Autor: Jordan MacAvoy, wiceprezes ds. marketingu, Reciprocity Labs.
Istnieje kilka wymogów zgodności z przepisami, których organizacje opieki zdrowotnej muszą przestrzegać. Mimo to, to właśnie Health Insurance Portability and Accountability Act (HIPAA) zyskuje największe uznanie. Jeśli Twoja organizacja jest zaangażowana w przemysł opieki zdrowotnej, powinieneś upewnić się, że jest ona zgodna z ustawą Health Information Technology for Economic and Clinical Health Act (HITECH), jak również.
Te dwa wymagania zgodności są w pewien sposób powiązane. Jednakże, HITECH ma na celu wzmocnienie technologii informacyjnej w służbie zdrowia przy jednoczesnej ochronie bezpieczeństwa i prywatności ePHI. HITECH znacząco zmodyfikował HIPAA i ustawę o ubezpieczeniach społecznych. Dlatego może być trudno zrozumieć, w jaki sposób te ramy zgodności regulacyjnej uzupełniają się wzajemnie.
Jak HITECH i HIPAA są podobne
Zgodność z HITECH i HIPAA jest nadzorowana przez Departament Zdrowia i Usług Społecznych (HHS). Zazwyczaj organizacje opieki zdrowotnej mają tendencję do skupiania się na zgodności z HIPAA, ponieważ jest to podstawa Reguły Prywatności, która określa krajowe standardy dotyczące ochrony PHI i dokumentacji medycznej. Reguła Prywatności została przyjęta w 2000 roku. Od tego czasu, HHS dokonał tylko jednej modyfikacji. To było w 2002 roku, kiedy zasada prywatności został zmodyfikowany, aby stać się jednym z początkowych prywatności i bezpieczeństwa informacji regulacje.
Biuro Krajowego Koordynatora Technologii Informacyjnych Ochrony Zdrowia (ONC) jest upoważniony do promowania jakości opieki zdrowotnej poprzez rozwój technologii informatycznych. ONC ma również za zadanie zabezpieczanie ePHI i ustanawianie procedur dla elektronicznych rejestrów zdrowia (EHR) w celu promowania prywatności.
W związku z tym, podczas gdy HITECH i HIPAA uzupełniają się wzajemnie, są one niepodobne. HITECH koncentruje się na technologii informacyjnej, jak również na zachowaniu informacji elektronicznej, podczas gdy HIPAA mieszka na ochronie prywatności, jak również rozszerzenie poza systemy informacyjne.
Jak HITECH i HIPAA różnią się
Ale HITECH i HIPAA mają wiele podobieństw, dwa przepisy różnią się również na różnych istotnych szczegółów. HITECH miał na celu rozszerzenie HIPAA. Mimo to, ta ostatnia nadal koncentruje się na kwestiach prywatności i powiadamiania o naruszeniach, aby chronić przed kradzieżą tożsamości i oszustwami. Z drugiej strony, HITECH różni się od HIPAA, ponieważ ustanowił zrestrukturyzowane kary karne i cywilne za zgodność. Ponadto, HITECH rozszerzył wymóg HIPAA dotyczący powiadamiania o naruszeniach poza organizacje objęte HIPAA, obejmując również partnerów biznesowych.
Z perspektywy IT, menedżerowie ds. zgodności powinni skupić się na znaczeniu solidnego szyfrowania. W przypadku, gdy złośliwi aktorzy naruszą ePHI, skuteczne szyfrowanie złagodzi naruszenia zasad. Dlatego też, jeśli szyfrowanie uniemożliwi odczytanie informacji, organizacja nie zostanie ukarana. Niemniej jednak, udowodnienie skutecznego szyfrowania oznacza zgodność z normą NIST Federal Information Process Standard. Dlatego zgodność z przepisami dotyczącymi opieki zdrowotnej można osiągnąć tylko wtedy, gdy w pełni rozumie się infrastrukturę informatyczną organizacji.
Jak zgodność HITECH z Medicaid i Medicare wpływa na partnerów biznesowych HIPAA
Zgodność z przepisami dotyczącymi opieki zdrowotnej można zrozumieć tylko po zrozumieniu nakładania się przepisów, które istnieją między partnerami biznesowymi, a także ich informacji i tego, jak wpływa to na cały łańcuch dostaw. Współpracownicy biznesowi to osoby lub organizacje, które świadczą usługi podmiotom objętym ochroną lub wykonują działania lub funkcje w imieniu tych podmiotów.
Typowo, definicja współpracowników Omnibus Rule obejmuje firmy zarządzające opieką zdrowotną, organizacje płatnicze opieki zdrowotnej i plany opieki zdrowotnej pod parasolem HITECH i HIPAA. Niemniej jednak, dla tych, którzy pracują z Medicaid, dodatkowe usługi mogą zostać włączone w ramach wymogów zgodności.
Na przykład, HIPAA i HITECH uznają Medicaid’s Non-Emergency Medical Transportation (NEMT) jest partnerem biznesowym, który wchodzi w zakres Omnibus Rule. Dlatego też, pomimo tego, że jest to sieć brokerów transportowych, zebrane informacje nadal podlegają niezbędnym regulacjom dotyczącym opieki zdrowotnej.
Organizacje powinny określić swoją lokalizację w łańcuchu dostaw, ponieważ zminimalizuje to naruszenia HITRUST i HIPAA. Poza tym, organizacja powinna zdecydować, czy chce podjąć ryzyko zgodności, jeśli zdecyduje się na skalowanie.
Co powinien wiedzieć zarząd?
Organizacje, które chcą przejść do sektora opieki zdrowotnej powinny upewnić się, że ich zarządy rozpoznają implikacje zgodności. Zapewnienie wymaganego poziomu nadzoru zarządu wymaga dogłębnej znajomości krajobrazu opieki zdrowotnej, a także środowiska zgodności organizacji. Ponadto, jeśli organizacja zdecyduje się włączyć swoich dostawców lub dostawców opieki zdrowotnej jako część swojej struktury korporacyjnej, zarząd powinien być świadomy, w jaki sposób te strony pasują do łańcucha dostaw.
Według wymogów regulacyjnych HIPAA, ryzyko dostawcy może stworzyć ryzyko korporacyjne. Dlatego też, niezależnie od tego, czy Twoja organizacja siedzi na dole, w łańcuchu dostaw, u steru lub w środku, każda interakcja, którą podejmuje z podmiotami regulowanymi przez HIPAA oznacza, że musi spełniać wszystkie niezbędne wymagania regulacyjne.
Należy myśleć o naruszeniach HITECH i HIPAA jako o kostkach domina ustawionych w rzędzie. W przypadku upadku jednego domina, inne automatycznie upadną. Dlatego znaczenie zarządzania dostawcami może wzrosnąć, zwłaszcza jeśli zdecydujesz się na dalszą ekspansję w branży opieki zdrowotnej.
Organizacje w branży opieki zdrowotnej powinny nie tylko skupiać się na zgodności z HIPAA. Włączenie zgodności HITECH pomoże Ci chronić informacje, które są w Twojej prywatności. Pozostając w zgodzie z przepisami, można również uniknąć kar w przypadku wystąpienia naruszenia. Tak więc, kluczowe jest, aby zrozumieć, jak HIPAA i HITECH uzupełniają się nawzajem.
Praca w opiece zdrowotnej
.