Адпаведнасць HIPAA адносіцца да выканання правілаў, выкладзеных у Законе аб пераноснасці і падсправаздачнасці медыцынскага страхавання, які з'яўляецца федэральным законам Злучаных Штатаў, які абараняе канфідэнцыяльнасць і бяспеку інфармацыі пра здароўе людзей.
Адпаведнасць HIPAA адносіцца да набору правілаў і нормаў, якіх павінны прытрымлівацца пастаўшчыкі медыцынскіх паслуг і арганізацыі, каб забяспечыць бяспеку і канфідэнцыяльнасць медыцынскай інфармацыі пацыентаў. Гэта важна, таму што абараняе канфідэнцыяльнасць канфідэнцыяльнай медыцынскай інфармацыі і дапамагае прадухіліць несанкцыянаваны доступ або выкарыстанне гэтай інфармацыі. Прасцей кажучы, адпаведнасць HIPAA - гэта спосаб пераканацца, што ваша асабістая медыцынская інфармацыя захоўваецца ў бяспецы і канфідэнцыяльнасці.
Адпаведнасць HIPAA з'яўляецца найважнейшым аспектам аховы здароўя, і для медыцынскіх работнікаў вельмі важна прытрымлівацца яго правілаў. Закон аб пераноснасці і падсправаздачнасці медыцынскага страхавання (HIPAA) быў прыняты ў 1996 годзе для забеспячэння абароны канфідэнцыйнай медыцынскай інфармацыі пацыентаў. Адпаведнасць HIPAA з'яўляецца абавязковай для ўсіх пастаўшчыкоў медыцынскіх паслуг, уключаючы бальніцы, клінікі і страхавыя кампаніі.
Адпаведнасць HIPAA ўключае набор правілаў, якіх павінны прытрымлівацца пастаўшчыкі медыцынскіх паслуг, каб забяспечыць канфідэнцыяльнасць, цэласнасць і даступнасць інфармацыі аб пацыентах. Правілы HIPAA ахопліваюць шырокі спектр абласцей, у тым ліку прыватнасць, бяспеку і апавяшчэнне аб парушэннях. Медыцынскія работнікі павінны ўжыць адпаведныя адміністрацыйныя, фізічныя і тэхнічныя меры абароны, каб абараніць інфармацыю пра пацыента ад несанкцыянаванага доступу, выкарыстання або раскрыцця. Невыкананне правілаў HIPAA можа прывесці да сур'ёзных пакаранняў, уключаючы штрафы і судовыя іскі.
Агляд адпаведнасці HIPAA
HIPAA, або Закон аб пераноснасці і падсправаздачнасці медыцынскага страхавання 1996 г., - гэта федэральны закон, які ўстанаўлівае нацыянальныя стандарты абароны канфідэнцыйнай інфармацыі пра здароўе пацыентаў. Адпаведнасць HIPAA з'яўляецца абавязковай для ўсіх арганізацый аховы здароўя, якія працуюць з абароненай медыцынскай інфармацыяй (PHI).
Што такое HIPAA?
HIPAA - гэта федэральны закон, які патрабуе ад арганізацый аховы здароўя прымянення мер бяспекі для абароны канфідэнцыяльнасці, цэласнасці і даступнасці PHI. Закон таксама прадастаўляе пацыентам пэўныя правы на інфармацыю пра іх здароўе, напрыклад, права на доступ і кантроль сваёй PHI.
Правіла прыватнасці HIPAA
Правіла канфідэнцыяльнасці HIPAA устанаўлівае нацыянальныя стандарты для абароны PHI на любых носьбітах. Правіла прымяняецца да ўсіх ахопленых суб'ектаў, у тым ліку пастаўшчыкоў медыцынскіх паслуг, планаў аховы здароўя і клірынгавых цэнтраў аховы здароўя. Правіла патрабуе ад ахопленых суб'ектаў прымянення палітыкі і працэдур для абароны канфідэнцыяльнасці PHI і прызначэння супрацоўніка па канфідэнцыяльнасці для кантролю за захаваннем.
Правіла бяспекі HIPAA
Правіла бяспекі HIPAA устанаўлівае нацыянальныя стандарты для абароны электроннай абароненай медыцынскай інфармацыі (ePHI). Правіла прымяняецца да ўсіх суб'ектаў і дзелавых партнёраў, якія ствараюць, атрымліваюць, падтрымліваюць або перадаюць ePHI. Правіла патрабуе ад ахопленых арганізацый і дзелавых партнёраў прымянення адміністрацыйных, фізічных і тэхнічных мер абароны для абароны ePHI.
Правіла Omnibus HIPAA
Зборнае правіла HIPAA было прынята ў 2013 годзе і ўнесла значныя змены ў Правілы прыватнасці, бяспекі і паведамлення аб парушэннях HIPAA. Правіла пашырыла вызначэнне дзелавога партнёра і ўключыла субпадрадчыкаў, узмацніла патрабаванні да паведамлення аб парушэннях і павялічыла штрафы за невыкананне.
Адпаведнасць HIPAA забяспечваецца Упраўленнем па грамадзянскіх правах Міністэрства аховы здароўя і сацыяльных службаў (OCR). OCR праводзіць праверкі і расследуе скаргі на парушэнні HIPAA. Штрафы за невыкананне могуць вар'іравацца ад штрафаў да крымінальнай адказнасці.
Падводзячы вынік, захаванне патрабаванняў HIPAA вельмі важна для арганізацый аховы здароўя, якія займаюцца PHI. Закон патрабуе ад ахопленых суб'ектаў і дзелавых партнёраў прымянення палітыкі і працэдур для абароны канфідэнцыяльнасці, цэласнасці і даступнасці PHI. Невыкананне HIPAA можа прывесці да сур'ёзных штрафаў і судовых дзеянняў.
Sync.com з'яўляецца надзейнай воблачнай службай захоўвання дадзеных што забяспечвае адпаведнасць патрабаванням HIPAA для кліентаў.
Адпаведнасць HIPAA для арганізацый
Арганізацыі, якія апрацоўваюць абароненую медыцынскую інфармацыю (PHI), абавязаны выконваць Закон аб пераноснасці і падсправаздачнасці медыцынскага страхавання 1996 г. (HIPAA). HIPAA - гэта набор нарматыўных стандартаў, якія вызначаюць законнае выкарыстанне і раскрыццё PHI. Невыкананне HIPAA можа прывесці да пакарання і штрафаў.
Хто павінен выконваць HIPAA?
HIPAA прымяняецца да ахопленых арганізацый і дзелавых партнёраў. Суб'екты, якія ахопліваюцца, вызначаюцца як пастаўшчыкі медыцынскіх паслуг, планы аховы здароўя і разліковыя цэнтры аховы здароўя. Дзелавыя партнёры вызначаюцца як арганізацыі, якія аказваюць паслугі пакрытым арганізацыям, якія ўключаюць выкарыстанне або раскрыццё PHI.
Гарантыі прыватнасці і бяспекі HIPAA для арганізацый
HIPAA мае два правілы, якія павінны выконваць арганізацыі: Правіла прыватнасці і Правіла бяспекі. У Правілах канфідэнцыяльнасці выкладзены патрабаванні да выкарыстання і раскрыцця PHI. Правіла бяспекі апісвае патрабаванні да абароны электронных PHI (ePHI).
Арганізацыі павінны ўкараняць адміністрацыйныя, фізічныя і тэхнічныя меры абароны для абароны PHI. Адміністрацыйныя гарантыі ўключаюць палітыку і працэдуры, навучанне працоўнай сілы і ацэнку рызыкі. Фізічныя меры бяспекі ўключаюць кантроль доступу, бяспеку працоўных станцый, а таксама кантроль прылад і носьбітаў. Тэхнічныя меры бяспекі ўключаюць кантроль доступу, кантроль аўдыту і бяспеку перадачы.
Адпаведнасць HIPAA для дзелавых партнёраў
Дзелавыя партнёры павінны выконваць HIPAA гэтак жа, як і арганізацыі, на якія распаўсюджваецца страхаванне. Яны павінны ўкараняць адміністрацыйныя, фізічныя і тэхнічныя меры абароны для аховы PHI. Дзелавыя партнёры таксама павінны падпісаць пагадненне аб дзелавых партнёрах (BAA) з ахопленымі арганізацыямі, у якім вызначаюцца іх абавязкі па абароне PHI.
Прымяненне HIPAA і штрафы за невыкананне
Парушэнне HIPAA можа прывесці да грамадзянскіх грашовых штрафаў або крымінальнай адказнасці. Упраўленне па грамадзянскіх правах Міністэрства аховы здароўя і сацыяльных службаў (OCR) забяспечвае выкананне правілаў HIPAA. OCR расследуе скаргі на парушэнне HIPAA і можа накласці штрафы за невыкананне.
Арганізацыі, якія парушаюць HIPAA, могуць пагражаць штрафамі ў памеры да 1.5 мільёна долараў у год за кожнае парушэнне. Крымінальныя абвінавачванні могуць прывесці да штрафаў і турэмнага зняволення.
У заключэнне, арганізацыі, якія апрацоўваюць PHI, павінны выконваць Правілы прыватнасці і бяспекі HIPAA. Яны павінны ўкараняць адміністрацыйныя, фізічныя і тэхнічныя меры абароны для аховы PHI. Дзелавыя партнёры таксама павінны выконваць HIPAA і падпісаць BAA з ахопленымі арганізацыямі. Невыкананне HIPAA можа прывесці да пакарання і штрафаў.
Адпаведнасць HIPAA для пастаўшчыкоў медыцынскіх паслуг
Як пастаўшчыку медыцынскіх паслуг вельмі важна разумець правілы і патрабаванні, устаноўленыя HIPAA, каб забяспечыць канфідэнцыяльнасць і бяспеку канфідэнцыяльнай інфармацыі пацыентаў. Адпаведнасць HIPAA з'яўляецца абавязковай для ўсіх пастаўшчыкоў медыцынскіх паслуг, каб пазбегнуць дарагіх штрафаў і захаваць дадзеныя пацыентаў.
Гарантыі канфідэнцыяльнасці і бяспекі HIPAA для пастаўшчыкоў медыцынскіх паслуг
HIPAA патрабуе ад пастаўшчыкоў медыцынскіх паслуг укаранення гарантый канфідэнцыяльнасці і бяспекі для абароны электроннай абароненай медыцынскай інфармацыі (ePHI) пацыентаў. Гэтыя меры бяспекі ўключаюць адміністрацыйныя, фізічныя і тэхнічныя меры для забеспячэння канфідэнцыяльнасці, цэласнасці і даступнасці ePHI.
Адміністрацыйныя гарантыі ўключаюць палітыку і працэдуры, навучанне працоўнай сілы і кантроль аўдыту. Фізічныя меры бяспекі ўключаюць кантроль доступу, бяспеку аб'екта, а таксама кантроль прылад і сродкаў масавай інфармацыі. Тэхнічныя гарантыі ўключаюць шыфраванне даных, аўтэнтыфікацыю і бяспеку перадачы.
Медыцынскія работнікі таксама павінны падтрымліваць праграму кіравання рызыкамі для выяўлення і змякчэння патэнцыйных рызык для ePHI. Гэтая праграма павінна ўключаць рэгулярныя ацэнкі рызыкі, тэставанне ўразлівасцяў і планы рэагавання на інцыдэнты.
Адпаведнасць HIPAA для электронных медыцынскіх запісаў (EHR)
Адпаведнасць HIPAA для электронных запісаў здароўя (EHR) мае вырашальнае значэнне для медыцынскіх работнікаў, якія выкарыстоўваюць або захоўваюць інфармацыю пра пацыента ў электронным выглядзе. Закон HITECH, які з'яўляецца часткай Амерыканскага закона аб аднаўленні і рэінвеставанні 2009 г., устанавіў новыя патрабаванні да бяспекі і канфідэнцыяльнасці ЭМК.
Медыцынскія работнікі павінны ўкараніць тэхнічныя меры бяспекі для забеспячэння канфідэнцыяльнасці, цэласнасці і даступнасці ePHI, якія захоўваюцца ў сістэмах EHR. Гэтыя меры бяспекі ўключаюць кантроль доступу, запіс аўдыту і шыфраванне даных у стане спакою і перадачы.
Медыцынскія работнікі таксама павінны ўкараняць палітыку і працэдуры доступу і выкарыстання EHR, уключаючы навучанне персаналу і кантроль аўдыту. Акрамя таго, пастаўшчыкі медыцынскіх паслуг павінны мець план дзеянняў на выпадак збояў або парушэнняў сістэмы EHR.
Адпаведнасць HIPAA для тэлемедыцынскіх паслуг
Паслугі тэлемедыцыны становяцца ўсё больш папулярнымі ў апошнія гады, асабліва падчас пандэміі COVID-19. Медыцынскія работнікі, якія прапануюць паслугі тэлемедыцыны, павінны забяспечыць адпаведнасць HIPAA для абароны ePHI пацыентаў.
Медыцынскія работнікі павінны выкарыстоўваць бяспечныя каналы сувязі для тэлемедыцынскіх паслуг, уключаючы шыфраваныя відэаканферэнцыі і платформы абмену паведамленнямі. Медыцынскія работнікі таксама павінны ўкараняць палітыку і працэдуры выкарыстання паслуг тэлемедыцыны, уключаючы навучанне кадраў і кантроль аўдыту.
Медыцынскія работнікі павінны атрымаць згоду пацыентаў на паслугі тэлемедыцыны і забяспечыць канфідэнцыяльнасць, цэласнасць і даступнасць ePHI, перададзеных падчас сеансаў тэлемедыцыны.
У цэлым пастаўшчыкі медыцынскіх паслуг павінны быць уважлівымі ў сваіх намаганнях па захаванні адпаведнасці HIPAA для абароны канфідэнцыйнай інфармацыі пацыентаў. Укараняючы гарантыі прыватнасці і бяспекі, выконваючы патрабаванні EHR і забяспечваючы адпаведнасць HIPAA для паслуг тэлемедыцыны, медыцынскія работнікі могуць абараніць даныя пацыентаў і пазбегнуць дарагіх штрафаў.
Адпаведнасць HIPAA для планаў аховы здароўя
Планы аховы здароўя з'яўляюцца ключавой арганізацыяй, якая павінна адпавядаць правілам HIPAA. Гарантыі канфідэнцыяльнасці і бяспекі HIPAA дзейнічаюць для абароны індывідуальнай ідэнтыфікацыйнай медыцынскай інфармацыі (IIHI) ад раскрыцця без згоды або ведама пацыента. Каб забяспечыць канфідэнцыяльнасць, цэласнасць і даступнасць IIHI, неабходныя планы аховы здароўя для рэалізацыі гэтых мер бяспекі.
Гарантыі канфідэнцыяльнасці і бяспекі HIPAA для планаў аховы здароўя
Гарантыі прыватнасці і бяспекі HIPAA для планаў аховы здароўя ўключаюць наступнае:
- Адміністрацыйныя меры бяспекі: гэта ўключае палітыку і працэдуры, навучанне персаналу і ацэнку рызык для выяўлення і змякчэння патэнцыйных рызык бяспекі.
- Фізічныя меры бяспекі: гэта ўключае кантроль доступу, бяспеку аб'ектаў і бяспеку працоўных станцый.
- Тэхнічныя меры бяспекі: гэта ўключае кантроль доступу, кантроль аўдыту і бяспеку перадачы.
Адпаведнасць HIPAA для медыцынскага страхавання
Пакрыццё медыцынскага страхавання - яшчэ адна ключавая сфера, дзе патрабуецца адпаведнасць HIPAA. Планы аховы здароўя павінны гарантаваць, што іх палітыка і працэдуры адпавядаюць правілам HIPAA, уключаючы згаданыя вышэй гарантыі прыватнасці і бяспекі. Пакрыццё медыцынскага страхавання таксама павінна адпавядаць нацыянальным стандартам для электронных аперацый і набораў кодаў.
Адпаведнасць HIPAA для групавых планаў аховы здароўя
Групавыя планы аховы здароўя падпарадкоўваюцца правілам HIPAA ў адпаведнасці з Законам аб забеспячэнні пенсійнага даходу супрацоўнікаў (ERISA). Групавыя планы аховы здароўя павінны адпавядаць мерам абароны прыватнасці і бяспекі HIPAA, а таксама нацыянальным стандартам для электронных транзакцый і набораў кодаў. Групавыя планы аховы здароўя таксама павінны прадастаўляць асобам пэўныя правы ў адпаведнасці з HIPAA, такія як права доступу да іх IIHI і права запытваць выпраўленні ў іх IIHI.
Падводзячы вынік, планы аховы здароўя, уключаючы медыцынскае страхаванне і групавыя планы аховы здароўя, павінны адпавядаць правілам HIPAA для абароны канфідэнцыяльнасці, цэласнасці і даступнасці IIHI. Гэта ўключае ў сябе ўкараненне адміністрацыйных, фізічных і тэхнічных мер абароны, захаванне нацыянальных стандартаў для электронных транзакцый і набораў кодаў, а таксама прадастаўленне асобам пэўных правоў у адпаведнасці з HIPAA.
Адпаведнасць HIPAA для ўрада і праваахоўных органаў
Адпаведнасць HIPAA распаўсюджваецца на дзяржаўныя ўстановы і праваахоўныя органы, якія працуюць з абароненай медыцынскай інфармацыяй (PHI). Гэтыя арганізацыі павінны прытрымлівацца тых жа стандартаў, што і пастаўшчыкі медыцынскіх паслуг і страхавыя кампаніі, каб гарантаваць бяспечную і канфідэнцыяльную апрацоўку PHI.
Адпаведнасць HIPAA для дзейнасці ў галіне аховы здароўя
Правіла канфідэнцыяльнасці HIPAA дазваляе раскрываць PHI для мерапрыемстваў у галіне аховы здароўя, такіх як назіранне за хваробамі, даследаванні і ўмяшанне. Арганізацыі, на якія распаўсюджваецца страхаванне, могуць раскрываць PHI органам аховы здароўя без згоды пацыента для гэтых мэтаў.
Адпаведнасць HIPAA для праваахоўных органаў і судовых пастаноў
HIPAA таксама дазваляе раскрываць PHI супрацоўнікам праваахоўных органаў пры пэўных абставінах. Арганізацыі, на якія распаўсюджваецца пакрыццё, могуць раскрываць PHI ў адказ на пастанову суда, позву або ордэр. PHI таксама можа быць раскрыта, калі ёсць падазрэнні ў злачыннай дзейнасці, пагрозе грамадскай бяспецы або калі чалавек стаў ахвярай злачынства.
Тым не менш, ахопленыя суб'екты павінны пераканацца, што раскрыццё інфармацыі абмяжоўваецца мінімальна неабходнай інфармацыяй, неабходнай для дасягнення запланаванай мэты. Яны таксама павінны атрымаць здавальняючыя гарантыі таго, што PHI больш не будзе раскрывацца і што былі зроблены разумныя намаганні, каб паведаміць пацярпелай асобе.
Адпаведнасць HIPAA для дзейнасці па наглядзе за здароўем
HIPAA дазваляе раскрываць PHI дзяржаўным органам для дзейнасці па наглядзе за здароўем, напрыклад, аўдытаў, расследаванняў і праверак. Гэтыя агенцтвы ўключаюць Упраўленне па грамадзянскіх правах (OCR) Міністэрства аховы здароўя і сацыяльных службаў ЗША (HHS), якое адказвае за выкананне правілаў HIPAA.
Суб'екты, на якія распаўсюджваецца страхаванне, павінны супрацоўнічаць з гэтымі агенцтвамі, каб пераканацца, што яны адпавядаюць правілам HIPAA. Невыкананне гэтага можа прывесці да пакарання і штрафаў.
іншыя меркаванні
У дадатак да вышэйсказанага, ёсць некалькі іншых меркаванняў, якія дзяржаўныя і праваахоўныя органы павінны мець на ўвазе пры апрацоўцы PHI. Да іх адносяцца:
- Дзейнасць у грамадскіх інтарэсах і карысць: Арганізацыі, на якія распаўсюджваецца дзеянне, могуць раскрываць PHI для дзейнасці, якая прадстаўляе грамадскі інтарэс або карысць, напрыклад, даследаванні, мерапрыемствы па ахове здароўя і рэагаванне на надзвычайныя сітуацыі.
- Заканадаўчыя і нарматыўныя дакументы: Арганізацыі, на якія распаўсюджваецца пагадненне, павінны выконваць усе прыдатныя федэральныя законы і законы і правілы штата, якія рэгулююць апрацоўку PHI.
- Інфармацыя пра здароўе пацыента: PHI змяшчае любую інфармацыю, якая можа быць выкарыстана для ідэнтыфікацыі асобы, напрыклад, імя, адрас, нумар сацыяльнага страхавання і гісторыю хваробы.
- Інфармацыя аб ахове здароўя: Арганізацыі, на якія распаўсюджваецца медыцынская дапамога, павінны гарантаваць, што ўся медыцынская інфармацыя апрацоўваецца бяспечна і канфідэнцыйна, каб абараніць прыватнасць пацыента.
- Неадпаведнасць: Невыкананне правілаў HIPAA можа прывесці да пакарання і штрафаў, а таксама да шкоды рэпутацыі арганізацыі.
- Абмежаваны набор даных: суб'екты, на якія распаўсюджваецца абмежаванне, могуць раскрываць абмежаваны набор даных (LDS) PHI для даследаванняў, аховы здароўя і аховы здароўя. LDS не ўключае прамыя ідэнтыфікатары, такія як імя, адрас і нумар сацыяльнага страхавання.
- Надзвычайная сітуацыя ў галіне грамадскага аховы здароўя, выкліканая COVID-19: падчас надзвычайнай сітуацыі ў галіне грамадскага аховы здароўя, выкліканай COVID-19, арганізацыі, якія падпадаюць пад дзеянне гэтай праблемы, могуць раскрываць PHI для мэт аховы здароўя і аховы здароўя без згоды пацыента.
У заключэнне, дзяржаўныя органы і праваахоўныя органы павінны выконваць правілы HIPAA пры апрацоўцы PHI. Яны павінны гарантаваць, што ўсе раскрытыя дадзеныя абмяжоўваюцца мінімальна неабходнай інфармацыяй, неабходнай для дасягнення намечанай мэты, і што разумныя намаганні былі зроблены для апавяшчэння пацярпелай асобы. Невыкананне правілаў HIPAA можа прывесці да пакарання і штрафаў, а таксама да шкоды рэпутацыі арганізацыі.
Больш чытання
Адпаведнасць HIPAA адносіцца да прыхільнасці ахопленых суб'ектаў Закону аб пераноснасці і падсправаздачнасці медыцынскага страхавання (HIPAA) 1996 г. Закон патрабуе ад ахопленых суб'ектаў прымянення пэўных адміністрацыйных, фізічных і тэхнічных гарантый для забеспячэння канфідэнцыяльнасці, цэласнасці і даступнасці абароненага здароўя інфармацыі (PHI). Суб'екты, якія пакрываюцца, ўключаюць пастаўшчыкоў медыцынскіх паслуг, планы аховы здароўя і разліковыя цэнтры аховы здароўя. Невыкананне правілаў HIPAA можа прывесці да грашовых або крымінальных санкцый. (крыніца: CDC)
Звязаныя ўмовы адпаведнасці воблаку