除了提供这些激励美元有意义的使用合格的电子健康档案,经济和临床医疗卫生信息技术法案(高科技)HIPAA显著增强方面的安全规则,包括处罚在美国卫生和公众服务部和民权的办公室。
如果你是一个“实体”覆盖(CE)或“生意伙伴”(BA)是时候认真,最后期限是完全符合这些最后的HIPAA规则现在已经过去了。
记住,HIPAA包括三套标准——交易和代码集,隐私和安全。我们的目标是:
- 简化管理健康保险索赔和更低的成本
- 给人更多的控制和访问他们的医疗信息
- 保护个人的医疗信息损失的威胁或披露
但这不是新闻!HIPAA安全最终规则发表在2月20日,2003年联邦公报生效日期为2003年4月21日。
大多数涉及实体已经整整两年,直到4月21日2005 -遵守这些标准。
不过,现实情况是,大多数实体所覆盖,特别是供应商(读医学实践),不服从的日期和还没有今天HIPAA兼容。
一般来说,HIPAA安全规则保护患者电子健康信息(EPHI)是否存储在计算机或从计算机打印。
安全规则是全面包括18监管标准界定保障实现和35规范描述必须实现这些标准。安全规则的文档要求是最艰巨的。
最初大多数专家一致认为,HIPAA安全规则要求更广泛的比HIPAA隐私规则——你知道你有多练习做了适应!
更糟的是,大多数医疗实践由规则继续人力资源有限遵守安全规则。和可用的信息安全咨询专业知识在许多社区和仍然有限。
所有这些力量的结合产生了一个非常明确的结果:很差在医疗行业信息安全。
什么是新的吗?进入高科技的行为,称为“改变”和“突破性”。
毫无疑问,高科技需要最大的和最重要的改变联邦隐私和安全规则。
在15个地区,高科技带来了新的联邦隐私和安全规定,主要金融,操作和法律后果的医疗措施,医院,健康计划,他们的“生意伙伴”。
美国卫生和公众服务部部长Kathleen Sebelius明确隐私和安全的重要性,在宣布“公共HIPAA隐私规则进行修改,注意安全,和执行规则在高科技的“最近:“改善个人和社区的健康,健康信息必须提供给那些至关重要的决策,包括个人和他们的照顾者。而医疗信息技术将帮助美国向前移动它的卫生保健系统,个人健康数据的隐私和安全是我们所有工作的核心。”
HIPAA要求所有医疗CEs——这就是你!-和他们的BAs -那就是我,例如!——维护病人健康信息的隐私。HIPAA法案还要求CEs, BAs实施必要的安全措施来保护病人健康信息。
和美国卫生和公众服务部民权办公室(OCR)即将合规审计。安全审计将必须确保组织完成风险评估和适当的管理,实现技术和物理安全措施。
你做什么工作?首先这样做风险评估。,让你建立一个基线计分卡,你可以跟踪你的进展符合隐私和安全规定。
你的分析应包括行政、物理和技术保障以及组织的需求和政策和程序文件的要求。
项目风险评估的例子是在下表中:
实现规范 | 评估项目 | 政策和程序的建议 |
技术保障 | 是您受保护的健康信息(φ)数据加密?与供应商讨论选项如何加密患者数据。 | 落实政策,定期确认加密过程是最新的。 |
身体保障 | 工作站安全 | 制定政策限制工作站访问未经授权的员工在非工作时间。 |
管理维护 | 终止程序 | 文档什么实践,以防止未经授权的访问前雇员φ。 |
技术保障 | 备份和恢复 | 文档数据备份计划、灾难恢复计划和紧急行动计划的模式。 |
除了最后的规则翻腾,还有其他可用资源来帮助你评估和风险分析文档,包括整个行业围绕HIPAA和高科技的依从性。这里有三个网站,提供——价格——工具包和培训:www.hipaasecurityassessment.comwww.training-hipaa.net和www.hitechanswers.net。
除了让你处理你的病人保密的重要性,有一个扎实的商业理由兼容:新的处罚违反HIPAA和高科技安全法规是巨大的——高达150万美元的罚款,多个违反一个需求在一个日历年度内,以及数不清的损害你的声誉和我的。
Rosemarie纳尔逊是一个主要的MGMA医疗咨询集团。
最初发表在MedPage今天。访问MedPageToday.com更多的实践管理新闻。