年度HIPAA合规培训
目录:
- HIPAA隐私规则
- 谁受隐私规则约束?
- 什么信息受到保护?
- 隐私惯例通知
- 不合规的执法和处罚
- HIPAA安全规则
- 谁受到安全规则的约束?
- 什么信息受到保护?
- 行政简化
- 交易和代码集标准
- 雇主和提供者的标识符标准
- 不合规的执法和处罚
- 避免违反HIPAA的提示
“健康保险流通与责任法”于1996年颁布。该法由美国政府公民权利办公室执行。这是一套联邦指导方针,旨在让员工离开雇主时可以随身携带医疗保险,允许人们在已有条件下(在某些情况下)获得医疗保险,并为患者的健康制定隐私标准信息。
- HIPAA隐私规则保护个人可识别健康信息的隐私。
- HIPAA安全规则为电子健康信息的安全制定了国家标准。
法律要求向在医疗保健行业工作的个人提供HIPAA教育和培训,以确保对受保护健康信息的隐私和安全负责。受保护的实体必须对HIPAA政策和程序的所有员工进行培训。
HIPAA隐私规则
个人可识别健康信息隐私标准(隐私规则)旨在专门针对个人健康信息的保护。保持HIPAA合规性对您的医疗办公室的活力至关重要。
谁受隐私规则约束?
- 健康计划
- 医疗保健机构
- 医疗保健信息中心
HIPAA中定义的受保护实体可以是健康保险计划,医疗保健结算所或医疗保健提供者,以电子方式传输受保护的健康信息,可以是组织,机构或个人。
与患者及其机密医疗记录一起工作的医生和其他医疗保健专业人员必须遵守旨在保护患者隐私和机密性的政策,程序和法律。所有医疗服务提供者都有责任让他们的员工接受有关HIPAA合规性的培训和信息。无论是有意还是无意,未经授权披露PHI都被视为违反HIPAA。
- 生意合伙人
根据HIPAA的定义,业务伙伴是指代表受保实体开展涉及使用或披露受保护健康信息的业务的任何个人或实体,并非所涵盖实体的雇员。
什么信息受到保护?
PHI或受保护的健康信息是指以任何形式传输或维护的患者病历中包含的任何个人识别信息。
使用和披露
在某些条件下,被保险实体可以未经授权使用或披露受保护的健康信息(PHI)。
- 对个人而言
- 治疗,支付和医疗保健业务
- 有机会同意或反对的使用和披露
- 附带使用和披露。
- 公共利益和福利活动
- 用于研究,公共卫生或医疗保健业务的有限数据集
隐私惯例通知
医疗服务提供者有义务向患者提供隐私权通知。根据HIPAA隐私规则的要求,本通知使患者有权了解其与受保护健康信息(PHI)相关的隐私权。
通知应以易于理解的术语描述某些信息:
- 提供商将如何使用和披露他们的PHI
- 患者对自己的PHI权利
- 声明告知患者法律要求提供者维护其PHI隐私的声明
- 患者可以联系以获取有关提供者隐私政策的更多信息
不合规的执法和处罚
民事金钱处罚
- 每次失败100美元
- 多次违反相同要求的每年最高25,000美元
刑事处罚(故意以违反HIPAA的方式获取或披露PHI)
- 罚款50,000美元,最高可判一年监禁
- 罚款10万美元,最高可判处5年监禁(如果违法行为涉及虚假借口)
- 250,000美元的罚款和长达十年的监禁(如果违反涉及出售,转让或使用PHI的意图)
HIPAA安全规则
保护电子保护健康信息的安全标准(安全规则)
HIPAA安全是指以任何电子格式为PHI建立保护措施。这包括以电子方式使用,存储或传输的任何信息。 HIPAA定义为承保实体的任何设施都有责任确保其患者信息的隐私和安全,并保持其PHI的机密性。
谁受到安全规则的约束?
- 健康计划
- 医疗保健机构
- 医疗保健信息中心
HIPAA中定义的受保护实体可以是健康保险计划,医疗保健结算所或医疗保健提供者,以电子方式传输受保护的健康信息,可以是组织,机构或个人。
- 生意合伙人
根据HIPAA的定义,业务伙伴是指代表受保实体开展涉及使用或披露受保护健康信息的业务的任何个人或实体,并非所涵盖实体的雇员。
什么信息受到保护?
电子PHI或受保护健康信息是指以任何形式传输或维护的患者病历中包含的任何个人识别信息。安全规则不包括口头或书面传播的PHI。
行政简化
HIPAA的行政简化条款为电子保护健康信息的安全制定了国家标准。这包括交易的规则和标准以及雇主和提供者的代码集和标识符。
交易和代码集标准
医疗保健数据的电子数据交换(EDI)的标准交易包括索赔和遭遇信息,支付和汇款建议,索赔状态,资格,登记和退出,转介和授权,福利协调和保费支付。
诊断,程序和药物代码的标准代码集包括HCPCS(辅助服务/程序),CPT-4(医师程序),CDT(牙科术语),ICD-9(诊断和住院病人程序),ICD-10(截至2015年10月1日)和NDC(国家药品代码)代码。
雇主和提供者的标识符标准
标准标识符包括雇主标识号(EIN)和国家提供商标识符(NPI)。 EIN用于识别标准交易中的雇主。国家提供商标识或NPI是一个10位数的唯一标识号,用于取代提供商标识符,例如HIPAA标准交易中的唯一提供商标识号(UPIN)。 HIPAA的监管要求医疗保健提供者获得NPI。
维护HIPAA安全的规则包括三个关键领域的保障。
行政保障
- 制定正式的安全管理程序,包括制定政策和程序,内部审计,应急计划和其他保障措施,以确保医务办公室工作人员的遵守。
- 将安全责任分配给指定人员,以管理和监督安全措施的使用和工作人员的行为。
- 实施功能,确保员工获得适当的培训和适当的授权,以访问PHI。
- 定义所有员工的访问级别及其授予方式
- 要求所有医疗办公室工作人员(包括管理人员)接受安全培训并定期提醒和用户培训。
物理保障
- 在安全的位置和工作空间中为员工提供PHI(这包括使用锁,钥匙和解锁门的徽章),以限制对未经授权的人员和入侵者的访问。
- 制定用于验证访问授权,设备控制和处理访问者的策略。开发并提供文档,包括有关您的医疗办公室如何帮助保护PHI的说明(例如,在无人看管之前注销计算机)
- 提供防火和其他危险的保护
技术保障
- 建立唯一的用户标识,包括密码和密码
- 采用自动注销控制
- 记录并检查系统活动以进行审计
- 利用加密控制来保护网络上传输的数据
不合规的执法和处罚
民事金钱处罚
- 每次失败100美元
- 多次违反相同要求的每年最高25,000美元
刑事处罚(故意以违反HIPAA的方式获取或披露PHI)
- 罚款50,000美元,最高可判一年监禁
- 罚款10万美元,最高可判处5年监禁(如果违法行为涉及虚假借口)
- 250,000美元的罚款和长达十年的监禁(如果违反涉及出售,转让或使用PHI的意图)
避免违反HIPAA的提示
- 采取必要措施,防止通过例行对话披露信息。避免通过例行谈话披露信息;在等候区,走廊或电梯中讨论患者信息;妥善处置PHI;信息的访问权限仅限于其工作需要该信息的员工。基本信息看起来如此微不足道,以至于在日常会话中很容易被提及,但只应在需要知道的基础上共享。
- 避免在等候区,走廊或电梯中讨论患者信息。访客或其他患者可能会听到敏感信息。还要确保将患者记录保存在公众可以访问的区域之外。由于办理登机手续的办公桌和护士站是公开的,所以请加倍努力以确保计算机始终处于安全状态。应安装图表支架,并按照HIPAA标准覆盖前面板。
- PHI绝不应该丢弃在垃圾桶里。丢弃在垃圾桶中的任何文件都向公众开放,因此违反了信息。处理PHI的方法有很多种。妥善处理纸张PHI包括燃烧或粉碎。电子PHI可以通过擦除,删除,重新格式化,焚烧,熔化或粉碎来处理。
- 有许多可用于保护患者数据的技术。选择通过无线连接保护数据的设备和软件,包括防火墙,防病毒,反间谍软件和入侵检测技术。通过远程连接访问数据时要格外小心。 IT专家建议使用带有安全令牌和密码的双因素身份验证系统。
