HIPAA – це правовий акт, який встановлює правила захисту інформації про пацієнтів. Це дає змогу медичним пацієнтам контролювати свою конфіденційну інформацію та покладатися на організації, які зобов’язані запровадити стандартизовані структури конфіденційності та безпеки пацієнтів. Але, незважаючи на те, що він існує вже досить давно, його правила, вимоги та стандарти безпеки знайомі не багатьом людям. Продовжуйте читати цю сторінку та отримайте всю інформацію про правила відповідності HIPAA, штрафи за порушення та інші важливі деталі в контрольному списку HIPAA.
Правила конфіденційності HIPAA та Правила безпеки HIPAA
Закон про перенесення та підзвітність медичного страхування було розроблено, перш за все, для модернізації способу електронної передачі, збереження та захисту особистої медичної інформації. Він був ухвалений у 1996 році і з тих пір є критично важливим стандартом у кожному переліку перевірок відповідності системі охорони здоров’я. Як технологічно нейтральний закон HIPAA застарів за час свого існування та залишився незмінним, незважаючи на стрімкий розвиток Інтернету за останні два десятиліття. За своєю суттю HIPAA – це правовий акт, що складається з правил, які встановлюють основні вимоги дотримання. Двома найважливішими правилами, включеними в цей акт, є правило безпеки HIPAA і правило конфіденційності.
Що таке правило безпеки HIPAA?
Правило безпеки HIPAA було вперше введено в 1998 році та пройшло через кілька поправок з моменту його першого схвалення. Коли він був розроблений, сучасних смартфонів ще не було на ринку, а перші соціальні медіа-платформи тільки з’являлися в Інтернеті. Зважаючи на це, зрозуміло, що контрольний список оцінки ризиків HIPAA було значно оновлено, щоб бути в курсі суспільства, що постійно розвивається. Незважаючи на це, більшість оригінальної мови, використаної в першому Правилі безпеки HIPAA, протягом багатьох років залишалася практично незмінною.
Що таке правило конфіденційності HIPAA?
Правило конфіденційності вперше було прийнято в 2003 році. На відміну від Правила безпеки HIPAA, яке встановлює основні стандарти безпеки, Правило конфіденційності встановлює конкретні обмеження щодо використання конфіденційну інформацію про пацієнта без дозволу пацієнта. Правило конфіденційності є невід’ємною частиною HIPAA, оскільки одна з його головних цілей — гарантувати пацієнтам право отримати копію своїх медичних записів і вимагати будь-яких необхідних виправлень. Маючи понад 400 сторінок у Федеральному реєстрі, він займає високе місце в контрольному списку оцінки ризиків HIPAA.
До кого поширюється HIPAA?
HIPAA застосовується до всіх постачальників медичних послуг, планів медичного обслуговування та медичних інформаційних центрів, якщо ці організації надсилають медичну інформацію в електронному вигляді разом із транзакціями. Щоб мати повне розуміння всіх і всього, що включено до цих трьох категорій, розглянемо кожну з них докладніше:
- Постачальники медичних послуг – лікарні, клініки, лікарі, стоматологи, будинки престарілих, аптеки, психологи та мануальні терапевти.
- Плани охорони здоров’я – HMO, плани охорони здоров’я компанії, державні програми (наприклад, Medicare, Medicaid), медичне страхування та програми охорони здоров’я ветеранів.
- Інформаційні центри охорони здоров’я – організації, які обробляють нестандартну медичну інформацію для організацій охорони здоров’я.
Будь-яка організація, яка належить до однієї з наведених вище категорій, зобов’язана дотримуватися контрольного списку правил відповідності HIPAA. Захищені організації, які не дотримуються контрольного списку HIPAA, можуть зіткнутися із суворими фінансовими та кримінальними покараннями, які можуть досягати 250 000 доларів США та десяти років ув’язнення.
Ураховуючи все це, необхідно пам’ятати, що не всі медичні організації зобов’язані відповідати вимогам HIPAA. Цей акт стосується лише організацій, які передають захищену інформацію про здоров’я для транзакцій, стандарти яких прийняло HHS. Це життєво важливий аспект HIPAA, і всі пацієнти повинні знати про це, перш ніж надавати будь-які конфіденційні дані про здоров’я та особисті дані.
Правила сповіщення про порушення HIPAA
Докладний контрольний список HIPAA містить точні вимоги щодо сповіщення про порушення, яким мають відповідати суб’єкти у випадку такої ситуації. Список містить такі дії:
- Індивідуальне повідомлення – компанія повинна повідомити всіх своїх постраждалих осіб після виявлення порушення погано захищеної інформації. Ці сповіщення мають бути надіслані без необґрунтованої затримки та не пізніше ніж через 60 днів після виявлення порушення. В індивідуальному повідомленні також міститься набір варіантів захисту користувачів, зокрема безкоштовний телефон, за яким люди можуть отримати корисну інформацію та поради щодо того, що робити, щоб уникнути подальшої потенційної шкоди.
- Повідомлення для засобів масової інформації. Організації, на які поширюється дія, що стосуються понад 500 жителів однієї юрисдикції чи штату, також повинні надіслати сповіщення відомим ЗМІ, що працюють у цій юрисдикції чи штаті. Так само, як і в попередньому сповіщенні, медіа-повідомлення має бути надано протягом розумного періоду, не пізніше 60 днів.
- Повідомлення для міністра – крім перших двох вимог щодо сповіщення, суб’єкти, на які поширюється дія, також повинні повідомляти міністра про порушення незахищеної захищеної медичної інформації. Якщо порушення стосується понад 500 осіб, відповідна організація повинна повідомити про це Міністра протягом 60 днів. Проте, якщо порушення стосується менше ніж 500 осіб, суб’єкт, на який поширюється дія, може щорічно повідомляти Міністра.
Вимоги відповідності HIPAA
Ми вже встановили, що Закон про перенесення та підзвітність медичного страхування точно визначає стандарти захисту конфіденційної інформації пацієнтів. Окрім Правила безпеки HIPAA і Правила конфіденційності, HIPAA також встановила набір правил безпеки щодо конкретних даних пацієнтів, які зберігаються або передаються в електронній формі. Звичайно, такі стандарти супроводжуються фізичною, технічною та адміністративною безпекою, якої має дотримуватися кожна компанія, щоб відповідати HIPAA.
Технічні стандарти
Відповідно до офіційної інформації, наданої HIPAA, технічні стандарти – це технологія та політика, встановлена для захисту та керування доступом до конфіденційних даних пацієнтів. Іншими словами, це зобов’язує відповідну особу вживати всі необхідні заходи, які дозволять їй підтримувати розумні та відповідні стандарти безпеки. Законодавці навмисно підкреслили «розумну та відповідну» частину цього стандарту, оскільки вона дозволяє кожній організації охорони здоров’я створити механізм безпеки відповідно до своєї бази даних, бюджету та складності самих даних.
Фізичні стандарти
Фізичні засоби захисту включають усі фізичні заходи, процедури та політики захисту електронних систем від несанкціонованого фізичного вторгнення, екологічних і природних небезпек. Це стосується всього, від офісу компанії до окремого фізичного сховища або пристроїв співробітників, які містять конфіденційну інформацію, яка потребує належного зберігання. Хоча вони не такі складні, як технічні та адміністративні стандарти безпеки, фізичні засоби захисту є необхідними заходами безпеки, які повинна мати кожна організація.
Адміністративні стандарти
Подібно до того, як технічні засоби захисту захищають контроль і керують доступом до конфіденційної інформації, адміністративні засоби безпеки встановлюються для управління робочою силою організації щодо захисту зазначеної інформації. Це означає, що кожна особа, на яку поширюється дія, повинна впроваджувати вказівки та політики, які допомагають працівники належним чином використовують та керують інформацією про здоров’я. Щоб трохи розширити це, адміністративні стандарти передбачають, що кожна організація повинна належним чином усвідомлювати та контролювати делегування відповідальності, вимоги до навчання працівників і документувати всі рішення.
Як отримати відповідність HIPAA
Правда полягає в тому, що немає конкретних внутрішніх порад, які могли б допомогти компанії пройти перелік контрольних перевірок HIPAA, не доклавши до цього всього необхідного. Відповідність вимогам HIPAA вимагає від суб’єкта (компанії) забезпечення максимальної конфіденційності, цілісності та доступності захищеної інформації про здоров’я та розробки процедур захисту та політики відповідно до контрольного списку HIPAA.
Щоб досягти відповідності HIPAA, компанія повинна вивчити та застосувати кожне правило, викладене на 115 сторінках HIPAA. Оскільки така поглиблена процедура може негативно вплинути на більшість постачальників, більшість компаній вирішують співпрацювати зі сторонніми компаніями ІТ-відповідності HIPAA, які можуть допомогти їм реалізувати всі відповідним чином необхідні політики.
Hideez Enterprise Solution для охорони здоров’я — це простий крок, щоб стати сумісним із HIPAA. Це усуває ризик фішингових атак, шифрує облікові дані та робить їх невидимими для співробітників, захищаючи вас від випадкового розкриття. Рішення Hideez забезпечує безперебійне блокування та розблокування комп’ютера за допомогою близькості, що особливо корисно в середовищі з кількома спільними комп’ютерами.
Як залишатися сумісним з HIPAA
Просто виконавши простий онлайн-пошук, ви можете знайти десятки результатів щодо того, як дотримуватися законодавства, встановленого HIPAA. Зайве говорити, що не всі з них можуть гарантувати, що ви пройдете звіт HIPAA про відповідність і підтримуватимете статус відповідності HIPAA . Зважаючи на це, ось три надійних способи:
- Регулярний аналіз ризиків
- Докладна документація щодо відповідності
- Висококваліфікований персонал
<Порушення Законів щодо відповідності HIPAA
Тепер, коли ми розуміємо основні правила відповідності HIPAA та найважливіші заходи, які необхідно застосувати, щоб залишатися відповідними, давайте розглянемо деякі з найпоширеніших причин відповідності HIPAA порушення. Існують сотні можливостей порушення Правил щодо даних, що відповідають вимогам HIPAA, але найпоширенішими з них є:
- Невиконання аналізу ризиків на рівні компанії
- Нездатність керувати ризиками безпеки
- Перегляд приватних медичних записів
- Розкриття захищеної медичної інформації
- Відмова особам у доступі до їхніх медичних записів
- Недокументування зусиль щодо відповідності
- Нездатність забезпечити належне навчання HIPAA
Звичайно, щоб бути повністю прозорими, ми маємо зазначити, що деякі порушення дотримання конфіденційності HIPAA є результатом випадкових порушень.
Тим не менш, незнання та випадкові порушення все одно потребують певних коригувальних заходів щодо компанії, хоча ймовірно без будь-яких значних фінансових санкцій. Крім того, ми також хочемо зазначити, що HIPAA не має переваги перед законом штату. Єдиним винятком, коли це так, є обставини, коли нормативні акти штату слабші, ніж ті, що вказані в контрольному списку HIPAA.