“ 健康保险流通与责任法案”于1996年颁布,由美国政府公民权利办公室执行。 这是一套联邦指导方针,旨在允许员工在离开雇主时为他们提供医疗保险,允许人们在预先存在的条件下(在某些情况下)获得医疗保险,并为患者的健康建立隐私标准信息。
- HIPAA隐私规则保护个人可识别的健康信息的隐私。
- HIPAA安全规则制定了电子健康信息安全的国家标准。
法律要求HIPAA的教育和培训对在医疗行业工作的个人提供保护,以确保对受保护的健康信息的隐私和安全负责。 涵盖实体必须根据HIPAA政策和程序对所有员工进行培训。
1 -
HIPAA隐私规则“个人可识别健康信息隐私标准”(隐私规则)旨在专门针对个人健康信息的保护。 保持HIPAA合规性对于您的医疗办公室的活力非常重要。
隐私规则涉及谁?
- 健康计划
- 医疗保健机构
- 卫生保健清算所
HIPAA中定义的涵盖实体可以是健康保险计划,医疗保健信息交换中心或医疗保健提供者,以电子方式传输受保护的健康信息,并且可以是组织,机构或人员。
与患者及其保密病历一起工作的医生和其他医疗保健专业人员必须遵守旨在保护患者隐私和机密性的政策,程序和法律。 所有医疗保健提供者都有责任让他们的工作人员接受有关HIPAA合规性的培训和信息。 无论是故意还是意外,未经授权披露PHI都被视为违反HIPAA。
- 商业伙伴
HIPAA定义的商业伙伴是代表被涵盖实体开展涉及使用或披露受保护健康信息的业务的任何人员或实体,并且不是被涵盖实体的雇员。
什么信息受到保护?
PHI或受保护的健康信息是指以任何形式传输或维护的患者医疗记录中包含的任何单独识别信息。
使用和披露
被保险实体可能在特定条件下未经授权使用或披露受保护的健康信息(PHI)。
- 给个人
- 治疗,付款和医疗保健业务
- 有机会同意或反对的使用和披露
- 附带使用和披露。
- 公共利益和利益活动
- 有限数据集用于研究,公共卫生或医疗保健操作
隐私惯例通知
医疗保健提供者有义务向患者提供隐私惯例通知。 根据HIPAA隐私规则的要求,此通知使患者有权了解其与其受保护的健康信息(PHI)相关的隐私权。
通知应以易于理解的术语描述某些信息:
- 供应商将如何使用和披露他们的PHI
- 患者拥有关于他们自己的PHI的权利
- 声明通知患者法律要求提供者维护他们的PHI的隐私
- 哪些患者可以联系有关提供者隐私政策的进一步信息
违规行为的执行和处罚
民事罚款
- 每次失败100美元
- 每年最多25,000美元用于多次违反相同要求
刑罚(对于故意获得或披露违反HIPAA的PHI)
- 罚款50,000美元,最高一年徒刑
- 罚款100,000美元,最高达五年监禁(如果违规涉及虚假借口)
- 罚款25万美元,最高可判处监禁10年(如果违规涉及意图出售,转让或使用PHI)
2 -
HIPAA安全规则电子保护健康信息保护安全标准(安全规则)
HIPAA安全是指以任何电子格式为PHI建立保护措施。 这包括使用,存储或电子传输的任何信息。 由HIPAA定义为涵盖实体的任何设施都有责任确保患者信息的隐私性和安全性,并保证其PHI的机密性。
谁被安全规则覆盖?
- 健康计划
- 医疗保健机构
- 卫生保健清算所
HIPAA中定义的涵盖实体可以是健康保险计划,医疗保健信息交换中心或医疗保健提供者,以电子方式传输受保护的健康信息,并且可以是组织,机构或人员。
- 商业伙伴
HIPAA定义的商业伙伴是代表被涵盖实体开展涉及使用或披露受保护健康信息的业务的任何人员或实体,并且不是被涵盖实体的雇员。
什么信息受到保护?
电子PHI或受保护的健康信息是指病人医疗记录中包含的以任何形式传输或维护的任何单独识别信息。 安全规则不包括口头或书面传送的PHI。
行政简化
HIPAA的行政简化规定为电子保护健康信息的安全建立了国家标准。 这包括雇主和提供者的交易规则和标准以及代码集和标识符。
交易和代码集标准
医疗保健数据电子数据交换(EDI)的标准交易包括索赔和遭遇信息,支付和汇款通知书,索赔状态,资格,登记和撤销,转介和授权,协调福利和保费付款。
用于诊断,程序和药物代码的标准代码集包括HCPCS (辅助服务/程序), CPT-4 (内科医生程序),CDT(牙科术语), ICD-9 (诊断和医院住院程序), ICD-10截至2015年10月1日)和国家药品代码(NDC)代码。
雇主和供应商标识标准
标准标识符包括雇主识别号码(EIN)和国家供应商标识符(NPI)。 EIN用于标识标准交易的雇主。 国家提供者标识或NPI是一个10位数的唯一标识号码,用于取代提供商标识符,例如HIPAA标准交易中的唯一提供商标识号(UPIN)。 根据HIPAA的规定,医疗保健提供者需要获得NPI。
维护HIPAA安全的规则包括三个关键领域的保障措施。
行政保障措施
- 制定正式的安全管理流程,包括制定政策和程序,内部审计,应急计划和其他保障措施,以确保医务人员遵守。
- 将安全责任分配给指定人员,以管理和监督安全措施的使用和工作人员的行为。
- 实施确保员工获得适当培训和适当授权以访问PHI的功能。
- 为所有员工定义访问级别及其授予方式
- 要求包括管理层在内的所有医务人员接受安全培训并定期提醒和接受用户培训。
物理保护措施
- 将PHI文件存放在员工的安全位置和工作区(这包括使用可解锁门的锁,钥匙和徽章),以限制对未经授权的人员和入侵者的访问。
- 制定验证访问授权,设备控制和处理访问者的政策。 开发并提供文档,包括关于医疗办公室如何帮助保护PHI的说明(例如,在离开计算机之前无人看管)
- 提供防火和其他危害
技术保障
- 建立唯一的用户标识,包括密码和密码
- 采用自动注销控制
- 记录并检查系统活动以进行审计
- 利用加密控制来保护通过网络传输的数据
违规行为的执行和处罚
民事罚款
- 每次失败100美元
- 每年最多25,000美元用于多次违反相同要求
刑罚(对于故意获得或披露违反HIPAA的PHI)
- 罚款50,000美元,最高一年徒刑
- 罚款100,000美元,最高达五年监禁(如果违规涉及虚假借口)
- 罚款25万美元,最高可判处监禁10年(如果违规涉及意图出售,转让或使用PHI)
3 -
避免违反HIPAA的提示- 采取必要措施,避免通过日常会话泄露信息。 避免通过日常会话泄露信息; 在候诊区,走廊或电梯中讨论患者信息; 妥善处置PHI; 并且信息的获取严格限于工作要求信息的雇员。 基本信息可能显得微不足道,以至于在日常会话中很容易提及,但只能在需要了解基础的情况下共享。
- 避免在等候区,走廊或电梯上讨论患者信息。 敏感信息可能会被访客或其他患者听到。 此外,请务必将患者记录保存在公众可以访问的区域之外。 由于办理登机手续办公桌和护士站都在外面,所以请多走一步,以确保计算机始终处于安全状态。 根据HIPAA标准,应该安装图表支架并覆盖前面板。
- PHI不应该被丢弃在垃圾桶里。 扔在垃圾箱中的任何文件都向公众开放,因此违反了信息。 有很多方法可以处理PHI。 妥善处理纸张PHI包括燃烧或粉碎。 电子PHI可以通过擦除,删除,重新格式化,焚烧,熔化或粉碎来处置。
- 有许多可用的技术用于保护患者数据。 在选择通过包括防火墙,防病毒,反间谍软件和入侵检测技术的无线连接来保护数据的设备和软件方面有选择性。 通过远程连接访问数据时要格外小心。 IT专家建议使用带有安全令牌和密码的双因素身份验证系统。