De Jordan MacAvoy, vicepreședinte de marketing, Reciprocity Labs.
Există mai multe cerințe de conformitate de reglementare pe care organizațiile din domeniul sănătății trebuie să le respecte. Chiar și așa, legea HIPAA (Health Insurance Portability and Accountability Act) este cea care primește cea mai mare recunoaștere. Dacă organizația dvs. este implicată în industria sănătății, trebuie să vă asigurați că respectă și Legea privind tehnologia informației medicale pentru sănătatea economică și clinică (HITECH).
Aceste două cerințe de conformitate sunt cumva legate între ele. Cu toate acestea, HITECH este menit să îmbunătățească tehnologia informației în industria asistenței medicale, protejând în același timp preocupările legate de securitate și confidențialitate în ceea ce privește ePHI. HITECH a modificat semnificativ HIPAA și Social Security Act. Prin urmare, poate fi dificil să se înțeleagă modul în care aceste cadre de conformitate de reglementare se completează reciproc.
Cum se aseamănă HITECH și HIPAA
Conformitatea HITECH și HIPAA este supravegheată de către Departamentul de Sănătate și Servicii Umane (HHS). În mod obișnuit, organizațiile din domeniul sănătății tind să se concentreze pe conformitatea cu HIPAA, deoarece este coloana vertebrală a regulii de confidențialitate care stabilește standardele naționale privind protecția PHI și a dosarelor medicale. Regula privind confidențialitatea a fost adoptată în anul 2000. De atunci, HHS a făcut doar o singură modificare. Aceasta a fost în 2002, când Regula privind confidențialitatea a fost modificată pentru a deveni unul dintre regulamentele inițiale privind confidențialitatea și securitatea informațiilor.
Oficiul Coordonatorului Național pentru Tehnologia Informațiilor din Sănătate (ONC) este mandatat să promoveze calitatea asistenței medicale prin avansarea IT în domeniul sănătății. ONC este, de asemenea, însărcinat cu rolul de a securiza ePHI și de a stabili proceduri pentru dosarele electronice de sănătate (EHR) în vederea promovării confidențialității.
Prin urmare, deși HITECH și HIPAA se completează reciproc, acestea sunt diferite. HITECH se concentrează pe tehnologia informației, precum și pe conservarea informațiilor electronice, în timp ce HIPAA se oprește la protejarea confidențialității, precum și la extinderea dincolo de sistemele de informații.
Cum diferă HITECH și HIPAA
Deși HITECH și HIPAA au multe asemănări, cele două reglementări diferă, de asemenea, în diverse detalii vitale. HITECH a fost menit să extindă HIPAA. Chiar și așa, acesta din urmă rămâne axat pe abordarea problemelor legate de confidențialitate și de notificarea încălcărilor pentru a proteja împotriva furtului de identitate și a fraudei. Pe de altă parte, HITECH diferă de HIPAA pentru că a stabilit sancțiuni de conformare penală și civilă restructurate. În plus, HITECH a extins cerința HIPAA de notificare a încălcărilor dincolo de organizațiile acoperite pentru a include și asociații de afaceri.
Din punct de vedere IT, managerii de conformitate ar trebui să se concentreze asupra importanței unei criptări robuste. În cazul în care actorii rău intenționați încalcă ePHI, o criptare eficientă va atenua încălcările regulilor. Prin urmare, dacă criptarea face informațiile ilizibile, organizația nu va fi amendată. Cu toate acestea, dovedirea unei criptări eficiente înseamnă respectarea NIST Federal Information Process Standard. Prin urmare, conformitatea cu reglementările din domeniul sănătății poate fi realizată numai dacă înțelegeți pe deplin infrastructura IT a organizației dumneavoastră.
Cum afectează conformitatea cu Medicaid și Medicare din HITECH asociații de afaceri HIPAA
Puteți înțelege conformitatea cu reglementările din domeniul sănătății numai după ce înțelegeți suprapunerile care există între asociații de afaceri, precum și informațiile acestora și modul în care acest lucru afectează întregul lanț de aprovizionare. Asociații de afaceri sunt persoane sau organizații care furnizează servicii entităților acoperite sau care efectuează activități sau funcții în numele entităților.
În mod obișnuit, definiția asociaților de afaceri din Regula Omnibus include companiile de gestionare a asistenței medicale, organizațiile de plată a asistenței medicale și planurile de asistență medicală sub umbrela HITECH și HIPAA. Cu toate acestea, pentru cei care lucrează cu Medicaid, servicii suplimentare pot fi încorporate în cadrul cerințelor de conformitate.
De exemplu, HIPAA și HITECH privesc transportul medical de non-urgență (NEMT) al Medicaid este un asociat de afaceri care intră sub incidența Regulii Omnibus. Prin urmare, în ciuda faptului că este o rețea de brokeri de transport, informațiile colectate rămân supuse reglementărilor necesare în domeniul sănătății.
Organizațiile ar trebui să își determine locația în cadrul lanțului de aprovizionare, deoarece acest lucru va minimiza încălcările HITRUST și HIPAA. În plus, o organizație ar trebui să decidă dacă dorește sau nu să își asume riscurile de conformitate în cazul în care alege să se extindă.
Ce ar trebui să știe consiliile de administrație?
Organizațiile care doresc să treacă în sectorul sănătății ar trebui să se asigure că consiliile lor de administrație recunosc implicațiile legate de conformitate. Asigurarea nivelului necesar de supraveghere a consiliului de administrație necesită o vizibilitate în profunzime a peisajului asistenței medicale, precum și a mediului de conformitate al unei organizații. Mai mult, în cazul în care o organizație decide să își includă vânzătorii sau furnizorii de servicii medicale ca parte a structurii corporative, consiliul de administrație ar trebui să fie conștient de modul în care aceste părți se încadrează în lanțul de aprovizionare.
În conformitate cu cerințele de reglementare HIPAA, riscul furnizorului poate crea un risc corporativ. Prin urmare, indiferent dacă organizația dvs. se află în partea de jos, a lanțului de aprovizionare, la cârmă sau la mijloc, orice interacțiune pe care o face cu entitățile reglementate de HIPAA înseamnă că trebuie să respecte toate cerințele de reglementare necesare.
Ar trebui să vă gândiți la încălcările HITECH și HIPAA ca la niște piese de domino așezate la rând. În cazul în care un domino cade, celelalte vor cădea automat. Prin urmare, importanța gestionării furnizorilor ar putea crește, mai ales dacă decideți să vă extindeți și mai mult în industria medicală.
Organizațiile din industria medicală nu ar trebui să se concentreze doar pe conformitatea HIPAA. Încorporarea conformității cu HITECH vă ajută să protejați informațiile care se află în intimitatea dumneavoastră. Rămânând în conformitate, veți evita, de asemenea, sancțiunile în cazul în care are loc o încălcare. Astfel, este crucial să înțelegeți modul în care HIPAA și HITECH se completează reciproc.
Muncă în domeniul sănătății
.