Autor: Jordan MacAvoy, viceprezident pro marketing, Reciprocity Labs.
Existuje několik požadavků na dodržování předpisů, které musí zdravotnické organizace dodržovat. Přesto se největšího uznání dostává zákonu HIPAA (Health Insurance Portability and Accountability Act). Pokud vaše organizace působí ve zdravotnictví, měli byste zajistit, aby dodržovala také zákon o zdravotnických informačních technologiích pro ekonomické a klinické zdraví (HITECH).
Tyto dva požadavky na dodržování předpisů spolu nějakým způsobem souvisejí. Cílem zákona HITECH je však zlepšit informační technologie ve zdravotnictví a zároveň chránit otázky bezpečnosti a ochrany soukromí týkající se elektronických informací o pacientech. HITECH významně změnil zákon HIPAA a zákon o sociálním zabezpečení. Proto může být obtížné pochopit, jak se tyto rámce pro dodržování předpisů vzájemně doplňují.
Jak jsou si HITECH a HIPAA podobné
Na dodržování předpisů HITECH a HIPAA dohlíží ministerstvo zdravotnictví a sociálních služeb (HHS). Obvykle se zdravotnické organizace zaměřují spíše na soulad s HIPAA, protože se jedná o páteřní předpis o ochraně osobních údajů, který stanovuje národní standardy týkající se ochrany PHI a zdravotnické dokumentace. Pravidlo o ochraně soukromí bylo přijato v roce 2000. Od té doby provedlo HHS pouze jednu změnu. Bylo to v roce 2002, kdy bylo pravidlo o ochraně soukromí upraveno tak, že se stalo jedním z původních předpisů o ochraně soukromí a bezpečnosti informací.
Úřad národního koordinátora pro zdravotnické informační technologie (ONC) je pověřen podporou kvality zdravotní péče prostřednictvím rozvoje zdravotnických informačních technologií. ONC má také za úkol zabezpečit elektronické informace o zdravotním stavu a stanovit postupy pro elektronické zdravotní záznamy (EHR) na podporu ochrany soukromí.
Takže ačkoli se HITECH a HIPAA vzájemně doplňují, nejsou si podobné. HITECH se zaměřuje na informační technologie a také na uchovávání elektronických informací, zatímco HIPAA se zabývá ochranou soukromí a také rozšířením nad rámec informačních systémů.
Jak se HITECH a HIPAA liší
Ačkoli mají HITECH a HIPAA mnoho podobností, oba předpisy se také liší v různých podstatných detailech. HITECH měl za cíl rozšířit HIPAA. I přesto se druhý jmenovaný předpis nadále zaměřuje na řešení otázek ochrany soukromí a oznamování narušení bezpečnosti s cílem chránit před krádežemi identity a podvody. Na druhou stranu se HITECH od HIPAA liší tím, že zavedl restrukturalizované trestní a občanskoprávní sankce za dodržování předpisů. Kromě toho HITECH rozšířil požadavek na oznamování porušení předpisů HIPAA mimo organizace, na které se vztahuje, také na obchodní partnery.
Z hlediska IT by se manažeři shody měli zaměřit na význam robustního šifrování. V případě, že dojde k narušení informací ePHI záškodníky, účinné šifrování zmírní porušení pravidel. Pokud tedy šifrování způsobí, že informace nebudou čitelné, organizace nebude pokutována. Nicméně prokázání účinného šifrování znamená dodržení federálního standardu NIST pro informační procesy. Proto lze soulad s předpisy v oblasti zdravotní péče realizovat pouze tehdy, pokud plně porozumíte IT infrastruktuře své organizace.
Jak dodržování předpisů HITECH v oblasti Medicaid a Medicare ovlivňuje obchodní partnery HIPAA
Soulad s předpisy v oblasti zdravotní péče můžete pochopit až poté, co porozumíte překryvům, které existují mezi obchodními partnery, a také jejich informacím a tomu, jak to ovlivňuje celý dodavatelský řetězec. Obchodní partneři jsou jednotlivci nebo organizace, které poskytují služby zahrnutým subjektům nebo vykonávají činnosti či funkce jménem těchto subjektů.
Typicky definice obchodních partnerů podle pravidla Omnibus zahrnuje společnosti pro správu zdravotní péče, organizace pro platby zdravotní péče a plány zdravotní péče zastřešené předpisy HITECH a HIPAA. Nicméně pro ty, kteří spolupracují se službou Medicaid, mohou být pod požadavky na dodržování předpisů zahrnuty další služby.
Například HIPAA a HITECH považují službu Medicaid Non-Emergency Medical Transportation (NEMT) za obchodního partnera, který spadá pod pravidlo Omnibus. Proto i přesto, že se jedná o síť zprostředkovatelů přepravy, shromážděné informace nadále podléhají nezbytným předpisům v oblasti zdravotní péče.
Organizace by měly určit své umístění v rámci dodavatelského řetězce, protože tím minimalizují porušení předpisů HITRUST a HIPAA. Kromě toho by se organizace měla rozhodnout, zda chce převzít rizika dodržování předpisů, pokud se rozhodne pro rozšíření.
Co by měly vědět správní rady?
Organizace, které se chtějí přesunout do odvětví zdravotní péče, by měly zajistit, aby si jejich správní rady uvědomovaly důsledky dodržování předpisů. Zajištění potřebné úrovně dohledu představenstva vyžaduje důkladný přehled o prostředí zdravotní péče i o prostředí organizace v oblasti dodržování předpisů. Navíc pokud se organizace rozhodne zahrnout své dodavatele nebo poskytovatele zdravotní péče do svého podnikového uspořádání, mělo by si představenstvo uvědomit, jak tyto strany zapadají do dodavatelského řetězce.
Podle regulačních požadavků HIPAA může riziko dodavatele vytvářet podnikové riziko. Proto bez ohledu na to, zda se vaše organizace nachází v dolní části, v dodavatelském řetězci, u kormidla nebo uprostřed, jakákoli interakce, kterou provede se subjekty podléhajícími regulaci HIPAA, znamená, že musí splňovat všechny nezbytné regulační požadavky.
O porušeních předpisů HITECH a HIPAA byste měli uvažovat jako o dominu rozestavěném v řadě za sebou. V případě, že spadne jedna domina, automaticky spadnou i ostatní. Význam řízení dodavatelů by proto mohl vzrůst, zejména pokud se rozhodnete dále expandovat do zdravotnictví.
Organizace ve zdravotnictví by se neměly zaměřovat pouze na dodržování předpisů HIPAA. Začlenění shody s HITECH vám pomůže chránit informace, které jsou ve vašem soukromí. Tím, že budete dodržovat předpisy, se také vyhnete sankcím v případě, že dojde k jejich porušení. Je tedy nezbytné pochopit, jak se předpisy HIPAA a HITECH vzájemně doplňují.
Práce ve zdravotnictví
.