O Que Você Precisa Saber sobre Cumprindo com HIPAA

HIPAA - o Health Insurance Portability e Accountability Act - é uma lei federal desenvolvido, em parte, para definir e regulamentar o uso de informações de saúde nos Estados Unidos. Entidades que fornecem, para pagar ou fornecem serviços de saúde, medicamentos ou equipamentos, bem como os seus parceiros de negócios e fornecedores, são afetados por esse novo conjunto de regulamentos. Este artigo resume o trabalho que precisa ser feito para atender aos requisitos necessários para se tornar compatível com HIPAA.

A Lei define e regula

- como informações de saúde são identificadas e utilizadas, incluindo formulários de transação padrão e conjuntos de códigos para a comunicação entre os prestadores e pagadores,

- o que informação, conhecido como informação protegida de saúde (PHI) é para ser considerada privada e como ele deve ser tratado, e

- políticas e procedimentos para proteger PHI segurança.

Estes regulamentos toda a queda sob o Título II do HIPAA e são conhecidas coletivamente como a Lei de Compliance Simplificação Administrativa (ASCA). Como o nome indica, todas as entidades abrangidas pela ASCA devem estar em conformidade dentro dos prazos estabelecidos nos regulamentos. Estes prazos são:

As operações padronizadas e código define - 16 de outubro de 2002
Privacidade - 14 de abril de 2003
Segurança - prazo ainda não foi definido.

Note, no entanto, que o Departamento de Saúde e Serviços Humanos vai permitir que as entidades abrangidas para se candidatar a uma prorrogação de um ano para as transações e código define prazo se apresentar um formulário de Plano de Compliance modelo que inclui uma exibição cronograma como eles pretendem tornar-se compatível, durante o período de prorrogação. Este pedido deve ser recebido o mais tardar 15 de outubro de 2002. Além disso, alguns planos de saúde de pequeno porte têm mais um ano para cumprir todos os prazos. Muito mais detalhes sobre HIPAA eo ASCA pode ser encontrado nos Centros de Serviços Medicare e Medicaid web site: http://www.cms.gov/hipaa/hipaa2/default.asp que também contém links para outros recursos.

Como é que a ASCA afetar minha prática ou instituição?

Direta ou indiretamente, você será afetado se você fornecer serviços de saúde ou prestadores de serviços de apoio à saúde. Entidades abrangidas que escolher para transmitir informações de identificação relacionadas com o paciente por via electrónica são obrigados a implementar estas normas. Na prática, isso significa que qualquer fornecedor que envia diretamente para contas de terceiros contribuintes desde ASCA exige que essas contas ser enviados eletronicamente com um pequeno número de exceções.

Além disso, uma entidade está sob HIPAA se é um banco de plano de saúde, câmara de compensação, de terceiros seguradora, o empregador manter registros de saúde, centro de reabilitação, sangue, esperma ou tecido do órgão, assistente social ou conselheiro, a longo instalação de cuidados de prazo, empresa ambulância ou farmácia. No entanto, muitas mais empresas e serviços são afetados, incluindo aqueles que prestam serviços ou fornecimentos a prestadores de serviços de saúde ou para os doentes sob a direção de provedores. Eles precisarão de novos acordos comerciais que asseguram o cumprimento HIPAA e devem implementar medidas de privacidade e segurança de informações aceitáveis. Se essas empresas cobrar de terceiros contribuintes diretamente, eles também terão de implementar as operações e código estabelece padrões.

fornecedores de tecnologia, prestadores de transcrição Outside, contadores, advogados e outras pessoas que possam vir a entrar em contato com com informações do paciente no curso de relações comerciais normais também serão afetados. Em suma, se você criar, manter, gerenciar ou ter acesso a informações médicas pessoais, você deve estar preocupado com a tornar-se compatível com as regulamentações HIPAA.

Até à data, o trabalho de implementação HIPAA tem se concentrado na definição de transações padrão para uso por fornecedores e de terceiros contribuintes, e criar definições padrão para prestadores de cuidados de saúde, empregadores, planos de saúde e indivíduos para uso na criação de informação de registro do paciente . Conjuntos de códigos estão sendo criados para definir os termos médicos padrão, os códigos de diagnóstico, doenças, lesões, etc. códigos de procedimento médico também estão sendo definidos por ações tomadas para prevenir, diagnosticar, tratar ou controlar doenças, lesões e deficiências, bem como de medicamentos, equipamentos, suprimentos e outros itens prescritos para o tratamento.

Embora muitos desses conjuntos de códigos são os que estão familiarizados com os prestadores de hoje, há algumas mudanças no formato das transações e os códigos que podem ser usados ​​o que pode afetar a transmissão de informações entre prestadores e pagadores. Como um exemplo, os códigos locais não pode mais ser usado. Assim, se uma seguradora específica pediu provedores para anexar um código de processo nacional com um sufixo para caracterizar ainda mais o procedimento, a seguradora terá de desenvolver uma outra maneira de obter as informações que procura. Isto significa que os fornecedores terão que aprender um novo procedimento para a codificação de transações de sinistros.

Como posso me tornar complacente?

A maioria do trabalho e custo será em redesenho de processos de escritórios em torno da privacidade do paciente e no desenvolvimento de um programa de segurança abrangente em torno de informações do paciente. Áreas que terão de ser revistos incluem políticas escritas e procedimentos, normas, treinamento de pessoal, controles técnicos e de procedimentos, avaliação de riscos, auditoria e controlo do cumprimento. Um provedor também deve atribuir a responsabilidade pela gestão corrente do programa de segurança da informação. Os fornecedores devem concordar por escrito a manter o mesmo nível de segurança e privacidade, como os provedores com quem trabalham.

O que eu tenho que fazer?

O primeiro passo é a realização de um “ a avaliação das lacunas &"; para determinar o que deve ser feito de modo a tornar-se compatível. Procedimentos, processos e gestão da informação devem todos ser revista à luz da ASCA. Por exemplo, os processos de escritório comuns, como uma enfermeira pedindo uma informação médico sobre um paciente por um intercomunicador aberto quando outro paciente pode ouvir a conversa tem que ser modificado para assegurar a privacidade do paciente.

Uma vez que o âmbito de aplicação da mudança necessária é entendido, um plano de implementação devem ser desenvolvidos.

O próximo grande passo operacional é de financiar e executar o plano de implementação. Além disso, todos os funcionários e empregados que lidam com as informações do paciente ou discuti-lo com terceiros devem ser treinados em como manter a informação segura e privada. Esta formação deve incluir também instruções sobre quaisquer novos procedimentos que são desenvolvidas e implementadas.

E os meus computadores e software?

Uma organização afetada deve implementar medidas, políticas e procedimentos para garantir a segurança de todos os sistemas de informação que contenham informações individualmente identificáveis ​​saúde do paciente. Estes seriam coordenadas e integradas com outras práticas de gestão de configuração do sistema, a fim de assegurar a integridade do sistema quando as alterações de hardware ou software do sistema são feitas. Qualquer software adquirido como um pacote a partir de um fornecedor externo também deve ser compatível.

Além disso, as partes afectadas devem apresentar um plano de contingência que prevê a resposta a emergências de sistemas de informação, incluindo periódica backup de dados, tendo e testar instalações para operações contínuas em caso de uma emergência, e desenvolvimento de desastres eficaz procedimentos de recuperação. Controles de computador e medidas de segurança devem ser documentadas da mesma forma como outras políticas e procedimentos.

Cada organização também é obrigado a ter uma política sobre o uso de estação de trabalho. Essas instruções e procedimentos documentados devem delinear as funções próprias a ser realizado e da maneira em que essas funções devem ser executadas (por exemplo, fazer logoff antes de sair de um terminal autônoma). Restrições devem ser postas em prática para impedir que pessoas não autorizadas acessem informações armazenadas sobre a entidade &'; s computadores.

Instalações que utilizam redes de comunicações são obrigados a proteger as mensagens que contenham informações de saúde quando eles transmiti-los eletronicamente para impedir que eles sejam interceptados e lidos por outros que não o destinatário pretendido partes. Eles também devem proteger os seus sistemas de informação de invasores que tentam acessar informações de pontos de comunicação externos. Isso normalmente significa que alguma forma de codificação deve ser utilizado para proteger esta informação. Como assim, não precisa ser documentado de políticas e recursos de segurança para o uso de fax, e-mail, Internet, ditado remoto e serviços de transcrição Restaurant  .;