Von Jordan MacAvoy, Vice President of Marketing, Reciprocity Labs.
Es gibt mehrere Vorschriften, die Organisationen des Gesundheitswesens befolgen müssen. Dennoch ist es der Health Insurance Portability and Accountability Act (HIPAA), der die meiste Anerkennung findet. Wenn Ihr Unternehmen in der Gesundheitsbranche tätig ist, sollten Sie sicherstellen, dass es auch den Health Information Technology for Economic and Clinical Health Act (HITECH) einhält.
Diese beiden Compliance-Anforderungen sind in gewisser Weise miteinander verbunden. HITECH zielt jedoch darauf ab, die Informationstechnologie im Gesundheitswesen zu verbessern und gleichzeitig die Sicherheit und den Datenschutz in Bezug auf ePHI zu schützen. HITECH hat den HIPAA und das Sozialversicherungsgesetz erheblich verändert. Daher kann es schwierig sein zu verstehen, wie sich diese beiden Regelwerke gegenseitig ergänzen.
Wie sich HITECH und HIPAA ähneln
Die Einhaltung von HITECH und HIPAA wird vom Health and Human Services Department (HHS) überwacht. In der Regel konzentrieren sich Organisationen des Gesundheitswesens auf die Einhaltung des HIPAA, da er das Rückgrat der Privacy Rule bildet, die nationale Standards für den Schutz von Patienteninformationen und Krankenakten festlegt. Die Privacy Rule wurde im Jahr 2000 verabschiedet. Seitdem hat das HHS nur eine einzige Änderung vorgenommen. Das war im Jahr 2002, als die Privacy Rule zu einer der ersten Datenschutz- und Sicherheitsvorschriften wurde.
Das Office of the National Coordinator for Health Information Technology (ONC) hat den Auftrag, die Qualität der Gesundheitsversorgung durch die Förderung der Gesundheits-IT zu fördern. ONC hat auch die Aufgabe, ePHI zu sichern und Verfahren für elektronische Gesundheitsdatensätze (EHR) festzulegen, um den Datenschutz zu fördern.
Daher ergänzen sich HITECH und HIPAA zwar, sind sich aber nicht ähnlich. HITECH konzentriert sich auf die Informationstechnologie und die Aufbewahrung elektronischer Daten, während HIPAA sich auf den Schutz der Privatsphäre konzentriert und über die Informationssysteme hinausgeht.
Wie sich HITECH und HIPAA unterscheiden
Obwohl HITECH und HIPAA viele Gemeinsamkeiten aufweisen, unterscheiden sich die beiden Verordnungen auch in einigen wichtigen Details. Mit HITECH sollte HIPAA erweitert werden. Dennoch konzentriert sich letzterer nach wie vor auf Fragen des Datenschutzes und der Meldung von Datenschutzverletzungen zum Schutz vor Identitätsdiebstahl und Betrug. Andererseits unterscheidet sich HITECH von HIPAA, weil es neu strukturierte straf- und zivilrechtliche Sanktionen für die Einhaltung der Vorschriften vorsieht. Darüber hinaus hat HITECH die Meldepflicht für Datenschutzverletzungen des HIPAA über die betroffenen Organisationen hinaus auf Geschäftspartner ausgedehnt.
Aus IT-Sicht sollten sich Compliance-Manager auf die Bedeutung einer robusten Verschlüsselung konzentrieren. Falls böswillige Akteure in die ePHI eindringen, wird eine wirksame Verschlüsselung die Regelverstöße abschwächen. Wenn also die Verschlüsselung die Informationen unlesbar macht, wird die Organisation nicht mit einer Geldstrafe belegt. Der Nachweis einer wirksamen Verschlüsselung bedeutet jedoch, dass der NIST Federal Information Process Standard eingehalten wird. Daher kann die Einhaltung von Vorschriften im Gesundheitswesen nur dann verwirklicht werden, wenn Sie die IT-Infrastruktur Ihrer Organisation vollständig verstehen.
Wie sich die Einhaltung der HITECH-Vorschriften für Medicaid und Medicare auf HIPAA-Geschäftspartner auswirkt
Sie können die Einhaltung von Vorschriften im Gesundheitswesen nur verstehen, wenn Sie die Überschneidungen verstehen, die zwischen Geschäftspartnern bestehen, sowie deren Informationen und wie sich dies auf die gesamte Lieferkette auswirkt. Geschäftspartner sind Einzelpersonen oder Organisationen, die Dienstleistungen für die betroffenen Einrichtungen erbringen oder Tätigkeiten oder Funktionen im Namen der Einrichtungen ausführen.
Typischerweise umfasst die Definition von Geschäftspartnern in der Omnibus-Regel Managementunternehmen im Gesundheitswesen, Zahlungsorganisationen im Gesundheitswesen und Gesundheitsfürsorgepläne unter dem Dach von HITECH und HIPAA. Für diejenigen, die mit Medicaid zusammenarbeiten, können jedoch zusätzliche Dienstleistungen in die Compliance-Anforderungen einbezogen werden.
So betrachten HIPAA und HITECH beispielsweise Medicaid’s Non-Emergency Medical Transportation (NEMT) als Geschäftspartner, der unter die Omnibus Rule fällt. Obwohl es sich um ein Netzwerk von Transportmaklern handelt, unterliegen die gesammelten Informationen daher weiterhin den erforderlichen Vorschriften für das Gesundheitswesen.
Organisationen sollten ihren Standort innerhalb der Lieferkette bestimmen, da dies Verstöße gegen HITRUST und HIPAA minimiert. Außerdem sollte ein Unternehmen entscheiden, ob es die Compliance-Risiken übernehmen will, wenn es sich für eine Ausweitung entscheidet.
Was sollten Vorstände wissen?
Organisationen, die in den Gesundheitssektor wechseln wollen, sollten sicherstellen, dass ihre Vorstände die Compliance-Implikationen erkennen. Um das erforderliche Maß an Aufsicht durch den Vorstand zu gewährleisten, ist ein umfassender Einblick in das Gesundheitswesen und in die Compliance-Umgebung einer Organisation erforderlich. Wenn ein Unternehmen beschließt, seine Lieferanten oder Gesundheitsdienstleister in die Unternehmensstruktur einzubeziehen, sollte der Vorstand außerdem wissen, wie diese Parteien in die Lieferkette eingebunden sind.
Gemäß den HIPAA-Vorschriften kann das Lieferantenrisiko ein Unternehmensrisiko darstellen. Unabhängig davon, ob Ihr Unternehmen am unteren Ende der Lieferkette, an der Spitze oder in der Mitte sitzt, bedeutet jede Interaktion mit HIPAA-regulierten Unternehmen, dass es alle erforderlichen gesetzlichen Anforderungen erfüllen muss.
Sie sollten sich HITECH- und HIPAA-Verstöße wie Dominosteine vorstellen, die in einer Reihe aufgestellt sind. Fällt ein Dominostein um, fallen automatisch auch die anderen. Daher könnte die Bedeutung des Lieferantenmanagements zunehmen, insbesondere wenn Sie sich entschließen, weiter in die Gesundheitsbranche zu expandieren.
Organisationen in der Gesundheitsbranche sollten sich nicht nur auf die Einhaltung des HIPAA konzentrieren. Die Einbeziehung der HITECH-Konformität hilft Ihnen, Informationen zu schützen, die in Ihrer Privatsphäre liegen. Indem Sie die Vorschriften einhalten, vermeiden Sie auch Strafen, falls es zu einem Verstoß kommt. Daher ist es wichtig zu verstehen, wie sich HIPAA und HITECH gegenseitig ergänzen.
Jobs im Gesundheitswesen