חוק הניידות וההגנה על ביטוחי הבריאות של הממשלה הפדרלית (HIPAA) יצר קווים מנחים כיצד מטפלים ספקי שירותי בריאות בנתוני בריאות המטופל. לרוע המזל, הנחיות HIPAA מעורפלות. אין רשימה פשוטה שתוכל להשתמש בה לאיתור תוכנות התואמות HIPAA. במקום זאת, HIPAA מחייבת אותך ליצור סדרה של נהלים לגישה ולשלוח מידע על בריאות המטופל. לאחר מכן עליך למצוא ספק תוכנה שתוכנתו תוכל לאפשר לך ליישם את הנהלים שלך.
צעדים
חלק 1 מתוך 3: יצירת נהלים מתאימים
שלב 1. שמור יומן ביקורת
עליך לעקוב אחר מי ניגש לרשומה של מטופל. המשמעות היא שעליך ליצור שמות משתמש וסיסמאות נפרדים עבור כל אדם שיש לו גישה למידע על בריאות המטופל. כחלק מיומן הביקורת, עליך לעקוב אחר הדברים הבאים:
- אשר רשמו את המשתמש אליו ניגש
- התאריך אליו הגישו
- אם המשתמש צפה במידע, עדכן אותו או מחק אותו
שלב 2. צור רמות גישה
HIPAA דורשת גם מעובד לראות רק את המידע ה"מינימלי הדרוש "לביצוע עבודתו. לדוגמה, רופא יצטרך לראות מידע בריאותי יותר מאשר פקיד קבלה. בהתאם לכך, עליך ליצור רמות גישה, בהן אתה מספק מידע רב ככל שנדרש לכל אדם כדי לבצע את עבודתו.
- חלק מהעובדים עשויים לעבוד רק עם מטופלים מסוימים. במצב זה, יש להעניק להם גישה רק לרישומי החולה של האנשים איתם הם עובדים.
- על מנת ליצור רמות גישה בהצלחה, עליך להגדיר בבירור תפקידים בארגון שלך. זה עשוי לדרוש שתסתכל על תיאורי תפקיד וסידור מחדש של חובות.
שלב 3. צור פונקציית "דריסת חירום"
גם אם אתה יוצר רמות גישה, ייתכנו מצבים בהם מישהו צריך לגשת לכל המידע בשעת חירום. מסיבה זו, עליך ליצור "דריסה" המאפשרת לאדם לאחזר את כל המידע הדרוש לטיפול יעיל בחולים.
- עם זאת, עליך להגדיר את התוכנה שלך כך שהשימוש בפונקציית דריסה זו יעבור בדיקה.
- לדוגמה, תוכל להגדיר את התוכנה כך שבכל פעם שמישהו משתמש בפונקציית הבקרה, מספר אנשים אחרים יישלחו בדוא"ל באופן אוטומטי במקביל. התוכנה צריכה גם לעקוב אחר כל המידע שאדם זה ניגש אליו.
- כמו כן, עליך לכתוב תהליך סקירה לכל שימוש בפונקציית הדריסה. לדוגמה, האדם שמשתמש בו עשוי להיפגש מאוחר יותר עם מפקח כדי להצדיק את השימוש.
שלב 4. אבטח את הנתונים שלך
HIPAA דורש ממך לשמור על אבטחת הנתונים שלך. בפועל, המשמעות היא שעליך להשתמש בסיסמאות ולשמור את הנתונים מאובטחים מאחורי חומת אש.
- עליך גם לוודא שהודעות הדוא"ל שלך מאובטחות. בפרט, עליך להשתמש בטכנולוגיית הצפנה מספקת בהודעות הדוא"ל שלך.
- למידע נוסף אודות לוודא שהדוא"ל שלך תואם את HIPAA, ראה הפוך את הדוא"ל ל- HIPAA תואם.
שלב 5. סרוק טפסי אישור למטופל
אתה נדרש לגרום למטופלים לחתום על טפסים המאשרים את השימוש במידע שלהם לצורך הטיפול בהם. כל טופס צריך לכלול תיאור של מה תשתמשו בו הנתונים ותאריך התפוגה.
- עליך לעקוב אחר הרשאות אלה, כולל התאריך בו נחתם הטופס ושם האדם החותם עליו.
- כמו כן, עליך לסרוק את הטופס ולשמור על עותק דיגיטלי.
שלב 6. ודא שמערכת החיוב שלך תואמת
HIPAA תקנה את העברת פרטי החיוב. מסיבה זו, כל מערכת חיוב שתשתמש בה חייבת לתמוך בתקני HIPAA.
בנקודת זמן זו, כמעט כל מערכת חיוב בשוק. עם זאת, עליך לאשר מול הספק שלך כי הוא תואם HIPAA
שלב 7. שאל את הספקים לגבי גיבוי
HIPAA דורש גם שתשמור את הנתונים שלך כך שחולה יוכל לראות אותם בכל פעם שהוא מבקש זאת. המשמעות היא שעליך לשמור על גיבויים של כל המידע. אם אתה שומר מידע על נייר, אז אתה צריך עותקים המאוחסנים מחוץ לאתר או סריקות דיגיטליות שנוצרו. אם אתה שומר נתונים באופן אלקטרוני, עליך לגבות אותם.
- שאל את הספקים כיצד הם מגבים את המערכות שלהם. גלה כיצד הם מבטיחים את המשכיות המערכת במקרה של תאונה.
- אם אתה מארח את מערכת הנתונים בשרתים שלך, יהיה עליך לברר אילו הליכי גיבוי יש לך, כמו גם את תוכניות החירום שלך.
שלב 8. בקשו ממקורבי עסקים לחתום על חוזים
כל מי שרואה את הנתונים שלך חייב להסכים לשמור על אותן מדיניות ונהלים כמו הארגון שלך. לכן עליך לערוך חוזה "שותף עסקי" שכל החברות יחתמו עליו.
- לבריאות ושירותי אנוש יש חוזה לדוגמה זמין בכתובת https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agference-provisions/index.html. אתה יכול לשנות אותו כך שיתאים למטרות שלך.
- יש גם חוזים לדוגמא באינטרנט. לדוגמה, למרכז מדעי הבריאות UT יש חוזה טופס שניתן להשתמש בו.
- עליך גם לתת לעורך הדין שלך לבחון כל חוזה כדי לוודא שהוא מספיק כדי להגן עליך.
חלק 2 מתוך 3: חיפוש אחר ספקי תוכנה ונתונים
שלב 1. שאל את נותני שירותי הבריאות האחרים
אם אתה פותח עסק, יהיה עליך לרכוש תוכנה. ייתכן גם שתצטרך לשכור מישהו שיארח את הנתונים שלך בשרתים שלו (או יגבה שרתים משלך).
שאל ספקים אחרים באילו ספקים הם משתמשים. כמעט כל נותני שירותי הבריאות מכוסים על ידי HIPAA, ולכן היו צריכים להקדיש מחשבה רבה אם התוכנה שלהם תואמת או לא. כדאי לבקש המלצות
שלב 2. השווה מחירים
לאחר קבלת המלצות לספקים שונים, עליך להשוות את המחירים שלהם. אתה צריך להתקשר אליהם כדי לקבל הצעת מחיר. מספרי הטלפון שלהם צריכים להיות באינטרנט.
- המחירים יהיו תלויים במספר האנשים שצריכים לגשת למערכת שלך, לכן וודא שיש לך מספר זה זמין.
- אם העסק שלך צומח, עליך לחשוב כמה שנים קדימה. לדוגמה, אם יש לך חמישה עובדים אך אתה חושב שתכפיל את גודלך, וודא שאתה מקבל הצעת מחיר לכמה עולה 10 משתמשים. אתה לא רוצה להחליף תוכנה אחרי שנה בלבד.
שלב 3. גלה כיצד הספק עוקב אחר שינויים ב- HIPAA
תקנות HIPAA ממשיכות להתפתח. עליך לצפות שהספק ימשיך לעקוב אחר שינויים בחוק. בעת יצירת קשר עם ספקים, עליך לשאול את הדברים הבאים:
- כיצד הספק עוקב אחר שינויים בתקנות HIPAA? האם יש לו תכנית פעולה להמשך שינויים בחוק? חפש דוגמאות קונקרטיות. האם לחברה יש עורך דין המפקח על שינויים בחוק?
- איזה אחוז מהלקוחות של הספק חייב להיות תואם HIPAA? אם רוב לקוחות החברה חייבים לציית ל- HIPAA, אז אתה יכול להיות בטוח שהוא יבצע את השינויים הדרושים כדי לעמוד ב- HIPAA-אחרת היא תפסיק לפעול.
חלק 3 מתוך 3: הבנת דרישות HIPAA
שלב 1. בדוק אם HIPAA חל עליך
עליך לציית ל- HIPAA אם הארגון שלך מעביר מידע חיובי באופן אלקטרוני לכל חברת ביטוח בריאות, כולל Medicaid ו- Medicare. המידע יכול לכלול חשבוניות או מידע אחר הדרוש למציאת כיסוי ביטוחי. באופן כללי, HIPAA מסדירה את הספקים הבאים:
- תֶרַפּיָה
- ייעוץ
- טיפול רפואי
- כל שירות אחר המחייב חברות ביטוח
שלב 2. מצא עו"ד בתחום הבריאות
חוקי HIPAA מסובכים וקשים להבנה. על מנת לוודא שאתה עומד בדרישות שלך, עליך לשכור עו"ד רפואי לארגון שלך. עורך דין רפואי יכול לסייע בטיפול בניהול סיכונים ובעיות רגולטוריות. אתה יכול להשאיר את האדם הזה "בשמור", מה שאומר שאתה משלם עמלה מדי חודש. בתמורה, עורך הדין זמין תמיד לענות על שאלותיך.
- תוכל לקבל המלצות לעורך דין בתחום הבריאות על ידי שאלת נותני שירותי בריאות אחרים בהם הם משתמשים. אם אינך מקבל המלצות, תוכל לבקר בלשכת עורכי הדין במדינה שלך, שאמורה להריץ תוכנית הפניות. בקש הפניה לעו"ד רפואי.
- הקפד לשאול את עורך הדין על נסיונו. תרצה מישהו שיש לו ניסיון רב בתאימות רגולטוריות, לא רק בייצוג עסקים בתביעות.
שלב 3. היו בטוחים, לא מצטערים
מבחינה טכנית, אינך צריך ליצור שמות משתמש, רמות גישה או אפילו להחזיק תוכנה בארגון שלך. במקום זאת, HIPAA דורשת ממך רק לנקוט "צעדים סבירים" ולחשוף רק את המידע ה"מינימלי הדרוש ". עם זאת, כעניין מעשי, עליך ליצור את נהלי הגישה וההפצה למידע המתואר לעיל אם בכוונתך להפעיל משרד מודרני באמצעות מחשבים ודוא"ל. נהלים אלה יסייעו להגן עליך מפני חשיפה בלתי מורשית של מידע על המטופל.
- העונשים על הפרת HIPAA יכולים להיות חמורים. אתה יכול לעמוד בפני קנס של 50,000 $ על כל הפרה, עד לסכום של 1.5 מיליון דולר לכל שנה. יש גם עונשים פליליים למי שמפר את הכללים ביודעין.
- בהתאם לכך, מוטב לך לעקוב אחר השיטות והנהלים שהופכים לסטנדרטים בענף שלך. עורכי דין וספקים מנוסים בתחום הבריאות יכולים להדריך אותך בכיוון הנכון.
