Das HIPAA (Health Insurance Portability and Protection Act) der Bundesregierung schuf Richtlinien, wie Gesundheitsdienstleister mit Gesundheitsdaten umgehen. Leider sind die HIPAA-Richtlinien vage. Es gibt keine einfache Checkliste, die Sie zum Auffinden von HIPAA-konformer Software verwenden können. Stattdessen schreibt HIPAA vor, dass Sie eine Reihe von Verfahren zum Zugriff auf und Senden von Patientengesundheitsinformationen erstellen. Sie müssen dann einen Softwareanbieter finden, dessen Software Ihnen erlaubt, Ihre Prozeduren zu implementieren.

Erster Teil von Drei:
Erstellen von geeigneten Verfahren

  1. 1 Halten Sie ein Audit-Protokoll. Sie müssen verfolgen, wer auf die Patientenakte zugreift. Dies bedeutet, dass Sie für jede Person, die Zugriff auf die Gesundheitsdaten des Patienten hat, separate Benutzernamen und Kennwörter erstellen müssen. Als Teil des Überwachungsprotokolls sollten Sie Folgendes verfolgen:
    • welche den Benutzer aufzeichnen, auf den zugegriffen wurde
    • das Datum, an dem es aufgerufen wurde
    • ob der Benutzer die Informationen angezeigt, aktualisiert oder gelöscht hat
  2. 2 Erstellen Sie Zugriffsebenen. HIPAA verlangt auch, dass ein Mitarbeiter nur die "minimal notwendigen" Informationen sieht, um seine Arbeit zu erledigen. Zum Beispiel muss ein Arzt mehr Gesundheitsinformationen sehen als ein Rezeptionist. Dementsprechend müssen Sie Zugriffsebenen erstellen, in denen Sie nur so viel Informationen bereitstellen, wie jede Person für ihre Arbeit benötigt.
    • Manche Mitarbeiter arbeiten möglicherweise nur mit bestimmten Patienten. In dieser Situation sollten sie nur Zugang zu den Patientenakten für die Personen haben, mit denen sie arbeiten.
    • Um Zugriffsebenen erfolgreich zu erstellen, müssen Sie Rollen in Ihrer Organisation eindeutig definieren. Dies erfordert möglicherweise, dass Sie sich Stellenbeschreibungen ansehen und Aufgaben neu anordnen.
  3. 3 Erstellen Sie eine "Not-Override" -Funktion. Auch wenn Sie Zugriffsebenen erstellen, kann es Situationen geben, in denen im Notfall auf alle Informationen zugegriffen werden muss. Aus diesem Grund sollten Sie eine "Überschreibung" erstellen, die es der Person ermöglicht, alle Informationen abzurufen, die zur wirksamen Behandlung von Patienten erforderlich sind.
    • Nichtsdestoweniger sollten Sie Ihre Software so einrichten, dass die Verwendung dieser Übersteuerungsfunktion überprüft wird.
    • Zum Beispiel könnten Sie die Software so einrichten, dass jedes Mal, wenn jemand die Überschreibungsfunktion verwendet, automatisch mehrere andere Personen gleichzeitig per E-Mail gesendet werden. Die Software sollte auch verfolgen, auf welche Informationen diese Person zugreift.
    • Sie sollten auch einen Review-Prozess für jede Verwendung der Override-Funktion schreiben. Zum Beispiel muss die Person, die sie verwendet, sich möglicherweise später mit einem Vorgesetzten treffen, um die Verwendung zu rechtfertigen.
  4. 4 Sichern Sie Ihre Daten. HIPAA erfordert, dass Sie Ihre Daten sicher aufbewahren. In der Praxis bedeutet dies, dass Sie Passwörter verwenden und die Daten hinter einer Firewall sichern sollten.
    • Sie müssen auch sicherstellen, dass Ihre E-Mails sicher sind. Insbesondere müssen Sie eine ausreichende Verschlüsselungstechnologie für Ihre E-Mails verwenden.
    • Weitere Informationen zum Sicherstellen, dass Ihre E-Mail HIPAA-konform ist, finden Sie unter E-Mail HIPAA-konform.
  5. 5 Scannen Sie Patientenautorisierungsformulare. Sie müssen Patienten dazu bringen, Formulare zu unterzeichnen, die Ihre Verwendung ihrer Informationen für ihre Pflege autorisieren. Jedes Formular sollte eine Beschreibung enthalten, wofür Sie die Daten verwenden und das Ablaufdatum.
    • Sie sollten diese Berechtigungen verfolgen, einschließlich des Datums, an dem das Formular unterzeichnet wurde, und des Namens der Person, die es signiert.
    • Sie sollten das Formular auch scannen und eine digitale Kopie führen.
  6. 6 Bestätigen Sie, dass Ihr Abrechnungssystem kompatibel ist. HIPAA standardisierte die Übertragung von Rechnungsinformationen. Aus diesem Grund muss das verwendete Abrechnungssystem die HIPAA-Standards unterstützen.
    • Zu diesem Zeitpunkt ist praktisch jedes Abrechnungssystem auf dem Markt. Trotzdem sollten Sie mit Ihrem Lieferanten bestätigen, dass es HIPAA-konform ist.
  7. 7 Fragen Sie die Anbieter nach Backup. HIPAA erfordert auch, dass Sie Ihre Daten so pflegen, dass ein Patient sie jederzeit sehen kann, wenn er sie anfordert. Dies bedeutet, dass Sie Backups aller Informationen pflegen müssen. Wenn Sie Informationen auf Papier speichern, benötigen Sie Kopien, die extern gespeichert wurden, oder digitale Scans, die erstellt wurden. Wenn Sie Daten elektronisch speichern, müssen sie gesichert werden.
    • Fragen Sie die Anbieter, wie sie ihre Systeme sichern. Finden Sie heraus, wie sie im Falle eines Unfalls die Kontinuität des Systems gewährleisten.
    • Wenn Sie das Datensystem auf Ihren eigenen Servern hosten, müssen Sie herausfinden, welche Sicherungsverfahren Sie eingerichtet haben und welche Notfallpläne Sie haben.
  8. 8 Lassen Sie Geschäftspartner Verträge unterzeichnen. Jeder, der Ihre Daten sieht, muss sich damit einverstanden erklären, dieselben Richtlinien und Verfahren einzuhalten wie Ihre Organisation. Sie sollten daher einen "Business Associate" -Vertrag für alle Anbieter unterschreiben.
    • Health and Human Services hat einen Mustervertrag unter http://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html. Sie können es für Ihre Zwecke anpassen.
    • Es gibt auch Musterverträge im Internet. Zum Beispiel verfügt das UT Health Science Center über einen Formularvertrag, den Sie verwenden können.[1]
    • Sie sollten auch Ihren Gesundheitsanwalt über jeden Vertrag schauen lassen, um sicherzustellen, dass es ausreicht, um Sie zu schützen.

Zweiter Teil von Drei:
Suche nach Software und Datenanbietern

  1. 1 Fragen Sie andere Gesundheitsdienstleister. Wenn Sie ein Geschäft eröffnen, müssen Sie Software kaufen. Möglicherweise müssen Sie auch jemanden einstellen, der Ihre Daten auf ihren Servern hostet (oder Ihre eigenen Server sichert).
    • Fragen Sie andere Anbieter, welche Anbieter sie verwenden. Praktisch alle Gesundheitsdienstleister sind von HIPAA abgedeckt, daher sollten sie sich gründlich Gedanken gemacht haben, ob ihre Software kompatibel ist oder nicht. Sie sollten nach Empfehlungen fragen.
  2. 2 Vergleiche Preise. Nachdem Sie Empfehlungen für verschiedene Anbieter erhalten haben, müssen Sie ihre Preise vergleichen. Sie sollten sie anrufen, um ein Angebot zu erhalten.Ihre Telefonnummern sollten im Internet sein.
    • Die Preise hängen von der Anzahl der Personen ab, die auf Ihr System zugreifen müssen. Stellen Sie daher sicher, dass diese Nummer verfügbar ist.[2]
    • Wenn Ihr Unternehmen wächst, sollten Sie ein paar Jahre im Voraus denken. Wenn Sie zum Beispiel fünf Mitarbeiter haben, aber denken, dass Sie sich verdoppeln, stellen Sie sicher, dass Sie ein Angebot erhalten, wie viel es kostet, 10 Benutzer zu haben. Sie wollen die Software nicht nach nur einem Jahr wechseln.
  3. 3 Finden Sie heraus, wie der Anbieter Änderungen in HIPAA überwacht. HIPAA-Vorschriften entwickeln sich weiter. Sie sollten erwarten, dass der Anbieter mit Gesetzesänderungen Schritt hält. Bei der Kontaktaufnahme mit Lieferanten sollten Sie Folgendes fragen:
    • Wie überwacht der Anbieter Änderungen der HIPAA-Vorschriften? Hat es einen Aktionsplan, um mit Gesetzesänderungen Schritt zu halten? Suchen Sie nach konkreten Beispielen. Hat das Unternehmen einen Anwalt, der die Gesetzesänderungen überwacht?
    • Welcher Prozentsatz der Kunden des Anbieters muss HIPAA-konform sein? Wenn die meisten Kunden des Unternehmens sich an HIPAA halten müssen, können Sie sicher sein, dass sie die notwendigen Änderungen vornehmen wird, um die HIPAA zu erfüllen - andernfalls wird sie aus dem Geschäft ausscheiden.

Teil drei von drei:
Die Anforderungen von HIPAA verstehen

  1. 1 Überprüfen Sie, ob HIPAA für Sie gilt. Sie müssen HIPAA einhalten, wenn Ihre Organisation Rechnungsdaten elektronisch an eine Krankenkasse, einschließlich Medicaid und Medicare, übermittelt. Die Informationen können Rechnungen oder andere Informationen enthalten, die benötigt werden, um einen Versicherungsschutz zu finden. Im Allgemeinen reguliert HIPAA Anbieter von:
    • Therapie
    • Beratung
    • medizinische Versorgung
    • jede andere Dienstleistung, die Versicherungsunternehmen abrechnet
  2. 2 Finden Sie einen Gesundheitsanwalt. HIPAA-Regeln sind kompliziert und schwer zu verstehen. Um sicherzustellen, dass Sie in Übereinstimmung sind, sollten Sie einen Anwalt für Gesundheitsfürsorge für Ihre Organisation engagieren. Ein Anwalt des Gesundheitswesens kann helfen, Risikomanagement und regulatorische Fragen zu adressieren.[3] Sie können diese Person behalten, was bedeutet, dass Sie jeden Monat eine Gebühr bezahlen. Im Gegenzug steht Ihnen der Anwalt jederzeit zur Beantwortung Ihrer Fragen zur Verfügung.[4]
    • Sie können Empfehlungen für einen Anwalt der Gesundheitsfürsorge erhalten, indem Sie andere Gesundheitsdienstleister fragen, die sie verwenden. Wenn Sie keine Empfehlungen erhalten, können Sie die Rechtsanwaltskammer Ihres Staates besuchen, die ein Empfehlungsprogramm durchführen sollte. Fragen Sie nach einer Überweisung für einen Gesundheitsanwalt.
    • Fragen Sie den Anwalt nach seinen Erfahrungen. Sie werden jemanden mit umfassender Erfahrung in der Einhaltung gesetzlicher Vorschriften suchen, nicht nur bei der Vertretung von Unternehmen in Rechtsstreitigkeiten.
  3. 3 Sei sicher, nicht Entschuldigung. Technisch gesehen müssen Sie keine Benutzernamen, Zugriffsebenen oder sogar Software in Ihrer Organisation erstellen. Stattdessen verlangt HIPAA nur, dass Sie "angemessene Schritte" unternehmen und nur die "minimal notwendigen" Informationen offenlegen. Aus praktischen Gründen müssen Sie jedoch die Prozeduren für den Zugriff auf und die Verteilung der oben beschriebenen Informationen erstellen, wenn Sie ein modernes Büro mit Computern und E-Mail betreiben möchten. Diese Verfahren helfen Ihnen, sich vor unbefugten Offenlegungen von Patienteninformationen zu schützen.
    • Die Strafen für die Verletzung von HIPAA können schwerwiegend sein. Sie können eine Geldstrafe von 50.000 USD für jeden Verstoß bis zu einem Höchstbetrag von 1,5 Millionen USD pro Jahr zahlen. Es gibt auch Strafen für diejenigen, die wissentlich gegen die Regeln verstoßen.[5]
    • Dementsprechend sind Sie besser dran, die Praktiken und Verfahren zu befolgen, die in Ihrer Branche Standard werden. Erfahrene Anwälte und Verkäufer im Gesundheitswesen können Sie in die richtige Richtung führen.