Un istoric al HIPAA: 8 lucruri pe care ar trebui să le știți

Legea privind portabilitatea și responsabilitatea în domeniul asigurărilor de sănătate (Health Insurance Portability and Accountability Act – HIPAA) a fost promulgată în 1996 pentru a proteja familiile americane de pericolul pierderii asigurării de sănătate. În principal, a fost concepută pentru a oferi lucrătorilor portabilitatea asigurării în timpul unei schimbări sau pierderi de loc de muncă. Scopul său secundar este de a asigura securitatea și confidențialitatea informațiilor medicale individuale. HIPAA a împlinit 20 de ani anul trecut, dar sistemul de sănătate este încă departe de a fi pe deplin conform.

PHI acoperă o mulțime de domenii.

De când a fost promulgată, HIPAA a suferit mai multe modificări. Primul, în 2003, cunoscut sub numele de Regula privind confidențialitatea, a definit informațiile medicale protejate (PHI) ca fiind orice informații legate de sănătate care pot fi folosite pentru a identifica o anumită persoană. Acestea pot fi informații legate de starea sau starea de sănătate fizică sau mintală trecută, prezentă sau viitoare a unei persoane, de orice furnizare de asistență medicală unei persoane și de orice plată trecută, prezentă sau viitoare pentru furnizarea de asistență medicală unei persoane.

Organizațiile pot fi încete la preluare.

Regula de securitate a fost promulgată în 2005 pentru a standardiza manipularea PHI electronice prin furnizarea de orientări specifice pentru măsurile de protecție fizică, tehnică și administrativă. Din nefericire, sondajul de anul trecut privind conformitatea HIPAA realizat de NueMD a constatat că doar 70 la sută dintre organizațiile din domeniul sănătății au planificat să se străduiască să se conformeze HIPAA. Această cifră este cu siguranță dezamăgitoare, în condițiile în care rata de adoptare este mai mică în rândul grupurilor de angajatori care oferă planuri de sănătate de grup, asociați comerciali și agenții de asigurări de sănătate. Acest lucru se bazează pe evaluarea Total HIPAA a acestor alte grupuri.

HHS OCR asigură respectarea reglementărilor.

În conformitate cu Enforcement Rule din 2006, Biroul pentru Drepturi Civile al Departamentului pentru Sănătate și Servicii Umane (HHS OCR) a primit responsabilitatea de a monitoriza organizațiile care ar trebui să se conformeze reglementărilor HIPAA. HHS OCR are competența de a investiga plângerile legate de regulile de confidențialitate și securitate și de a aplica amenzi celor care nu respectă reglementările HIPAA. Sancțiunile variază de la 100 de dolari până la 1,5 milioane de dolari pentru fiecare încălcare, dar rezoluțiile cu HHS OCR au fost de la sute de mii de dolari până la milioane de dolari, având mai multe înțelegeri care au depășit 5 milioane de dolari.

Toate afacerile legate de sănătate contează.

Toate afacerile care văd informații legate de sănătate conectate la o persoană trebuie să se conformeze cu HIPAA. Legea HITECH (Health Information Technology for Economic and Clinical Health) impune organizațiilor din domeniul sănătății să notifice asociații lor de afaceri și subcontractanții că se așteaptă din punct de vedere legal ca aceștia să lucreze în conformitate cu HIPAA. Sondajul NueMD din 2016 a indicat că doar 60 la sută dintre organizațiile de asistență medicală intervievate erau conștiente de această așteptare.

Organizația dvs. poate face obiectul unui audit.

De mai bine de șase ani, HHS OCR a efectuat audituri de conformitate în speranța de a crește gradul de conformitate HIPAA. În 2011, OCR a implementat un program pilot de audit (faza întâi) pentru a evalua controalele și procesele implementate de 115 entități acoperite pentru a respecta cerințele HIPAA. Faza a doua a programului de audit HIPAA al OCR a început anul trecut prin selectarea a peste 200 de entități acoperite și asociați comerciali, trimițând scrisori de notificare în vară și toamnă pentru a-i informa că au fost selectați pentru un audit documentar. Anul trecut, doar 40 la sută dintre organizațiile din domeniul sănătății știau că aceste audituri sunt efectuate, conform sondajului NueMD. În prezent, auditurile la fața locului efectuate de OCR au fost amânate pentru sfârșitul anului 2017 sau începutul anului 2018.

PHI trebuie păstrate timp de cel puțin 6 ani.

HiPAA solicită entităților acoperite și asociaților comerciali să păstreze documentația privind PHI pe care au colectat-o timp de cel puțin șase (6) ani de la data creării acesteia sau de la data la care a fost în vigoare ultima dată, oricare dintre acestea este cea mai recentă. Organizațiile care dețin PHI trebuie să analizeze cerințele de păstrare ale statului lor înainte de a elimina în mod corespunzător PHI pentru a asigura conformitatea cu statul.

Conformitatea cu PHIPAA scade.

Studiile NueMD au arătat, de asemenea, că din 2014 până în 2016 numărul de ofițeri de securitate și confidențialitate angajați a scăzut de la 56 și 55 la sută la 53 și, respectiv, 54 la sută. Există, de asemenea, mai puține organizații de asistență medicală care oferă cursuri de formare în domeniul conformității HIPAA, de la 62 la 58 la sută.

În zorii comunicării electronice.

Mai mulți furnizori de servicii medicale folosesc aplicații de telefonie, e-mail și social media pentru a intra în contact cu pacienții. Pe măsură ce tot mai multe organizații trec la comunicarea electronică, este important să se monitorizeze securitatea acestor procese. Total HIPAA a analizat software-ul conform HIPAA pentru comunicarea electronică, cum ar fi criptarea e-mailurilor și a mesajelor text, pentru a ajuta organizațiile să își dea seama care este cea mai bună soluție.

Cum mergem de aici?

În concluzie, adoptarea conformității HIPAA este încă în fază incipientă. OSHA a avut nevoie de mai mult de 20 de ani pentru a fi adoptată pe scară largă de companiile cu sediul în SUA. Deși prima parte a HIPAA a intrat în vigoare în urmă cu 20 de ani, părți esențiale ale legii au intrat în vigoare abia din 2009.

HHS încă nu s-a pronunțat cu privire la posibilitatea ca pacienții, angajații sau clienții să poată participa la amenzile aplicate acum de HHS atunci când informațiile medicale personale ale acestor persoane au fost încălcate. În cazul în care HHS decide că persoanele fizice pot fi rambursate atunci când PHI-ul lor este încălcat, se vor deschide porțile inundațiilor. Acele grupuri care trebuie să fie conforme cu HIPAA se vor grăbi să finalizeze procesul și s-ar putea să fie prinse în situația de a recupera întârzieri. Nu vă pierdeți în această grabă. Acționați acum și deveniți conforme cu HIPAA.

De asemenea, patru curți supreme de stat au susținut HIPAA ca Standard of Care (Missouri, Carolina de Nord, Connecticut și Virginia de Vest). Acest lucru înseamnă că entitățile acoperite care nu protejează în mod corespunzător PHI s-ar putea confrunta cu acțiuni în justiție din partea cetățenilor privați, nu doar a HHS.

Oamenii sunt mai conștienți de drepturile lor în temeiul HIPAA decât ați putea crede. Faptul de a nu fi în conformitate cu HIPAA expune cabinetul sau compania dvs. la o întreagă serie de probleme de reglementare care sunt cel mai bine atenuate înainte de a exista o problemă. Realitatea este că, conformitatea este mult mai accesibilă decât oricând, iar neconformitatea este mult mai costisitoare decât oricând.

Ești conform HIPAA?

De: Total HIPAA Guest Bloggers

Sharing is caring!

.