HIPAA dalam "Singkatnya" – Pedoman untuk Kepatuhan Rekam Medis Dokumen EMR dan Kertas

HIPAA dalam “kata pendek”

Ada dua persyaratan aturan HIPAA; privasi (2003) dan keamanan (2005). Kedua aturan tersebut membutuhkan:

-Mengidentifikasi ancaman yang mungkin,

-Mengakui kerentanan tertentu,

-Menetapkan perlindungan yang layak dan layak dan

-Meningkatkan mekanisme dan kebijakan pertahanan yang diperlukan.

Menggunakan EMR (rekam medis elektronik) tidak memiliki hak dan kesalahan mutlak baik dalam peralatan komputer atau perangkat lunak untuk kepatuhan HIPAA. Biasanya ada empat area untuk diperiksa:

-Physical Security – dapatkah komputer Anda dengan data pasien dicuri?

-User Security – dapatkah seseorang masuk ke database pasien?

-System Security – apa yang terjadi pada hard drive crash?

Keamanan -Jaringan – dapatkah orang yang tidak sah di luar fasilitas Anda mengakses data pasien?

Menggunakan catatan medis kertas menimbulkan pertanyaan serupa:

-Physical Security – seberapa aman file dari kebakaran dan pencurian?

-User Security – kontrol akses dan pencatatan apa yang ada?

-System Security – apa yang terjadi dalam kebakaran atau banjir?

Akses-Penyimpanan – apakah file-file di tempat terkunci dan aman?

Ada hukuman HIPAA

Hukuman moneter sipil mencapai $ 100 per orang per pelanggaran dan hingga $ 25.000 per tahun total untuk jenis pelanggaran yang sama. Ada 30 hari untuk memperbaiki masalah jika tidak melalui pengabaian yang disengaja.

Hukuman pidana adalah untuk "penyalahgunaan" dan untuk memperoleh atau menggunakan informasi kesehatan dengan "kepura-puraan palsu" atau dengan maksud untuk menjual, mentransfer atau menggunakannya untuk keuntungan komersial, keuntungan pribadi atau bahaya berbahaya. Hukuman ini hingga $ 250.000 dan lima tahun penjara.

Saat ini tidak ada badan penegakan yang efektif.

Kepatuhan HIPAA "aturan jempol"

Dengan EMR sebagian besar persyaratan adalah akal sehat dan penyedia tidak perlu terlalu khawatir tetapi memang membutuhkan beberapa langkah dasar seperti:

-Letakkan server komputer Anda di ruang aman, terkunci,

-Gunakan EMR dengan manajemen dan izin pengguna,

-Membuat back-up reguler dan menyimpannya di tempat yang aman dan

-Melaksanakan spesialis komputer.

Sebagian besar praktik medis dan klinik menggunakan catatan kertas harus membuat perubahan fisik agar sesuai dengan HIPPA. Jika Anda terus menggunakan kertas maka ada banyak sekali kerumitan fisik yang perlu dipertimbangkan:

-Cara memantau akses staf,

-Perlindungan kebakaran dan banjir (asuransi tidak cukup)

-A rencana bencana (yang telah didokumentasikan dan dipraktekkan.)

Akhirnya, jika ada kasus hukum yang diajukan penyedia untuk melindungi diri mereka harus memiliki jejak bagaimana informasi individu pasien diakses. Untuk catatan kertas, ini berarti paling tidak lembar keluar yang dimonitor dan untuk penebangan EMR akses file pasien.

HIPAA Dan Cara Itu Akan Mempengaruhi Kantor Anda

Informasi ini dirancang untuk membantu Anda lebih memahami HIPAA dan membantu kantor Anda untuk mematuhi HIPAA. Informasi diperoleh dari berbagai sumber dan tidak dimaksudkan sebagai nasihat hukum. Jika Anda mengalami kesulitan memahami bagian apa pun dari peraturan HIPAA, Anda harus berkonsultasi dengan penasihat hukum Anda.

Pertama, tidak ada polisi HIPAA. Tidak ada yang akan datang ke kantor Anda untuk memeriksa Anda untuk melihat apakah Anda mematuhi HIPAA. Keluhan harus diajukan agar ada tindakan yang harus diambil.

Apa itu HIPAA?

HIPAA adalah singkatan dari Asuransi Kesehatan Portabilitas dan Akuntabilitas Act. Itu diberlakukan oleh pemerintah federal pada tahun 1996 sebagai bagian dari upaya reformasi kesehatan. HIPAA dimaksudkan untuk memastikan kerahasiaan semua informasi perawatan kesehatan terkait pasien. Ini juga dimaksudkan untuk menyederhanakan proses administrasi perawatan kesehatan, sehingga mengurangi biaya dan beban administrasi perawatan kesehatan.

Satu hal yang perlu diingat adalah bahwa UU HIPAA menggunakan kata "masuk akal" beberapa kali. Anda dan staf kantor Anda harus melakukan apa pun yang wajar untuk melindungi privasi pasien Anda. Misalnya, kantor medis yang lebih kecil tidak harus mengambil tindakan privasi yang sama seperti yang dilakukan oleh rumah sakit besar. Itu tidak masuk akal.

Juga, tidak ada "polisi privasi." Tidak ada yang akan datang dan memeriksa kantor Anda secara acak. Seseorang harus mengajukan keluhan terlebih dahulu. Keluhan akan ditangani oleh Kantor Hak Sipil. Jika seseorang mengajukan keluhan, maka itu akan diselidiki. Denda sangat tinggi, sehingga Anda akan ingin memastikan bahwa kantor Anda memiliki praktik privasi yang baik dan bahwa mereka diikuti sepanjang waktu.

Hal lain yang perlu diingat adalah bahwa jenis latihan Anda dapat menentukan tingkat privasi yang perlu Anda peroleh. Misalnya, pasien di kantor dokter mata mungkin tidak peduli tentang orang yang mengetahui mereka ada di sana, dibandingkan dengan pasien di kantor kesehatan mental.

Ada beberapa komponen berbeda dari HIPAA, masing-masing memiliki tanggal pelaksanaannya sendiri.

Bagian 2: Komponen Privasi: tanggal pelaksanaan: April 2002

1. Anda harus melakukan segala hal dengan alasan untuk melindungi privasi pasien Anda.

2. File dan informasi pasien harus disimpan di bagian aman kantor Anda, bagian yang tidak dapat diakses oleh pasien lain.

3. Grafik tidak boleh dibiarkan tergeletak di sekitar, terbuka di mana seseorang dapat membacanya.

4. Jika Anda membuat panggilan telepon tentang pasien atau pasien, Anda harus melakukannya dari area di mana Anda tidak dapat mendengar jika Anda akan memberikan informasi pribadi. Misalnya, jika Anda menelepon perusahaan asuransi mereka, dan Anda akan mengatakan nama depan dan belakang pasien, tanggal lahir, ID #, dan / atau diagnosis, maka Anda tidak ingin melakukannya di tempat orang lain, mungkin dalam ruang tunggu, dapat mendengar Anda.

5. Jika bagan pasien dihapus dari kantor Anda harus memiliki kebijakan di tempat. Sebagai contoh, Anda harus memiliki lembar keluar yang menyatakan nama pasien, tanggal diambil, oleh siapa, dan kemudian masuk kembali ketika grafik dikembalikan.

6. Jika grafik dihapus, mereka harus dibawa dalam sebuah kasus yang ditandai "rahasia – rekam medis." Jika Anda pernah terlibat dalam kecelakaan, atau terpisah dari tas karena alasan apa pun, baik pihak berwenang atau petugas medis akan mengamankan informasi untuk Anda. Atau Anda setidaknya melakukan apa pun yang masuk akal untuk melindungi informasi itu.

7. Jika layar komputer berada dalam posisi yang dapat dilihat pasien, Anda mungkin ingin memindahkannya, atau mendapatkan penutup layar. Penutup layar membuatnya sehingga layar komputer hanya bisa dibaca ketika tepat di depannya.

Di atas hanya beberapa hal yang perlu Anda pertimbangkan ketika menjadi HIPAA compliant. Setiap kantor akan memiliki wilayah sendiri yang perlu ditinjau. Di atas adalah banyak area umum.

Bagian 3: Penyederhanaan Administratif: tanggal kepatuhan: Oktober 2002

Komponen ini memerlukan standarisasi transmisi data, atau EDI, dan kode prosedur / diagnosis.

Untuk standardisasi kode prosedur / diagnosis, ini berarti Anda harus menggunakan kode CPT-4 untuk kode prosedur dan kode ICD-9 untuk kode diagnosis.

Adapun standardisasi EDI, yang mengacu pada tagihan elektronik Anda. Untuk mengirimkan klaim Anda secara elektronik, Anda harus melakukannya dalam format yang sesuai dengan HIPAA.

Bagian 4: Komponen Keamanan: belum ada tanggal implementasi

Komponen ini mengharuskan profesional perawatan kesehatan, Layanan Penagihan, dan rumah kliring mengambil tindakan pengamanan yang tepat untuk memastikan bahwa informasi kesehatan yang berkaitan dengan seseorang tetap aman dan tidak dapat diakses oleh orang lain.

Hal yang perlu dipertimbangkan:

Di mana mesin faks Anda? Apakah di tempat di mana hanya staf kantor yang dapat mengakses faks masuk? Apakah itu 24 jam sehari? Ketika Anda tidak di kantor (setelah jam kantor) dapatkah orang lain mengakses mesin faks Anda?

Setiap kali Anda mengirim informasi pribadi tentang pasien, Anda harus menggunakan lembar sampul faks dengan pernyataan kerahasiaan. Pernyataan tersebut harus menjelaskan bahwa faks berikut ini berisi informasi medis pribadi dan bahwa jika faks diterima oleh siapa pun selain pihak yang dimaksud, bahwa faks harus dihancurkan dan mereka harus memberi tahu Anda bahwa itu telah diterima karena kesalahan.

Apakah Anda menyewa petugas kebersihan / awak? Apakah mereka di kantor ketika Anda tidak? Apakah mereka memiliki akses ke informasi pribadi pasien? Anda mungkin ingin meminta mereka untuk menandatangani pernyataan kerahasiaan.

Apakah Anda menyewa ruang kantor? Jika ya, apakah tuan tanah Anda memiliki akses ke kantor Anda? Apakah mereka pernah memasuki kantor Anda tanpa kehadiran Anda? Jika mereka melakukannya, Anda mungkin ingin meminta mereka untuk menandatangani pernyataan kerahasiaan.

Dengan meminta orang-orang yang memiliki akses ke kantor Anda untuk menandatangani pernyataan kerahasiaan, Anda melakukan upaya yang wajar untuk melindungi privasi pasien Anda. Tidak selalu masuk akal untuk tidak pernah mengizinkan siapa pun mengakses ke area yang berisi informasi pribadi. Jika orang-orang itu menandatangani perjanjian dan kemudian melanggar perjanjian itu, Anda tidak akan bertanggung jawab.

Jika Anda melakukan bisnis apa pun melalui email, Anda harus menggunakan layanan enkripsi. Ini akan memastikan bahwa jika ada orang yang mencegat email Anda, mereka tidak akan bisa membacanya.

Bagian 5: Petugas Privasi

Semua kantor harus menunjuk "petugas privasi" yang dimandatkan. Orang ini akan bertanggung jawab untuk memastikan semua staf dilatih HIPAA dan kebijakan privasi diketik dan diikuti. Mereka juga akan menjadi orang yang anggota staf atau pasien dapat pergi dengan keprihatinan atau pertanyaan tentang kepatuhan HIPAA. Bahkan jika Anda adalah praktik yang sangat kecil, Anda HARUS memiliki seseorang yang ditunjuk sebagai petugas privasi. Bahkan mungkin Dokter itu sendiri.

Bagian 6: Pelepasan Informasi Pasien / Persetujuan

Anda harus memiliki persetujuan tertulis pasien untuk melepaskan setiap catatan / informasi mereka.

(Pengecualian: Jika permintaan adalah karena perawatan segera / mendesak pasien.)

Anda harus meninjau formulir izin dan otorisasi Anda saat ini untuk memastikan bahwa mereka mematuhi HIPAA. HIPAA mengharuskan Anda untuk mendapatkan persetujuan untuk penggunaan dan pengungkapan informasi dari setiap pasien Anda. Anda dapat menolak untuk mengobati pasien yang tidak akan menandatangani formulir persetujuan.

Bagian 7: Pengenal Unik: Belum ada tanggal implementasi

HIPAA akan mengamanatkan penggunaan pengenal unik. Lebih lanjut tentang komponen ini. Kemungkinan besar Anda akan memiliki satu nomor penyedia nasional, bukan nomor penyedia yang berbeda untuk setiap perusahaan asuransi.

Bagian 8: Kebijakan dan Prosedur yang Dibutuhkan oleh HIPAA

1. Identifikasi orang-orang di staf Anda yang memerlukan akses ke informasi kesehatan yang dilindungi.

2. Mencegah akses ke informasi kesehatan yang dilindungi oleh orang yang tidak berwenang.

3. Pastikan bahwa jumlah informasi "minimum diperlukan" dirilis untuk pengungkapan rutin (hanya rilis informasi yang berkaitan dengan apa yang diminta, bukan seluruh file pasien.)

4. Verifikasi identitas pemohon informasi.

5. Menyediakan akses pasien ke catatan mereka, peluang untuk meminta koreksi, dan akses ke dan akuntansi pengungkapan.

6. Setiap kantor harus memiliki kebijakan tertulis mengenai praktik privasi.

Ringkasan

Evaluasilah kantor fisik Anda untuk potensi risiko privasi dan keamanan. Salah satu hal terbaik yang dapat Anda lakukan untuk menjadi "siap" untuk HIPAA adalah berjalan melalui (lebih baik lagi – memiliki orang lain berjalan melalui) kantor Anda seolah-olah Anda seorang pasien. Lihatlah sekeliling SEMUANYA. Apa yang kamu lihat? Apakah Anda melihat informasi pribadi pasien, grafik dalam tampilan lengkap? Mulailah dari depan pintu, dan masuki setiap ruangan di kantor Anda, terutama kamar-kamar yang dapat diakses pasien. Kemudian lanjutkan untuk melakukan pemeriksaan berkala untuk memastikan kepatuhan yang berkelanjutan.

Pastikan bahwa Anda memiliki kebijakan tertulis mengenai praktik privasi apa pun, seperti menghapus grafik dari kantor, mengirim faks ke informasi pasien, meninjau semua keluhan dari pasien, dll. Selain itu, pastikan Anda menunjuk "petugas privasi."

Pastikan semua anggota staf dilatih mengenai kebijakan HIPAA. Ingatlah untuk melatih setiap karyawan baru tentang kebijakan HIPAA. Anda juga harus meninjau kebijakan HIPAA Anda saat ini secara teratur.