Den føderale regjeringens lov om helseforsikring (HIPAA) for helseforsikring laget retningslinjer for hvordan helsepersonell håndterer pasienthelsedata. Dessverre er HIPAA -retningslinjene vage. Det er ingen enkel sjekkliste du kan bruke for å finne HIPAA -kompatibel programvare. I stedet gir HIPAA mandat til at du oppretter et sett med prosedyrer for å få tilgang til og sende pasienthelseinformasjon. Du må da finne en programvareleverandør hvis programvare kan tillate deg å implementere prosedyrene dine.
Trinn
Del 1 av 3: Opprette hensiktsmessige prosedyrer
Trinn 1. Hold en revisjonslogg
Du må spore hvem som får tilgang til pasientjournalen. Dette betyr at du må opprette separate brukernavn og passord for hver person som har tilgang til pasienthelseinformasjon. Som en del av revisjonsloggen bør du spore følgende:
- hvilken post brukeren åpnet
- datoen den ble åpnet
- om brukeren så på informasjonen, oppdaterte den eller slettet den
Trinn 2. Lag tilgangsnivåer
HIPAA krever også at en ansatt bare ser “minimum nødvendig” informasjon for å gjøre jobben sin. For eksempel må en lege se mer helseinformasjon enn en resepsjonist. Følgelig må du opprette tilgangsnivåer der du bare gir så mye informasjon som hver person trenger for å gjøre jobben sin.
- Noen ansatte jobber kanskje bare med visse pasienter. I denne situasjonen bør de bare få tilgang til pasientjournalene for personene de jobber med.
- For å kunne opprette tilgangsnivåer, må du tydelig definere roller i organisasjonen din. Dette kan kreve at du ser på stillingsbeskrivelser og omorganiserer plikter.
Trinn 3. Lag en "nødoverstyring" -funksjon
Selv om du oppretter tilgangsnivåer, kan det være situasjoner der noen trenger tilgang til all informasjon i en nødssituasjon. Av denne grunn bør du opprette en "overstyring" som lar personen hente all informasjon som er nødvendig for å effektivt behandle pasienter.
- Likevel bør du konfigurere programvaren slik at bruk av denne overstyringsfunksjonen blir undersøkt.
- For eksempel kan du sette opp programvaren slik at hver gang noen bruker overstyringsfunksjonen, blir flere andre personer automatisk sendt på e -post samtidig. Programvaren bør også spore informasjonen denne personen får tilgang til.
- Du bør også skrive ut en gjennomgangsprosess for hver bruk av overstyringsfunksjonen. For eksempel kan det hende at personen som bruker den, senere må møte en veileder for å rettferdiggjøre bruken.
Trinn 4. Sikre dataene dine
HIPAA krever at du holder dataene dine sikre. I praksis betyr dette at du bør bruke passord og holde dataene sikret bak en brannmur.
- Du må også sørge for at e -postene dine er sikre. Spesielt må du bruke tilstrekkelig krypteringsteknologi på e -postene dine.
- For mer informasjon om hvordan du kontrollerer at e -posten din er i samsvar med HIPAA, se Gjør e -post HIPAA -kompatibel.
Trinn 5. Skann pasientautorisasjonsskjemaer
Du må få pasientene til å signere skjemaer som godkjenner din bruk av informasjonen for omsorg. Hvert skjema bør inneholde en beskrivelse av hva du vil bruke dataene til og utløpsdatoen.
- Du bør spore disse autorisasjonene, inkludert datoen skjemaet ble signert og navnet på personen som signerer det.
- Du bør også skanne skjemaet og beholde en digital kopi.
Trinn 6. Bekreft at faktureringssystemet er kompatibelt
HIPAA standardiserte overføringen av faktureringsinformasjon. Av denne grunn må det faktureringssystemet du bruker, støtte HIPAA -standardene.
På dette tidspunktet gjør praktisk talt alle faktureringssystemer på markedet. Likevel bør du bekrefte med leverandøren at den er HIPAA -kompatibel
Trinn 7. Spør leverandører om sikkerhetskopiering
HIPAA krever også at du opprettholder dataene dine slik at en pasient kan se dem når han eller hun ber om det. Dette betyr at du må ta sikkerhetskopi av all informasjon. Hvis du beholder informasjon på papir, trenger du kopier som er lagret utenfor stedet eller digitale skanninger. Hvis du lagrer data elektronisk, må de sikkerhetskopieres.
- Spør leverandører om hvordan de sikkerhetskopierer systemene sine. Finn ut hvordan de sikrer systemets kontinuitet i tilfelle en ulykke.
- Skulle du være vert for datasystemet på dine egne servere, må du finne ut hvilke sikkerhetskopieringsprosedyrer du har, samt nødplanene dine.
Trinn 8. Få forretningsforbindelser til å signere kontrakter
Alle som ser dataene dine må godta de samme retningslinjene og prosedyrene som organisasjonen din. Du bør derfor utarbeide en "Business Associate" -kontrakt som alle leverandører kan signere.
- Health and Human Services har en prøvekontrakt tilgjengelig på https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agference-provisions/index.html. Du kan endre den for å passe dine formål.
- Det er også prøvekontrakter på Internett. For eksempel har UT Health Science Center en skjemaavtale du kan bruke.
- Du bør også få helsepersonell til å se over enhver kontrakt for å sikre at den er tilstrekkelig for å beskytte deg.
Del 2 av 3: Søke etter programvare og dataleverandører
Trinn 1. Spør andre helsepersonell
Hvis du åpner en virksomhet, må du kjøpe programvare. Du må kanskje også ansette noen til å være vert for dataene dine på serverne deres (eller for å sikkerhetskopiere dine egne servere).
Spør andre leverandører hvilke leverandører de bruker. Nesten alle helsepersonell er dekket av HIPAA, så de burde ha tenkt seg godt om hvorvidt programvaren er kompatibel eller ikke. Du bør be om anbefalinger
Trinn 2. Sammenlign priser
Etter å ha fått anbefalinger for forskjellige leverandører, må du sammenligne prisene. Du bør ringe dem for å få et tilbud. Telefonnumrene deres skal være på Internett.
- Prisene vil avhenge av antall personer som trenger tilgang til systemet ditt, så sørg for at du har det antallet tilgjengelig.
- Hvis virksomheten din vokser, bør du tenke et par år fremover. For eksempel, hvis du har fem ansatte, men tror du vil doble størrelsen, må du sørge for å få et tilbud på hvor mye det koster å ha 10 brukere. Du vil ikke bytte programvare etter bare et år.
Trinn 3. Finn ut hvordan leverandøren overvåker endringer i HIPAA
HIPAA -regelverket fortsetter å utvikle seg. Du bør forvente at leverandøren holder tritt med lovendringer. Når du kontakter leverandører, bør du spørre følgende:
- Hvordan overvåker leverandøren endringer i HIPAA -regelverket? Har den en handlingsplan for å følge med på lovendringer? Se etter konkrete eksempler. Har selskapet en advokat i staben som overvåker lovendringer?
- Hvor mange prosent av leverandørens kunder må være HIPAA -kompatible? Hvis de fleste av selskapets kunder må overholde HIPAA, kan du være sikker på at det vil gjøre nødvendige endringer for å overholde HIPAA-ellers går det ut av drift.
Del 3 av 3: Forstå HIPAAs krav
Trinn 1. Sjekk om HIPAA gjelder for deg
Du må overholde HIPAA hvis organisasjonen overfører faktureringsinformasjon elektronisk til et helseforsikringsselskap, inkludert Medicaid og Medicare. Informasjonen kan inneholde fakturaer eller annen informasjon som er nødvendig for å finne forsikringsdekning. Vanligvis regulerer HIPAA leverandører av følgende:
- terapi
- rådgivning
- medisinsk behandling
- enhver annen tjeneste som fakturerer forsikringsselskaper
Trinn 2. Finn en helseadvokat
HIPAA -regler er kompliserte og vanskelige å forstå. For å sikre at du er i samsvar, bør du leie en helseadvokat for organisasjonen din. En helseadvokat kan hjelpe deg med å håndtere risikostyring og regulatoriske problemer. Du kan beholde denne personen "på behold", noe som betyr at du betaler et gebyr hver måned. I bytte er advokaten alltid tilgjengelig for å svare på spørsmålene dine.
- Du kan få anbefalinger til en helseadvokat ved å spørre andre helsepersonell hvem de bruker. Hvis du ikke får noen anbefalinger, kan du besøke statens advokatforening, som bør kjøre et henvisningsprogram. Be om henvisning til en helseadvokat.
- Sørg for å spørre advokaten om hans eller hennes erfaring. Du vil ha noen som har lang erfaring med overholdelse av forskrifter, ikke bare i å representere virksomheter i søksmål.
Trinn 3. Vær trygg, ikke beklager
Teknisk trenger du ikke opprette brukernavn, tilgangsnivåer eller til og med ha programvare i organisasjonen din. I stedet krever HIPAA bare at du tar "rimelige skritt" og kun oppgir "minimum nødvendig" informasjon. Likevel må du praktisk talt opprette prosedyrene for tilgang til og distribusjon av informasjon beskrevet ovenfor hvis du planlegger å drive et moderne kontor ved hjelp av datamaskiner og e -post. Disse prosedyrene vil hjelpe deg med å beskytte deg mot uautorisert avsløring av pasientinformasjon.
- Straffene for brudd på HIPAA kan være alvorlige. Du kan få en bot på 50 000 dollar for hvert brudd, opptil maksimalt 1,5 millioner dollar hvert år. Det er også straffbare straffer for de som bevisst bryter reglene.
- Følgelig har du det bedre å følge praksis og prosedyrer som blir standard i din bransje. Erfarne helsepersonell og leverandører kan veilede deg i riktig retning.
