Kirjoittanut Jordan MacAvoy, Reciprocity Labsin markkinoinnin varajohtaja.

Jordan MacAvoy

Huolto-organisaatioiden on noudatettava useita lainsäädännön noudattamista koskevia vaatimuksia. Silti eniten tunnustusta saa Health Insurance Portability and Accountability Act (HIPAA). Jos organisaatiosi on mukana terveydenhuoltoalalla, sinun on varmistettava, että se noudattaa myös HITECH-lakia (Health Information Technology for Economic and Clinical Health Act).

Nämä kaksi vaatimustenmukaisuusvaatimusta liittyvät jotenkin toisiinsa. HITECHin tarkoituksena on kuitenkin parantaa tietotekniikkaa terveydenhuoltoalalla ja samalla suojella ePHI:n turvallisuuteen ja yksityisyyteen liittyviä huolenaiheita. HITECH muutti merkittävästi HIPAA:ta ja sosiaaliturvalakia. Siksi voi olla vaikea ymmärtää, miten nämä vaatimustenmukaisuuden sääntelykehykset täydentävät toisiaan.

Miten HITECH ja HIPAA ovat samankaltaisia

HITECHin ja HIPAA:n vaatimustenmukaisuutta valvoo Health and Human Services Department (HHS). Tyypillisesti terveydenhuollon organisaatiot keskittyvät yleensä HIPAA-vaatimustenmukaisuuteen, koska se on yksityisyyden suojaa koskevan säännön selkäranka, jossa asetetaan PHI-tietoja ja potilastietojen suojaa koskevat kansalliset standardit. Privacy Rule hyväksyttiin vuonna 2000. Sen jälkeen HHS on tehnyt vain yhden muutoksen. Tämä tapahtui vuonna 2002, jolloin Privacy Rule -sääntöä muutettiin siten, että siitä tuli yksi ensimmäisistä tietosuojaa ja tietoturvaa koskevista säännöksistä.

Terveystietotekniikan kansallisen koordinaattorin toimiston (Office of the National Coordinator for Health Information Technology, ONC) tehtävänä on edistää terveydenhuollon laatua terveydenhuollon tietotekniikkaa kehittämällä. ONC:n tehtävänä on myös turvata sähköiset terveystiedot ja luoda menettelyjä sähköisiä terveyskertomuksia (EHR) varten yksityisyyden suojan edistämiseksi.

Näin ollen HITECH ja HIPAA täydentävät toisiaan, mutta ne ovat erilaisia. HITECH keskittyy tietotekniikkaan sekä sähköisten tietojen säilyttämiseen, kun taas HIPAA:ssa keskitytään yksityisyyden suojaamiseen sekä laajenemiseen tietojärjestelmiä pidemmälle.

Miten HITECH ja HIPAA eroavat toisistaan

Vaikka HITECH:llä ja HIPAA:lla on monia yhtäläisyyksiä, nämä kaksi asetusta eroavat toisistaan myös useiden elintärkeiden yksityiskohtien osalta. HITECHin tarkoituksena oli laajentaa HIPAAa. Jälkimmäisessä keskitytään kuitenkin edelleen yksityisyyden suojaan ja tietoturvaloukkauksista ilmoittamiseen identiteettivarkauksilta ja petoksilta suojautumiseksi. Toisaalta HITECH eroaa HIPAA:sta siinä, että siinä säädetään rikos- ja siviilioikeudellisista seuraamuksista. Lisäksi HITECH laajensi HIPAA:n tietoturvaloukkauksista ilmoittamista koskevan vaatimuksen koskemaan myös liikekumppaneita.

Tietotekniikan näkökulmasta vaatimustenmukaisuudesta vastaavien johtajien pitäisi keskittyä vankan salauksen merkitykseen. Jos pahantahtoiset toimijat murtautuvat ePHI-tietoihin, tehokas salaus lieventää sääntörikkomuksia. Jos salaus siis tekee tiedoista lukukelvottomia, organisaatiota ei sakoteta. Tehokkaan salauksen osoittaminen tarkoittaa kuitenkin NIST Federal Information Process Standardin noudattamista. Siksi terveydenhuollon sääntelyn noudattaminen voidaan toteuttaa vain, jos ymmärrät täysin organisaatiosi IT-infrastruktuurin.

Miten HITECHin Medicaid- ja Medicare-vaatimustenmukaisuus vaikuttaa HIPAA-liiketoimintayhteistyökumppaneihin

Voit ymmärtää terveydenhuollon sääntelyn noudattamista vasta, kun ymmärrät liikekumppaneiden väliset päällekkäisyydet sekä heidän tietonsa ja sen, miten tämä vaikuttaa koko toimitusketjuun. Liikekumppanit ovat henkilöitä tai organisaatioita, jotka tarjoavat palveluja katetuille yksiköille tai suorittavat toimintoja tai toimintoja yksiköiden puolesta.

Tyypillisesti Omnibus-säännön määritelmä liikekumppaneista sisältää terveydenhuollon hallintoyhtiöt, terveydenhuollon maksuorganisaatiot ja terveydenhuoltosuunnitelmat HITECHin ja HIPAA:n sateenvarjon alla. Kuitenkin Medicaidin kanssa työskentelevien osalta lisäpalvelut voidaan sisällyttää vaatimustenmukaisuusvaatimusten piiriin.

HIPAA:n ja HITECH:n mukaan esimerkiksi Medicaidin kiireetön sairaankuljetus (Non-Emergency Medical Transportation, NEMT) on liiketoimintayhteistyökumppani, joka kuuluu Omnibus-säännön soveltamisalaan. Näin ollen huolimatta siitä, että kyseessä on kuljetusten välittäjäverkosto, kerättyihin tietoihin sovelletaan edelleen tarvittavia terveydenhuoltosäännöksiä.

Organisaatioiden olisi määriteltävä sijaintinsa toimitusketjussa, koska tämä minimoi HITRUST- ja HIPAA-rikkomukset. Lisäksi organisaation tulisi päättää, haluaako se ottaa vastatakseen vaatimustenmukaisuuteen liittyvistä riskeistä, jos se päättää skaalautua.

Mitä hallintoneuvostojen tulisi tietää?

Organisaatioiden, jotka aikovat siirtyä terveydenhuoltosektorille, tulisi varmistaa, että niiden hallintoneuvostot tiedostavat vaatimustenmukaisuuteen liittyvät vaikutukset. Tarvittavan tasoinen hallituksen valvonta edellyttää syvällistä näkyvyyttä terveydenhuoltomaailmaan sekä organisaation vaatimustenmukaisuusympäristöön. Lisäksi, jos organisaatio päättää sisällyttää myyjänsä tai terveydenhuollon tarjoajat osaksi yrityskokonaisuuttaan, hallituksen olisi oltava tietoinen siitä, miten nämä osapuolet sopivat toimitusketjuun.

HIPAA-sääntelyvaatimusten mukaan toimittajariski voi aiheuttaa yritysriskin. Näin ollen riippumatta siitä, sijaitseeko organisaatiosi toimitusketjun pohjalla, ruorissa vai keskellä, kaikki vuorovaikutus, jota se harjoittaa HIPAA-säänneltyjen tahojen kanssa, tarkoittaa sitä, että sen on noudatettava kaikkia tarvittavia sääntelyvaatimuksia.

Sinun tulisi ajatella HITECH- ja HIPAA-rikkomuksia peräkkäin asetettuina dominopaloina. Jos yksi domino putoaa, muut putoavat automaattisesti. Siksi toimittajahallinnan merkitys voi kasvaa, varsinkin jos päätät laajentaa edelleen terveydenhuoltoalalle.

Huoltoalalla toimivien organisaatioiden ei pitäisi keskittyä vain HIPAA-vaatimustenmukaisuuteen. HITECH-vaatimustenmukaisuuden sisällyttäminen auttaa sinua suojaamaan yksityisyydessäsi olevia tietoja. Pysymällä vaatimustenmukaisena vältät myös rangaistukset, jos tietoturvaloukkaus tapahtuu. Näin ollen on ratkaisevan tärkeää ymmärtää, miten HIPAA ja HITECH täydentävät toisiaan.

Työpaikat terveydenhuollossa

Vastaa

Sähköpostiosoitettasi ei julkaista.