Hva du trenger å vite om Holde HIPAA

HIPAA - helseforsikring bærbarhet og Accountability Act - er en føderal lov utviklet, delvis, å definere og regulere bruken av helseinformasjon i USA. Enheter som gir, betaler for eller levere helsetjenester, medisiner eller utstyr, samt deres samarbeidspartnere og leverandører, er berørt av denne nye regelverk. Denne artikkelen oppsummerer det arbeidet som må gjøres for å møte krav som er nødvendige for å bli HIPAA kompatibel.

Loven definerer og regulerer

- hvordan helseinformasjon er identifisert og brukt, inkludert standard transaksjonsformer og kodesett for kommunikasjon mellom tilbydere og betalere,

- hva informasjon, kjent som Beskyttet helseinformasjon (PHI) er å anse som privat, og hvordan det skal håndteres, og Selge

- sikkerhetspolicyer og prosedyrer for å beskytte PHI.

Forskriften alle faller inn under avdeling II HIPAA og er kollektivt kjent som administrativ forenkling Compliance Act (ASCA). Som navnet tilsier, må alle enheter som omfattes av ASCA være i samsvar med de frister som er fastsatt i regelverket. Disse fristene er:

Standardiserte Transaksjoner og Code Stiller - 16 oktober 2002
personvern - 14 april 2003
Security - fristen er ennå ikke satt.

Vær imidlertid oppmerksom på at Department of Health and Human Services vil tillate dekket enheter til å søke om ett års forlengelse til Transaksjoner og kodesett fristen hvis de sender en modell Compliance Plan skjema som inneholder en tidsplan som viser hvordan de har tenkt å bli kompatibel i forlengelsesperioden. Denne applikasjonen må være mottatt senest 15. oktober 2002. I tillegg er det enkelte små helseplaner har et ekstra år for å overholde alle tidsfrister. Mange flere detaljer om HIPAA og ASCA kan bli funnet på Centers for Medicare og Medicaid Services nettsted: http://www.cms.gov/hipaa/hipaa2/default.asp som også inneholder lenker til ytterligere ressurser.

Hvordan ASCA påvirke min praksis eller institusjon?

Direkte eller indirekte, vil du bli påvirket hvis du gi helsetjenester eller støtte helsetjenester leverandører. Dekket enheter som velger å overføre identifiserbare pasientrelatert informasjon elektronisk er pålagt å implementere disse standardene. I praksis betyr dette alle leverandører som sender regninger direkte til tredjeparts betalere siden ASCA krever at disse regningene sendes elektronisk med et lite antall unntak.

I tillegg faller en enhet under HIPAA hvis det er en helseplan, oppgjørssentral, tredjeparts assurandør, arbeidsgiver opprettholde pasientjournaler, rehabiliteringssenter, blod, sæd eller organ vev bank, sosionom eller rådgiver, lang- Begrepet omsorg anlegget, ambulanse bedrift eller apotek. Men mange flere selskaper og tjenester påvirket, inkludert de som yter tjenester eller forsyninger til helse tjenesteytere eller til pasienter i regi av leverandører. De vil trenge nye forretningsavtaler som sikrer HIPAA compliance og må implementere akseptable personvern og sikkerhetstiltak. Hvis disse selskapene fakturere tredjeparts betalere direkte, vil de også måtte gjennomføre transaksjonene og kode setter standarder.

Utenfor teknologileverandører, transkripsjon tilbydere, revisorer, advokater og andre som kan komme i kontakt med pasientopplysninger i løpet av normal forretningsvirksomhet vil også bli berørt. Kort sagt, hvis du opprette, vedlikeholde, administrere eller har tilgang til personlig medisinsk informasjon, bør du være bekymret for å bli kompatibel med HIPAA forskrifter.

Til dags dato har HIPAA implementering arbeidet konsentrert om å definere standardtransaksjoner til bruk for leverandører og tredjeparts betalere, og skape standard definisjoner for helsepersonell, arbeidsgivere, helseplaner og enkeltpersoner til å bruke i å skape pasientjournal informasjon . Kodesett blir opprettet for å definere standard medisinske termer, diagnosekoder, sykdommer, skader, etc. Medisinske prosedyrekoder blir også definert for tiltak for å forebygge, diagnostisere, behandle eller leder sykdommer, skader og svekkelser, samt for medisiner, utstyr, forsyninger og andre elementer som er foreskrevet for behandling.

Mens mange av disse kodesett er de som kjenner til leverandører i dag, er det noen endringer i formatet for transaksjoner og kodene som kan brukes som kan påvirke overføring av informasjon mellom leverandører og betalere. Som et eksempel, kan lokale koder ikke lenger kan brukes. Dermed, hvis en bestemt selskapet har bedt tilbydere å legge en nasjonal prosedyre kode med et suffiks til videre karakterisere prosedyren, vil selskapet ha for å utvikle en annen måte å skaffe den informasjonen den søker. Dette vil bety at tilbyderne vil måtte lære en ny prosedyre for koding krav transaksjoner.

Hvordan blir jeg kompatibel?

De fleste av arbeid og kostnader vil være i omstruktureringen kontor prosessene rundt pasienten privatliv og i utviklingen av et omfattende sikkerhetsprogram rundt pasientinformasjon. Områder som må gjennomgås inkluderer skriftlige retningslinjer og prosedyrer, standarder, opplæring, tekniske og prosedyremessige kontroller, risikovurderinger, revisjon og oppfølging av etterlevelse. En tilbyder må også tildele ansvar for den løpende forvaltningen av informasjonssikkerhet program. Leverandører må skriftlig avtale å opprettholde samme nivå av sikkerhet og personvern som leverandørene med hvem de arbeider.

Hva må jeg gjøre?

Det første trinnet er å utføre en “ gap vurdering &"; å avgjøre hva som må gjøres for å bli kompatibel. Prosedyrer, prosesser og informasjonshåndtering må alle bli anmeldt i lys av ASCA. For eksempel vil vanlige kontor prosesser som sykepleier spør en lege om en pasient over åpen intercom når en annen pasient kan overhøre samtalen må endres for å sikre pasienten personvern.

Når omfanget av nødvendige endringen er forstått, en implementeringsplan bør utvikles.

Den neste store operative steg er å finansiere og gjennomføre gjennomføringsplanen. I tillegg må alle ansatte og ansatte som håndterer pasientopplysninger eller diskutere det med utenforstående parter bli opplært i hvordan å holde informasjonen privat og sikker. Denne opplæringen bør også omfatte instruksjon på noen nye prosedyrer som er utviklet og implementert.

Hva med mine datamaskiner og programvare?

En berørt organisasjon må iverksette tiltak, retningslinjer og prosedyrer for å sikre sikkerheten til eventuelle informasjonssystemer som inneholder individuelt identifiserbar pasienten helseinformasjon. Disse vil bli samordnet og integrert med andre systemkonfigurasjon ledelsesmetoder for å sikre systemets integritet når endringer i systemet maskinvare eller programvare er gjort. All programvare kjøpt som en pakke fra en ekstern leverandør må også være kompatibel.

I tillegg må berørte parter gi en beredskapsplan som sørger for å svare på informasjon system nødhjelp, inkludert periodisk sikkerhetskopiering av data, har og testing av kjemikalier for videreført virksomhet i tilfelle en nødsituasjon, og utvikle effektive katastrofe gjenopprettingsprosedyrer. Kontroller og sikkerhetstiltak bør dokumenteres på samme måte som andre retningslinjer og prosedyrer.

Hver organisasjon er også nødvendig å ha en policy på bruk arbeidsstasjon. Disse dokumenterte instrukser og prosedyrer bør avgrense de riktige funksjonene som skal utføres og på hvilken måte de funksjoner som skal utføres (for eksempel logge av før du forlater en terminal uten tilsyn). Restriksjoner må være på plass for å hindre at uvedkommende får tilgang til informasjon som er lagret på enheten &'; s datamaskiner.

Fasiliteter som bruker kommunikasjonsnett er nødvendig for å beskytte meldinger som inneholder helseopplysninger når de sender dem elektronisk for å hindre dem fra å bli fanget opp og leses av andre enn den tiltenkte mottakeren parter. De må også beskytte sine informasjonssystemer fra inntrengere som prøver å få tilgang til informasjon fra eksterne kommunikasjonspunkter. Dette betyr vanligvis at en eller annen form for kryptering må brukes for å beskytte denne informasjonen. Så vel, det må være dokumentert politikk og sikkerhetsfunksjoner for bruk av faks, e-post, Internett, fjern diktat og transkripsjon tjenester
.