การฝึกอบรมตามมาตรฐาน HIPAA ประจำปี

พรบ. ความสามารถในการพกพาและความรับผิดชอบในการประกันสุขภาพ ได้มีการประกาศใช้เมื่อปีพ. ศ. 2539 โดยมีสำนักงานสิทธิพลเมืองของรัฐบาลสหรัฐอเมริกา มันเป็นชุดของแนวทางของรัฐบาลกลางที่สร้างขึ้นเพื่อให้พนักงานใช้ประกันสุขภาพของพวกเขากับพวกเขาหากพวกเขาออกจากนายจ้างให้ผู้คนสามารถเข้าถึงการประกันทางการแพทย์แม้จะมีเงื่อนไขที่มีอยู่ก่อน (ภายใต้เงื่อนไขบางอย่าง) และเพื่อสร้างมาตรฐานความเป็นส่วนตัวสำหรับสุขภาพของผู้ป่วย ข้อมูล.

• กฎ ความเป็นส่วนตัวของ HIPAA ปกป้องความเป็นส่วนตัวของข้อมูลสุขภาพที่ระบุตัวบุคคล
• กฎความปลอดภัยของ HIPAA กำหนดมาตรฐานแห่งชาติเพื่อความปลอดภัยของข้อมูลด้านสุขภาพอิเล็กทรอนิกส์

กฎหมายกำหนดให้มีการศึกษาและฝึกอบรม HIPAA แก่บุคคลที่ทำงานในอุตสาหกรรมการดูแลสุขภาพเพื่อให้มั่นใจถึงความรับผิดชอบต่อความเป็นส่วนตัวและความปลอดภัยของข้อมูลสุขภาพที่ได้รับการป้องกัน องค์กรที่ได้รับการคุ้มครองต้องฝึกอบรมพนักงานทุกคนเกี่ยวกับนโยบายและขั้นตอน HIPAA

1 -

กฎความเป็นส่วนตัวของ HIPAA

มาตรฐานด้านความเป็นส่วนตัวของข้อมูลด้านสุขภาพที่ระบุได้เฉพาะบุคคล (กฎความเป็นส่วนตัว) ได้รับการออกแบบเพื่อปกป้องข้อมูลส่วนบุคคลของแต่ละบุคคลโดยเฉพาะ เป็นสิ่งสำคัญสำหรับความมีชีวิตชีวาของสำนักงานแพทย์ของคุณเพื่อให้สอดคล้องกับ HIPAA

ใครบ้างที่ได้รับการคุ้มครองโดยกฎความเป็นส่วนตัว?

• แผนสุขภาพ
• ผู้ให้บริการด้านสุขภาพ
• ศูนย์หักบัญชีการดูแลสุขภาพ

นิติบุคคลที่ครอบคลุมตามที่กำหนดใน HIPAA อาจเป็นแผนประกันสุขภาพสำนักหักบัญชีด้านการดูแลสุขภาพหรือผู้ให้บริการด้านการดูแลสุขภาพที่ส่งข้อมูลสุขภาพที่ได้รับการป้องกันทางอิเล็กทรอนิกส์และสามารถเป็นองค์กรสถาบันหรือบุคคลได้

แพทย์และบุคลากรทางการแพทย์อื่น ๆ ที่ทำงานร่วมกับผู้ป่วยและเวชระเบียนที่เป็นความลับต้องเป็นไปตามนโยบายขั้นตอนและกฎหมายที่ออกแบบมาเพื่อปกป้องข้อมูลส่วนบุคคลและความลับของผู้ป่วย ผู้ให้บริการด้านการดูแลสุขภาพทุกคนมีหน้าที่รับผิดชอบเพื่อให้พนักงานได้รับการฝึกอบรมและทราบเกี่ยวกับการ ปฏิบัติตามข้อกำหนดของ HIPAA การเปิดเผยข้อมูล PHI ที่ไม่ได้รับอนุญาตโดยเจตนาหรือโดยอุบัติเหตุเป็นการละเมิด HIPAA

• นักธุรกิจ

ผู้ร่วมธุรกิจตามที่กำหนดโดย HIPAA คือบุคคลหรือกิจการที่ดำเนินธุรกิจเกี่ยวกับการใช้หรือการเปิดเผยข้อมูลสุขภาพที่ได้รับการคุ้มครองในนามของกิจการที่ครอบคลุมและไม่ได้เป็นพนักงานของนิติบุคคลที่ครอบคลุม

ข้อมูลอะไรที่ได้รับการคุ้มครอง?

PHI หรือข้อมูลสุขภาพที่ได้รับการคุ้มครองหมายถึงข้อมูลระบุตัวบุคคลที่รวมอยู่ในเวชระเบียนของผู้ป่วยที่ส่งหรือเก็บไว้ในรูปแบบใด ๆ

การใช้และการเปิดเผยข้อมูล

นิติบุคคลที่ครอบคลุมสามารถใช้หรือเปิดเผยข้อมูลสุขภาพที่มีการป้องกัน (PHI) โดยไม่ได้รับอนุญาตภายใต้เงื่อนไขบางประการ

1. สำหรับบุคคลธรรมดา
2. การดำเนินการชำระเงินและการดำเนินงานเพื่อสุขภาพ
3. การใช้และการเปิดเผยข้อมูลด้วยโอกาสที่จะเห็นด้วยหรือวัตถุ
4. การใช้และเปิดเผยข้อมูลโดยไม่ได้ตั้งใจ
5. กิจกรรมเพื่อประโยชน์สาธารณะและผลประโยชน์
6. ชุดข้อมูล จำกัด สำหรับการวิจัยการสาธารณสุขหรือการดูแลสุขภาพ

คำบอกกล่าวเรื่องการเก็บข้อมูลส่วนบุคคล

ผู้ให้บริการด้านสุขภาพมีหน้าที่ต้องแจ้งให้ผู้ป่วยทราบถึงหลักปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคล ประกาศนี้ตามที่กำหนดโดยกฎความเป็นส่วนตัวของ HIPAA ทำให้ผู้ป่วยมีสิทธิที่จะได้รับทราบเกี่ยวกับสิทธิความเป็นส่วนตัวของตนเองเนื่องจากเกี่ยวข้องกับข้อมูลสุขภาพที่ได้รับการป้องกัน (PHI) ของพวกเขา

คำบอกกล่าวควรอธิบายข้อมูลบางอย่างในคำศัพท์ที่เข้าใจได้ง่าย:

• ผู้ให้บริการจะใช้และเปิดเผย PHI อย่างไร
• สิทธิผู้ป่วยมีเกี่ยวกับ PHI ของตัวเอง
• คำแถลงเกี่ยวกับการแจ้งให้ผู้ป่วยทราบถึงกฎหมายที่กำหนดให้ผู้ให้บริการรักษาความเป็นส่วนตัวของ PHI ของตน
• ผู้ป่วยสามารถติดต่อสอบถามข้อมูลเพิ่มเติมเกี่ยวกับนโยบายความเป็นส่วนตัวของผู้ให้บริการได้

การบังคับใช้และการลงโทษสำหรับการไม่ปฏิบัติตามข้อกำหนด

บทลงโทษทางแพ่ง

• $ 100 ต่อการไม่ปฏิบัติตาม
• สูงสุด $ 25,000 ต่อปีสำหรับการละเมิดข้อกำหนดเดียวกันหลายครั้ง

บทลงโทษทางอาญา (เพื่อทราบหรือได้รับ PHI ที่ละเมิด HIPAA)

• ค่าปรับ 50,000 ดอลลาร์และไม่เกินหนึ่งปี
• 100,000 ดอลลาร์ปรับและไม่เกินห้าปีจำคุก (ถ้าการละเมิดเกี่ยวข้องกับเท็จหลอกลวง)
• จำคุก 250,000 เหรียญปรับและจำคุกไม่เกิน 10 ปี (หากการละเมิดเกี่ยวข้องกับการขายโอนหรือใช้ PHI)

2 -

กฎความปลอดภัยของ HIPAA

มาตรฐานการรักษาความปลอดภัยสำหรับการคุ้มครองข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ (กฎความปลอดภัย)

การรักษาความปลอดภัย HIPAA หมายถึงการสร้างความปลอดภัยสำหรับ PHI ในรูปแบบอิเล็กทรอนิกส์ใด ๆ รวมถึงข้อมูลใด ๆ ที่ใช้จัดเก็บหรือส่งทางอิเล็กทรอนิกส์ สถานที่ใด ๆ ที่กำหนดโดย HIPAA ในฐานะนิติบุคคลที่ครอบคลุมมีหน้าที่รับผิดชอบในการรักษาความเป็นส่วนตัวและความปลอดภัยของข้อมูลผู้ป่วยรวมถึงการรักษาความลับของ PHI ด้วย

ใครบ้างที่ได้รับการคุ้มครองโดยกฎความปลอดภัย?

• แผนสุขภาพ
• ผู้ให้บริการด้านสุขภาพ
• ศูนย์หักบัญชีการดูแลสุขภาพ

นิติบุคคลที่ครอบคลุมตามที่กำหนดใน HIPAA อาจเป็นแผนประกันสุขภาพสำนักหักบัญชีด้านการดูแลสุขภาพหรือผู้ให้บริการด้านการดูแลสุขภาพที่ส่งข้อมูลสุขภาพที่ได้รับการป้องกันทางอิเล็กทรอนิกส์และสามารถเป็นองค์กรสถาบันหรือบุคคลได้

• นักธุรกิจ

ผู้ร่วมธุรกิจตามที่กำหนดโดย HIPAA คือบุคคลหรือกิจการที่ดำเนินธุรกิจเกี่ยวกับการใช้หรือการเปิดเผยข้อมูลสุขภาพที่ได้รับการคุ้มครองในนามของกิจการที่ครอบคลุมและไม่ได้เป็นพนักงานของนิติบุคคลที่ครอบคลุม

ข้อมูลอะไรที่ได้รับการคุ้มครอง?

Electronic PHI หรือ Protected Health Information หมายถึงข้อมูลที่ระบุตัวบุคคลซึ่งรวมอยู่ในเวชระเบียนของผู้ป่วยที่ส่งหรือเก็บไว้ในรูปแบบใด ๆ กฎความปลอดภัยไม่รวม PHI ที่ส่งทางปากหรือเป็นลายลักษณ์อักษร

การทำให้เข้าใจง่ายในการดูแลระบบ

ข้อกำหนดเรื่องความเรียบง่ายในการบริหารของ HIPAA กำหนดมาตรฐานแห่งชาติเพื่อความปลอดภัยของข้อมูลด้านสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ ซึ่งรวมถึงกฎและมาตรฐานสำหรับธุรกรรมและชุดรหัสและตัวระบุสำหรับนายจ้างและผู้ให้บริการ

การทำธุรกรรมและมาตรฐานชุดรหัส

ธุรกรรมมาตรฐานสำหรับ Data Data Interchange (EDI) ของข้อมูลการดูแลสุขภาพรวมถึงการเรียกร้องและการพบข้อมูลการชำระเงินและการโอนเงินคำแนะนำสถานะการเรียกร้องการมีสิทธิ์การลงทะเบียนและการยกเลิกการลงทะเบียนการอ้างอิงและการอนุมัติการประสานงานของผลประโยชน์และการชำระเบี้ยประกันภัย

ชุดรหัสมาตรฐานสำหรับการวินิจฉัยขั้นตอนและรหัสยารวมถึง HCPCS (บริการเสริม / ขั้นตอนการปฏิบัติงาน), CPT-4 (กระบวนการแพทย์), CDT (คำศัพท์ทางทันตกรรม), ICD-9 (การวินิจฉัยและการรักษาผู้ป่วยในโรงพยาบาล), ICD-10 ( ตั้งแต่วันที่ 1 ตุลาคม 2015) และรหัส NDC (รหัสยาแห่งชาติ)

มาตรฐานตัวบ่งชี้สำหรับนายจ้างและผู้ให้บริการ

ตัวระบุมาตรฐานรวมถึงหมายเลขประจำตัวผู้จ้าง (EIN) และตัวระบุผู้ให้บริการระดับชาติ (NPI) EIN ใช้เพื่อระบุนายจ้างในธุรกรรมมาตรฐาน การระบุผู้ให้บริการระดับชาติหรือ NPI คือหมายเลขรหัสประจำตัวที่ไม่ซ้ำกัน 10 หลักที่ใช้เพื่อระบุสถานที่ของตัวระบุผู้ให้บริการเช่นหมายเลขระบุผู้ให้บริการ (UPIN) ในการทำธุรกรรมมาตรฐานของ HIPAA ผู้ให้บริการด้านสุขภาพต้องได้รับการควบคุมโดย HIPAA เพื่อขอรับ NPI

กฎสำหรับการรักษาความปลอดภัย HIPAA รวมถึงการป้องกันสำหรับสามประเด็นสำคัญ

มาตรการป้องกันทางปกครอง

1. พัฒนากระบวนการบริหารจัดการความปลอดภัยอย่างเป็นทางการรวมถึงการพัฒนานโยบายและขั้นตอนการตรวจสอบภายในแผนฉุกเฉินและมาตรการป้องกันอื่น ๆ เพื่อให้พนักงานของสำนักงานแพทย์ปฏิบัติตามข้อกำหนด
2. กำหนดความรับผิดชอบในการรักษาความปลอดภัยให้แก่บุคคลที่ได้รับมอบหมายเพื่อจัดการและควบคุมการใช้มาตรการรักษาความปลอดภัยและการปฏิบัติงานของพนักงาน
3. ใช้คุณลักษณะที่ทำให้พนักงานมีการฝึกอบรมที่เหมาะสมและมีอำนาจในการเข้าถึง PHI
4. กำหนดระดับการเข้าถึงสำหรับพนักงานทั้งหมดและวิธีการได้รับ
5. กำหนดให้บุคลากรทางการแพทย์ทุกคนรวมทั้งผู้บริหารจัดการฝึกอบรมด้านการรักษาความปลอดภัยและมีการแจ้งเตือนเป็นระยะและการศึกษาของผู้ใช้

การป้องกันทางกายภาพ

1. ไฟล์ PHI ในที่ปลอดภัยและพื้นที่ทำงานสำหรับพนักงาน (ซึ่งรวมถึงการใช้กุญแจกุญแจและป้ายที่ปลดล็อกประตู) ที่ จำกัด การเข้าถึงบุคคลที่ไม่ได้รับอนุญาตและผู้บุกรุก
2. พัฒนานโยบายในการตรวจสอบสิทธิ์การเข้าถึงการควบคุมอุปกรณ์และการจัดการผู้เข้าชม พัฒนาและจัดเตรียมเอกสารรวมถึงคำแนะนำเกี่ยวกับวิธีการที่สำนักงานแพทย์ของคุณสามารถช่วยในการปกป้อง PHI (ตัวอย่างเช่นออกจากระบบคอมพิวเตอร์ก่อนออกจากระบบโดยไม่ต้องใส่)
3. ให้การป้องกันไฟและอันตรายอื่น ๆ

การป้องกันทางเทคนิค

1. สร้างรหัสผู้ใช้ที่ไม่ซ้ำกันรวมถึงรหัสผ่านและหมายเลขพิน
2. ใช้การควบคุมการออกจากระบบอัตโนมัติ
3. บันทึกและตรวจสอบกิจกรรมของระบบเพื่อวัตถุประสงค์ในการตรวจสอบ
4. ใช้การเข้ารหัสเพื่อควบคุมข้อมูลที่ส่งผ่านเครือข่าย

การบังคับใช้และการลงโทษสำหรับการไม่ปฏิบัติตามข้อกำหนด

บทลงโทษทางแพ่ง

• $ 100 ต่อการไม่ปฏิบัติตาม
• สูงสุด $ 25,000 ต่อปีสำหรับการละเมิดข้อกำหนดเดียวกันหลายครั้ง

บทลงโทษทางอาญา (เพื่อทราบหรือได้รับ PHI ที่ละเมิด HIPAA)

• ค่าปรับ 50,000 ดอลลาร์และไม่เกินหนึ่งปี
• 100,000 ดอลลาร์ปรับและไม่เกินห้าปีจำคุก (ถ้าการละเมิดเกี่ยวข้องกับเท็จหลอกลวง)
• จำคุก 250,000 เหรียญปรับและจำคุกไม่เกิน 10 ปี (หากการละเมิดเกี่ยวข้องกับการขายโอนหรือใช้ PHI)

3 -

เคล็ดลับเพื่อหลีกเลี่ยงการละเมิด HIPAA

1. ทำตามขั้นตอนที่จำเป็นเพื่อไม่ให้เปิดเผยข้อมูลผ่านการสนทนาประจำ หลีกเลี่ยงการเปิดเผยข้อมูลผ่านการสนทนาเป็นประจำ การพูดคุยเกี่ยวกับข้อมูลผู้ป่วยในพื้นที่รอการเดินหรือลิฟท์; การกำจัดยาที่เหมาะสมของ PHI; และการเข้าถึงข้อมูลจะถูก จำกัด อย่างเคร่งครัดสำหรับพนักงานที่มีงานต้องการข้อมูลนั้น ข้อมูลพื้นฐานอาจดูเหมือนไม่สำคัญเท่าที่จะสามารถกล่าวถึงได้ในการสนทนาเป็นประจำ แต่ควรแชร์เฉพาะเมื่อจำเป็นต้องรู้พื้นฐานเท่านั้น
2. หลีกเลี่ยงการพูดคุยเกี่ยวกับข้อมูลของผู้ป่วยในพื้นที่รอการเดินหรือลิฟท์ ข้อมูลที่ละเอียดอ่อนสามารถถูกผู้ชมหรือผู้ป่วยรายอื่น ๆ ได้ยิน นอกจากนี้โปรดเก็บบันทึกผู้ป่วยออกจากพื้นที่ที่สามารถเข้าถึงได้แก่สาธารณชน เนื่องจากโต๊ะเช็คอินและสถานีพยาบาลเปิดให้บริการอยู่ห่างออกไปเป็นพิเศษเพื่อให้แน่ใจว่าคอมพิวเตอร์มีความปลอดภัยอยู่ตลอดเวลา ผู้ถือแผนภูมิควรติดตั้งและแผงด้านหน้าจะครอบคลุมตามมาตรฐาน HIPAA
3. PHI ไม่ควรทิ้งในถังขยะ เอกสารใด ๆ ที่ถูกโยนเข้าไปในถังขยะจะเปิดเผยต่อสาธารณชนและเป็นการละเมิดข้อมูล มีหลายวิธีในการกำจัด PHI การกำจัดกระดาษ PHI ที่เหมาะสม ได้แก่ การเผาหรือการหั่นย่อย PHI อิเล็กทรอนิกส์สามารถกำจัดโดยการลบ, ลบ, จัดรูปแบบ, เผา, ละลายหรือ shredding
4. มีเทคโนโลยีที่พร้อมใช้งานมากมายที่ออกแบบมาเพื่อรักษาข้อมูลผู้ป่วย เลือกใช้อุปกรณ์และซอฟต์แวร์ที่มีความปลอดภัยในการเชื่อมต่อแบบไร้สายเช่นไฟร์วอลล์ระบบป้องกันไวรัสซอฟต์แวร์ป้องกันสปายแวร์และเทคโนโลยีการตรวจจับการบุกรุก ใช้ความระมัดระวังอย่างยิ่งเมื่อเข้าถึงข้อมูลผ่านการเชื่อมต่อระยะไกล ผู้เชี่ยวชาญด้านไอทีขอแนะนำให้ใช้ระบบการตรวจสอบสิทธิ์แบบสองปัจจัยโดยมีโทเค็นการรักษาความปลอดภัยและรหัสผ่าน