نظارت بر رعایت HIPAA

پروتکل HIPAA چیست؟

پروتکل HIPAA چیست؟

منظور از پروتکل HIPAA چیست؟

HIPAA یا Health Insurance Portability and Accountability Act به معنی قانون قابلیت انتقال و مسئولیت بیمه سلامت میباشد. این قانون در سال 1996 تصویب شده است. HIPAA سلسله ای از استانداردهای نظارتی است که طرح افشای قانونی اطلاعات بهداشتی محافظت شده (PHI) و استفاده از آن را ارائه میدهد. پروتکل HIPAA توسط سازمان سلامت و سرویس های انسانی (HHS) تنظیم و توسط دفتر حقوق شهروندی (OCR) اجرا شده است.

نقش OCR در حفظ پروتکل پزشکی HIPAA در قالب یک راهنما در مورد مسائل جدید موثر بر مراقبت های بهداشتی و بررسی تخلف های رایج HIPAA است.

پروتکل HIPAA از طریق مجموعه ای از قوانین نظارتی به هم پیوسته، به یک فرهنگ زنده تبدیل شده است. که سازمان های مراقبت بهداشتی باید از آنها برای حفظ حریم خصوصی، امنیت و یکپارچگی اطلاعات بهداشتی محافظت شده، استفاده کنند.

اطلاعات بهداشتی محافظت شده (PHI) چیست؟

 

 

PHI- اطلاعات محافظت شده سلامت

اطلاعات بهداشتی محافظت شده یا PHI، به هر گونه اطلاعات جمعیتی گفته میشود که از آن برای شناسایی بیمار یا مراجعه کننده به یک نهاد HIPAA، استفاده میشود. نمونه های متداول PHI شامل نام، آدرس، شماره تلفن، شماره امنیت اجتماعی، سوابق پزشکی، اطلاعات مالی و عکس کامل از صورت می باشد.

انتقال، ذخیره سازی یا دسترسی به PHIبه صورتی الکترونیکی و تحت نظارت استاندارد های نظارتی HIPAA قرار دارد. همچنین به عنوان اطلاعات سلامت الکترونیکی محافظت شده یا ePHI شناخته میشود.

ePHI توسط قانون امنیت HIPAA تنظیم میشود. که به عنوان یک ضمیمه برای ایجاد تغییرات در فناوری پزشکی وضع شده است.

 

چه کسانی باید از HIPPA پیروی کنند؟

دو سازمان زیر حتما باید از قوانین HIPAA پیروی کنند:

 

نهادهای تحت پوشش (Covered Entities):

یک نهاد تحت پوشش با مقررات HIPAA است که شامل هر سازمانی است که PHI را به صورت الکترونیکی جمع آوری، ایجاد یا منتقل میکند. سازمان های مراقبت های بهداشتی که نهادهای تحت پوشش محسوب می شوند، شامل ارائه دهندگان مراقبت های بهداشتی، دفاتر خدمات درمانی، و ارائه دهندگان بیمه سلامت است.

 

مشارکت تجاری (Business Associates):

یک مشارکت یا همکاری تجاری طبق مقررات HIPAA، به عنوان یک سازمان تعریف می شود که به هر نحوی در طول کار با PHI مواجه می شود. که برای انجام آن به نمایندگی از یک نهاد تحت پوشش قرارداد بسته شده است. مثال های بسیاری از مشارکت های تجاری به دلیل گستردگی ارائه دهندگان خدمات وجود دارد که ممکن است PHI را اداره، منتقل یا پردازش کند.

 

نمونه های متداول از همکاری تجاری تحت تاثیر قوانین HIPAA :

شرکت های صدور صورت حساب، شرکت های مدیریت عملی، مشاوران third-party یا سوم شخص، سیستم عامل های EHR، ارائه دهندگان IT (فناوری اطلاعات)، MSP ها، شرکت های فکس، شرکت های shredding (خرد کردن کاغذ)، ارائه دهندگان ذخیره سازی فیزیکی، ارائه دهندگان فضای ذخیره سازی ابری، خدمات میزبانی ایمیل، وکیل ها، حسابداران و موارد بسیار دیگر.

قوانین HIPAA

قوانین HIPAA انواع مختلفی دارد که از 20 سال قبل تصویب شده اند. این قوانین عبارتند از:

 

  • قانون حفظ حریم خصوصی HIPAA:

قانون حفظ حریم خصوصی HIPAA استانداردهای ملی حقوق بیماران را در PHI تعیین میکند. این قانون فقط در مورد اشخاص تحت پوشش اعمال میشود. یعنی شامل مشاغل تجاری نمیشود. برخی از استاندارد های مشخص شده در قانون حفظ حریم خصوصی HIPAA به این صورت هستند: حقوق بیماران برای دسترسی به PHI، حق ارائه دهندگان مراقبت های بهداشتی برای عدم دسترسی به PHI، محتویات استفاده و افشای فرم های انتشار HIPAA و اطلاعیه های شیوه های حفظ حریم خصوصی و … . تمام استانداردهای نظارتی باید در خط مشی ها (Policies) و رویه های (Procedures) سازمان ثبت شوند. همه کارکنان باید سالانه درمورد این خط مشی ها و رویه ها با گواهی مستند آموزش ببینند.

 

  • قانون امنیتی HIPAA:

قانون امنیت HIPAA، استانداردهای ملی را برای نگهداری، انتقال و مدیریت امن eHPI ها تعیین می کند. این قانون به دلیل اشتراک احتمالی eHPI در  نهاد های تحت پوشش و مشارکت های تجاری نیز اعمال می شود. قانون امنیت استانداردهای یکپارچه و ایمن eHPI، از جمله ضوابط فیزیکی، اداری و فنی را که باید در هر سازمان مراقبت بهداشتی وجود داشته باشد، را مشخص میکند. مشخصات آیین نامه باید در خط مشی ها و رویه های سازمان HIPAA مستندسازی و ثبت شود. همچنین کارکنان باید به صورت سالانه درمورد این سیاست ها و رویه ها همراه با گواهی مستند، آموزش ببینند.

 

  • قانون اطلاع رسانی نقض HIPAA:

قانون هشدار یا اطلاع رسانی نقض HIPAA، مجموعه ای از استانداردها ست. که نهاد ها و مشارکت های تجاری باید در صورت داشتن نقض داده های حاوی PHI یا ePHI، آنها را رعایت کنند. این قانون برای تعیین گزارشات تخلف، مقررات مختلفی را  بر اساس دامنه و اندازه ارائه میدهد. سازمان ها موظفند همه نقض ها را به HHS OCR گزارش دهند. در حالی که پروتکل های خاص گزارش دهی با توجه به نوع نقض تغییر میکنند.

 

  • قانون HIPAA Omnibus:

قانون HIPAA Omnibus به منظور اعمال HIPAA برای مشارکت های تجاری و نهاده های تحت پوشش، وضع شده است. این قانون حکم میکند که مشارکت های تجاری با HIPAA مطابقت داشته باشند. همچنین قوانین پیرامون موافقت نامه های مشاغل تجاری (BAA) را نیز مشخص می کند. BAA ها، قراردادهایی هستند که قبل از انتقال یا اشتراک هرگونه PHI یا ePHI باید بین یک نهاد تحت پوشش و شریک تجاری یا بین دو شریک تجاری، اجرا شوند.

 

پروتکل HIPAA به چه چیزهایی نیاز دارد؟

 

الزامات استفاده از HIPAA

 

قوانین HIPAA مجموعه ای از استانداردهای ملی است که تمام واحدهای تحت پوشش و مشارکت های تجاری باید به آن توجه کنند:

  • تایید سالیانه:

HIPAA از اشخاص تحت پوشش میخواهد که سالانه سازمان خود را برای ارزیابی از نظر اداری، فنی و فیزیکی مطابق با استانداردهای حریم خصوصی و امنیتی HIPAA انجام دهند.

 

  • برنامه های بهبود دهنده:

هنگامی که واحدهای تحت پوشش و مشارکت های تجاری شکاف های خود را در رعایت این خود بازرسی ها تشخیص میدهند. باید به فکر اجرای برنامه های اصلاحی را برای رفع نقض رعایت قوانین، باشند. برنامه های اصلاحی باید کاملا مستندسازی شده باشند. همچنین باید شامل تاریخ های تقویمی باشد که طی آن، شکاف ها برطرف می شوند.

 

  • خط مشی ها، رویه ها، آموزش کارکنان:

واحدهای تحت پوشش و مشارکت های تجاری باید سیاست ها و رویه های مطابق با استانداردهای نظارتی HIPAA را که در قوانین HIPAA مشخص شده است، را تدوین کنند. این سیاست ها و رویه ها باید مرتبا به روز شوند تا تغییرات در سازمان محاسبه شود. برای آموزش سالانه کارکنان در مورد این خط مشی ها و رویه ها، همراه با گواهی مستند کارکنان نیاز است. که این مستندات مبنی بر اینکه کارکنان هر یک از سیاست ها و رویه های سازمان را خوانده و درک کرده اند، میباشد.

 

  • مستندسازی:

سازمانهای طرفدار HIPAA باید تمام تلاش هایی را که برای پیروی از HIPAA انجام میدهند را ثبت کنند. این مستندات در طول تحقیقات HIPAA با HHS OCR برای گذراندن تایید سالیانه HIPAA، بسیار مهم است.

 

  • مدیریت بازرگانی:

نهاد های تحت پوشش و مشارکت های تجاری باید همه فروشندگانی را که با آنها PHI مشترک هستند را به هر نحوی ثبت کنند. سپس برای اطمینان از مدیریت امن PHI و کاهش مسئولیت، قراردادهای مشاغل تجاری را اجرا کنند. BAA ها باید به صورت سالانه مورد بررسی قرار بگیرند تا تغییرات ماهیت روابط سازمانی با فروشندگان را در نظر بگیرند. همچنین BAA ها باید قبل از به اشتراک گذاری هر گونه PHI، اجرا شوند.

 

  • مدیریت حوادث:

در صورتی که یک نهاد تحت پوشش یا شریک تجاری دارای نقض داده باشد. برای ثبت این نقض به یک فرایند نیاز است. تا به کمک آن به بیماران اطلاع دهد که داده های آنها مطابق با قانون هشدار نقض HIPAA به خطر افتاده است.

 

بستن