Hur säkerställer jag HIPAA-efterlevnad?

Tony Jönsson
Tony Jönsson
11 min läsning
För att bäst säkerställa HIPAA-efterlevnad
För att bäst säkerställa HIPAA-efterlevnad, se till att dina policyer är allmänt tillämpliga på alla i din organisation som hanterar eller har tillgång till patientmedicinsk information.

Health Insurance Portability and Accountability Act (HIPAA) är en federal lag som kräver att känslig medicinsk information ska hållas säker och privat. Metoderna du använder för att organisera och hålla koll på patientens medicinska information måste överensstämma med HIPAA, annars kan du drabbas av hårda böter eller till och med förlust av professionella licenser. Individer och affärsföretag kan också behöva följa HIPAA under vissa omständigheter.

Del 1 av 4: säkra data

  1. 1
    Installera antivirusprogram. Att ha ett aktivt och modernt virusskydd i dina nätverk och alla datorer på det hjälper till att skydda patientens medicinska data.
    • Datorsäkerhet skyddar inte bara dina personers eller klienters integritet, det skyddar dig också från rättsligt ansvar om den informationen blir stulen eller släppts från din organisation.
    • Antivirusprogram säkerställer att dina data skyddas från att skadas eller förstöras av datavirus eller skadlig kod.
    • Om dina datorer har förinstallerade antivirusprogram, se till att de uppdateras regelbundet. Du bör också se till att alla nätverk du har skapat för dina kontor har tillräcklig säkerhet och antivirusskydd.
    • Om du någonsin har utsatts för ett datavirus vet du hur de kan förstöra filer och skada data i ditt system. Om de berörda filerna och uppgifterna innehöll privata medicinska data som skyddas av HIPAA, skulle du bryta mot lagen.
  2. 2
    Säkerhetskopiera regelbundet medicinska data. Att spara all data till en plats utanför platsen säkerställer att data är säkra och skyddade i händelse av hårddisk eller serverfel.
    • HIPAA täcker all hälsoinformation i vilken form som helst som identifierar patienten personligen. HIPAA: s säkerhetsriktlinjer säkerställer att patientens hälsoinformation inte hamnar i fel händer och inte ändras eller förstörs av misstag.
    • Säkerhetskopiera dina data på en plats utanför anläggningen säkerställer att privat medicinsk information skyddas från förlust eller korruption om en katastrof som en översvämning eller brand inträffar på kontoret.
    • Säkerhetskopior säkerställer också att alla filer eller data som raderas av misstag kan återställas.
    • Överväg också att skapa en beredskapsplan för att återställa data i händelse av en nödsituation eller oavsiktlig radering. En sådan plan bör skrivas ner så att den lätt kan genomföras vid behov.
  3. 3
    Kontrollera åtkomst till datorer. Alla maskiner med privat medicinsk information måste vara lösenordsskyddade och förvaras på säkra platser.
    • Du bör till exempel inte placera en dator i en hall eller ett område med hög trafik där någon annan än personal skulle ha tillgång till den.
    • Datorer bör ta slut efter en kort period av inaktivitet och lösenord måste hållas säkra. Personalen bör komma ihåg datorlösenord snarare än att lägga dem på eller i närheten av själva datorn.
    • Se till att anställda inte lämnar dokument som innehåller patientens privata medicinska data i skannrar, skrivare eller faxmaskiner.
    • Ditt datorsystem ska ha en granskningsspårningsfunktion på plats så att du kan ta fram historiken för en viss fil och ha ett register över varje anställd som öppnade filen, när de öppnade den och vilka ändringar som gjordes.
  4. 4
    Se till att ny utrustning är kompatibel med befintliga system. Om du får nya datorer eller annan utrustning måste du se till att den har samma skyddsnivåer på plats.
    • Du bör också se till att ny utrustning eller maskiner du tar i bruk har tillräckliga säkerhetsfunktioner själva.
    • Tänk på att en maskin kan ha lämplig säkerhet men inte är kompatibel med ditt nuvarande system. På samma sätt kan ny utrustning som är kompatibel med ditt befintliga system kräva uppgraderingar för att säkerställa att data är säkra.
  5. 5
    Kryptera e-post och elektronisk kommunikation. Genom att använda kryptering på e-post och mobila enheter kan det förhindra att patientens medicinska data avslöjas av misstag.
    • HIPAA förbjuder inte användningen av e-post eller mobila enheter för att överföra patientinformation, och det kräver inte heller specifikt att e-postmeddelanden ska krypteras. Kryptering kan dock införas ganska enkelt och är en kostnadseffektiv metod för att säkerställa att data är säkra.
    • Även om du inte krypterar dina e-postmeddelanden måste du ha en policy för hur privat patientinformation hanteras i e-postmeddelanden och mobila enheter.
    • För att avgöra om du ska använda kryptering för att följa HIPAA måste du göra en riskbedömning för att analysera om privat patientinformation riskerar att komma åt av obehöriga användare. Om risken är relativt hög bör du i allmänhet använda kryptering.
    • I de flesta fall är det bättre att göra en försiktighet och kryptera elektroniska data, även om det inte specifikt krävs av HIPAA.
    • Om du tillåter patienter att begära eller få tillgång till deras medicinska information via e-post eller en mobilapp, inkludera ett meddelande om avslöjande och se till att de förstår riskerna med att få tillgång till deras information på det sättet.
    • Om din organisation tillåter lagring av privat medicinsk information på mobila enheter bör du ha policyer för att skydda den informationen och reglera borttagningen av dessa enheter från ditt kontor.
    • Patientkontaktinformation måste också hållas säker, inklusive alla e- postlistor eller andra program som kan koppla namn eller e-postadresser till vissa mediciner eller typer av behandling.
  6. 6
    Krav på efterlevnad från IT-leverantörer. Om du har entreprenörer eller teknikföretag som servar eller underhåller dina system måste du se till att de förstår den säkerhet som krävs av HIPAA.
    • Håll en lista över all hårdvara, programvara och nätverkskomponenter som routrar som din organisation använder. Se till att alla har tillräcklig säkerhet på plats, till exempel kryptering eller brandväggar, när de installeras.
    • Du bör också se till att alla tekniska leverantörer som du avtalar med förstår HIPAA-kraven och är villiga att samarbeta med dig för att säkerställa att alla de separata komponenterna i dina datorsystem samordnas för att uppfylla säkerhetsstandarderna.
Uppgifterna innehöll privata medicinska data som skyddas av HIPAA
Om de berörda filerna och uppgifterna innehöll privata medicinska data som skyddas av HIPAA, skulle du bryta mot lagen.

Del 2 av 4: utveckla efterlevnadspolicyer

  1. 1
    Skapa integritets- och säkerhetspolicyer och procedurer. För att bäst säkerställa HIPAA-efterlevnad, se till att dina policyer är allmänt tillämpliga på alla i din organisation som hanterar eller har tillgång till patientmedicinsk information.
    • HIPAA kräver skriftliga policyer som inkluderar obligatorisk utbildning av anställda och sanktioner för policyöverträdelser.
    • Alla policyer och förfaranden ska dokumenteras noggrant skriftligen och vara allmänt tillgängliga för alla anställda.
    • Alla avtal du har med andra affärsföretag som kan hantera medicinska uppgifter måste också återspegla ett åtagande om HIPAA-efterlevnad. Om du har några existerande avtal som har genomförts innan lagen trädde i kraft, se till att de uppdateras så att den fortsatta relationen återspeglar HIPAA-kraven.
    • Tänk på att det inte finns någon policy som passar alla föreskrivna av HIPAA. Snarare måste du skapa policyer och procedurer som tar upp din organisations specifika integritets- och säkerhetsbehov.
  2. 2
    Utse sekretess- och säkerhetsansvariga för att säkerställa efterlevnad. Dina tjänstemän bör förstå och vara uppdaterade om alla aspekter av HIPAA.
    • HIPAA-säkerhetsstandarder kräver att du utser minst en person till att arbeta som din säkerhetschef. Den här personen behöver inte bara förståelse för de juridiska kraven utan också för just din organisations system och hur de fungerar tillsammans.
  3. 3
    Ge alla patienter din integritets- och säkerhetspolicy. Varje patient ska i allmänhet underteckna ett skriftligt dokument som bekräftar mottagandet av din organisations policy.
    • Ditt skriftliga meddelande måste förklara för patienterna deras rättigheter avseende deras hälsoinformation och berätta för dem hur deras hälsoinformation kommer att användas eller delas.
    • Förutom att ge patienterna en egen kopia av meddelandet, se till att du har meddelandet publicerat på en framträdande plats på ditt kontor så att vem som helst kan hänvisa till det efter behov.
    • Patienter är enligt lag inte skyldiga att underteckna formuläret, men om en patient vägrar att underteckna måste du göra en journal som visar att du inte fick hans eller hennes signatur.
    • Om du behöver dela patientens privata medicinska information av någon annan anledning än behandling eller fakturering måste du först få patientens auktorisation.
  4. 4
    Dokumentera alla överträdelser. Om en anställd inte följer din organisations policyer eller rutiner, bör han eller hon disciplineras i enlighet därmed och överträdelsen loggas.
    • Tänk på att om du inte dokumenterar något kommer du inte att kunna bevisa att det hände senare. Om ett brott mot protokollet eller säkerhetsgapet avslöjas måste du noggrant dokumentera hur problemet hittades och vilka åtgärder som vidtogs för att eliminera eller lindra risken.
    • Om säkerheten bryts måste du också meddela alla patienter vars information var inblandad.
    • Om överträdelsen drabbar mer än 500 patienter måste du också meddela större media i den stat eller region där dessa människor bor.
HIPAA kräver en skriftlig policy
HIPAA kräver en skriftlig policy, och denna måste delas med alla anställda som har tillgång till privat medicinsk information.

Del 3 av 4: utbildning av anställda

  1. 1
    Ge kopior av skriftliga riktlinjer och policyer till anställda. Varje anställd ska ha sin egen kopia av policyn för referens.
    • HIPAA kräver en skriftlig policy, och denna måste delas med alla anställda som har tillgång till privat medicinsk information.
    • Du bör granska och uppdatera dina policyer regelbundet för att överensstämma med HHS-föreskrifter eller åsikter.
    • Alla anställda måste utbildas och frågas om policyn och HIPAA-kraven innan de börjar arbeta med privat medicinsk information.
    • Tänk på att andra personer som kan ha tillgång till privat medicinsk information, inklusive volontärer eller praktikanter, också måste ha utbildning angående HIPAA-krav, även om du inte betalar dem eller anser att de är anställda.
  2. 2
    Genomföra regelbundna uppdateringskurser. Fortsatt utbildning säkerställer att dina anställda inte glömmer rätt rutiner.
    • HIPAA verkställs av Office for Civil Rights (OCR) vid US Department of Health & Human Services (HHS). Du kan begära en OCR-talare för att diskutera integritetsinformation om hälsoinformation med din personal genom att fylla i formuläret på HHS-webbplatsen.
    • Dokumentera ditt träningsarbete så att du kan visa för HHS att utbildningen är på plats och anställda som hanterar privat patientinformation förstår HIPAA: s krav.
  3. 3
    Kräva utbildning i ny policy. Om din policy ändras bör du se till att dina anställda får utbildning om ytterligare krav eller nya procedurer.
    • Personalen bör testas regelbundet för att säkerställa att de förstår HIPAAs integritets- och säkerhetsstandarder. Spara de gjorda testerna i varje anställds personalfil så att kopior finns tillgängliga för din OCR-revisor.
  4. 4
    Tillämpa standardförfaranden för policyöverträdelser. Anställda bör förstå konsekvenserna av överträdelser och disciplin bör tillämpas konsekvent och allmänt.
    • Anställda som bryter mot din integritetspolicy bör sanktioneras, och det bör inte finnas några undantag från dina procedurer. Att göra ett undantag skapar ett grått område angående hur säker patientinformation hålls och tolereras inte av HHS.
S säkerhetsriktlinjer säkerställer att patientens hälsoinformation inte hamnar i fel händer
HIPAA: s säkerhetsriktlinjer säkerställer att patientens hälsoinformation inte hamnar i fel händer och inte ändras eller förstörs av misstag.

Del 4 av 4: genomföra riskbedömningar

  1. 1
    Kontrakt med ett externt företag. Använd ett företag som inte är kopplat till din organisation för att genomföra dina riskbedömningar.
    • Företaget måste känna till HIPAA-kraven och köra tester med federala HIPAA-standarder och riktlinjer.
    • Eftersom du kommer att bli föremål för regelbundna revisioner från OCR, måste du föra register över det företag som du avtalar med och resultaten av riskbedömningen för granskning av revisorn.
  2. 2
    Schemalägg årliga riskbedömningar. Du bör låta företaget göra riskbedömningar minst en gång om året för att säkerställa att dina system överensstämmer.
    • Riskbedömningar är särskilt viktiga om du använder datorsystem som installerades innan HIPAA trädde i kraft. Nyare system är mer benägna att överensstämma med befintliga system som inte krävdes för att säkra data på något särskilt sätt.
    • Riskbedömningen bör jämföra dina datorsystem med den typ av system som krävs av HIPAA och identifiera eventuella luckor som inte omfattas av ditt system och som lagen kräver.
    • Även om din organisation har en hög nivå av efterlevnad kommer de bästa riskbedömningsföretagen att avslöja områden där ditt system kan förbättras.
  3. 3
    Uppdatera system för att hantera upptäckta risker. Om säkerhetsrisker upptäcks av bedömningen, vidta de åtgärder som är nödvändiga för att åtgärda problemet.
    • När revisioner görs av HIPAA eller nya regler utfärdas av HHS, bör du granska dina system och bestämma vilka ändringar som behöver göras för att säkerställa att du fortsätter att följa.
    • Om ett brott mot ditt säkerhetsprotokoll har inträffat bör du undersöka det omedelbart och dokumentera resultaten av den utredningen. Beroende på vilken typ av intrång som inträffat kan det vara nödvändigt att meddela de drabbade patienterna eller att meddela HHS eller andra myndigheter.
  4. 4
    Revidera policyer för att minimera risker. Vissa risker som upptäcks i din riskbedömning kan kräva att man utvecklar nya procedurer för att bäst säkerställa patientens medicinska data.
    • Om ändringar är nödvändiga för att säkerställa HIPAA-efterlevnad, se till att du kommunicerar med anställda som kommer att påverkas av förändringen och se till att de är ombord.
    • Kommunikation inom vissa avdelningar är viktigt, särskilt eftersom anställda som arbetar inom systemet regelbundet kan ha bättre idéer för hur man kan genomföra förändringen mer effektivt.

Tips

  • Om du inte är säker på om du måste följa HIPAA har HHS ett diagram tillgängligt på sin webbplats som kan hjälpa dig att avgöra om du kvalificerar dig som en "täckt enhet" enligt lagen.

Läs också: Hur söker jag efter asbestlagar och regler?

Läs också:

  1. Hur avbryter jag medicin?
  2. Hur får man rullstol genom Medicare?
  3. Hur lägger jag till en baby till sjukförsäkring?
Ansvarsfriskrivning Innehållet i denna artikel är för din allmänna information och är inte avsedd att ersätta professionell lag eller finansiell rådgivning. Det är inte heller avsett att lita på av användare när de fattar några investeringsbeslut.
Relaterade artiklar
  1. Hur kan jag förhindra stöld av journaler?Carl-Erik Holmgren
  2. Hur vinner jag en asbestuppgörelse?Borghild Norberg
  3. Hur ska man följa asbestbestämmelserna?Susann Holmgren
  4. Hur stämmer man för födelseskador?Catharina Samuelsson
  5. Hur får man informerat samtycke till en klinisk prövning?Erhard Holmqvist
  6. Hur kan jag försvara dig i en födelseskadestraff?Erhard Holmqvist
FacebookTwitterInstagramPinterestLinkedInGoogle+YoutubeRedditDribbbleBehanceGithubCodePenWhatsappEmail