Den federala regeringens Health Insurance Portability and Protection Act (HIPAA) skapade riktlinjer för hur vårdgivare hanterar patienthälsodata. Tyvärr är HIPAA: s riktlinjer vaga. Det finns ingen enkel checklista du kan använda för att hitta HIPAA -kompatibel programvara. Istället uppmanar HIPAA dig att skapa en uppsättning rutiner för att få tillgång till och skicka patienthälsoinformation. Du måste då hitta en mjukvaruleverantör vars programvara kan låta dig implementera dina procedurer.
Steg
Del 1 av 3: Skapa lämpliga förfaranden
Steg 1. Förvara en granskningslogg
Du måste spåra vem som får tillgång till en patientjournal. Det betyder att du måste skapa separata användarnamn och lösenord för varje person som har tillgång till patienthälsoinformation. Som en del av granskningsloggen bör du spåra följande:
- som registrerar användaren
- det datum då den öppnades
- om användaren tittade på informationen, uppdaterade den eller tog bort den
Steg 2. Skapa åtkomstnivåer
HIPAA kräver också att en anställd bara ser den "minsta nödvändiga" informationen för att göra sitt jobb. Till exempel kommer en läkare att behöva se mer hälsoinformation än en receptionist. Följaktligen måste du skapa åtkomstnivåer där du bara tillhandahåller så mycket information som varje person behöver för att göra sitt jobb.
- Vissa anställda kanske bara arbetar med vissa patienter. I denna situation bör de endast ges tillgång till patientjournalerna för de personer de arbetar med.
- För att lyckas skapa åtkomstnivåer måste du tydligt definiera roller i din organisation. Detta kan kräva att du tittar på arbetsbeskrivningar och ordnar om arbetsuppgifter.
Steg 3. Skapa en "nödöverträdelse" -funktion
Även om du skapar åtkomstnivåer kan det finnas situationer där någon behöver komma åt all information i en nödsituation. Av denna anledning bör du skapa en "åsidosättning" som gör att personen kan hämta all information som är nödvändig för att effektivt behandla patienter.
- Ändå bör du konfigurera din programvara så att användningen av denna åsidosättningsfunktion granskas.
- Du kan till exempel konfigurera programvaran så att varje gång någon använder överstyrningsfunktionen skickas flera andra personer automatiskt samtidigt. Programvaran bör också spåra vilken information som denna person får åtkomst till.
- Du bör också skriva ut en granskningsprocess för varje användning av åsidosättningsfunktionen. Till exempel kan personen som använder det behöva träffa en handledare senare för att motivera användningen.
Steg 4. Säkra dina data
HIPAA kräver att du håller dina data säkra. I praktiken innebär detta att du bör använda lösenord och hålla data säkra bakom en brandvägg.
- Du måste också se till att dina e -postmeddelanden är säkra. I synnerhet måste du använda tillräcklig krypteringsteknik för dina e -postmeddelanden.
- Mer information om hur du ser till att din e -post överensstämmer med HIPAA finns i Gör e -post HIPAA -kompatibel.
Steg 5. Skanna patientbehörighetsformulär
Du måste få patienter att underteckna formulär som godkänner din användning av deras information för deras vård. Varje formulär bör innehålla en beskrivning av vad du ska använda uppgifterna till och utgångsdatum.
- Du bör spåra dessa behörigheter, inklusive datum då formuläret undertecknades och namnet på personen som undertecknade det.
- Du bör också skanna formuläret och behålla en digital kopia.
Steg 6. Bekräfta att ditt faktureringssystem är kompatibelt
HIPAA standardiserade överföringen av faktureringsinformation. Av detta skäl måste det faktureringssystem du använder stödja HIPAA -standarderna.
Vid denna tidpunkt gör praktiskt taget alla faktureringssystem på marknaden. Ändå bör du bekräfta med din leverantör att den är HIPAA -kompatibel
Steg 7. Fråga leverantörer om säkerhetskopiering
HIPAA kräver också att du behåller dina uppgifter så att en patient kan se dem när han eller hon begär det. Detta innebär att du måste underhålla säkerhetskopior av all information. Om du behåller information på papper behöver du kopior lagrade utanför webbplatsen eller digitala skanningar. Om du lagrar data elektroniskt måste den säkerhetskopieras.
- Fråga leverantörer hur de säkerhetskopierar sina system. Ta reda på hur de säkerställer systemets kontinuitet i händelse av en olycka.
- Skulle du vara värd för datasystemet på dina egna servrar måste du ta reda på vilka säkerhetskopieringsprocedurer du har, liksom dina nödplaner.
Steg 8. Låt affärspartners skriva kontrakt
Alla som ser dina uppgifter måste gå med på att upprätthålla samma policyer och procedurer som din organisation. Du bör därför utarbeta ett "Business Associate" -avtal som alla leverantörer kan skriva på.
- Health and Human Services har ett provkontrakt tillgängligt på https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agference-provisions/index.html. Du kan ändra den för att passa dina ändamål.
- Det finns också provkontrakt på Internet. Till exempel har UT Health Science Center ett formulärkontrakt som du kan använda.
- Du bör också få din vårdgivare att se över alla avtal för att se till att det är tillräckligt för att skydda dig.
Del 2 av 3: Söka efter programvara och data leverantörer
Steg 1. Fråga andra vårdgivare
Om du öppnar ett företag måste du köpa programvara. Du kan också behöva anställa någon för att vara värd för dina data på deras servrar (eller för att säkerhetskopiera dina egna servrar).
Fråga andra leverantörer vilka leverantörer de använder. Nästan alla vårdgivare omfattas av HIPAA, så de borde ha funderat mycket på om deras programvara är kompatibel eller inte. Du bör be om rekommendationer
Steg 2. Jämför priser
Efter att ha fått rekommendationer för olika leverantörer måste du jämföra deras priser. Du bör ringa dem för att få en offert. Deras telefonnummer ska finnas på Internet.
- Priserna beror på antalet personer som behöver komma åt ditt system, så se till att du har det numret tillgängligt.
- Om ditt företag växer bör du tänka ett par år framåt. Om du till exempel har fem anställda men tror att du kommer att fördubblas så se till att du får en offert för hur mycket det kostar att ha 10 användare. Du vill inte byta programvara efter bara ett år.
Steg 3. Ta reda på hur leverantören övervakar förändringar i HIPAA
HIPAA -reglerna fortsätter att utvecklas. Du bör förvänta dig att säljaren följer med lagändringar. När du kontaktar leverantörer bör du fråga följande:
- Hur övervakar leverantören förändringar i HIPAA -reglerna? Har den en handlingsplan för att hålla jämna steg med lagändringar? Leta efter konkreta exempel. Har företaget en advokat i personalen som övervakar lagändringar?
- Hur stor andel av leverantörens kunder måste vara HIPAA -kompatibla? Om de flesta av företagets kunder måste följa HIPAA kan du vara säker på att det kommer att göra nödvändiga ändringar för att följa HIPAA-annars kommer det att gå ur drift.
Del 3 av 3: Förstå HIPAA: s krav
Steg 1. Kontrollera om HIPAA gäller dig
Du måste följa HIPAA om din organisation överför faktureringsinformation elektroniskt till något sjukförsäkringsbolag, inklusive Medicaid och Medicare. Informationen kan innehålla fakturor eller annan information som behövs för att hitta försäkringsskydd. Generellt reglerar HIPAA leverantörer av följande:
- terapi
- rådgivning
- Sjukvård
- någon annan tjänst som fakturerar försäkringsbolag
Steg 2. Hitta en vårdadvokat
HIPAA -reglerna är komplicerade och svåra att förstå. För att säkerställa att du uppfyller kraven bör du anlita en vårdadvokat för din organisation. En vårdadvokat kan hjälpa till att hantera riskhantering och regleringsfrågor. Du kan behålla denna person "på behållare", vilket innebär att du betalar en avgift varje månad. I utbyte är advokaten alltid tillgänglig för att svara på dina frågor.
- Du kan få rekommendationer för en vårdadvokat genom att fråga andra vårdgivare vem de använder. Om du inte får några rekommendationer kan du besöka din stats advokatsamfund, som bör köra ett remissprogram. Be om en remiss till en vårdadvokat.
- Var noga med att fråga advokaten om hans eller hennes erfarenhet. Du kommer att vilja ha någon som har stor erfarenhet av regelefterlevnad, inte bara att företräda företag i stämningar.
Steg 3. Var säker, inte ledsen
Tekniskt behöver du inte skapa användarnamn, åtkomstnivåer eller ens ha programvara i din organisation. I stället kräver HIPAA bara att du tar "rimliga steg" och endast avslöjar den "minsta nödvändiga" informationen. I praktiken måste du dock skapa procedurer för åtkomst och distribution av information som beskrivs ovan om du planerar att driva ett modernt kontor med datorer och e -post. Dessa procedurer hjälper dig att skydda dig från obehöriga avslöjanden av patientinformation.
- Påföljderna för att bryta mot HIPAA kan vara svåra. Du kan få upp till 50 000 dollar i böter för varje överträdelse, upp till högst 1,5 miljoner dollar varje år. Det finns också straffrättsliga straff för dem som medvetet bryter mot reglerna.
- Följaktligen är det bättre för dig att följa de metoder och förfaranden som håller på att bli standard i din bransch. Erfarna vårdadvokater och säljare kan vägleda dig i rätt riktning.
