลีกเลี่ยงการพูดคุยเกี่ยวกับข้อมูลของผู้ป่วยในพื้นที่รอการเดินหรือลิฟท์ ข้อมูลที่ละเอียดอ่อนสามารถถูกผู้ชมหรือผู้ป่วยรายอื่น ๆ ได้ยิน นอกจากนี้โปรดเก็บบันทึกผู้ป่วยออกจากพื้นที่ที่สามารถเข้าถึงได้แก่สาธารณชน เนื่องจากโต๊ะเช็คอินและสถานีพยาบาลเปิดให้บริการอยู่ห่างออกไปเป็นพิเศษเพื่อให้แน่ใจว่าคอมพิวเตอร์มีความปลอดภัยอยู่ตลอดเวลา ผู้ถือแผนภูมิควรติดตั้งและแผงด้านหน้าจะครอบคลุมตามมาตรฐาน HIPAA
- PHI ไม่ควรทิ้งในถังขยะ เอกสารใด ๆ ที่ถูกโยนเข้าไปในถังขยะจะเปิดเผยต่อสาธารณชนและเป็นการละเมิดข้อมูล มีหลายวิธีในการกำจัด PHI การกำจัดกระดาษ PHI ที่เหมาะสม ได้แก่ การเผาหรือการหั่นย่อย PHI อิเล็กทรอนิกส์สามารถกำจัดโดยการลบ, ลบ, จัดรูปแบบ, เผา, ละลายหรือ shredding
- มีเทคโนโลยีที่พร้อมใช้งานมากมายที่ออกแบบมาเพื่อรักษาข้อมูลผู้ป่วย เลือกใช้อุปกรณ์และซอฟต์แวร์ที่มีความปลอดภัยในการเชื่อมต่อแบบไร้สายเช่นไฟร์วอลล์ระบบป้องกันไวรัสซอฟต์แวร์ป้องกันสปายแวร์และเทคโนโลยีการตรวจจับการบุกรุก ใช้ความระมัดระวังอย่างยิ่งเมื่อเข้าถึงข้อมูลผ่านการเชื่อมต่อระยะไกล ผู้เชี่ยวชาญด้านไอทีขอแนะนำให้ใช้ระบบการตรวจสอบสิทธิ์แบบสองปัจจัยโดยมีโทเค็นการรักษาความปลอดภัยและรหัสผ่าน