Av Jordan MacAvoy, vice vd för marknadsföring, Reciprocity Labs.
Det finns flera krav på regelefterlevnad som hälso- och sjukvårdsorganisationer måste följa. Trots detta är det Health Insurance Portability and Accountability Act (HIPAA) som får mest erkännande. Om din organisation är involverad i hälso- och sjukvårdsbranschen bör du se till att den också följer Health Information Technology for Economic and Clinical Health Act (HITECH).
Dessa två efterlevnadskrav är på något sätt sammankopplade. HITECH är dock tänkt att förbättra informationstekniken inom hälso- och sjukvårdsbranschen och samtidigt skydda säkerhets- och integritetsfrågorna när det gäller ePHI. HITECH ändrade HIPAA och Social Security Act avsevärt. Därför kan det vara svårt att förstå hur dessa regelverk för regelefterlevnad kompletterar varandra.
Hur HITECH och HIPAA liknar varandra
HITECH- och HIPAA-efterlevnad övervakas av Health and Human Services Department (HHS). Vanligtvis tenderar sjukvårdsorganisationer att fokusera på HIPAA-överensstämmelse eftersom det är ryggraden i Privacy Rule som fastställer nationella standarder för skydd av PHI och medicinska journaler. Privacy Rule antogs år 2000. Sedan dess har HHS endast gjort en ändring. Det var 2002 då Privacy Rule ändrades för att bli en av de första bestämmelserna om sekretess och säkerhet för information.
Office of the National Coordinator for Health Information Technology (ONC) har i uppdrag att främja hälso- och sjukvårdens kvalitet genom att främja IT för hälso- och sjukvård. ONC har också till uppgift att säkra ePHI och fastställa förfaranden för elektroniska patientjournaler (EHR) för att främja integritetsskyddet.
Därmed kompletterar HITECH och HIPAA varandra, men de skiljer sig åt. HITECH fokuserar på informationsteknik och bevarande av elektronisk information, medan HIPAA fokuserar på integritetsskydd och utvidgning utöver informationssystem.
Hur HITECH och HIPAA skiljer sig åt
Och även om HITECH och HIPAA har många likheter skiljer sig de två förordningarna åt i flera viktiga detaljer. HITECH var tänkt att utvidga HIPAA. Trots detta är den senare fortfarande inriktad på att ta itu med frågor om integritet och anmälan av överträdelser för att skydda mot identitetsstöld och bedrägeri. Å andra sidan skiljer sig HITECH från HIPAA genom att den införde omstrukturerade straffrättsliga och civilrättsliga påföljder för efterlevnad. Dessutom utvidgade HITECH HIPAA:s krav på anmälan av överträdelser till att omfatta även affärspartner.
Från ett IT-perspektiv bör ansvariga för efterlevnad fokusera på betydelsen av robust kryptering. Om illvilliga aktörer bryter sig in i ePHI kommer effektiv kryptering att mildra regelöverträdelser. Om krypteringen gör informationen oläsbar kommer organisationen därför inte att bötfällas. Att bevisa effektiv kryptering innebär dock att man måste följa NIST:s standard för federala informationsprocesser. Därför kan efterlevnaden av regelverket för hälso- och sjukvård endast förverkligas om du till fullo förstår din organisations IT-infrastruktur.
Hur HITECH:s efterlevnad av Medicaid och Medicare påverkar HIPAA Business Associates
Du kan endast förstå efterlevnaden av regelverket för hälso- och sjukvård efter att du har förstått de överlappningar som finns mellan business associates, liksom deras information och hur detta påverkar hela leveranskedjan. Affärspartners är personer eller organisationer som tillhandahåller tjänster till berörda enheter eller utför aktiviteter eller funktioner för enheternas räkning.
Typiskt sett innefattar Omnibus-regelns definition av affärspartners företag som förvaltar hälso- och sjukvård, betalningsorganisationer för hälso- och sjukvård och hälso- och sjukvårdsplaner under HITECH- och HIPAA-paraplyet. För dem som arbetar med Medicaid kan dock ytterligare tjänster införlivas i kraven på efterlevnad.
Till exempel är HIPAA och HITECH avseende Medicaids Non-Emergency Medical Transportation (NEMT) en affärspartner som omfattas av Omnibus Rule. Trots att det är ett nätverk av transportmäklare är den insamlade informationen därför fortfarande föremål för de nödvändiga hälso- och sjukvårdsbestämmelserna.
Organisationer bör bestämma sin plats i försörjningskedjan eftersom detta kommer att minimera HITRUST- och HIPAA-överträdelser. Dessutom bör en organisation bestämma sig för om den vill ta på sig riskerna för efterlevnad om den väljer att skala.
Vad bör styrelsen veta?
Organisationer som vill gå över till hälso- och sjukvårdssektorn bör se till att deras styrelser känner till konsekvenserna för efterlevnaden. För att tillhandahålla den nödvändiga nivån av styrelseövervakning krävs djupgående insyn i hälso- och sjukvårdslandskapet och i organisationens miljö för efterlevnad. Om en organisation beslutar sig för att inkludera sina leverantörer eller vårdgivare som en del av sitt företagsupplägg bör styrelsen dessutom vara medveten om hur dessa parter passar in i försörjningskedjan.
Enligt HIPAA:s lagstadgade krav kan leverantörsrisker skapa företagsrisker. Oavsett om din organisation sitter längst ner, i leveranskedjan, vid rodret eller i mitten, innebär därför varje interaktion med HIPAA-reglerade enheter att den måste uppfylla alla nödvändiga lagstadgade krav.
Du bör tänka på HITECH- och HIPAA-överträdelser som dominobrickor som sätts upp i en rad. Om en domino faller kommer de andra automatiskt att falla. Därför kan betydelsen av leverantörshantering öka, särskilt om du bestämmer dig för att expandera ytterligare inom sjukvårdsbranschen.
Organisationer inom sjukvårdsbranschen bör inte bara fokusera på HIPAA-överensstämmelse. Att införliva HITECH-efterlevnad hjälper dig att skydda information som hör till din integritet. Genom att hålla er i överensstämmelse undviker ni också påföljder om en överträdelse inträffar. Därför är det viktigt att förstå hur HIPAA och HITECH kompletterar varandra.
Jobb inom sjukvården