Door Jordan MacAvoy, vice-president marketing, Reciprocity Labs.
Er zijn verschillende regulatorische compliance-vereisten waaraan organisaties in de gezondheidszorg zich moeten houden. Toch is het de Health Insurance Portability and Accountability Act (HIPAA) die de meeste erkenning krijgt. Als uw organisatie betrokken is bij de gezondheidszorg, moet u ervoor zorgen dat deze ook voldoet aan de Health Information Technology for Economic and Clinical Health Act (HITECH).
Deze twee compliance-vereisten zijn op de een of andere manier met elkaar verbonden. HITECH is echter bedoeld om de informatietechnologie in de gezondheidszorg te verbeteren en tegelijkertijd de veiligheid en privacy met betrekking tot ePHI te beschermen. HITECH heeft de HIPAA en de Social Security Act aanzienlijk gewijzigd. Daarom kan het moeilijk zijn om te begrijpen hoe deze regelgevende compliance-kaders elkaar aanvullen.
Hoe HITECH en HIPAA vergelijkbaar zijn
HITECH en HIPAA compliance wordt overzien door het Health and Human Services Department (HHS). Typisch hebben organisaties in de gezondheidszorg de neiging zich te concentreren op HIPAA-naleving, omdat het de ruggengraat is van de Privacy Rule die nationale normen vaststelt met betrekking tot PHI en de bescherming van medische dossiers. De Privacy Rule werd in 2000 goedgekeurd. Sindsdien heeft de HHS slechts één wijziging aangebracht. Dat was in 2002, toen de Privacy Rule werd gewijzigd om een van de eerste regels voor de privacy en beveiliging van informatie te worden.
Het Office of the National Coordinator for Health Information Technology (ONC) is gemandateerd om de kwaliteit van de gezondheidszorg te bevorderen door het bevorderen van gezondheids-IT. ONC is ook belast met de rol van het beveiligen van ePHI en het vaststellen van procedures voor elektronische medische dossiers (EHR’s) om de privacy te bevorderen.
Daarom, hoewel HITECH en HIPAA elkaar aanvullen, zijn ze verschillend. HITECH richt zich zowel op informatietechnologie als op het behoud van elektronische informatie, terwijl HIPAA stilstaat bij de bescherming van de privacy en verder gaat dan informatiesystemen.
Hoe HITECH en HIPAA verschillen
Hoewel HITECH en HIPAA veel overeenkomsten vertonen, verschillen de twee verordeningen ook op verschillende vitale details. HITECH was bedoeld om HIPAA uit te breiden. Toch blijft de laatste gericht op het aanpakken van privacy- en inbreukmeldingskwesties om te beschermen tegen identiteitsdiefstal en fraude. Anderzijds verschilt HITECH van HIPAA omdat het strafrechtelijke en civielrechtelijke nalevingsstraffen heeft geherstructureerd. Bovendien heeft HITECH de meldingsplicht bij inbreuken op de HIPAA uitgebreid van de gedekte organisaties tot de zakenpartners.
Vanuit een IT-perspectief moeten compliance managers zich concentreren op het belang van robuuste encryptie. Indien kwaadwillenden ePHI schenden, zal effectieve encryptie overtredingen van de regels tegengaan. Als de encryptie de informatie onleesbaar maakt, zal de organisatie dus niet worden beboet. Niettemin betekent het aantonen van effectieve encryptie dat moet worden voldaan aan de NIST Federal Information Process Standard. Daarom kan naleving van de regelgeving voor de gezondheidszorg alleen worden gerealiseerd als u de IT-infrastructuur van uw organisatie volledig begrijpt.
Hoe HITECH’s Medicaid en Medicare Compliance van invloed is op HIPAA Business Associates
U kunt de naleving van de regelgeving voor de gezondheidszorg alleen begrijpen als u de overlappingen begrijpt die bestaan tussen business associates, evenals hun informatie en hoe dit de hele toeleveringsketen beïnvloedt. Business associates zijn personen of organisaties die diensten verlenen aan gedekte entiteiten of activiteiten of functies uitvoeren namens de entiteiten.
Typisch omvat de definitie van business associates van de Omnibus Rule bedrijven voor het beheer van gezondheidszorg, organisaties voor de betaling van gezondheidszorg en gezondheidszorgplannen onder de paraplu van HITECH en HIPAA. Niettemin, voor degenen die werken met Medicaid, kunnen aanvullende diensten worden opgenomen onder de nalevingsvereisten.
Bijvoorbeeld, HIPAA en HITECH beschouwen Medicaid’s Non-Emergency Medical Transportation (NEMT) als een business associate die onder de Omnibus Rule valt. Daarom blijft de verzamelde informatie, ondanks het feit dat het een netwerk van vervoersmakelaars is, onderworpen aan de nodige regelgeving op het gebied van de gezondheidszorg.
Organisaties moeten hun locatie binnen de toeleveringsketen bepalen, omdat dit HITRUST- en HIPAA-overtredingen tot een minimum zal beperken. Bovendien moet een organisatie beslissen of ze de compliancerisico’s al dan niet op zich wil nemen als ze ervoor kiest om op te schalen.
Wat moeten raden van bestuur weten?
Organisaties die op zoek zijn naar een verschuiving naar de gezondheidszorgsector, moeten ervoor zorgen dat hun raden van bestuur de implicaties van compliance onderkennen. Om het vereiste niveau van toezicht door de raad van bestuur te kunnen bieden, is een diepgaand inzicht in het gezondheidszorglandschap en de compliance-omgeving van een organisatie vereist. Als een organisatie besluit om haar leveranciers of zorgverleners op te nemen in de bedrijfsstructuur, moet de raad van bestuur weten hoe deze partijen in de toeleveringsketen passen.
Vanwege de HIPAA-regelgeving kunnen leveranciersrisico’s leiden tot bedrijfsrisico’s. Daarom, of uw organisatie nu onderaan zit, van de toeleveringsketen, aan het roer, of in het midden, elke interactie die het maakt met HIPAA-gereguleerde entiteiten betekent dat het moet voldoen aan alle noodzakelijke wettelijke vereisten.
U moet denken aan HITECH en HIPAA-schendingen als dominostenen die in een rij zijn opgesteld. Als er één domino valt, vallen de anderen automatisch. Daarom kan het belang van vendor management toenemen, vooral als u besluit om verder uit te breiden naar de gezondheidszorg.
Organisaties in de gezondheidszorg moeten zich niet alleen richten op HIPAA compliance. Het opnemen van HITECH-naleving helpt u om informatie te beschermen die in uw privacy staat. Door compliant te blijven, voorkomt u ook boetes in het geval er een inbreuk plaatsvindt. Het is dus van cruciaal belang om te begrijpen hoe HIPAA en HITECH elkaar aanvullen.
Banen in de gezondheidszorg