A History of HIPAA: 8 Things You Should Know

The Health Insurance Portability and Accountability Act (HIPAA) został uchwalony w 1996 roku w celu ochrony amerykańskich rodzin przed niebezpieczeństwem utraty ubezpieczenia zdrowotnego. Głównie został on zaprojektowany, aby zapewnić pracownikom możliwość przenoszenia ubezpieczenia podczas zmiany pracy lub jej utraty. Jego drugorzędnym celem jest zapewnienie bezpieczeństwa i prywatności indywidualnych informacji zdrowotnych. HIPAA obrócił 20 w zeszłym roku, ale system opieki zdrowotnej jest nadal daleki od pełnej zgodności.

PHI obejmuje dużo ziemi.

Było kilka poprawek do HIPAA od czasu podpisania go w prawo. Pierwsza w 2003 roku, znana jako Reguła Prywatności, zdefiniowała Chronione Informacje Zdrowotne (PHI) jako wszelkie informacje związane ze zdrowiem, które mogą być użyte do identyfikacji konkretnej osoby. Mogą to być informacje związane z przeszłością, teraźniejszością lub przyszłością fizycznego lub psychicznego zdrowia lub stanu danej osoby, wszelkie świadczenia opieki zdrowotnej na rzecz danej osoby oraz wszelkie przeszłe, teraźniejsze lub przyszłe płatności za świadczenie opieki zdrowotnej na rzecz danej osoby.

Organizacje mogą być powolne na uptake.

The Security Rule została uchwalona w 2005 roku w celu standaryzacji obsługi elektronicznych PHI poprzez zapewnienie konkretnych wytycznych dla fizycznych, technicznych i administracyjnych zabezpieczeń. Niestety, zeszłoroczne badanie zgodności z HIPAA przeprowadzone przez NueMD wykazało, że tylko 70 procent organizacji opieki zdrowotnej planowało dążyć do osiągnięcia zgodności z HIPAA. Liczba ta jest z pewnością rozczarowująca, gdy wskaźnik przyjęcia jest niższy wśród grup pracodawców oferujących grupowe plany zdrowotne, współpracowników biznesowych i agencji ubezpieczeń zdrowotnych. Jest to oparte na ocenie Total HIPAA przez te inne grupy.

HHS OCR egzekwuje zgodność.

Pod rządami Enforcement Rule z 2006 roku, Department of Health and Human Services Office for Civil Rights (HHS OCR) otrzymał odpowiedzialność za monitorowanie organizacji, które powinny być zgodne z przepisami HIPAA. HHS OCR ma prawo do badania skarg związanych z zasadami prywatności i bezpieczeństwa, a także do nakładania kar na tych, którzy nie spełniają przepisów HIPAA. Kary są tak niskie, jak 100 dolarów do 1,5 miliona dolarów za naruszenie, ale uchwały z HHS OCR były w setkach tysięcy dolarów do całej drogi do milionów o wielu rozliczeniach przekraczających 5 milionów dolarów.

Wszystkie przedsiębiorstwa związane ze zdrowiem liczyć.

Wszystkie przedsiębiorstwa, które widzą informacje związane ze zdrowiem związane z osobą oczekuje się do przestrzegania HIPAA. Ustawa Health Information Technology for Economic and Clinical Health (HITECH) wymaga, aby organizacje opieki zdrowotnej powiadomiły swoich partnerów biznesowych i podwykonawców, że prawnie oczekuje się od nich pracy zgodnie z HIPAA. Badanie NueMD z 2016 r. wskazało, że tylko 60 procent ankietowanych organizacji opieki zdrowotnej było świadomych tego oczekiwania.

Twoja organizacja może być przedmiotem audytu.

Od ponad sześciu lat HHS OCR przeprowadza audyty zgodności w nadziei na zwiększenie zgodności z HIPAA. W 2011 r. OCR wdrożyło pilotażowy program audytów (Faza pierwsza) w celu oceny kontroli i procesów wdrożonych przez 115 podmiotów objętych obowiązkiem zapewnienia zgodności z wymogami HIPAA. Faza druga programu audytu HIPAA OCR rozpoczęła się w ubiegłym roku od wybrania ponad 200 podmiotów objętych HIPAA i podmiotów współpracujących, a następnie wysłania latem i jesienią listów powiadamiających, że zostały one wybrane do audytu dokumentacji. W zeszłym roku tylko 40 procent organizacji opieki zdrowotnej było świadomych, że takie audyty są przeprowadzane, zgodnie z ankietą NueMD. Obecnie audyty na miejscu przez OCR zostały opóźnione do końca 2017 r. lub początku 2018 r.

PHI muszą być przechowywane przez co najmniej 6 lat.

HIPAA wymaga Covered Entities i Business Associates do utrzymania dokumentacji PHI, które zebrali przez co najmniej sześć (6) lat od daty jego utworzenia lub daty, kiedy ostatnio obowiązywała, w zależności od tego, co jest później. Organizacje, które posiadają PHI muszą przejrzeć ich stanowe wymagania dotyczące retencji przed właściwym pozbyciem się PHI, aby zapewnić zgodność ze stanem.

Zgodność z HIPAA spada.

Badania NueMD wykazały również, że od 2014 do 2016 r. liczba zatrudnionych urzędników ds. bezpieczeństwa i prywatności spadła z 56 i 55 procent odpowiednio do 53 i 54 procent. Jest również mniej organizacji opieki zdrowotnej zapewniających szkolenia w zakresie zgodności z HIPAA, z 62 do 58 procent.

Świt komunikacji elektronicznej.

Więcej dostawców usług opieki zdrowotnej korzysta z aplikacji telefonicznych, poczty elektronicznej i mediów społecznościowych, aby skontaktować się z pacjentami. Ponieważ coraz więcej organizacji przechodzi na komunikację elektroniczną, ważne jest, aby monitorować bezpieczeństwo tych procesów. Firma Total HIPAA dokonała przeglądu oprogramowania zgodnego z HIPAA do komunikacji elektronicznej, takiego jak szyfrowanie wiadomości e-mail i wiadomości tekstowych, aby pomóc organizacjom w wyborze najlepszego rozwiązania.

Dokąd zmierzamy?

Podsumowując, przyjęcie zgodności z HIPAA jest wciąż w powijakach. OSHA zajęło ponad 20 lat, aby być powszechnie przyjęte przez firmy w USA. Chociaż pierwsza część HIPAA weszła w życie 20 lat temu, kluczowe części prawa obowiązują dopiero od 2009 r.

HHS nadal nie orzekł, czy pacjenci, pracownicy lub klienci mogą uczestniczyć w grzywnach nakładanych obecnie przez HHS, gdy PHI tych osób zostało naruszone. Jeśli HHS zasady, że osoby fizyczne mogą być zwracane, gdy ich PHI jest naruszona, bramy powodziowe zostaną otwarte. Te grupy, które muszą być zgodne z HIPAA, będą się spieszyć, aby zakończyć proces i mogą zostać złapane na graniu na zwłokę. Nie daj się zgubić w tym pośpiechu. Działaj teraz i stań się zgodny z HIPAA.

Także, cztery stanowe sądy najwyższe podtrzymały HIPAA jako Standard Opieki (Missouri, Karolina Północna, Connecticut i Wirginia Zachodnia). Oznacza to, że podmioty objęte obowiązkiem ubezpieczenia, które nie chronią odpowiednio PHI, mogą stanąć w obliczu działań prawnych ze strony prywatnych obywateli, a nie tylko HHS.

Ludzie są bardziej świadomi swoich praw wynikających z HIPAA, niż można by przypuszczać. Nie będąc zgodnym z HIPAA naraża swoją praktykę lub firmę na cały szereg problemów regulacyjnych, które są najlepiej złagodzone, zanim pojawi się problem. W rzeczywistości, zgodność jest znacznie bardziej przystępne niż kiedykolwiek, a niezgodność jest znacznie bardziej kosztowne niż kiedykolwiek.

Are you HIPAA Compliant?

By: Total HIPAA Guest Bloggers

Sharing is caring!

.