Vad du behöver veta om Följa HIPAA

HIPAA - Health Insurance Bärbarhet och Accountability Act - är en federal lag utvecklats, delvis för att definiera och reglera användningen av hälsovårdsinformation i USA. Enheter som ger, betalar för eller tillhandahåller hälsovårdstjänster, mediciner eller utrustning, samt deras affärspartners och leverantörer, berörs av denna nya regelverk. Denna artikel sammanfattar det arbete som behöver göras för att uppfylla krav som är nödvändiga för att bli HIPAA kompatibel.

Lagen definierar och reglerar Omdömen

- hur hälsoinformation identifieras och används, inklusive standardtransaktionsblanketter och koduppsättningar för kommunikation mellan leverantörer och betalare, Omdömen

- vad information som kallas skyddad hälsoinformation (PHI) är att betrakta som privata och hur den ska hanteras, och sälja

- säkerhetspolicy och rutiner för att skydda PHI.

Dessa föreskrifter alla faller under avdelning II i HIPAA och är kollektivt kallas Förenkling Efterlevnad lagen Administrative (ASCA). Som namnet antyder, måste alla enheter som omfattas av ASCA vara i överensstämmelse med de tidsfrister som anges i förordningarna. Tidsfristerna är:

Standardiserade transaktioner och koduppsättningar - 16 Oktober 2002 Omdömen Sekretess - April 14, 2003
Säkerhet - tidsfristen har ännu inte fastställts.

Observera dock att Department of Health and Human Services kommer att tillåta täckta enheter att ansöka om ett års förlängning av de transaktioner och koduppsättningar tidsfrist om de lämnar in en modell complianceplan form som innehåller ett schema som visar hur de planerar att bli kompatibla under förlängningsperioden. Denna ansökan ska vara inkommen senast den 15 oktober 2002. Dessutom har vissa små hälsa planer har ytterligare ett år för att uppfylla alla tidsfrister. Mycket mer information om HIPAA och ASCA kan hittas på Centers for Medicare och Medicaid Services webbplats: http://www.cms.gov/hipaa/hipaa2/default.asp som också innehåller länkar till ytterligare resurser.

Hur ASCA påverkar min praktik eller institution?

Direkt eller indirekt, kommer du att påverkas om du ger hälso- och sjukvårdstjänster eller support hälsotjänster. Täckta enheter som väljer att sända identifierbara patientrelaterad information elektroniskt krävs för att genomföra dessa normer. I praktiken innebär detta varje leverantör som skickar räkningar direkt till tredjepartsbetalare eftersom ASCA kräver att dessa räkningar skickas elektroniskt med ett litet antal undantag.

Dessutom, ett företag omfattas av HIPAA om det är en hälsoplan, clearinghus, tredje part försäkringsgivare, arbetsgivare att upprätthålla patientjournaler, rehabiliteringscenter, blod, sperma eller organvävnadsbank, socialarbetare eller kurator, lång- omsorg anläggning, ambulans företag eller apotek. Men många fler företag och tjänster påverkas, inklusive dem som tillhandahåller tjänster eller leveranser till vårdgivare eller patienter under ledning av leverantörer. De kommer att behöva nya affärsavtal säkerställa HIPAA efterlevnad och måste genomföra acceptabla informations integritet och säkerhetsåtgärder. Om dessa företag fakturera tredje part betalare direkt, kommer de också att behöva genomföra transaktioner och kod sätter standarder.

Utanför teknikleverantörer, transkription leverantörer, revisorer, advokater och alla andra som kan komma i kontakt med patientuppgifter i samband med normala affärstransaktioner kommer också att påverkas. Kort sagt, om du skapa, underhålla, hantera eller har tillgång till person medicinsk information, bör du vara bekymrad över att bli kompatibel med HIPAA regler.

Hittills har HIPAA implementeringsarbetet koncentreras på att definiera standard transaktioner för användning av leverantörer och tredjepartsbetalare, och skapar standarddefinitioner för vårdgivare, arbetsgivare, hälsoplaner och individer att använda för att skapa patientinformation rekord . Koduppsättningar skapas för att definiera standard medicinska termer, diagnoskoder, sjukdomar, skador, etc. medicinsk åtgärd koder också definieras för åtgärder som vidtagits för att förebygga, diagnostisera, behandla eller hantera sjukdomar, skador och funktionsnedsättningar, såväl som för läkemedel, utrustning, förnödenheter och andra punkter som föreskrivs för behandling.

Även om många av dessa koduppsättningar är de som känner till leverantörer idag, finns det några förändringar i form av transaktioner och de koder som kan användas som kan påverka överföringen av information mellan leverantörer och betalare. Som ett exempel kan lokala föreskrifter inte längre användas. Således, om en specifik försäkringsgivare har bett leverantörer att lägga ett nationellt förfarande kod med ett suffix för att ytterligare karakterisera förfarandet kommer försäkringsgivaren måste utveckla ett annat sätt att få de uppgifter som den söker. Detta kommer att innebära att tjänsteleverantörer kommer att behöva lära sig ett nytt förfarande för kodning anspråk transaktioner.

Hur blir jag kompatibel?

Huvuddelen av arbetet och kostnaden blir i omformande kontorsprocesser kring patientens integritet och för att utveckla ett omfattande säkerhetsprogram kring patientinformation. Områden som kommer att behöva ses över bland annat skriftliga riktlinjer och rutiner, standarder, personalutbildning, tekniska och procedurkontroller, riskbedömningar, revision och kontroll av efterlevnaden. En leverantör måste också tilldela ansvaret för den löpande förvaltningen av program för informationssäkerhet. Leverantörerna måste komma överens skriftligen att bibehålla samma nivå av säkerhet och integritet som leverantörer med vilka de arbetar.

Vad ska jag göra?

Det första steget är att göra en “ gap bedömning &"; för att avgöra vad som måste göras för att bli kompatibla. Rutiner måste processer och informationshantering alla ses i ljuset av ASCA. Till exempel, gemensamma kontorsprocesser såsom en sjuksköterska frågar en läkare information om en patient över en öppen intercom när en annan patient kan höra samtalet måste ändras för att säkerställa patientens integritet.

När omfattningen av nödvändig förändring förstås, en genomförandeplan bör utvecklas.

Nästa stora operativa steg är att finansiera och genomföra genomförandeplanen. Dessutom måste all personal och anställda som hanterar patientinformation eller diskutera den med utomstående utbildas i hur man håller information privat och säker. Denna utbildning bör också innehålla instruktioner om eventuella nya förfaranden som utvecklas och genomförs.

Hur mina datorer och programvara?

En påverkade Organisationen måste införa åtgärder, riktlinjer och rutiner för att säkerställa säkerheten för de informationssystem som innehåller individuellt identifierbar patientens hälsoinformation. Dessa skulle samordnas och integreras med andra metoder systemkonfiguration förvaltning för att säkerställa systemets funktionsduglighet när ändringar systemets hårdvara eller mjukvara görs. All programvara köpas som ett paket från en extern leverantör måste också vara kompatibla.

Dessutom måste berörda parter ger en beredskapsplan som ger för att svara på informationssystem nödsituationer, inklusive periodisk säkerhetskopiering av data, har och testanläggningar för kvarvarande verksamhet i händelse av en nödsituation, och skapa en effektiv katastrof återvinningsförfaranden. Datorkontroller och säkerhetsåtgärder ska dokumenteras på samma sätt som andra riktlinjer och rutiner.

Varje organisation krävs också att ha en policy för användning arbetsstation. Dessa dokumenterade instruktioner och rutiner bör beskriva rätt funktioner som skall utföras och det sätt på vilket dessa funktioner ska utföras (t.ex. logga ut innan du lämnar en terminal obevakad). Restriktioner måste införas för att förhindra att obehöriga personer får tillgång till information som lagras på enheten och 'en; s datorer.

Anläggningar som använder kommunikationsnät är skyldiga att skydda meddelanden som innehåller hälsoinformation när de sänder dem elektroniskt för att hindra dem från att snappas upp och läsas av andra än den avsedda mottagaren parter. De måste också skydda sina informationssystem mot inkräktare som försöker få tillgång till information från externa kommunikationspunkter. Detta innebär vanligtvis att någon form av kryptering måste användas för att skydda denna information. Vad bra, det måste dokumenterade riktlinjer och säkerhetsfunktioner för användning av fax, e-post, Internet, fjärrdiktamen och transkription tjänster Omdömen  ..