De Health Insurance Portability and Protection Act (HIPAA) van de federale overheid heeft richtlijnen opgesteld voor de manier waarop zorgverleners omgaan met gezondheidsgegevens van patiënten. Helaas zijn de HIPAA-richtlijnen vaag. Er is geen gemakkelijke checklist die u kunt gebruiken om HIPAA-compatibele software te vinden. In plaats daarvan schrijft HIPAA voor dat u een reeks procedures maakt voor het openen en verzenden van gezondheidsinformatie van patiënten. U moet dan een softwareleverancier vinden wiens software u in staat stelt uw procedures te implementeren.
Stappen
Deel 1 van 3: Passende procedures creëren
Stap 1. Houd een auditlogboek bij
U moet bijhouden wie toegang heeft tot het dossier van een patiënt. Dit betekent dat u aparte gebruikersnamen en wachtwoorden moet aanmaken voor elke persoon die toegang heeft tot gezondheidsinformatie van patiënten. Als onderdeel van het auditlogboek moet u het volgende bijhouden:
- welke record de gebruiker heeft geopend
- de datum waarop het is geopend
- of de gebruiker de informatie heeft bekeken, bijgewerkt of verwijderd
Stap 2. Maak toegangsniveaus
HIPAA vereist ook dat een werknemer alleen de "minimaal noodzakelijke" informatie ziet om zijn werk te doen. Een arts zal bijvoorbeeld meer gezondheidsinformatie moeten zien dan een receptioniste. Dienovereenkomstig moet u toegangsniveaus creëren, waarin u slechts zoveel informatie verstrekt als elke persoon nodig heeft om zijn werk te doen.
- Sommige medewerkers werken mogelijk alleen met bepaalde patiënten. In deze situatie zouden ze alleen toegang moeten krijgen tot de patiëntendossiers van de mensen met wie ze werken.
- Om met succes toegangsniveaus te creëren, moet u de rollen in uw organisatie duidelijk definiëren. Dit kan betekenen dat u naar functiebeschrijvingen moet kijken en taken moet herschikken.
Stap 3. Maak een functie "noodopheffing" aan
Zelfs als u toegangsniveaus instelt, kunnen er situaties zijn waarin iemand in een noodgeval toegang moet hebben tot alle informatie. Om deze reden moet u een "override" maken waarmee de persoon alle informatie kan ophalen die nodig is om patiënten effectief te behandelen.
- Desalniettemin dient u uw software zo in te stellen dat het gebruik van deze override-functie nauwkeurig wordt gecontroleerd.
- U kunt de software bijvoorbeeld zo instellen dat elke keer dat iemand de override-functie gebruikt, automatisch meerdere andere mensen tegelijkertijd worden gemaild. De software moet ook bijhouden welke informatie deze persoon gebruikt.
- U moet ook een beoordelingsproces uitschrijven voor elk gebruik van de override-functie. De persoon die het gebruikt, moet bijvoorbeeld later een supervisor ontmoeten om het gebruik te rechtvaardigen.
Stap 4. Beveilig uw gegevens
HIPAA vereist dat u uw gegevens veilig bewaart. In de praktijk betekent dit dat je wachtwoorden moet gebruiken en de gegevens achter een firewall moet bewaren.
- U moet er ook voor zorgen dat uw e-mails veilig zijn. In het bijzonder moet u voldoende coderingstechnologie gebruiken op uw e-mails.
- Zie E-mail HIPAA-compatibel maken voor meer informatie om ervoor te zorgen dat uw e-mail voldoet aan HIPAA.
Stap 5. Scan machtigingsformulieren voor patiënten
U moet patiënten formulieren laten ondertekenen waarmee u toestemming geeft voor het gebruik van hun informatie voor hun zorg. Elk formulier moet een beschrijving bevatten van waarvoor u de gegevens gaat gebruiken en de vervaldatum.
- U dient deze machtigingen bij te houden, inclusief de datum waarop het formulier is ondertekend en de naam van de persoon die het ondertekent.
- U dient het formulier ook te scannen en een digitale kopie bij te houden.
Stap 6. Bevestig dat uw factureringssysteem compatibel is
HIPAA heeft de verzending van factuurgegevens gestandaardiseerd. Om deze reden moet elk factureringssysteem dat u gebruikt de HIPAA-normen ondersteunen.
Op dit moment doet vrijwel elk factureringssysteem op de markt dat. Desalniettemin moet u bij uw leverancier bevestigen dat deze HIPAA-compatibel is
Stap 7. Vraag leveranciers naar back-up
HIPAA vereist ook dat u uw gegevens bewaart zodat een patiënt deze kan zien wanneer hij of zij daarom verzoekt. Dit betekent dat u back-ups moet maken van alle informatie. Als u informatie op papier bewaart, heeft u kopieën nodig die extern zijn opgeslagen of digitale scans. Als u gegevens elektronisch opslaat, moet er een back-up van worden gemaakt.
- Vraag leveranciers hoe ze een back-up van hun systemen maken. Ontdek hoe ze de continuïteit van het systeem verzekeren bij een ongeval.
- Als u het datasysteem op uw eigen servers host, dan moet u weten welke back-upprocedures u heeft en wat uw noodplannen zijn.
Stap 8. Laat zakenpartners contracten ondertekenen
Iedereen die uw gegevens ziet, moet ermee instemmen hetzelfde beleid en dezelfde procedures te handhaven als uw organisatie. U moet daarom een "Business Associate"-contract opstellen dat alle leveranciers moeten ondertekenen.
- Health and Human Services heeft een voorbeeldcontract beschikbaar op https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html. U kunt het aanpassen aan uw doeleinden.
- Op internet zijn ook voorbeeldcontracten te vinden. Zo heeft het UT Health Science Center een formulier contract dat je kunt gebruiken.
- U moet ook uw zorgadvocaat elk contract laten bekijken om er zeker van te zijn dat het voldoende is om u te beschermen.
Deel 2 van 3: Zoeken naar software- en gegevensleveranciers
Stap 1. Vraag andere zorgverleners
Als u een bedrijf opent, moet u software aanschaffen. Mogelijk moet u ook iemand inhuren om uw gegevens op hun servers te hosten (of om een back-up van uw eigen servers te maken).
Vraag andere providers welke leveranciers ze gebruiken. Vrijwel alle zorgaanbieders vallen onder HIPAA, dus ze hadden er goed over moeten nadenken of hun software compliant is. Je moet om aanbevelingen vragen
Stap 2. Vergelijk prijzen
Nadat u aanbevelingen voor verschillende leveranciers hebt gekregen, moet u hun prijzen vergelijken. Je moet ze bellen voor een offerte. Hun telefoonnummers moeten op internet staan.
- De prijzen zijn afhankelijk van het aantal mensen dat toegang tot uw systeem nodig heeft, dus zorg ervoor dat u dat aantal bij de hand heeft.
- Als uw bedrijf groeit, moet u een paar jaar vooruit denken. Als u bijvoorbeeld vijf werknemers heeft, maar denkt dat u in omvang zult verdubbelen, zorg er dan voor dat u een offerte krijgt voor hoeveel het kost om 10 gebruikers te hebben. Je wilt niet na een jaar van software wisselen.
Stap 3. Ontdek hoe de leverancier veranderingen in HIPAA bewaakt
De HIPAA-regelgeving blijft zich ontwikkelen. Je mag van de verkoper verwachten dat hij de wetswijzigingen bijhoudt. Als u contact opneemt met leveranciers, moet u het volgende vragen:
- Hoe controleert de leverancier veranderingen in de HIPAA-regelgeving? Heeft zij een plan van aanpak om de wetswijzigingen bij te houden? Zoek naar concrete voorbeelden. Heeft het bedrijf een advocaat in dienst die toezicht houdt op wetswijzigingen?
- Welk percentage van de klanten van de leverancier moet HIPAA-compatibel zijn? Als de meeste klanten van het bedrijf aan HIPAA moeten voldoen, kunt u er zeker van zijn dat het de nodige wijzigingen zal aanbrengen om aan HIPAA te voldoen, anders gaat het failliet.
Deel 3 van 3: De vereisten van HIPAA begrijpen
Stap 1. Controleer of HIPAA op u van toepassing is
U moet voldoen aan HIPAA als uw organisatie factureringsinformatie elektronisch verzendt naar een zorgverzekeraar, inclusief Medicaid en Medicare. De informatie kan facturen of andere informatie bevatten die nodig is om verzekeringsdekking te vinden. Over het algemeen reguleert HIPAA aanbieders van het volgende:
- therapie
- begeleiding
- medische zorg
- elke andere dienst die verzekeringsmaatschappijen factureert
Stap 2. Zoek een advocaat in de gezondheidszorg
HIPAA-regels zijn ingewikkeld en moeilijk te begrijpen. Om ervoor te zorgen dat u zich aan de regels houdt, moet u een advocaat in de gezondheidszorg voor uw organisatie inhuren. Een advocaat in de gezondheidszorg kan helpen bij het aanpakken van risicobeheer en regelgevingskwesties. U kunt deze persoon "op provisie" houden, wat betekent dat u elke maand een vergoeding betaalt. In ruil daarvoor is de advocaat altijd beschikbaar om uw vragen te beantwoorden.
- U kunt aanbevelingen krijgen voor een advocaat in de gezondheidszorg door andere zorgverleners te vragen wie zij gebruiken. Als u geen aanbevelingen krijgt, kunt u een bezoek brengen aan de orde van advocaten van uw staat, die een verwijzingsprogramma zou moeten uitvoeren. Vraag om een verwijzing naar een advocaat in de gezondheidszorg.
- Vraag de advocaat zeker naar zijn of haar ervaring. U wilt iemand die uitgebreide ervaring heeft met het naleven van regelgeving, niet alleen met het vertegenwoordigen van bedrijven in rechtszaken.
Stap 3. Wees veilig, geen spijt
Technisch gezien hoeft u geen gebruikersnamen, toegangsniveaus of zelfs software in uw organisatie te maken. In plaats daarvan vereist HIPAA alleen dat u "redelijke stappen" neemt en alleen de "minimaal noodzakelijke" informatie vrijgeeft. Desalniettemin moet u in de praktijk de hierboven beschreven procedures voor toegang tot en verspreiding van informatie opstellen als u van plan bent een modern kantoor te runnen met computers en e-mail. Deze procedures helpen u te beschermen tegen ongeoorloofde openbaarmaking van patiëntgegevens.
- De straffen voor het overtreden van HIPAA kunnen streng zijn. U kunt voor elke overtreding een boete van $ 50.000 krijgen, tot een maximum van $ 1,5 miljoen per jaar. Er zijn ook strafrechtelijke sancties voor degenen die willens en wetens de regels overtreden.
- Daarom kunt u beter de praktijken en procedures volgen die in uw branche standaard worden. Ervaren advocaten en leveranciers in de gezondheidszorg kunnen u in de juiste richting begeleiden.
