Jordan MacAvoy, a Reciprocity Labs marketing alelnöke.
Az egészségügyi szervezeteknek számos szabályozási megfelelési követelményt kell követniük. Még így is az Egészségbiztosítási hordozhatósági és elszámoltathatósági törvény (HIPAA) kapja a legnagyobb elismerést. Ha az Ön szervezete az egészségügyi ágazatban tevékenykedik, gondoskodnia kell arról, hogy megfeleljen a HITECH (Health Information Technology for Economic and Clinical Health Act) törvénynek is.
Ez a két megfelelési követelmény valamilyen módon összefügg egymással. A HITECH azonban az egészségügyi ágazatban az információtechnológia fejlesztését célozza, miközben védi az ePHI-val kapcsolatos biztonsági és adatvédelmi aggályokat. A HITECH jelentősen módosította a HIPAA-t és a társadalombiztosítási törvényt. Ezért nehéz lehet megérteni, hogy ezek a szabályozási megfelelési keretek hogyan egészítik ki egymást.
Hogyan hasonlít a HITECH és a HIPAA
A HITECH és a HIPAA megfelelését az Egészségügyi és Humán Szolgáltatási Minisztérium (HHS) felügyeli. Jellemzően az egészségügyi szervezetek általában a HIPAA-megfelelésre összpontosítanak, mivel ez az adatvédelmi szabály gerince, amely nemzeti szabványokat határoz meg a PHI és az orvosi nyilvántartások védelmére vonatkozóan. Az adatvédelmi szabályt 2000-ben fogadták el. Azóta a HHS csak egy módosítást hajtott végre. Ez 2002-ben történt, amikor az Adatvédelmi Szabályzatot úgy módosították, hogy az egyik kezdeti adatvédelmi és adatbiztonsági szabályozássá vált.
Az Egészségügyi Információs Technológia Nemzeti Koordinátorának Hivatalát (ONC) azzal bízták meg, hogy az egészségügyi informatika fejlesztésével segítse elő az egészségügyi ellátás minőségét. Az ONC feladata továbbá az ePHI védelme és az elektronikus egészségügyi nyilvántartásokra (EHR) vonatkozó eljárások kidolgozása az adatvédelem előmozdítása érdekében.
A HITECH és a HIPAA tehát, bár kiegészítik egymást, nem különböznek egymástól. A HITECH az információs technológiára, valamint az elektronikus információk megőrzésére összpontosít, míg a HIPAA a magánélet védelmére, valamint az információs rendszereken túli kiterjesztésre összpontosít.
Hogyan különbözik a HITECH és a HIPAA
Noha a HITECH és a HIPAA számos hasonlóságot mutat, a két szabályozás számos lényeges részletben is eltér egymástól. A HITECH célja a HIPAA kiterjesztése volt. Ennek ellenére az utóbbi továbbra is az adatvédelemmel és a jogsértések bejelentésével kapcsolatos kérdésekre összpontosít, hogy védelmet nyújtson a személyazonossággal való visszaélés és a csalás ellen. Másrészt a HITECH abban különbözik a HIPAA-tól, hogy átstrukturált büntetőjogi és polgári jogi szankciókat állapított meg. Továbbá a HITECH kiterjesztette a HIPAA jogsértésről szóló bejelentési kötelezettségét az érintett szervezeteken túl az üzleti partnerekre is.
A megfelelőségért felelős vezetőknek informatikai szempontból a robusztus titkosítás jelentőségére kellene összpontosítaniuk. Abban az esetben, ha rosszindulatú szereplők megsértik az ePHI-t, a hatékony titkosítás enyhíti a szabályszegéseket. Ezért, ha a titkosítás olvashatatlanná teszi az információkat, a szervezetet nem fogják megbírságolni. Mindazonáltal a hatékony titkosítás bizonyítása a NIST szövetségi információs folyamatokra vonatkozó szabványának való megfelelést jelenti. Ezért az egészségügyi szabályozási megfelelés csak akkor valósulhat meg, ha teljes mértékben megérti a szervezet informatikai infrastruktúráját.
Hogyan érinti a HITECH Medicaid és Medicare megfelelés a HIPAA üzleti partnereket
Az egészségügyi szabályozási megfelelés csak akkor érthető meg, ha megérti az üzleti partnerek között fennálló átfedéseket, valamint az információikat és azt, hogy ez hogyan befolyásolja a teljes ellátási láncot. Az üzleti partnerek olyan személyek vagy szervezetek, amelyek szolgáltatásokat nyújtanak az érintett szervezetek számára, vagy tevékenységeket vagy funkciókat végeznek a szervezetek nevében.
Az Omnibus Rule meghatározása szerint az üzleti partnerek közé tartoznak a HITECH és a HIPAA égisze alá tartozó egészségügyi menedzsment cégek, egészségügyi fizetési szervezetek és egészségügyi tervek. Mindazonáltal azok számára, akik a Medicaiddel dolgoznak, további szolgáltatások is bekerülhetnek a megfelelési követelmények alá.
A HIPAA és a HITECH például a Medicaid nem sürgősségi orvosi szállítást (NEMT) olyan üzleti társultnak tekinti, amely az Omnibus Rule hatálya alá tartozik. Ezért annak ellenére, hogy a szállításközvetítők hálózatáról van szó, az összegyűjtött információkra továbbra is vonatkoznak a szükséges egészségügyi előírások.
A szervezeteknek meg kell határozniuk az ellátási láncon belüli elhelyezkedésüket, mivel ez minimalizálja a HITRUST és a HIPAA megsértését. Emellett a szervezetnek el kell döntenie, hogy akarja-e vállalni a megfelelési kockázatokat, ha a méretnövelés mellett dönt.
Mit kell tudniuk az igazgatótanácsoknak?
Azoknak a szervezeteknek, amelyek az egészségügyi ágazatba kívánnak átlépni, biztosítaniuk kell, hogy igazgatótanácsaik felismerjék a megfelelési következményeket. A szükséges szintű igazgatótanácsi felügyelet biztosításához alapos rálátás szükséges az egészségügyi tájképre, valamint a szervezet megfelelőségi környezetére. Továbbá, ha egy szervezet úgy dönt, hogy beszállítóit vagy egészségügyi szolgáltatóit is bevonja a vállalati felépítés részeként, az igazgatótanácsnak tisztában kell lennie azzal, hogy ezek a felek hogyan illeszkednek az ellátási láncba.
A HIPAA szabályozási követelmények értelmében a beszállítói kockázat vállalati kockázatot jelenthet. Ezért akár az ellátási lánc alján, akár az ellátási láncban, akár az élén, akár a közepén helyezkedik el a szervezet, minden interakció, amelyet a HIPAA által szabályozott szervezetekkel folytat, azt jelenti, hogy meg kell felelnie az összes szükséges szabályozási követelménynek.
A HITECH és a HIPAA megsértésére úgy kell gondolnia, mint egymás után felállított dominókra. Ha az egyik dominó leesik, a többi is automatikusan leesik. Ezért a szállítói menedzsment jelentősége megnőhet, különösen, ha úgy dönt, hogy tovább terjeszkedik az egészségügyi ágazatban.
Az egészségügyi ágazatban működő szervezeteknek nem csak a HIPAA-megfelelésre kell összpontosítaniuk. A HITECH-megfelelőség beépítése segít a magánéletében lévő információk védelmében. A megfelelés fenntartásával elkerülheti a szankciókat is, ha jogsértés történik. Ezért kulcsfontosságú megérteni, hogy a HIPAA és a HITECH hogyan egészíti ki egymást.
Munkahelyek az egészségügyben