Taunang Pagsasanay sa Pagsunod sa HIPAA

Ang Batas sa Portability at Pananagutan ng Seguro sa Kalusugan ay pinagtibay noong 1996. Ipinapatupad ito ng Opisina ng mga Karapatan sa Sibil ng Gobyerno ng Estados Unidos. Ito ay isang hanay ng mga pederal na alituntunin na nilikha upang payagan ang mga empleyado na kumuha ng kanilang medikal na seguro sa kanila kung sila ay umalis sa isang tagapag-empleyo, pahintulutan ang mga tao na mag-access sa medikal na seguro sa kabila ng mga umiiral nang kondisyon (sa ilalim ng ilang mga kondisyon), at upang magtatag ng mga pamantayan sa privacy para sa kalusugan ng isang pasyente impormasyon.

• Pinoprotektahan ng HIPAA Privacy Rule ang privacy ng indibidwal na nakikilalang impormasyon sa kalusugan.
• Ang HIPAA Security Rule ay nagtatakda ng mga pambansang pamantayan para sa seguridad ng electronic health information.

Hinihingi ng batas na magbigay ng edukasyon at pagsasanay sa HIPAA sa mga indibidwal na nagtatrabaho sa industriya ng pangangalagang pangkalusugan upang matiyak ang pananagutan para sa privacy at seguridad ng protektadong impormasyong pangkalusugan. Ang mga nasasakupang entidad ay dapat na sanayin ang lahat ng mga miyembro ng manggagawa sa mga patakaran at pamamaraan ng HIPAA.

1 -

HIPAA Privacy Rule

Ang Mga Pamantayan para sa Privacy ng Indibidwal na Nakikilalang Impormasyon sa Kalusugan (ang Panuntunan sa Pagkapribado) ay idinisenyo upang partikular na tugunan ang proteksyon ng personal na impormasyong pangkalusugan ng isang indibidwal. Mahalaga para sa sigla ng iyong medikal na tanggapan upang mapanatili ang pagsunod sa HIPAA.

Sino ang Sinasaklaw ng Panuntunan sa Pagkapribado?

• Mga Plano sa Kalusugan
• Mga Tagapagbigay ng Pangangalaga sa Kalusugan
• Mga Clearinghouse ng Pangangalaga sa Kalusugan

Ang nasasakupang entidad, gaya ng nilinaw sa HIPAA, ay maaaring isang plano sa segurong pangkalusugan, isang clearinghouse ng pangangalagang pangkalusugan o isang healthcare provider na nagpapadala ng protektadong impormasyong pangkalusugan sa elektroniko at maaaring maging mga organisasyon, institusyon o tao.

Ang mga doktor at iba pang mga propesyonal sa pangangalagang pangkalusugan na nakikipagtulungan sa mga pasyente at ang kanilang kumpidensyal na rekord ng medikal ay dapat sumunod sa mga patakaran, pamamaraan, at mga batas na idinisenyo upang maprotektahan ang privacy ng pasyente at pagiging kompidensyal. Ang lahat ng mga tagapagkaloob ng pangangalagang pangkalusugan ay may pananagutan na panatilihin ang kanilang mga tauhan na sinanay at nalalaman tungkol sa pagsunod ng HIPAA . Kung sinadya o hindi sinasadya, ang hindi awtorisadong pagsisiwalat ng PHI ay itinuturing na isang paglabag sa HIPAA.

• Mga Associate ng Negosyo

Ang isang associate ng negosyo, tulad ng tinukoy ng HIPAA, ay sinumang tao o entity na nagsasagawa ng negosyo na may kinalaman sa paggamit o pagsisiwalat ng impormasyong protektadong pangkalusugan sa ngalan ng isang sakop na entity at hindi isang empleyado ng nasasakupang entidad.

Anong Impormasyon ang Pinoprotektahan?

Ang PHI o Protected Health Information ay tumutukoy sa anumang pagkilala sa indibidwal na impormasyon na kasama sa medikal na tala ng pasyente na ipinadala o pinananatili sa anumang anyo.

Mga Paggamit at Pagsisiwalat

Ang isang sakop na entity ay maaaring gumamit o ibubunyag ang protektadong impormasyong pangkalusugan (PHI) nang walang pahintulot sa ilalim ng ilang mga kundisyon.

1. Sa Indibidwal
2. Paggamot, Pagbabayad, at Pagpapatakbo ng Pangangalagang Pangkalusugan
3. Mga Paggamit at Pagsisiwalat sa Pagkakataon sa Pagsang-ayon o Bagay
4. Pagkakasalang Paggamit at Pagsisiwalat.
5. Pampublikong Interes at Mga Aktibidad sa Benepisyo
6. Limited Data Set para sa mga layunin ng pananaliksik, pampublikong kalusugan o pangangalaga sa pangangalagang pangkalusugan

Abiso sa Mga Kasanayan sa Pagkapribado

Ang mga tagapagbigay ng pangangalagang pangkalusugan ay may obligasyon na magbigay sa kanilang mga pasyente ng isang Notice of Practical Practices. Ang paunawa na ito, tulad ng iniaatas ng HIPAA Privacy Rule, ay nagbibigay sa mga pasyente ng karapatang malaman ang tungkol sa kanilang mga karapatan sa pagkapribado na may kaugnayan sa kanilang protektadong impormasyong pangkalusugan (PHI).

Ang paunawa ay dapat maglarawan ng ilang impormasyon na madaling maunawaan ang mga termino:

• Paano gagamitin at ibubunyag ng provider ang kanilang PHI
• Ang mga karapatan ng mga pasyente ay may kaugnayan sa kanilang sariling PHI
• Isang pahayag na nagpapaalam sa pasyente ng mga batas na nangangailangan ng tagapagbigay upang mapanatili ang privacy ng kanilang PHI
• Sino ang maaaring makipag-ugnay sa mga pasyente para sa karagdagang impormasyon tungkol sa mga patakaran sa privacy ng provider

Pagpapatupad at mga Parusa para sa Di-Pagsunod

Mga Pahintulot ng Sibil na Pera

• $ 100 bawat kabiguan na sumunod
• Pinakamataas na $ 25,000 bawat taon para sa maraming mga paglabag sa parehong kinakailangan

Mga Pahintulot sa Kriminal (para sa pag-aangkin o pagsisiwalat ng PHI na lumalabag sa HIPAA)

• $ 50,000 multa at hanggang sa isang taon na pagkabilanggo
• $ 100,000 multa at hanggang sa limang taon na pagkabilanggo (kung ang paglabag ay nagsasangkot ng maling pagpapalagay)
• $ 250,000 multa at hanggang sampung taon na pagkabilanggo (kung ang paglabag ay may layunin na ibenta, ilipat, o gamitin ang PHI)

2 -

HIPAA Security Rule

Ang Mga Pamantayan sa Seguridad para sa Proteksyon ng Impormasyon sa Protektadong Pangkalusugan ng Elektronik (ang Panuntunan sa Seguridad)

Ang seguridad ng HIPAA ay tumutukoy sa pagtatatag ng mga pananggalang para sa PHI sa anumang elektronikong format. Kabilang dito ang anumang impormasyong ginamit, nakaimbak o nakukuha sa elektronikong paraan. Ang anumang pasilidad na tinukoy ng HIPAA bilang isang sakop-entity ay may pananagutan upang masiguro ang privacy at seguridad ng impormasyon ng pasyente nito pati na rin ang pagpapanatili ng pagiging kompidensyal ng kanilang PHI.

Sino ang Sinasaklaw ng Panuntunan ng Seguridad?

• Mga Plano sa Kalusugan
• Mga Tagapagbigay ng Pangangalaga sa Kalusugan
• Mga Clearinghouse ng Pangangalaga sa Kalusugan

Ang nasasakupang entidad, gaya ng nilinaw sa HIPAA, ay maaaring isang plano sa segurong pangkalusugan, isang clearinghouse ng pangangalagang pangkalusugan o isang healthcare provider na nagpapadala ng protektadong impormasyong pangkalusugan sa elektroniko at maaaring maging mga organisasyon, institusyon o tao.

• Mga Associate ng Negosyo

Ang isang associate ng negosyo, tulad ng tinukoy ng HIPAA, ay sinumang tao o entity na nagsasagawa ng negosyo na may kinalaman sa paggamit o pagsisiwalat ng impormasyong protektadong pangkalusugan sa ngalan ng isang sakop na entity at hindi isang empleyado ng nasasakupang entidad.

Anong Impormasyon ang Pinoprotektahan?

Ang Electronic PHI o Protected Health Information ay tumutukoy sa anumang pagkilala sa indibidwal na impormasyon na kasama sa medikal na tala ng isang pasyente na ipinapadala o pinananatili sa anumang anyo. Hindi isinama ng panuntunan sa seguridad ang PHI na binabanggit nang pasalita o nakasulat.

Administrative Simplification

Ang mga probisyon ng pang-administratibong pagpapagaan ng HIPAA ay nagtatatag ng mga pambansang pamantayan para sa seguridad ng elektronikong protektadong impormasyong pangkalusugan. Kabilang dito ang mga patakaran at pamantayan para sa mga transaksyon at hanay ng code at mga tagapagpakilala para sa mga employer at provider.

Mga Transaksyon at Mga Alituntunin ng Set Code

Ang mga karaniwang transaksyon para sa Electronic Data Interchange (EDI) ng data ng pangangalagang pangkalusugan ay kinabibilangan ng mga claim at impormasyon ng nakatagpo, pagbabayad at pagpapadala ng remittance, katayuan sa pag-claim, pagiging karapat-dapat, pagpapatala at pag-disenrollment, mga sanggunian at pahintulot, pag-uugnay ng mga benepisyo at pagbabayad sa premium.

Kasama sa standard code para sa diyagnosis, pamamaraan, at mga code ng gamot ang HCPCS (Mga Serbisyo ng Ancillary / Procedure), CPT-4 (Mga Pamamaraan ng Doktor), CDT (Dental Terminology), ICD-9 (Diagnosis at Hospital inpatient Procedure), ICD-10 ( Bilang ng Oktubre 1, 2015) at NDC (Pambansang Drug Code) na mga code.

Mga Tagatukoy ng Identifier para sa mga Employer at Provider

Kasama sa mga karaniwang tagapagkilala ang The Identification Identification Number (EIN) at Ang National Provider Identifier (NPI). Ang EIN ay ginagamit upang kilalanin ang mga employer sa karaniwang mga transaksyon. Ang National Provider Identification o NPI ay isang 10 digit, natatanging identification number na ginagamit upang kunin ang lugar ng mga tagapagkaloob ng tagabigay ng serbisyo tulad ng isang Natatanging Numero ng Pagkakakilanlan ng Tagapagbigay (UPIN) sa mga transaksyon ng karaniwang HIPAA. Ang mga tagapagkaloob ng pangangalagang pangkalusugan ay hinihiling ng regulasyon ng HIPAA upang makakuha ng NPI.

Ang mga patakaran para sa pagpapanatili ng HIPAA na seguridad ay ang mga pananggalang para sa tatlong pangunahing mga lugar.

Mga Pangangalaga sa Pamamahala

1. Bumuo ng isang pormal na proseso sa pamamahala ng seguridad kabilang ang pagpapaunlad ng mga patakaran at pamamaraan, mga panloob na pag-audit, contingency plan at iba pang pananggalang upang masiguro ang pagsunod ng mga kawani ng medikal na opisina.
2. Magtalaga ng responsibilidad ng seguridad sa isang itinalagang tao upang pamahalaan at pangasiwaan ang paggamit ng mga panukalang panseguridad at ang pag-uugali ng kawani.
3. Ipatupad ang mga tampok na tiyakin na ang tauhan ay may wastong pagsasanay at tamang awtorisasyon upang ma-access ang PHI.
4. Tukuyin ang mga antas ng pag-access para sa lahat ng kawani at kung paano ito ibinibigay
5. Ipag-utos na ang lahat ng kawani ng medikal na opisina kasama ang pamamahala ay sumailalim sa pagsasanay sa seguridad at may pana-panahong mga paalala at pag-aaral ng gumagamit.

Pisikal na Mga Pananggalang

1. File PHI sa isang ligtas na lokasyon at workspace para sa mga empleyado (kabilang dito ang paggamit ng mga kandado, key, at mga badge na nag-i-unlock ng mga pinto) na naghihigpit sa pag-access sa mga hindi awtorisadong tao at mga manloloko.
2. Bumuo ng mga patakaran para sa pagpapatunay ng mga pahintulot sa pag-access, kontrol ng kagamitan, at paghawak ng mga bisita. Paunlarin at magbigay ng dokumentasyon kasama ang mga tagubilin kung paano makatutulong ang iyong opisina ng medisina upang maprotektahan ang PHI (halimbawa, pag-log off sa computer bago iwanan ito nang hindi naaalagaan)
3. Magbigay ng proteksyon laban sa sunog at iba pang mga panganib

Teknikal na Mga Pananggalang

1. Magtatag ng natatanging pagkakakilanlan ng user kabilang ang mga password at mga numero ng pin
2. Magpatibay ng isang awtomatikong kontrol ng logoff
3. I-record at suriin ang aktibidad ng system para sa mga layunin ng pag-awdit
4. Gamitin ang mga kontrol ng pag-encrypt upang maprotektahan ang data na ipinadala sa isang network

Pagpapatupad at mga Parusa para sa Di-Pagsunod

Mga Pahintulot ng Sibil na Pera

• $ 100 bawat kabiguan na sumunod
• Pinakamataas na $ 25,000 bawat taon para sa maraming mga paglabag sa parehong kinakailangan

Mga Pahintulot sa Kriminal (para sa pag-aangkin o pagsisiwalat ng PHI na lumalabag sa HIPAA)

• $ 50,000 multa at hanggang sa isang taon na pagkabilanggo
• $ 100,000 multa at hanggang sa limang taon na pagkabilanggo (kung ang paglabag ay nagsasangkot ng maling pagpapalagay)
• $ 250,000 multa at hanggang sampung taon na pagkabilanggo (kung ang paglabag ay may layunin na ibenta, ilipat, o gamitin ang PHI)

3 -

Mga Tip upang Iwasan ang Paglabag sa HIPAA

1. Dalhin ang mga kinakailangang hakbang upang maiwasan ang pagbubunyag ng impormasyon sa pamamagitan ng nakagawiang pag-uusap. Iwasan ang pagsisiwalat ng impormasyon sa pamamagitan ng nakagawiang pag-uusap; talakayin ang pasyente na impormasyon sa mga naghihintay na lugar, pasilyo o elevators; tamang pagtatapon ng PHI; at ang access sa impormasyon ay mahigpit na limitado sa mga empleyado na ang mga trabaho ay nangangailangan ng impormasyon na iyon. Ang pangunahing impormasyon ay maaaring mukhang hindi gaanong mahalaga na madali itong mabanggit sa regular na pag-uusap ngunit dapat lamang maibahagi sa isang pangangailangan na malaman ang batayan.
2. Iwasan ang pagtalakay ng pasyente na impormasyon sa mga naghihintay na lugar, pasilyo o elevators. Ang sensitibong impormasyon ay maaaring ma-overheard ng mga bisita o iba pang mga pasyente. Tiyakin din na panatilihin ang mga rekord ng pasyente mula sa mga lugar na mapupuntahan sa publiko. Dahil ang mga check-in na mga istasyon at mga istasyon ng nars ay nasa bukas, pumunta sa dagdag na milya upang matiyak na ang mga computer ay sinigurado sa lahat ng oras. Ang mga may hawak ng tsart ay dapat na naka-mount at ang front panel ay sakop ayon sa mga pamantayan ng HIPAA.
3. Ang PHI ay hindi dapat itapon sa basurahan. Ang anumang dokumento na itinapon sa basura ay bukas sa publiko at samakatuwid ay isang paglabag sa impormasyon. Maraming mga paraan upang itatapon ang PHI. Ang wastong pagtatapon ng papel na PHI ay kinabibilangan ng pagsunog o pag-aalis. Ang elektronikong PHI ay maaaring itapon sa pamamagitan ng pagbubura, pagtanggal, pag-reformat, pagsunog, pagkatunaw, o paghuhugas.
4. Mayroong isang bilang ng magagamit na mga teknolohiya na dinisenyo upang ma-secure ang data ng pasyente. Maging pumipili sa pagpili ng mga aparato at software na ligtas ang data sa isang wireless na koneksyon kabilang ang mga firewall, anti-virus, anti-spyware, at panghihimasok tiktik teknolohiya. Gumamit ng matinding pag-iingat kapag nag-access ng data sa isang remote na koneksyon. Iminumungkahi ng mga IT specialist na gamitin ang isang dalawang-factor na sistema ng pagpapatunay na may mga token ng seguridad at mga password.