Що таке відповідність HIPAA? Вимоги HIPAA 2020

hipaa laws compliance

HIPAA – це правовий акт, який встановлює правила захисту інформації пацієнтів. Це дає можливість медичним пацієнтам контролювати свою конфіденційну інформацію та покладатися на організації, які зобов’язані впроваджувати стандартизовані структури конфіденційності та безпеки пацієнтів. Але, незважаючи на те, що він існує досить довго, його правила, вимоги та стандарти безпеки не є чимось знайомим багатьом людям. Продовжуйте читати цю сторінку та отримайте всю інформацію про правила відповідності HIPAA, штрафи за порушення та інші важливі деталі в контрольному списку HIPAA.

Конфіденційність HIPAA та Правила безпеки HIPAA

Закон про перенесення та підзвітність про медичне страхування було розроблено, перш за все, для того, щоб модернізувати спосіб електронної передачі, підтримки та захисту персональної медичної інформації. Він був прийнятий у 1996 році і з тих пір став критичним стандартом кожного контрольного списку аудиту відповідності медичним стандартам. Як технологічно нейтральний закон, HIPAA добре постарів протягом свого існування і залишився незмінним, незважаючи на швидкий розвиток Інтернету за останні два десятиліття. По суті, HIPAA є правовим актом, який складається з правил, які встановлюють основні вимоги до відповідності. Двома найважливішими правилами, включеними в цей закон, є Правило безпеки HIPAA і Правило конфіденційності.

 

Що таке Правило безпеки HIPAA?

Правило безпеки HIPAA було вперше введено в 1998 році і зазнало кількох поправок з моменту його першого затвердження. Коли він був вперше розроблений, сучасних смартфонів ще не було на ринку, а перші платформи соціальних мереж тільки з’являлися в Інтернеті. З огляду на це, зрозуміло, що контрольний список оцінки ризиків HIPAA був значно оновлений, щоб залишатися в курсі тенденцій суспільства, що постійно розвивається. Незважаючи на це, більшість мов оригіналу, використаної в першому Правилі безпеки HIPAA, залишалося майже незмінним протягом багатьох років.

Що таке правило конфіденційності HIPAA?

Правило конфіденційності вперше було введено в дію у 2003 році. На відміну від Правила безпеки HIPAA, яке встановлює основні стандарти безпеки, Правило конфіденційності встановлює конкретні обмеження щодо використання конфіденційну інформацію про пацієнта без дозволу пацієнта. Правило конфіденційності є важливою частиною HIPAA, оскільки однією з його головних цілей є гарантувати пацієнтам право отримати копію своїх медичних карт та вимагати будь-яких необхідних виправлень. Маючи понад 400 сторінок у Федеральному реєстрі, він займає високе місце в контрольному списку оцінки ризиків HIPAA.

До кого поширюється HIPAA?

HIPAA застосовується до всіх постачальників медичних послуг, планів охорони здоров’я та інформаційних центрів охорони здоров’я, якщо ці організації надсилають інформацію про стан здоров’я в електронному вигляді разом із транзакціями. Щоб мати повне розуміння всіх і всього, що входять до цих трьох категорій, давайте розглянемо кожну з них докладніше:

  • Постачальники медичних послуг – лікарні, клініки, лікарі, стоматологи, будинки престарілих, аптеки, психологи та мануальні терапевти.
  • Плани охорони здоров’я – HMO, плани охорони здоров’я компанії, державні програми (наприклад, Medicare, Medicaid), медичне страхування та програми охорони здоров’я ветеранів.
  • Інформаційні центри охорони здоров'я – організації, які обробляють нестандартну медичну інформацію для організацій охорони здоров'я.

Будь-яка організація, що відноситься до однієї з наведених вище категорій, зобов’язана дотримуватися контрольного списку правил відповідності HIPAA. Підприємствам, які охоплюються, якщо не дотримуються контрольного списку HIPAA, загрожує суворе фінансове та кримінальне покарання, яке може скласти до 250 000 доларів США та десять років ув’язнення.

З огляду на це, необхідно пам’ятати, що не всі організації охорони здоров’я зобов’язані відповідати вимогам HIPAA. Цей акт застосовується лише до організацій, які передають захищену інформацію про здоров’я для операцій, стандарти яких ухвалено HHS. Це життєво важливий аспект HIPAA, і всі пацієнти повинні знати про це, перш ніж ділитися будь-якими конфіденційними даними про здоров’я та особистими даними.

Правило сповіщення про порушення HIPAA

Докладний контрольний список HIPAA містить точні вимоги щодо сповіщення про порушення, які охоплюються юридичними особами, які повинні відповідати у разі такої ситуації. Список містить такі дії:

  • Індивідуальне повідомлення – компанія повинна повідомити всіх своїх постраждалих осіб після виявлення порушення погано захищеної інформації. Ці повідомлення мають надсилатися без будь-яких необґрунтованих затримок і не пізніше 60 днів після виявлення порушення. Індивідуальне сповіщення також містить набір параметрів захисту користувачів, зокрема безкоштовний телефон, за яким люди можуть отримати корисну інформацію та поради щодо того, що робити, щоб уникнути подальшої потенційної шкоди.
  • Повідомлення медіа – охоплені організації, які стикаються з порушенням, яке зачіпає понад 500 жителів однієї юрисдикції або штату, також повинні надати сповіщення відомим ЗМІ, які працюють у цій юрисдикції або штаті. Як і попереднє сповіщення, повідомлення ЗМІ має бути надано протягом розумного періоду, не пізніше 60 днів.
  • Повідомлення для секретаря – на додаток до перших двох вимог щодо сповіщення, охоплені юридичні особи також повинні повідомляти секретаря про порушення незахищеної захищеної медичної інформації. Якщо порушення стосується більше ніж 500 осіб, охоплена організація повинна повідомити Секретаря протягом 60 днів. Однак якщо порушення стосується менше ніж 500 осіб, охоплена організація може повідомити Секретаря щороку.

Вимоги відповідності HIPAA

Ми вже встановили, що Закон про перенесення та підзвітність медичного страхування точно визначає стандарти захисту конфіденційної інформації про пацієнтів. Окрім Правила безпеки HIPAA та Правила конфіденційності, HIPAA також встановив набір правил безпеки щодо конкретних даних пацієнтів, які зберігаються або передаються в електронній формі. Звичайно, такі стандарти забезпечують фізичну, технічну та адміністративну безпеку, якої має дотримуватися кожна компанія, щоб відповідати вимогам HIPAA.

Технічні стандарти

Виходячи з офіційної інформації, наданої HIPAA, технічні стандарти – це технології та політика, встановлені для захисту та керування доступом до конфіденційних даних пацієнтів. Іншими словами, він зобов’язує охоплену компанію вжити всіх необхідних заходів, які дозволять йому підтримувати розумні та відповідні стандарти безпеки. Законодавці навмисно наголосили на «розумній та відповідній» частині цього стандарту, оскільки він дозволяє кожній організації охорони здоров’я встановити механізм безпеки відповідно до своєї бази даних, бюджету та складності самих даних.

Фізичні стандарти

Фізичні засоби захисту включають усі фізичні заходи, процедури та політики для захисту електронних систем від несанкціонованого фізичного вторгнення, екологічних та природних небезпек. Він включає все, від офісу компанії до окремого фізичного сховища або пристроїв співробітників, які містять конфіденційну інформацію, яка потребує належного зберігання. Хоча вони не такі складні, як технічні та адміністративні стандарти безпеки, фізичні засоби захисту є необхідними заходами безпеки, які повинна мати кожна організація.

Адміністративні стандарти

Подібно тому, як технічні запобіжні заходи захищають контроль та керують доступом до конфіденційної інформації, адміністративні запобіжні заходи встановлюються для управління персоналом організації щодо захисту зазначеної інформації. Це означає, що кожен охоплений суб’єкт повинен застосовувати рекомендації та політику, які допомагають працівники правильно використовують інформацію про стан здоров’я та керують нею. Щоб трохи розширити це, адміністративні стандарти передбачають, що кожна організація повинна належним чином усвідомлювати й контролювати делегування відповідальності, вимоги до навчання співробітників та документувати всі рішення.

Як отримати відповідність HIPAA

Правда полягає в тому, що немає конкретних внутрішніх порад, які можуть допомогти компанії пройти контрольний список аудиту HIPAA без виконання всієї необхідної роботи. Відповідність HIPAA вимагає, щоб охоплена організація (компанія) гарантувала максимальну конфіденційність, цілісність та доступність захищеної медичної інформації та розробляла процедури та політики захисту відповідно до контрольного списку HIPAA.

Щоб досягти відповідності HIPAA, компанія повинна вивчити та застосувати кожне правило, зведене на 115 сторінках HIPAA. Оскільки така поглиблена процедура може мати невтішний вплив на більшість постачальників, більшість компаній вирішують співпрацювати зі сторонніми компаніями, що відповідають вимогам HIPAA, які можуть допомогти їм упровадити всі необхідні політики належним чином.

Решення Hideez Enterprise для охорони здоров’я – це простий крок, щоб стати сумісним із HIPAA. Це усуває ризик фішингових атак, шифрує облікові дані та робить їх невидимими для співробітників, захищаючи вас від випадкового розкриття. Рішення Hideez забезпечує безперебійне блокування та розблокування комп’ютера за допомогою близькості, що особливо корисно в середовищі з кількома спільними комп’ютерами.

Як залишатися відповідним HIPAA

Виконуючи простий пошук в Інтернеті, ви можете знайти десятки результатів про те, як дотримуватися законодавства, встановленого HIPAA. Зайве говорити, що не всі з них можуть гарантувати, що ви передасте звіт HIPAA про відповідність та підтримаєте статус відповідності HIPAA . Сказавши це, ось три надійних способи виконання:

  • Регулярний аналіз ризиків
  • Детальна документація про відповідність
  • Висококваліфікований персонал

Порушення законів про відповідність вимогам HIPAA

Тепер, коли ми розуміємо основні правила відповідності HIPAA та найважливіші заходи, які необхідно застосувати, щоб залишатися відповідним, давайте подивимося на деякі з найбільш поширених причин відповідності HIPAA порушення. Існують сотні можливостей, за яких HIPAA-сумісні правила даних можуть бути порушені, але найпоширенішими є:

  • Нездійснення аналізу ризиків у масштабі всієї компанії
  • Неможливість керувати ризиками безпеки
  • Перегляд приватних медичних карт
  • Розкриття захищеної медичної інформації
  • Відмова особам у доступі до їхніх медичних карт
  • Неможливість задокументувати зусилля щодо дотримання вимог
  • Неможливість забезпечити достатню підготовку HIPAA

Звичайно, щоб бути повністю прозорими, ми повинні зазначити, що деякі порушення дотримання конфіденційності HIPAA є результатом випадкових правопорушень.

Тим не менш, незнання та випадкові правопорушення все одно вимагають певних виправних дій щодо компанії, хоча, ймовірно, без значних фінансових штрафів. Крім того, ми також хочемо зазначити, що HIPAA не переважає закон штату. Єдиним винятком, коли це так, є обставини, коли нормативні акти штату слабші, ніж ті, що містяться в контрольному списку HIPAA.