《健康保险流通与责任法案》(HIPAA)于1996年出台,对于所有美国医疗保健组织而言(确实是)合规是必要的。

它旨在保护患者的健康数据,降低健康保险成本并创建标准的医院管理流程。当然,这暗示着患者的健康数据将以数字化的方式出现,而这种速度并没有达到预期的速度,从而使美国落后于其他已经进行数字化转型的国家。 

2009年,国会通过了经济信息和临床健康卫生信息技术(高技术)法,高科技的缩写。它也旨在解决周围的缺点和漏洞 HIPAA 并鼓励采用电子健康记录(EHR)。这是通过严格的准则执行和更高的违规处罚来实现的。为了避免此类处罚,医疗保健组织必须符合HITECH和HIPAA。

想知道PGP,OpenPGP和GnuPG之间的区别吗?立即下载我们的免费加密手册!

高技术与HIPAA

HIPAA合规性取决于 HIPAA隐私规则,那些需要遵守HIPAA规范的人需要保护患者的数据,进行定期的风险分析,保护其系统并采用防护措施。不幸的是,它还远远不够,它是在普遍存在的高速宽带和大规模数据共享之前的一段时间内创建的。它没有涵盖合作伙伴,业务伙伴和服务提供商的活动。最后,当然,罚款额还不足以阻止违规行为。

高技术有四个标有A-D的字幕。字幕A用于促进健康信息技术。这包括创建以健康为中心的基础架构,并采用数字/电子健康记录。有了国家标准,医疗保健专业人员可以与同事,私人执业和联邦监管机构进行更有效的协作。

创建的所有内容都必须经过测试,并且字幕B处理这方面的问题,并为合格的机构研究新技术和医疗保健提供方法提供资助。

字幕C定义了赠款和资金的支出方式,并确认接收者在支出资金时遵循了商定的准则。还定义了期望,通常指出期望改进的解决方案。我认为我的建议不算是其中之一。

字幕D涉及隐私(对电子数据有明确定义的期望),与其他法律法规(包括HIPAA)的链接以及生效日期。字幕D还指定,如果HIPAA所涵盖实体的合伙人或合伙人或处理HIPAA所涵盖实体的数据,则非HIPAA涵盖的实体受相同的规则和标准约束。这也许是HITECH最重要的部分。如果您正在“处理”个人健康信息(PHI),则即使从技术上讲您不在医疗保健行业,您也必须符合HIPAA和HITECH。云服务提供商请注意。

高技术合规?

高技术的一个关键要素是确保告知患者数据是否受到威胁。此外,如前所述,它旨在增强HIPAA,鼓励数字化转型和采用EHR,并消除早期漏洞。商业伙伴被包括在补充法规中,违规行为比以前引起更高的罚款,即,起到实际的威慑作用,而不是在腕上打耳光。

现在,遵守HITECH对于避免罚款是必不可少的,从广义上讲,它具有五个关键要素。这些是:

有意义的使用

旨在培养EHR的用户,未能采用EHR的人可获得较少的Medicare和Medicaid费用。要被认为有意义,有五个标准。

医疗保健提供者必须证明他们的解决方案可以提高患者护理的质量安全性和效率。它必须告知患者和家属健康和潜在问题。改善协调/合作的证据是必要的,公共医疗服务的改进也是必要的。最后,也是最重要的一点是,确保所有电子个人健康信息(ePHI)都是安全和私有的。 “有意义使用”的实际示例包括在线咨询,将医疗数据传输给保险公司,顾问等。

业务助理HIPAA合规

在HITECH下, 商业伙伴有责任 违反HIPAA的行为。

违反通知规则

如果其数据已被泄露,则必须告知所有患者。公共义务取决于所涉及的患者数量。对于500或更多,美国卫生部&必须在60天内通知人类服务(HHS)。对于您所在司法管辖区的知名媒体也是如此。

故意忽视和审计&HIPAA合规性更新

可以说每个不合规事件都是不同的,并且接受惩罚而不是为ePHI实施安全系统不再具有成本效益。无意违规的最高罚款额为25,000美元(每次违规100美元),但在最高D级,每次违法罚款为50,000美元,每年最高罚款为150万美元。即使过高的过失,也可以提高这些罚款,美国司法部也可以对每次违法行为处以更高的罚款,或者加重监禁(最长10年)。

既然您知道可能的处罚措施,那么保护患者数据就有意义了,不是吗? 

无论受到何种惩罚,数据泄露的受害者(患者本身)  从来没有看到任何现金,但这是另一篇文章的主题。所有征收的罚款都用于“管理执法”。这在所有政府实施的隐私法规中都是如此。例如, 脸书创纪录的50亿美元罚款 从联邦贸易委员会(FTC)前往美国财政部。 

托管文件传输

话题: 安全卫生保健合规

资源: //blog.ipswitch.com/what-is-hitech