Закон федерального правительства о переносимости и защите медицинского страхования (HIPAA) установил руководящие принципы того, как медицинские работники обрабатывают данные о здоровье пациентов. К сожалению, рекомендации HIPAA расплывчаты. Не существует простого контрольного списка, который можно использовать для поиска программного обеспечения, совместимого с HIPAA. Вместо этого HIPAA требует, чтобы вы создали набор процедур для доступа и отправки медицинской информации о пациентах. Затем вы должны найти поставщика программного обеспечения, программное обеспечение которого позволит вам реализовать ваши процедуры.
Шаги
Часть 1 из 3: Создание соответствующих процедур
Шаг 1. Вести журнал аудита
Вам необходимо отслеживать, кто имеет доступ к карте пациента. Это означает, что вам необходимо создать отдельные имена пользователей и пароли для каждого человека, имеющего доступ к информации о здоровье пациента. В рамках журнала аудита вы должны отслеживать следующее:
- которые записывают, что пользователь получил доступ
- дата обращения
- просмотрел ли пользователь информацию, обновил ее или удалил
Шаг 2. Создайте уровни доступа
HIPAA также требует, чтобы сотрудник видел только «минимально необходимую» информацию для выполнения своей работы. Например, врачу потребуется больше информации о здоровье, чем администратору. Соответственно, вам необходимо создать уровни доступа, при которых вы предоставляете столько информации, сколько нужно каждому человеку для выполнения своей работы.
- Некоторые сотрудники могут работать только с определенными пациентами. В этой ситуации им должен быть предоставлен доступ только к картам пациентов, с которыми они работают.
- Чтобы успешно создавать уровни доступа, вам необходимо четко определить роли в вашей организации. Это может потребовать от вас ознакомления с описанием должностных обязанностей и перераспределения обязанностей.
Шаг 3. Создайте функцию «аварийного отключения»
Даже если вы создадите уровни доступа, могут возникнуть ситуации, когда кому-то понадобится доступ ко всей информации в экстренной ситуации. По этой причине вам следует создать «переопределение», которое позволит человеку получить любую информацию, необходимую для эффективного лечения пациентов.
- Тем не менее, вы должны настроить свое программное обеспечение так, чтобы использование этой функции переопределения подвергалось тщательной проверке.
- Например, вы можете настроить программное обеспечение так, чтобы каждый раз, когда кто-то использует функцию переопределения, одновременно автоматически отправлялись сообщения нескольким другим людям. Программное обеспечение также должно отслеживать любую информацию, к которой имеет доступ этот человек.
- Вы также должны написать процесс проверки для каждого использования функции переопределения. Например, человеку, который его использует, возможно, придется позже встретиться с руководителем, чтобы оправдать использование.
Шаг 4. Защитите свои данные
HIPAA требует, чтобы ваши данные были в безопасности. На практике это означает, что вы должны использовать пароли и защищать данные за брандмауэром.
- Вам также необходимо убедиться, что ваша электронная почта в безопасности. В частности, вы должны использовать достаточную технологию шифрования в своих электронных письмах.
- Для получения дополнительной информации о том, как убедиться, что ваша электронная почта соответствует HIPAA, см. Как сделать электронную почту совместимой с HIPAA.
Шаг 5. Отсканируйте формы авторизации пациентов
От вас требуется, чтобы пациенты подписывали формы, разрешающие вам использовать их информацию для их лечения. Каждая форма должна включать описание того, для чего вы будете использовать данные, и дату истечения срока действия.
- Вы должны отслеживать эти разрешения, включая дату подписания формы и имя человека, подписавшего ее.
- Вам также следует отсканировать форму и сохранить ее цифровую копию.
Шаг 6. Подтвердите, что ваша биллинговая система соответствует требованиям
HIPAA стандартизировал передачу биллинговой информации. По этой причине, какая бы биллинговая система вы ни использовали, она должна поддерживать стандарты HIPAA.
На данный момент это работает практически каждая биллинговая система на рынке. Тем не менее, вы должны подтвердить у своего поставщика, что он соответствует требованиям HIPAA
Шаг 7. Спросите поставщиков о резервном копировании
HIPAA также требует, чтобы вы сохраняли свои данные, чтобы пациент мог видеть их всякий раз, когда он или она запрашивает их. Это означает, что вы должны поддерживать резервные копии всей информации. Если вы храните информацию на бумаге, вам нужны копии, хранящиеся вне офиса, или создание цифровых отсканированных изображений. Если вы храните данные в электронном виде, их необходимо резервировать.
- Спросите поставщиков, как они делают резервные копии своих систем. Узнайте, как они обеспечивают бесперебойную работу системы в случае аварии.
- Если вы разместите систему данных на своих собственных серверах, вам нужно будет узнать, какие процедуры резервного копирования у вас есть, а также свои планы на случай чрезвычайных ситуаций.
Шаг 8. Попросите деловых партнеров подписать контракты
Любой, кто видит ваши данные, должен согласиться придерживаться тех же политик и процедур, что и ваша организация. Поэтому вам следует составить контракт «Деловой партнер» для подписания всеми поставщиками.
- Образец контракта в сфере здравоохранения и социальных служб доступен по адресу https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html. Вы можете изменить его в соответствии со своими целями.
- В Интернете также есть образцы договоров. Например, в UT Health Science Center есть форма контракта, которую вы можете использовать.
- Вам также следует поручить своему медицинскому адвокату изучить любой контракт, чтобы убедиться, что он достаточен для вашей защиты.
Часть 2 из 3: Поиск поставщиков программного обеспечения и данных
Шаг 1. Спросите других поставщиков медицинских услуг
Если вы открываете бизнес, вам необходимо приобрести программное обеспечение. Вам также может потребоваться нанять кого-нибудь для размещения ваших данных на своих серверах (или для резервного копирования ваших собственных серверов).
Спросите других поставщиков, каких поставщиков они используют. Практически все поставщики медицинских услуг охвачены HIPAA, поэтому им следовало серьезно подумать о том, соответствует ли их программное обеспечение требованиям. Вам следует спросить рекомендации
Шаг 2. Сравните цены
После получения рекомендаций для разных поставщиков необходимо сравнить их цены. Вы должны позвонить им, чтобы узнать цену. Их номера телефонов должны быть в Интернете.
- Цены будут зависеть от количества людей, которым необходим доступ к вашей системе, поэтому убедитесь, что у вас есть этот номер.
- Если ваш бизнес растет, подумайте на пару лет вперед. Например, если у вас пять сотрудников, но вы думаете, что вы увеличитесь вдвое, убедитесь, что вы получили расценки на то, сколько стоит иметь 10 пользователей. Вы не хотите менять программное обеспечение всего через год.
Шаг 3. Узнайте, как поставщик отслеживает изменения в HIPAA
Правила HIPAA продолжают развиваться. Вы должны ожидать, что поставщик будет идти в ногу с изменениями в законодательстве. Обращаясь к поставщикам, вы должны спросить следующее:
- Как поставщик отслеживает изменения в правилах HIPAA? Есть ли у него план действий, чтобы не отставать от изменений в законодательстве? Ищите конкретные примеры. Есть ли в штате компании юрист, который следит за изменениями в законодательстве?
- Какой процент клиентов поставщика должен соответствовать требованиям HIPAA? Если большинство клиентов компании должны соблюдать HIPAA, вы можете быть уверены, что они внесут необходимые изменения в соответствии с HIPAA, иначе компания выйдет из бизнеса.
Часть 3 из 3. Понимание требований HIPAA
Шаг 1. Проверьте, распространяется ли на вас HIPAA
Вы должны соблюдать HIPAA, если ваша организация передает любую платежную информацию в электронном виде в любую медицинскую страховую компанию, включая Medicaid и Medicare. Информация может включать счета-фактуры или другую информацию, необходимую для получения страхового покрытия. Как правило, HIPAA регулирует поставщиков следующего:
- терапия
- консультирование
- медицинская помощь
- любая другая услуга, за которую выставляются счета страховым компаниям
Шаг 2. Найдите адвоката
Правила HIPAA сложны и трудны для понимания. Чтобы убедиться, что вы соблюдаете нормативные требования, вам следует нанять поверенного по вопросам здравоохранения для своей организации. Адвокат может помочь в решении вопросов управления рисками и нормативно-правового регулирования. Вы можете оставить этого человека «на гонораре», что означает, что вы будете платить ежемесячный взнос. Взамен юрист всегда готов ответить на ваши вопросы.
- Вы можете получить рекомендации для медицинского юриста, спросив других поставщиков медицинских услуг, кого они используют. Если вы не получите никаких рекомендаций, вы можете посетить коллегию адвокатов вашего штата, где должна быть создана реферальная программа. Попросите направление к поверенному по медицинскому обслуживанию.
- Обязательно спросите юриста о его опыте. Вам понадобится кто-то, кто имеет большой опыт в соблюдении нормативных требований, а не просто в представлении интересов компаний в судебных процессах.
Шаг 3. Будьте осторожны, не жалейте
Технически вам не нужно создавать имена пользователей, уровни доступа или даже иметь программное обеспечение в вашей организации. Вместо этого HIPAA требует, чтобы вы предпринимали «разумные шаги» и раскрывали только «минимально необходимую» информацию. Тем не менее, с практической точки зрения вам необходимо создать процедуры доступа и распространения информации, описанные выше, если вы планируете управлять современным офисом с использованием компьютеров и электронной почты. Эти процедуры помогут защитить вас от несанкционированного раскрытия информации о пациентах.
- Наказания за нарушение HIPAA могут быть серьезными. Вам может грозить штраф в размере до 50 000 долларов за каждое нарушение, но не более 1,5 миллиона долларов в год. Также предусмотрены уголовные наказания для тех, кто сознательно нарушает правила.
- Соответственно, вам лучше следовать практикам и процедурам, которые становятся стандартом в вашей отрасли. Опытные поверенные и поставщики медицинских услуг могут направить вас в правильном направлении.