כיצד להבטיח תאימות ל- HIPAA?
החוק לביטוח בריאות ואחריות (HIPAA) הוא חוק פדרלי המחייב שמירה על מידע רפואי רגיש ומאובטח ופרטי. השיטות בהן אתה משתמש כדי לארגן ולעקוב אחר המידע הרפואי של המטופל חייבות להיות תואמות ל- HIPAA, אחרת אתה עלול לעמוד בקנסות נוקשים או אפילו באובדן רישיונות מקצוע. אנשים ושותפים עסקיים גם עשויים להזדקק לציות ל- HIPAA בנסיבות מסוימות.
חלק 1 מתוך 4: אבטחת נתונים
- 1התקן תוכניות אנטי-וירוס. הגנה פעילה ומעודכנת נגד וירוסים ברשתות שלך ובכל המחשבים בה תסייע לשמור על אבטחת הנתונים הרפואיים של המטופל.
- אבטחת מחשבים לא רק מגנה על פרטיות המטופלים או הלקוחות שלכם, אלא גם מגנה עליכם מאחריות משפטית אם מידע זה נגנב או משוחרר מהארגון שלכם.
- תוכניות אנטי-וירוס מבטיחות שהנתונים שלך מוגנים מפני פגום או הרס על ידי וירוסי מחשב או תוכנות זדוניות.
- אם המחשבים שלך הגיעו עם תוכנות אנטי-וירוס שהותקנו מראש, וודא שהן מעודכנות באופן קבוע. עליכם לוודא כי לכל רשת שיצרתם עבור המשרדים שלכם יש מספיק אבטחה והגנה על אנטי-וירוס.
- אם היית אי פעם קורבן של נגיף מחשב, אתה יודע כיצד הם יכולים להשמיד קבצים ולהשחית נתונים במערכת שלך. אם הקבצים והנתונים המושפעים מכילים נתונים רפואיים פרטיים המוגנים על ידי HIPAA, היית מפר את החוק.
- 2גבה נתונים רפואיים באופן קבוע. שמירת כל הנתונים במיקום מחוץ לאתר מבטיחה שהנתונים מאובטחים ומוגנים במקרה של כשל בכונן הקשיח או בשרת.
- HIPAA מכסה את כל המידע הבריאותי בכל צורה שמזהה את המטופל באופן אישי. הנחיות האבטחה של HIPAA מבטיחות שמידע בריאותי של מטופלים לא נופל לידיים הלא נכונות ואינו משתנה או נהרס בטעות.
- גיבוי הנתונים שלך במקום מחוץ לאתר מבטיח שמידע רפואי פרטי יהיה מוגן מפני אובדן או השחתה אם יתרחש אסון כמו שיטפון או שריפה במשרד.
- גיבויים גם מבטיחים שניתן לשחזר קבצים או נתונים שנמחקו בטעות.
- שקול גם ליצור תוכנית מגירה לשחזור נתונים במקרה חירום או מחיקה בשוגג. יש לרשום כל תוכנית כזו, כך שניתן יהיה ליישם אותה בקלות במידת הצורך.
- 3שלוט בגישה למחשבים. כל המכונות שעליהן מידע רפואי פרטי חייבות להיות מוגנות באמצעות סיסמה ולהישמר במקומות מאובטחים.
- לדוגמא, אתה לא צריך לשים מחשב במסדרון או באזור עם עומסי תנועה רבים, שאף אחד מלבד הצוות יקבל גישה אליו.
- מחשבים צריכים להפסיק זמן לאחר תקופה קצרה של חוסר פעילות, ויש לשמור על סיסמאות מאובטחות. על הצוות לשנן את סיסמאות המחשב במקום לפרסם אותן במחשב עצמו או בסמוך אליו.
- ודא שהעובדים לא משאירים מסמכים המכילים נתונים רפואיים פרטיים של המטופל בסורקים, במדפסות או במכשירי פקס.
- מערכת המחשב שלך צריכה לכלול תכונת מסלול ביקורת, כך שתוכל לעיין בהיסטוריה של קובץ מסוים ולרשום תיעוד של כל עובד שניגש לקובץ, מתי ניגש אליו ואילו שינויים נעשו.
- 4ודא שציוד חדש תואם למערכות קיימות. אם אתה מקבל מחשבים חדשים או ציוד אחר, עליך לוודא שיש בו אותן רמות הגנה.
- עליכם לוודא כי ציוד או מכונות חדשות שאתם מכניסים לשירות כוללים מספיק מאפייני אבטחה.
- זכור כי למכונה עשויה להיות אבטחה מתאימה אך אינה תואמת למערכת הנוכחית שלך. כמו כן, ציוד חדש התואם למערכת הקיימת שלך עשוי לדרוש שדרוגים כדי להבטיח אבטחת נתונים.
- 5הצפן דוא"ל ותקשורת אלקטרונית. שימוש בהצפנה במיילים ובמכשירים ניידים יכול לסייע במניעת חשיפת המידע הרפואי של המטופל.
- HIPAA אינה אוסרת על השימוש בדוא"ל או במכשירים ניידים להעברת מידע על המטופל, ואינה דורשת ספציפית להצפין דוא"ל. עם זאת, ניתן להציב הצפנה די בקלות והיא שיטה חסכונית להבטיח שהנתונים מאובטחים.
- גם אם אינך מצפין את הודעות הדוא"ל שלך, עליך לקיים מדיניות לגבי אופן הטיפול במידע המטופל הפרטי במיילים ובמכשירים ניידים.
- כדי לקבוע אם עליך להשתמש בהצפנה כדי לציית ל- HIPAA, עליך לערוך הערכת סיכונים כדי לנתח אם מידע חולה פרטי נמצא בסיכון לגישה של משתמשים לא מורשים. אם הסיכון גבוה יחסית, בדרך כלל עליכם להשתמש בהצפנה.
- ברוב המקרים, עדיף לטעות בצד הזהירות ולהצפין נתונים אלקטרוניים, למרות שזה לא נדרש ספציפית על ידי HIPAA.
- אם אתה מאפשר לחולים לבקש או לגשת למידע הרפואי שלהם באמצעות דוא"ל או אפליקציה לנייד, כלול הצהרת גילוי וודא שהם מבינים את הסיכונים הכרוכים בגישה למידע שלהם בצורה כזו.
- אם הארגון שלך מאפשר שמירה של מידע רפואי פרטי במכשירים ניידים, עליך להיות במדיניות להגן על מידע זה ולהסדיר את הוצאתם של מכשירים אלה ממשרדך.
- יש לשמור על אבטחת מידע ליצירת קשר עם המטופל, כולל רשימות תפוצה או תוכניות אחרות שיכולות לחבר שמות או כתובות דוא"ל לתרופות או לסוגי טיפול מסוימים.
- 6דרוש תאימות מצד ספקי IT. אם יש לך קבלנים או חברות טכנולוגיה שמטפלות או מתחזקות את המערכות שלך, עליך לוודא שהם מבינים את האבטחה הנדרשת על ידי HIPAA.
- שמור רשימה של כל החומרה, התוכנה ורכיבי הרשת כגון נתבים שהארגון שלך משתמש בהם. וודא כי לכולם יש אבטחה מספקת, כגון הצפנה או חומות אש, כאשר הם מותקנים.
- עליכם לוודא כי כל ספקי הטכנולוגיה איתם אתם מתקשרים מבינים את דרישות HIPAA ומוכנים לעבוד אתכם על מנת להבטיח כי כל אחד מהרכיבים הנפרדים של מערכות המחשב שלכם מתואמים לעמוד בתקני האבטחה.
חלק 2 מתוך 4: פיתוח מדיניות תאימות
- 1צור מדיניות ונהלים בנושא פרטיות ואבטחה. כדי להבטיח בצורה הטובה ביותר תאימות ל- HIPAA, ודא שהמדיניות שלך חלה באופן אוניברסלי על כל מי בארגון שלך המטפל או שיש לו גישה לנתונים רפואיים של מטופלים.
- HIPAA דורש מדיניות כתובה כי כוללים הכשרת עובדים חובה וסנקציות בגין הפרות מדיניות.
- יש לתעד היטב את כל המדיניות והנהלים בכתב וזמינים בדרך כלל לכל העובדים.
- כל הסכמים שיש לך עם שותפים עסקיים אחרים העשויים לטפל בנתונים רפואיים חייבים לשקף מחויבות לציות HIPAA. אם ביצעת הסכמים קיימים לפני כניסת החוק לתוקף, וודא שהם מתעדכנים כך שהקשר המתמשך ישקף את דרישות HIPAA.
- זכור כי אין מדיניות שמתאימה לכל אחד על פי HIPAA. במקום זאת, עליך ליצור מדיניות ונהלים העונים על צרכי הפרטיות והאבטחה הספציפיים של הארגון שלך.
- 2למנות קציני פרטיות ואבטחה לאכיפת ציות. על הקצינים שלך להבין ולהיות מעודכנים בכל ההיבטים של HIPAA.
- תקני האבטחה של HIPAA דורשים שתמנה לפחות אדם אחד לעבוד כמנהל האבטחה שלך. אדם זה לא רק זקוק להבנה של הדרישות המשפטיות, אלא גם של מערכות הארגון הספציפי שלך וכיצד הן פועלות יחד.
- 3שלח הודעה על מדיניות הפרטיות והאבטחה שלך לכל החולים. בדרך כלל כל מטופל צריך לחתום על מסמך כתוב המאשר בקבלת מדיניות הארגון שלך.
- על הודעתך בכתב להסביר למטופלים את זכויותיהם בנוגע למידע הבריאותי שלהם ולספר להם כיצד ישמש או ישותף במידע הבריאותי שלהם.
- בנוסף למתן למטופלים עותק משלהם של ההודעה, וודא שמפרסמים את ההודעה במקום בולט במשרד שלך, כך שכל אחד יכול להתייחס אליה לפי הצורך.
- החוק אינו מחויב על פי החוק לחתום על הטופס, אך אם מטופל מסרב לחתום עליך לערוך רישום המציין שלא קיבלת את חתימתו.
- אם עליך לשתף במידע הרפואי הפרטי של המטופל מסיבה כלשהי שאינה טיפול או תשלום חיוב, עליך לקבל תחילה את אישור המטופל.
- 4תעד את כל ההפרות. אם עובד לא מקיים את המדיניות או הנהלים של הארגון שלך, עליו להיות ממושמע בהתאם ולרשום את ההפרה.
- זכור שאם לא תתעד משהו, לא תוכל להוכיח שזה קרה מאוחר יותר. אם מתגלה הפרה של פרוטוקול או פער באבטחה, עליכם לתעד ביסודיות כיצד נמצאה הבעיה ואילו צעדים ננקטו על מנת לסלק או להקל על הסיכון.
- אם קיימת הפרה של האבטחה, עליך להודיע לכל מטופלים שמידעם היה מעורב בהם.
- אם ההפרה פוגעת ביותר מ -500 חולים, עליך גם להודיע על כך לכלי תקשורת גדולים במדינה או באזור שבהם אותם אנשים גרים.
חלק 3 מתוך 4: הכשרת עובדים
- 1ספק עותקים של הנחיות ומדיניות בכתב לעובדים. כל עובד צריך שיהיה לו עותק משלו של הפוליסה לעיון.
- HIPAA דורשת מדיניות בכתב, ויש לשתף אותה עם כל העובדים שיש להם גישה למידע רפואי פרטי.
- עליכם לבדוק ולעדכן את המדיניות שלכם באופן קבוע בהתאם לתקנות או חוות הדעת.
- יש להכשיר את כל העובדים ולברר אותם בנוגע למדיניות ולדרישות HIPAA לפני שהם מתחילים לעבוד עם מידע רפואי פרטי.
- זכור כי אנשים אחרים העשויים להיות בעלי גישה למידע רפואי פרטי, כולל מתנדבים או מתמחים, חייבים לעבור הכשרה בנוגע לדרישות HIPAA, גם אם אינך משלם להם או רואה אותם כעובדים.
- 2ערכו קורסי רענון קבועים. השתלמויות מבטיחות שהעובדים שלך לא שוכחים נהלים נכונים.
- HIPAA נאכף על ידי המשרד לזכויות האזרח (OCR) של מחלקת הבריאות והשירותים האנושיים בארה"ב (HHS). אתה יכול לבקש מדובר OCR לדון עם הצוות שלך בפרטיות מידע בריאותי על ידי מילוי הטופס באתר HHS.
- תעד את מאמצי ההדרכה שלך כדי שתוכיח ל- HHS שההדרכה קיימת ועובדים העוסקים במידע מטופל פרטי מבינים את דרישות HIPAA.
- 3דרוש הכשרה בנושא מדיניות חדשה. אם המדיניות שלך משתנה, עליך לוודא שעובדיך מחונכים על דרישות נוספות או נהלים חדשים.
- יש לבדוק את הצוות באופן קבוע כדי לוודא שהם מבינים את תקני הפרטיות והאבטחה של HIPAA. שמור את המבחנים שהושגו בתיק העובדים של כל עובד, כך שהעתקים יהיו זמינים עבור מבקר ה- OCR שלך.
- 4אכוף נהלים סטנדרטיים להפרות מדיניות. על העובדים להבין את ההשלכות של הפרות, ויש ליישם משמעת באופן עקבי ואוניברסלי.
- יש להטיל אישור על עובדים המפרים את מדיניות הפרטיות שלך, ולא יהיו חריגים מהנהלים שלך. ביצוע חריג יוצר אזור אפור לגבי אופן שמירת נתוני המטופלים ולא יושבת על ידי HHS.
חלק 4 מתוך 4: ביצוע הערכות סיכונים
- 1חוזה עם משרד חיצוני. השתמש בחברה שאינה קשורה לארגון שלך כדי לערוך את הערכות הסיכון שלך.
- על המשרד להכיר את דרישות HIPAA ולבצע בדיקות תוך שימוש בתקנים והנחיות HIPAA פדרליים.
- מכיוון שתהיה כפוף לביקורות קבועות מטעם ה- OCR, עליך לנהל תיעוד של החברה עמה אתה מתקשר ואת תוצאות הערכת הסיכון לבדיקת המבקר.
- 2קבעו הערכות סיכונים שנתיות. אתה צריך שהחברה תערוך הערכות סיכונים לפחות פעם בשנה על מנת להבטיח שהמערכות שלך תואמות.
- הערכות סיכונים חשובות במיוחד אם אתה משתמש במערכות מחשב שהותקנו לפני כניסת HIPAA לתוקף. סביר יותר שמערכות חדשות יהיו תואמות יותר מאשר מערכות קיימות שלא נדרשו לאבטח נתונים בדרך מסוימת.
- הערכת הסיכון צריכה להשוות בין מערכות המחשב שלך לסוג המערכת הנדרשת על ידי HIPAA, ולזהות את הפערים שאינם מכוסים על ידי המערכת שלך על פי החוק.
- גם אם לארגון שלך רמת תאימות גבוהה, חברות הערכת הסיכונים הטובות ביותר עדיין יגלו אזורים שבהם ניתן לשפר את המערכת שלך.
- 3עדכן מערכות כדי לטפל בסיכונים שהתגלו. אם מתגלה הסיכונים הביטחוניים על ידי ההערכה, נקט בצעדים הדרושים כדי לתקן את הבעיה.
- כאשר מתבצעות תיקונים ב- HIPAA, או מתקנות תקנות חדשות על ידי HHS, עליך לבדוק את המערכות שלך ולקבוע אילו שינויים יש לבצע כדי לוודא שאתה עומד בתאימות.
- אם התרחשה הפרה של פרוטוקול האבטחה שלך, עליך לחקור אותה באופן מיידי ולתעד את תוצאות החקירה. בהתאם לסוג ההפרה שהתרחשה, ייתכן שיהיה צורך להודיע על כך לחולים שנפגעו או להודיע על כך ל- HHS או לרשויות אחרות.
- 4עיין במדיניות כדי למזער סיכונים. חלק מהסיכונים שנחשפו בהערכת הסיכון עשויים לדרוש פיתוח נהלים חדשים כדי להבטיח בצורה הטובה ביותר את הנתונים הרפואיים של המטופל.
- אם יש צורך בשינויים כדי להבטיח תאימות ל- HIPAA, וודא שאתה מתקשר עם עובדים שיושפעו מהשינוי וודא שהם נמצאים על הסיפון.
- תקשורת בתוך מחלקות מסוימות היא חיונית, במיוחד מכיוון שעובדים העובדים במערכת על בסיס קבוע עשויים לקבל רעיונות טובים יותר ליישום השינוי בצורה יעילה יותר.
- אם אינך בטוח אם עליך לעמוד ב- HIPAA, באתר HHS יש תרשים שיכול לעזור לך להחליט אם אתה זכאי כ"ישות מקורה "על פי החוק.
קרא גם: כיצד לחפש חוקים ותקנות אסבסט?
הצהרה משפטית תוכן מאמר זה מיועד לידיעתך הכללית ואינו מיועד להוות תחליף למשפט מקצועי או לייעוץ פיננסי. כמו כן, אין הכוונה להסתמך על ידי המשתמשים בקבלת החלטות השקעה כלשהן.