Skip to main content

Jährliches HIPAA-Compliance-Training

Das Krankenversicherungsabkommen zur Übertragbarkeit und Verantwortlichkeit wurde 1996 erlassen. Es wird vom Amt für Bürgerrechte der Regierung der Vereinigten Staaten durchgesetzt. Es handelt sich um eine Reihe von Bundesrichtlinien, die es Mitarbeitern ermöglichen, ihre Krankenversicherung abzuschließen, wenn sie einen Arbeitgeber verlassen, den Zugang zu einer Krankenversicherung trotz bestehender Bedingungen (unter bestimmten Bedingungen) gewähren und Datenschutzstandards für die Gesundheit eines Patienten festlegen Information.

  • Die HIPAA-Datenschutzregel schützt die Privatsphäre von individuell identifizierbaren Gesundheitsinformationen.
  • Die HIPAA-Sicherheitsregel legt nationale Standards für die Sicherheit elektronischer Gesundheitsinformationen fest.

Es ist gesetzlich vorgeschrieben, Personen, die im Gesundheitswesen tätig sind, HIPAA-Schulungen und -Schulungen anzubieten, um die Verantwortlichkeit für die Privatsphäre und die Sicherheit geschützter Gesundheitsinformationen sicherzustellen. Abgedeckte Unternehmen müssen alle Mitarbeiter in HIPAA-Richtlinien und -Verfahren schulen.

1

HIPAA-Datenschutzregel

Halten Sie Patientenakten sicher. Bild mit freundlicher Genehmigung von youngvet / Getty

Die Datenschutzstandards für individuell identifizierbare Gesundheitsinformationen (die Datenschutzregel) wurden entwickelt, um speziell den Schutz der persönlichen Gesundheitsinformationen einer Person anzusprechen. Es ist wichtig für die Vitalität Ihrer Arztpraxis, die HIPAA-Compliance beizubehalten.

Wer ist durch die Datenschutzregel abgedeckt?

  • Gesundheitspläne
  • Gesundheitsdienstleister
  • Health Care Clearingstellen

Eine gedeckte Einheit, wie in HIPAA definiert, kann eine Krankenversicherung, ein Health Care Clearinghouse oder ein Gesundheitsdienstleister sein, der geschützte Gesundheitsinformationen elektronisch übermittelt und Organisationen, Institutionen oder Personen sein kann.

Ärzte und andere medizinische Fachkräfte, die mit Patienten und ihren vertraulichen medizinischen Unterlagen arbeiten, müssen die Richtlinien, Verfahren und Gesetze einhalten, die zum Schutz der Privatsphäre und Vertraulichkeit der Patienten gedacht sind. Alle Gesundheitsdienstleister sind dafür verantwortlich, dass ihre Mitarbeiter hinsichtlich der Einhaltung der HIPAA-Richtlinien geschult und informiert sind. Ob absichtlich oder versehentlich, die unbefugte Offenlegung von PHI wird als Verletzung von HIPAA betrachtet.

  • Geschäftspartner

Ein Geschäftspartner im Sinne von HIPAA ist jede natürliche oder juristische Person, die Geschäfte mit der Nutzung oder Offenlegung geschützter Gesundheitsinformationen im Auftrag eines gedeckten Unternehmens betreibt und kein Angestellter des gedeckten Unternehmens ist.

Welche Informationen sind geschützt?

PHI oder geschützte Gesundheitsinformationen beziehen sich auf alle individuell identifizierenden Informationen, die in den Krankenakten eines Patienten enthalten sind, die in irgendeiner Form übertragen oder gepflegt werden.

Verwendungen und Offenbarungen

Ein abgedecktes Unternehmen darf geschützte Gesundheitsinformationen (PHI) ohne Genehmigung unter bestimmten Bedingungen verwenden oder offenlegen.

  1. Für den Einzelnen
  2. Behandlung, Zahlung und Gesundheitswesen
  3. Verwendungen und Offenbarungen mit der Möglichkeit, zuzustimmen oder zu widersprechen
  4. Nebennutzung und Offenlegung.
  5. Öffentliche Interesse und Benefit Aktivitäten
  6. Eingeschränkte Datenmenge für Zwecke der Forschung, der öffentlichen Gesundheit oder des Gesundheitswesens

Datenschutzhinweise

Gesundheitsdienstleister sind verpflichtet, ihren Patienten einen Datenschutzhinweis vorzulegen. Diese Mitteilung, wie von der HIPAA-Datenschutzrichtlinie gefordert, gibt Patienten das Recht, über ihre Datenschutzrechte in Bezug auf ihre geschützten Gesundheitsinformationen (PHI) informiert zu werden.

Der Hinweis sollte bestimmte Informationen in leicht verständlichen Begriffen beschreiben:

  • Wie der Anbieter sein PHI verwenden und offen legen wird
  • Die Rechte, die Patienten bezüglich ihres eigenen PHI haben
  • Eine Erklärung, die den Patienten über Gesetze informiert, die den Anbieter verpflichten, die Privatsphäre seines PHI zu wahren
  • An wen können sich Patienten wenden, um weitere Informationen zu den Datenschutzrichtlinien des Anbieters zu erhalten?

Durchsetzung und Strafen für Nichteinhaltung

Zivile Geldstrafen

  • $ 100 pro Fehler zu erfüllen
  • Maximal 25.000 $ pro Jahr für mehrere Verstöße gegen die gleiche Anforderung

Criminal Penalties (zum wissentlichen Erlangen oder Offenlegen von PHI unter Verstoß gegen HIPAA)

  • $ 50.000 Geldstrafe und bis zu einem Jahr Haft
  • $ 100.000 Geldstrafe und bis zu fünf Jahren Haft (wenn die Verletzung falsche Vorspiegelungen beinhaltet)
  • $ 250.000 Geldstrafe und bis zu zehn Jahren Haft (wenn die Verletzung die Absicht beinhaltet, PHI zu verkaufen, zu übertragen oder zu nutzen)

2

HIPAA Sicherheitsregel

Bild mit freundlicher Genehmigung von office.microsoft.com.

Die Sicherheitsstandards für den Schutz von elektronisch geschützten Gesundheitsinformationen (die Sicherheitsregel)

HIPAA-Sicherheit bezieht sich auf die Einrichtung von Sicherheitsvorkehrungen für PHI in jedem elektronischen Format. Darunter fallen alle Informationen, die elektronisch genutzt, gespeichert oder übertragen werden. Jede Einrichtung, die von der HIPAA als eine abgedeckte Einheit definiert wird, ist dafür verantwortlich, die Privatsphäre und Sicherheit ihrer Patienteninformationen zu gewährleisten sowie die Vertraulichkeit ihrer PHI zu wahren.

Wer ist von der Sicherheitsregel erfasst?

  • Gesundheitspläne
  • Gesundheitsdienstleister
  • Health Care Clearingstellen

Eine gedeckte Einheit, wie in HIPAA definiert, kann eine Krankenversicherung, ein Health Care Clearinghouse oder ein Gesundheitsdienstleister sein, der geschützte Gesundheitsinformationen elektronisch übermittelt und Organisationen, Institutionen oder Personen sein kann.

  • Geschäftspartner

Ein Geschäftspartner im Sinne von HIPAA ist jede natürliche oder juristische Person, die Geschäfte mit der Nutzung oder Offenlegung geschützter Gesundheitsinformationen im Auftrag eines gedeckten Unternehmens betreibt und kein Angestellter des gedeckten Unternehmens ist.

Welche Informationen sind geschützt?

Elektronische PHI- oder geschützte Gesundheitsinformationen beziehen sich auf alle individuell identifizierenden Informationen, die in den Krankenakten eines Patienten enthalten sind und in irgendeiner Form übertragen oder gepflegt werden. Die Sicherheitsregel schließt PHI aus, das mündlich oder schriftlich übermittelt wird.

Verwaltungsvereinfachung

Die Verwaltungsvereinfachungsbestimmungen des HIPAA legen nationale Standards für die Sicherheit elektronisch geschützter Gesundheitsinformationen fest. Dazu gehören die Regeln und Standards für Transaktionen und Code-Sets und Identifikatoren für Arbeitgeber und Anbieter.

Transaktionen und Code Set Standards

Standardtransaktionen für den Electronic Data Interchange (EDI) von Gesundheitsdaten umfassen Schadens- und Begegnungs- informationen, Zahlungs- und Überweisungsempfehlungen, Schadenstatus, Anspruchsberechtigung, Ein- und Ausreise, Überweisungen und Vollmachten, Koordination von Leistungen und Prämienzahlungen.

Standardcodesätze für Diagnose-, Verfahrens- und Arzneimittelcodes umfassen die HCPCS (Zusatzleistungen / -verfahren), CPT-4 (Ärzteverfahren), CDT (Zahnärztliche Terminologie), ICD-9 (Diagnose und stationäre Krankenhausverfahren), ICD-10 ( Ab dem 1. Oktober 2015) und NDC (National Drug Codes) Codes.

Identifizierungsstandards für Arbeitgeber und Anbieter

Zu den Standardkennungen gehören die Arbeitgeberidentifikationsnummer (EIN) und die Nationale Anbieterkennung (National Provider Identifier, NPI). Das EIN wird verwendet, um Arbeitgeber bei den Standardtransaktionen zu identifizieren. Die National Provider Identification oder NPI ist eine 10-stellige eindeutige Identifikationsnummer, die anstelle von Providerkennungen wie einer Unique Provider Identification Number (UPIN) in HIPAA-Standardtransaktionen verwendet wird. Gesundheitsdienstleister sind aufgrund der Regulierung des HIPAA verpflichtet, einen NPI zu erhalten.

Die Regeln für die Aufrechterhaltung der HIPAA-Sicherheit beinhalten Schutzmaßnahmen für drei Schlüsselbereiche.

Verwaltungsgarantien

  1. Entwicklung eines formellen Sicherheitsmanagementprozesses einschließlich der Entwicklung von Richtlinien und Verfahren, interner Audits, Notfallplan und anderer Sicherheitsvorkehrungen, um die Einhaltung durch Mitarbeiter des medizinischen Büros zu gewährleisten.
  2. Weisen Sie die Verantwortung für die Sicherheit einer bestimmten Person zu, die die Verwendung von Sicherheitsmaßnahmen und das Verhalten des Personals steuert und überwacht.
  3. Implementieren Sie Funktionen, die sicherstellen, dass das Personal angemessen geschult und berechtigt ist, auf PHI zuzugreifen.
  4. Definieren Sie die Zugriffsstufen für alle Mitarbeiter und wie sie gewährt werden
  5. Erfordern, dass alle Mitarbeiter des medizinischen Büros, einschließlich des Managements, Sicherheitsschulungen durchlaufen und regelmäßig Erinnerungen und Benutzerschulungen erhalten.

Physische Sicherheitsmaßnahmen

  1. Datei-PHI an einem sicheren Ort und Arbeitsplatz für Mitarbeiter (dies schließt die Verwendung von Schlössern, Schlüsseln und Abzeichen ein, die Türen öffnen), die den Zugriff auf unbefugte Personen und Eindringlinge beschränken.
  2. Entwickeln Sie Richtlinien für die Überprüfung von Zugriffsberechtigungen, die Kontrolle von Geräten und den Umgang mit Besuchern. Entwickeln und Bereitstellen von Dokumentationen mit Anweisungen dazu, wie Ihre Arztpraxis helfen kann, PHI zu schützen (z. B. den Computer abmelden, bevor Sie ihn unbeaufsichtigt lassen)
  3. Schutz vor Feuer und anderen Gefahren bieten

Technische Sicherheitsvorkehrungen

  1. Erstellen Sie eine eindeutige Benutzeridentifikation einschließlich Passwörter und PIN-Nummern
  2. Übernehmen Sie eine automatische Abmeldesteuerung
  3. Erfassen und prüfen Sie die Systemaktivität für Prüfzwecke
  4. Verwenden Sie Verschlüsselungskontrollen, um übertragene Daten über ein Netzwerk zu schützen

Durchsetzung und Strafen für Nichteinhaltung

Zivile Geldstrafen

  • $ 100 pro Fehler zu erfüllen
  • Maximal 25.000 $ pro Jahr für mehrere Verstöße gegen die gleiche Anforderung

Criminal Penalties (zum wissentlichen Erlangen oder Offenlegen von PHI unter Verstoß gegen HIPAA)

  • $ 50.000 Geldstrafe und bis zu einem Jahr Haft
  • $ 100.000 Geldstrafe und bis zu fünf Jahren Haft (wenn die Verletzung falsche Vorspiegelungen beinhaltet)
  • $ 250.000 Geldstrafe und bis zu zehn Jahren Haft (wenn die Verletzung die Absicht beinhaltet, PHI zu verkaufen, zu übertragen oder zu nutzen)

3

Tipps zur Vermeidung von Verletzungen von HIPAA

Bild mit freundlicher Genehmigung von Kristian Sekulic / Getty Images. Kristian Sekulic / Getty Images

  1. Ergreifen Sie die notwendigen Schritte, um die Offenlegung von Informationen durch routinemäßige Konversation zu vermeiden. Vermeiden Sie die Offenlegung von Informationen durch routinemäßige Gespräche; Erörterung von Patienteninformationen in Wartebereichen, Fluren oder Aufzügen; ordnungsgemäße Entsorgung von PHI; und der Zugang zu Informationen ist streng auf Mitarbeiter beschränkt, deren Arbeit diese Informationen benötigt. Grundlegende Informationen können so unbedeutend erscheinen, dass sie in alltäglichen Konversationen leicht erwähnt werden können, aber nur auf der Grundlage von Wissen geteilt werden sollten.
  2. Vermeiden Sie, Patienteninformationen in Wartebereichen, Fluren oder Aufzügen zu diskutieren. Sensible Informationen können von Besuchern oder anderen Patienten mitgehört werden. Stellen Sie außerdem sicher, dass Sie Patientenakten aus Bereichen aufbewahren, die für die Öffentlichkeit zugänglich sind. Da die Check-in-Schalter und die Schwesternstationen im Freien sind, gehen Sie einen Schritt weiter, um sicherzustellen, dass die Computer jederzeit gesichert sind. Die Kartenhalter sollten montiert und die Frontplatte gemäß den HIPAA-Standards abgedeckt werden.
  3. PHI sollte niemals im Mülleimer entsorgt werden. Jedes Dokument, das in den Papierkorb geworfen wird, ist für die Öffentlichkeit zugänglich und daher eine Informationsverletzung. Es gibt viele Möglichkeiten, über PHI zu verfügen. Korrekte Entsorgung von Papier PHI umfasst Brennen oder Zerkleinern. Elektronisches PHI kann durch Löschen, Löschen, Neuformatieren, Verbrennen, Schmelzen oder Zerkleinern entsorgt werden.
  4. Es gibt eine Reihe von verfügbaren Technologien, um Patientendaten zu sichern. Seien Sie bei der Auswahl von Geräten und Software, die Daten über eine drahtlose Verbindung einschließlich Firewalls, Anti-Virus-, Anti-Spyware- und Intrusion-Detection-Technologie schützen, selektiv. Gehen Sie beim Zugriff auf Daten über eine Remoteverbindung mit äußerster Vorsicht vor. IT-Spezialisten schlagen vor, ein Zwei-Faktor-Authentifizierungssystem mit Sicherheitstoken und Passwörtern zu verwenden.