ВІДПОВІДНІСТЬ HIPAA: контрольний список, форми, сертифікація та все, що вам потрібно  

Однак компанії, які обробляють захищену медичну інформацію (PHI), повинні впроваджувати та дотримуватися фізичних, мережевих та процедурних заходів безпеки. Ця стаття допоможе вам зрозуміти, що означає відповідність HIPAA, контрольний список і форми для відповідності, як працює його масштабування, а також як отримати його сертифікат і спосіб передачі. 

Відповідність HIPAA

Закон про перенесення та підзвітність про медичне страхування (HIPAA) — це федеральний закон, який був прийнятий для захисту медичних записів та інформації фізичних осіб. Відповідність вимогам HIPAA — це спосіб життя медичних компаній, щоб забезпечити конфіденційність, конфіденційність і цілісність захищеної медичної інформації.

Відповідність HIPAA є золотим стандартом захисту конфіденційних даних пацієнтів. Таким чином, щоб відповідати HIPAA, фірми, які обробляють захищену медичну інформацію (PHI), повинні впроваджувати та підтримувати фізичні, мережеві та процедурні заходи безпеки. Дотримання HIPAA також вимагається від охоплених юридичних осіб (ті, які надають медичне обслуговування, оплату або операції) і ділових партнерів (ті, хто має доступ до інформації про пацієнтів і допомагає з лікуванням, оплатою або операціями). Субпідрядники та будь-які інші ділові партнери, наприклад, повинні дотримуватися тих самих стандартів.

Контрольний список відповідності HIPAA

Нижче наведено контрольний список відповідності HIPAA, щоб допомогти вашому бізнесу у дотриманні правил HIPAA.

№1. Аудити та оцінки

Для підтримки безпеки даних, внутрішнього аудиту, оцінки безпеки, а також аудиту конфіденційності в контрольному списку відповідності HIPAA, його слід проводити на регулярній основі:

• Визначте, яке правило HIPAA SP 800-66, редакція 1 обов’язкових щорічних аудитів та оцінок застосовується до вашої організації за допомогою NIST.
• Проведіть необхідні перевірки та оцінки, проаналізуйте висновки та задокументуйте будь-які недоліки чи недоліки.
• Створіть і задокументуйте плани ретельного ремонту для усунення таких дефектів і недоліків.
• Виконуйте плани, проаналізуйте результати та, якщо необхідно, коригуйте план, якщо бажані результати не досягнуті.

№2. Оцінка ризику

Щоб проводити регулярні оцінки ризиків у контрольному списку відповідності HIPAA, відповідно до інструкцій NIST, враховуйте наступне:

• Оцініть ризики, пов’язані з кожним суб’єктом господарювання незалежно.
• Проводити оцінку ризиків для електронних систем зберігання медичної інформації (ePHI).
• Створення та впровадження політики управління ризиками.
• Оцініть ймовірність та вплив потенційних проблем ePHI.
• Застосуйте відповідні заходи безпеки для ідентифікованих конфіденційних документів та небезпек.
• Встановіть передові методи та вимоги до обслуговування для безпеки.

№3. Політика та процедури

Переконайтеся, що ваші політики та процедури відповідають Правилу конфіденційності HIPAA, Правилу безпеки HIPAA та Правилу сповіщення про порушення HIPAA. Щорічні оцінки повинні бути задокументовані. Переконайтеся, що розроблено та реалізовано наступне:

• Політика та процедури конфіденційності вирішують такі питання, як політика та методи використання даних, звичайне та нерутинне розкриття інформації, обмеження запитів на конфіденційні дані та пов’язані з цим проблеми.
• Політика для ділових партнерів. У контрольному списку відповідності переконайтеся, що існуючі контракти та угоди відповідають правилам HIPAA, змінивши їх. Отримайте відповідні гарантії контракту та ведіть записи про штрафи за невиконання вимог.
• Процедури та дати відповіді на запити щодо доступу та скарги щодо конфіденційності. Отримайте письмовий дозвіл пацієнтів перед використанням або розкриттям PHI для лікування, оплати чи медичних операцій.

№ 4. Захист даних

Крім того, підтверджуючи контрольний список відповідності HIPAA, ви повинні використовувати засоби захисту даних, щоб забезпечити цілісність, доступність та конфіденційність ваших даних.

1. Технічні заходи безпеки

• Контроль цілісності та аудит: засоби контролю цілісності допомагають забезпечити точність і високу якість даних. Налаштуйте методи аудиту, щоб відстежувати доступ до файлів і змінювати їх, а також сповіщати вас про будь-яку ненормальну поведінку.
• Зашифруйте електронно захищену медичну інформацію (ePHI) перед передаванням через Інтернет, щоб відповідати вимогам NIST правила шифрування.
• Контроль доступу, авторизації та аутентифікації: переконайтеся, що лише уповноважені особи мають доступ до конфіденційних електронних записів. Паролі та інші коди безпеки слід зберігати в таємниці.

2. Фізичні бар'єри

• Перш ніж подрібнювати важливі папери, подрібніть їх.
• Захищені робочі станції: обмежте доступ до ePHI для певних робочих станцій. Встановіть політику, яка регулює використання цих робочих станцій.
• Встановіть протоколи для видалення ePHI з пристрою, якщо він був втрачений або вкрадений, або якщо власник пристрою залишає бізнес, якщо до пристрою можна отримати доступ через мобільні пристрої.

3. Адміністративні гарантії

Обізнаність із безпекою та навчання для співробітників. Співробітники мають бути навчені щодо керування доступом до ePHI та найкращих методів кібербезпеки, наприклад, як виявляти та повідомляти про зловмисне програмне забезпечення.

Створіть план забезпечення цілісності та безпеки ePHI на випадок надзвичайної ситуації.

№ 5. Спілкування та навчання співробітників

У контрольному списку весь персонал повинен пройти відповідну підготовку з питань кібербезпеки, а члени команди мають бути проінформовані про важливість відповідності HIPAA:

• Весь персонал повинен бути ознайомлений з політикою та процедурами конфіденційності організації.
• Переконайтеся, що всі члени команди переглянули та погодилися з політикою та процедурами HIPAA, які ви встановили.
• Переконайтеся, що весь персонал пройшов базову підготовку щодо відповідності HIPAA.
• Необхідно підтримувати документацію всіх навчальних курсів з відповідності HIPAA та атестації персоналу правил і процедур HIPAA.
• Розробити наслідки та дисциплінарні правила та процедури у разі порушення конфіденційності.

№6. Створено офіс уповноваженого з питань конфіденційності.

Покласти на певну особу чи офіс відповідальність за питання конфіденційності:

• Призначте когось для розробки та впровадження вашої політики конфіденційності (наприклад, спеціаліста з дотримання HIPAA, конфіденційності чи безпеки).
• Забезпечте щорічне навчання HIPAA для всіх співробітників призначеним спеціалістом із відповідності HIPAA.

№ 7. Бізнес-партнери

Регулярно перевіряйте, чи всі ділові партнери дотримуються законів HIPAA:

• Визначте будь-яких ділових партнерів, які можуть отримувати, надсилати, зберігати, обробляти або мати доступ до конфіденційних записів ePHI.
• Переконайтеся, що кожен діловий партнер уклав угоду про ділове партнерство.
• Щорічно перевіряйте відповідність BAA та HIPAA.
• Створіть письмові документи, які демонструють та документують вашу належну обачність щодо потенційних ділових партнерів.

№ 8. Контрольний список для повідомлення про порушення

Встановити методи та процедури реагування на інциденти та порушення безпеки:

• Ведіть журнал і координуйте розслідування подій, пов’язаних із порушенням безпеки PHI.
• Встановити стандарти та рекомендації щодо пом’якшення наслідків, а також дисциплінарну політику та процедури у разі порушення.
• Створіть метод повідомлення про порушення безпеки та інші інциденти, пов’язані з безпекою.
• Встановіть політику для сповіщення пацієнтів, OCR та ЗМІ про порушення безпеки (якщо доречно).

Форми відповідності HIPAA

Якщо ви збираєте інформацію про пацієнтів в Інтернеті без використання форм, що відповідають вимогам HIPAA, ви можете постраждати від кібератаки або пов’язаних із HIPAA штрафів і штрафів. Як результат, форми, що відповідають нормам HIPAA, є заповненими користувачами цифровими документами, які містять поля, текст та інші дані, введені пацієнтами для виконання діяльності, керованої даними.

Згідно з правилами HIPAA, PHI визначається як будь-які дані, які можуть бути корисними для ідентифікації конкретного пацієнта під час процесу медичної допомоги. Ці дані, однак, включають медичні записи, записки лікаря, листування пацієнта і лікаря, а також інформацію про оплату та рахунки пацієнта. Таким чином, персональна медична інформація (PHI) — це будь-яка інформація про особу, яку пацієнт вводить у цифрову форму. Тому вся інформація в цій формі має бути конфіденційною та захищена від несанкціонованого доступу. Отже, численні нормативні акти та інструкції регулюють основні заходи для забезпечення форми:

1. Як зазначено в Правилах безпеки HIPAA, форма має бути належним чином захищена. Це вимагає розгортання прийнятного, відповідного програмного забезпечення для шифрування та безпеки для захисту даних під час передачі та спокою. У результаті ваша форма повинна захищати дані як локально, так і під час їх передачі через мережу інших програм.
2. Пристрій, який використовується для надсилання форми, повинен мати відповідні технологічні та фізичні засоби захисту, такі як захист авторизації, шифрування та контроль доступу.
3. Якщо форму надано стороннім постачальником програмного забезпечення, CE має укласти угоду про ділове партнерство (BAA) з постачальником, в якій викладено їхні та ваші відповідні ролі та зобов’язання.

Навіть з урахуванням цих гарантій, форма може бути невідповідною, якщо не використовуються належні процедури (наприклад, керування даними або використання пристроїв для збору даних). Форми, які не відповідають вимогам, можуть порушити PHI і піддати вашу медичну компанію штрафу до 50,000 XNUMX доларів США за інцидент, а також можливість тюремного ув’язнення.

Постачальники форм відповідності HIPAA

Існують постачальники форм, які відповідають вимогам HIPAA, які також можуть надати вам найкращі форми, необхідні для відповідності HIPAA. Нижче вони.

№1. Форми Google Таблиць

Форми Google є найкращими завдяки своїй простоті, швидкості та зручності використання. Крім того, вони інтегруються з Google Cloud, яка включає Google Таблиці. Ця проста розробка форми все ще коштує, оскільки вона може виключити деякі функції, надані іншими спеціалізованими постачальниками.

№2. Форми Microsoft

Microsoft Forms — це програма, яка дозволяє створювати форми. Вони надзвичайно потужні, хоча і досить складні у використанні. Його спонсорують хмарні платформи Microsoft, такі як Azure, які, як і інші продукти Microsoft, відповідають HIPAA. Однак, залежно від вашого рівня володіння, форми можуть бути трохи незручними.

№3. Форми стека форм

Formstack також є ще одним сервісом хорошої форми, який зосереджений виключно на цій функції. Крім того, Formstack дозволяє CE створювати інтелектуальні, залежні від контексту списки та електронні підписи для форм пацієнтів, що є значною перевагою. Вони складні та корисні, але вони не розділені на більшу платформу, що вимагає додаткового зберігання та підтримки інтеграції.

№ 4. JotForm

JotForm, ще один добре відомий сервіс форм, дозволяє клієнтам створювати форми, що відповідають вимогам HIPAA. Він має кілька дивовижних особливостей, таких як процес оплати вg і конфігуровані форми, але в ньому відсутні деякі критичні, такі як контекстно-залежне створення форм і вибір розгалужень.

Що таке відповідність HIPAA? 

У 1996 році Сполучені Штати прийняли Закон про перенесення та підзвітність медичного страхування (HIPAA) як перший крок до помірної реформи охорони здоров’я. Метою HIPAA також була реструктуризація галузі охорони здоров’я шляхом зниження витрат, усунення адміністративних процесів і тягаря, а також забезпечення конфіденційності та безпеки пацієнтів. Таким чином, сьогодні дотримання HIPAA в першу чергу вказує на останню точку; таким чином захищаючи конфіденційність і безпеку інформації про здоров'я людей. Вони спеціалізуються на підтримці приватних осіб та малих і середніх підприємств найбільш рентабельним, швидким і простим способом, щоб стати сумісним із HIPAA.

Хто повинен відповідати вимогам HIPAA?

Будь-хто, хто працює або пов’язаний з індустрією охорони здоров’я; або хто має доступ до захищеної медичної інформації, має право на це, і серед них є такі:

• Медичні працівники
• Плани медичного страхування працівників
• Провайдери медичного страхування
• Інформаційні центри охорони здоров'я
• Бізнес-партнери (будь-який, хто працює з будь-яким із 4 вищенаведених)

Збільшити відповідність HIPAA

Важливо зрозуміти, що означає масштабування в цій ситуації. Zoom — це хмарна технологія відео та веб-конференцій, яка об’єднує відеоконференції, чат і спільну роботу в єдину платформу. У результаті, забезпечуючи відповідність HIPAA, багато медичних компаній покладаються на Zoom для спілкування з колегами та взаємодії з пацієнтами, часто передаючи конфіденційну медичну інформацію (PHI). Крім того, постачальники хмарних платформ, таких як Zoom, класифікуються як бізнес-партнери, що означає, що вони повинні відповідати нормам HIPAA, якщо вони використовують свою платформу для обміну PHI.

Zoom — це програмне забезпечення для відеоконференцій, яке відповідає вимогам HIPAA, яке забезпечує конфіденційність PHI. Таким чином, існують два різних типи потреб автентифікації користувачів. Крім того, відповідність Zoom HIPAA забезпечує керування доступом, що дозволяє постачальникам контролювати, хто має доступ до платформи.

Відповідно до вимог HIPAA, Zoom — це наскрізне шифрування, яке гарантує, що всі повідомлення скремблюються під час передачі та будуть видимі лише відправнику чи одержувачу. Текстові повідомлення та сеанси чату також шифруються. Таким чином, щоб зробити офлайн-повідомлення доступними, усі сторони повинні брати участь в обміні криптографічними ключами, що вимагає, щоб усі сторони володіли однаковими ключами для шифрування та дешифрування даних.

Zoom може бути життєздатною альтернативою, якщо ви шукаєте послугу відеоконференцій, що відповідає вимогам HIPAA, що дозволить вам ефективніше спілкуватися зі своїми пацієнтами сьогодні та в майбутньому.

Сертифікат відповідності HIPAA

Таким чином, сертифікація HIPAA свідчить про те, що ви закінчили курс, призначений для навчання та освіти навичок, необхідних, щоб допомогти вашій фірмі чи організації стати сумісною з HIPAA. Це також не означає, що ви відповідаєте вимогам; скоріше, це означає, що вас навчили термінології та застосуванню Закону про перенесення та підзвітність медичного страхування.

Сертифікаційний тренінг HIPAA

Однак, щоб отримати сертифікат HIPAA, вам слід записатися на курс сертифікації HIPAA. Існують різноманітні такі курси, які пропонуються як онлайн, так і офлайн, але жоден з них не визнається Департаментом охорони здоров’я та соціальних служб станом на 2015 рік. Онлайн-заняття надзвичайно зручні, оскільки їх можна пройти на дозвіллі. Таким чином, цей курс допомагає у навчанні спеціалістів, які відповідатимуть за різні аспекти дотримання HIPAA у відповідних підрозділах або організаціях охорони здоров’я. Навчання щодо сертифікації HIPAA має важливе значення не лише для компаній, які безпосередньо працюють із HIPAA, але й для тих, хто веде з ними бізнес.

Як стати сертифікованим HIPAA

1. Першим кроком на шляху до отримання сертифікату HIPAA є пошук відповідного курсу сертифікації HIPAA для осіб, які будуть його проходити. Хоча бажано зарахувати всіх співробітників на такі курси, якщо це неможливо через людські чи фінансові обмеження, вибирайте працівників, які можуть отримати освіту в якості тренерів.
2. Якщо професійна навчальна компанія не в змозі навчити всіх ваших співробітників, можна використовувати метод «Навчити тренера».
3. Ви повинні мати політику HIPAA, порівнянну з вашою політикою охорони здоров’я та безпеки, а також добре написану процедуру, в якій окремі області перевіряються щомісяця або частіше, якщо це необхідно.

Будь-яке з цього було б важко реалізувати професійно без сертифікованих HIPAA професіоналів, які також пройшли навчання з впровадження Закону.

Передача відповідності HIPAA

Однак будь-яка організація, яка обробляє передачу файлів, що містять захищену інформацію про здоров’я, повинна суворо дотримуватися Правил безпеки HIPAA (PHI). Коротше кажучи, системи передачі файлів повинні захищати конфіденційність, цілісність, а також доступність індивідуальних медичних карт (PHI).

У Правилі безпеки заходи безпеки поділяються на три категорії: адміністративні, фізичні та технологічні. Підприємства можуть захищати дані та здійснювати передачу файлів відповідно до вимог HIPAA, дотримуючись цих найкращих практик:

• Запобігайте доступу неавторизованих осіб до захищеної медичної інформації.
• Ведіть журнал усіх дій користувачів у системах, які містять PHI.
• Переконайтеся, що існують протоколи безпеки, щоб захистити дані під час передачі від несанкціонованого доступу.
• Після завершення передачі файлів відключіть електронні сесії.
• Будь-яка передача PHI має бути зашифрована.
• Продемонструвати, що передані дані не були змінені, зламані чи знищені без дозволу.

Розумно співпрацювати з фахівцями з інформаційної безпеки, які мають великий досвід розробки, встановлення та аудиту рішень інформаційних технологій, що відповідають вимогам HIPAA.

Що означає відповідати вимогам HIPAA?

Відповідність HIPAA є золотим стандартом захисту конфіденційних даних пацієнтів. Щоб дотримуватись HIPAA, фірми, які обробляють захищену медичну інформацію (PHI), повинні впроваджувати та підтримувати фізичні, мережеві та процедурні заходи безпеки.

Які три правила HIPAA?

Три правила, які регулюють HIPAA

1. Правила конфіденційності
2. Правила безпеки
3. Правила повідомлення про порушення

Яка мета HIPAA?

Федеральний закон, відомий як Закон про перенесення та підзвітність медичного страхування 1996 року (HIPAA), передбачав розробку національних стандартів для запобігання розголошенню конфіденційної інформації про здоров’я пацієнтів без відома або згоди пацієнта.

Як пояснити HIPAA пацієнту?

Надання пацієнтам короткого викладу змісту Політики конфіденційності є найкращим підходом до пояснення пацієнтам HIPAA. Це включатиме всю відповідну інформацію. Наприклад, скажіть пацієнту, що він має право запитати свою медичну документацію в будь-який час.

Які 2 основні компоненти HIPAA?

Розділ I: Доступ до медичної допомоги, перенесення та оновлення. Захищає медичне страхування у разі втрати роботи або зміни. Включає покриття для вже існуючих захворювань.
Включає покриття для вже існуючих захворювань.
РОЗДІЛ II: Адміністративне спрощення

Пов'язані статті

1. Як переконатися, що ваш бізнес відповідає вимогам HIPAA
2. Продавець-консультант: опис посади, навички та зарплата
3. Політика КонфіденційностіДОГОВІР ОРЕНДА: форми, шаблони та найкраща практика США (докладний посібник)