การปฏิบัติตาม HIPAA คืออะไรและเหตุใดจึงสำคัญ

เผยแพร่แล้ว: 2021-06-22

HIPAA หมายถึงอะไร?

HIPAA คืออะไรกันแน่ และคุณในฐานะบริษัทต้องทำอย่างไรเพื่อให้ถูกต้องตามกฎหมายที่เกี่ยวข้อง

HIPAA ย่อมาจาก Health Insurance Portability and Accountability Act ซึ่งผ่านการสภาคองเกรสเมื่อปี 1996

HIPAA ได้รับการปรับปรุงและสร้างขึ้นตั้งแต่นั้นมา โดยเฉพาะอย่างยิ่งกับพระราชบัญญัติ HITECH ปี 2009 (เทคโนโลยีสารสนเทศด้านสุขภาพสำหรับสุขภาพทางเศรษฐกิจและคลินิก) และกฎ Omnibus 2013

สิ่งเหล่านี้ร่วมกันขยายความรับผิดต่อผู้ร่วมธุรกิจและผู้รับเหมาช่วงตลอดจนการคุ้มครองที่เข้มงวดยิ่งขึ้นเกี่ยวกับวิธีการใช้ PHI ในด้านการตลาดและการขาย

แม้ว่า HIPAA จะเกี่ยวข้องกับหลายด้าน รวมถึงความคุ้มครองด้านสุขภาพสำหรับผู้ที่สูญเสียหรือเปลี่ยนงานและข้อกำหนดเกี่ยวกับภาษี จุดสนใจหลักของเราอยู่ที่หัวข้อ II ของกฎหมาย ซึ่งเกี่ยวกับการแลกเปลี่ยน ความปลอดภัย และความเป็นส่วนตัวของข้อมูลด้านสุขภาพและ สิ่งที่เกี่ยวข้องกับธุรกิจส่วนใหญ่ในเรื่องการปฏิบัติตามข้อกำหนด

มาดูรายละเอียดทั้งหมดที่คุณต้องรู้เกี่ยวกับ HIPAA และกุญแจสู่ความสำเร็จสำหรับการปฏิบัติตาม HIPAA กัน

Impact สมัครแบนเนอร์บล็อก

วัตถุประสงค์ของ HIPAA คืออะไร?

ตามที่เราเพิ่งระบุไว้ HIPAA มีวัตถุประสงค์หลายประการนอกเหนือจากการปกป้องข้อมูล—โดยเฉพาะที่เกี่ยวข้องกับการปฏิรูปกฎหมายการประกันสุขภาพ

อย่างไรก็ตาม สำหรับองค์กรส่วนใหญ่ที่ทำการวิจัย HIPAA เป้าหมายหลักของพวกเขาคือการรู้ว่าต้องทำอะไรเพื่อให้สอดคล้องกับกฎระเบียบและหลีกเลี่ยงค่าปรับที่เกิดจากการไม่ปฏิบัติตาม

ขอบเขตของ HIPAA นี้เกี่ยวข้องกับการปกป้องข้อมูลและความเป็นส่วนตัวที่เกี่ยวข้องกับการเปิดเผยและการใช้ข้อมูลด้านสุขภาพที่ได้รับการคุ้มครองหรือ PHI

การปฏิบัติตาม HIPAA และความปลอดภัยของ PHI มีความสำคัญต่อองค์กรด้านสุขภาพในปัจจุบัน

ภาพผู้ชายยื่นมือพร้อมคำว่า HIPAA ด้านบน | HIPAA คืออะไร?

ใครบ้างที่ต้องปฏิบัติตาม HIPAA?

เอนทิตีที่ต้องปฏิบัติตาม HIPAA เรียกว่าเอนทิตีที่ได้รับการคุ้มครอง

นิติบุคคลที่ได้รับความคุ้มครองคือบุคคลหรือบริษัทที่จัดเก็บ จัดการ และประมวลผล PHI

หน่วยงานที่ได้รับความคุ้มครอง นอกเหนือจากการปฏิบัติตาม HIPAA แล้ว ยังมีหน้าที่ในการรายงานการละเมิดที่เกี่ยวข้องอีกด้วย

บุคคลและองค์กรต่อไปนี้เป็นนิติบุคคลที่ได้รับการคุ้มครอง:

ผู้ให้บริการด้านสุขภาพ

  • แพทย์
  • คลินิก
  • นักจิตวิทยา
  • ทันตแพทย์
  • หมอจัดกระดูก
  • บ้านพักคนชรา
  • ร้านขายยา
  • แผนสุขภาพ

บริษัทประกันสุขภาพ

  • HMOs
  • แผนสุขภาพของบริษัท
  • แผนประกันสุขภาพของรัฐบาล

สำนักหักบัญชีการดูแลสุขภาพ

  • สิ่งเหล่านี้เป็นหน่วยงานที่อำนวยความสะดวกในการประมวลผลข้อมูลด้านสุขภาพที่ไม่เป็นมาตรฐานลงในองค์ประกอบข้อมูลมาตรฐาน สิ่งเหล่านี้เป็นตัวกลางระหว่างผู้ให้บริการด้านการดูแลสุขภาพและผู้จ่ายประกันอย่างมีประสิทธิภาพ

ผู้ร่วมธุรกิจ

  • “ผู้ร่วมธุรกิจ” สร้าง รับ รักษา หรือส่งข้อมูลด้านสุขภาพที่ได้รับการคุ้มครอง (PHI) ในนามของนิติบุคคลที่ได้รับการคุ้มครองหรือผู้ร่วมธุรกิจรายอื่นที่ทำหน้าที่เป็นผู้รับเหมาช่วง

ผู้รับเหมาช่วง

  • ผู้รับเหมาช่วงที่สร้าง รักษา หรือส่งข้อมูลด้านสุขภาพที่ได้รับการคุ้มครอง (PHI) ในนามของผู้ร่วมธุรกิจมีหน้าที่รับผิดชอบทางกฎหมายเช่นเดียวกับผู้ร่วมธุรกิจภายใต้ HIPAA กล่าวอีกนัยหนึ่ง ความรับผิดชอบทางกฎหมายที่เกี่ยวข้องกับความเป็นส่วนตัวและความปลอดภัยจะไหล "ปลายน้ำ" ไปยังผู้รับเหมาช่วงที่ทำงานให้กับผู้ร่วมธุรกิจ

เอนทิตีไฮบริด

  • เอนทิตีไฮบริดดำเนินการทั้งฟังก์ชันที่ครอบคลุมและไม่ครอบคลุม HIPAA โดยเป็นส่วนหนึ่งของธุรกิจ บริษัทขนาดใหญ่ที่มีแผนประกันสุขภาพแบบประกันตนเองสำหรับพนักงานอาจเลือกรับการปฏิบัติเสมือนเป็นนิติบุคคลแบบผสมผสาน ตัวอย่างอื่นๆ เช่น มหาวิทยาลัยที่มีศูนย์การแพทย์หรือร้านขายของชำที่มีร้านขายยา

PHI ครอบคลุมอะไร?

ข้อมูลสุขภาพส่วนบุคคล (PHI) หมายถึงข้อมูลประชากรใด ๆ ที่สามารถใช้เพื่อระบุผู้ป่วย ลูกค้า หรือหน่วยงานอื่น ๆ

มีตัวระบุ 18 ตัวที่สร้างข้อมูลเกี่ยวกับสุขภาพที่ถือว่าเป็น PHI เหล่านี้คือ:

  1. ชื่อ
  2. วันที่ยกเว้นปี
  3. ข้อมูลทางภูมิศาสตร์
  4. หมายเลขแฟกซ์
  5. หมายเลขประกันสังคม
  6. ที่อยู่อีเมล
  7. หมายเลขเวชระเบียน
  8. เลขที่บัญชี
  9. หมายเลขผู้รับผลประโยชน์แผนสุขภาพ
  10. ใบรับรอง/หมายเลขใบอนุญาต
  11. ตัวระบุยานพาหนะและหมายเลขประจำเครื่อง รวมถึงหมายเลขทะเบียนรถ
  12. หมายเลขโทรศัพท์
  13. URL ของเว็บ
  14. ตัวระบุอุปกรณ์และหมายเลขซีเรียล
  15. ที่อยู่อินเทอร์เน็ตโปรโตคอล (IP)
  16. ภาพถ่ายเต็มหน้าและภาพที่เปรียบเทียบได้
  17. ตัวระบุไบโอเมตริกซ์ (เช่น ลายนิ้วมือ)
  18. ตัวเลขหรือรหัสใด ๆ ที่ระบุตัวบุคคลได้โดยไม่ซ้ำกัน

นี่คือประเภทของข้อมูลและข้อมูลที่ต้องได้รับการปกป้องเพื่อให้สอดคล้องกับ HIPAA

สิ่งที่ถือเป็นการละเมิด HIPAA?

การละเมิด HIPAA เกิดขึ้นเมื่อหน่วยงานไม่ปฏิบัติตามข้อกำหนด และมีหลายร้อยวิธีที่บุคคลและองค์กรสามารถฝ่าฝืนการปฏิบัติตาม HIPAA ได้

การละเมิด HIPAA ทั่วไปมักจะเกี่ยวข้องกับข้อใดข้อหนึ่งต่อไปนี้:

  • การเปิดเผยโดยไม่ได้รับอนุญาต ไม่ได้รับอนุญาต หรือโดยไม่จำเป็นของPHI
  • การเข้าถึงPHI .โดยไม่ได้รับอนุญาต
  • การกำจัด PHI . อย่างไม่ถูกต้อง
  • ขาดการประเมินความเสี่ยงที่ดำเนินการโดยนิติบุคคล
  • ขาดการบริหารความเสี่ยงในเรื่อง PHI
  • ความล้มเหลวในการสร้างข้อตกลงการปฏิบัติตาม HIPAA กับบุคคลที่สามเมื่อให้การเข้าถึงPHI
  • ความล้มเหลวในการให้ความรู้ด้านความปลอดภัยของการฝึกอบรม HIPAA แก่พนักงาน
  • พี ขโมย
  • การแบ่งปัน PHI โดยไม่ได้รับอนุญาตล่วงหน้า
  • การจัดการที่ไม่ถูกต้อง/การส่งจดหมายของPHI .ที่ไม่เหมาะสม
  • ความล้มเหลวในการแจ้งให้บุคคลทราบถึงเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับ PHI ภายใน 60 วันหลังจากค้นพบการละเมิด
  • ไม่มีเอกสารของโปรโตคอลการปฏิบัติตามขั้นตอน ขั้นตอน และการจัดการ

จะเกิดอะไรขึ้นหาก HIPAA ถูกละเมิด?

การละเมิด HIPAA เกิดขึ้นเมื่อแง่มุมใด ๆ ของมาตรฐานและข้อกำหนด HIPAA ถูกฝ่าฝืน

คุณสามารถดูระเบียบข้อบังคับ HIPAA ทั้งหมดที่เผยแพร่โดย Department of Health and Human Services Office for Civil Rights ได้ที่นี่

หากมีการรายงานการละเมิด นิติบุคคลที่ได้รับความคุ้มครองจะต้องได้รับโทษ ไม่ว่าจะเป็นทางแพ่งหรือทางอาญา บทลงโทษอาจแตกต่างกันอย่างมากขึ้นอยู่กับการละเมิด

โดยทั่วไป กระทรวงสาธารณสุขและบริการมนุษย์ของสหรัฐฯ (OCR) จะสอบสวนการละเมิด และพวกเขาจะสอบสวนหน่วยงานที่ครอบคลุมทั้งหมดซึ่งรายงานการละเมิดมากกว่า 500 รายการ

หาก OCR ตัดสินว่าคดีใดคดีหนึ่งเป็นคดีอาญามากกว่าคดีแพ่ง พวกเขาจะส่งต่อไปยังกระทรวงยุติธรรม

ในกรณีส่วนใหญ่ บุคคลสามารถคาดหวังที่จะจ่าย $100 ต่อการละเมิด; การละเมิดซ้ำอาจทำให้ถูกปรับสูงถึง 25,000 เหรียญ

ในกรณีที่บุคคลแสดงเจตนาละเลยกฎระเบียบ HIPAA และไม่ได้พยายามแก้ไขนโยบายและขั้นตอนของตน อาจมีโทษปรับขั้นต่ำ 50,000 ดอลลาร์ สูงสุด 1.5 ล้านดอลลาร์

ในคดีอาญา อาจมีโทษน้อยกว่า 50,000 ดอลลาร์และจำคุกไม่เกินหนึ่งปี โดยปรับ 250,000 ดอลลาร์และโทษจำคุกสูงสุด 10 ปี

สำหรับการดำเนินคดีทางแพ่ง การละเมิดจะถูกแบ่งออกเป็นระดับ โดย 4 คือระดับที่ร้ายแรงที่สุด

พวกเขามีดังนี้:

  • ระดับที่ 1: การละเมิดที่หน่วยงานที่ได้รับการคุ้มครองไม่ทราบและไม่สามารถหลีกเลี่ยงได้
  • ระดับที่ 2: การละเมิดที่หน่วยงานที่ได้รับการคุ้มครองควรทราบแต่ไม่สามารถหลีกเลี่ยงได้
  • ระดับที่ 3: การละเมิดที่เกิดขึ้นโดยเป็นผลโดยตรงจากการจงใจละเลย แต่เป็นการพยายามแก้ไขการละเมิด
  • ระดับที่ 4: การละเมิดที่เป็นการละเลยโดยจงใจ โดยที่ไม่มีการพยายามแก้ไขการละเมิด

บทลงโทษสำหรับการไม่ปฏิบัติตาม HIPAA สำหรับแต่ละระดับมีดังนี้:

  • ระดับที่ 1: ปรับขั้นต่ำ $100 ต่อการละเมิดสูงสุด $50,000
  • ระดับที่ 2: ปรับขั้นต่ำ 1,000 ดอลลาร์ต่อการละเมิดสูงสุด 50,000 ดอลลาร์
  • ระดับที่ 3: ปรับขั้นต่ำ 10,000 ดอลลาร์ต่อการละเมิดสูงสุด 50,000 ดอลลาร์
  • ระดับที่ 4: ปรับขั้นต่ำ $50,000

การดำเนินคดีอาญามีความแตกต่างกันเล็กน้อย โดยมีสามระดับและการลงโทษที่รุนแรงกว่าการดำเนินคดีทางแพ่ง

พวกเขามีดังนี้:

  • ระดับที่ 1: เหตุอันสมควรหรือไม่มีความรู้เรื่องการละเมิด
  • ระดับที่ 2: การได้รับ PHI ภายใต้การเสแสร้ง
  • ระดับที่ 3: การรับ PHI เพื่อผลประโยชน์ส่วนตัวหรือโดยเจตนาร้าย

บทลงโทษทางอาญา:

  • ระดับที่ 1: จำคุกไม่เกินหนึ่ง (1) ปี
  • ระดับที่ 2: จำคุกไม่เกินห้า (5) ปี
  • ระดับที่ 3: จำคุกสูงสุด 10 ปี

ภาพผู้ชายยื่นมือพร้อมคำว่า HIPAA ด้านบน | HIPAA คืออะไร?

ฉันสามารถได้รับการรับรอง HIPAA ได้หรือไม่?

ในขณะที่เขียนสิ่งนี้ไม่มีการรับรองหรือการตรวจสอบการปฏิบัติตาม HIPAA

บุคคลที่สามอาจเสนอรูปแบบ "การรับรอง HIPAA" แต่ไม่มีการรับรองที่ได้รับการรับรองหรือได้รับคำสั่งอย่างเป็นทางการจาก HHS

ไม่มีข้อกำหนดมาตรฐานหรือการใช้งานที่ต้องมีหน่วยงานที่ครอบคลุมเพื่อ "รับรอง" การปฏิบัติตามข้อกำหนด มาตรฐานการประเมิน § 164.308(a)(8) กำหนดให้หน่วยงานที่ได้รับความคุ้มครองต้องดำเนินการประเมินทางเทคนิคและไม่ใช่ทางเทคนิคเป็นระยะ ซึ่งกำหนดขอบเขตที่นโยบายและขั้นตอนการรักษาความปลอดภัยของเอนทิตีตรงตามข้อกำหนดด้านความปลอดภัย สำนักงานสิทธิพลเมือง (OCR)

ดังนั้น แม้ว่าจะไม่มีการรับรอง HIPAA แต่ MSSP บุคคลที่สามจำนวนมากสามารถทำการประเมินเป็นระยะได้เมื่อจำเป็น และรับรองว่าคุณปฏิบัติตาม HIPAA

เจ้าหน้าที่ HIPAA คืออะไร?

เจ้าหน้าที่ HIPAA เป็นเจ้าหน้าที่กำกับดูแลการปฏิบัติตามกฎระเบียบ

ไม่ว่าพวกเขาจะอยู่ในบริษัทหรือจ้างเป็นบุคคลที่สาม งานหลักของพวกเขาคือเพื่อให้แน่ใจว่าการปฏิบัติตาม HIPAA ของคุณโดยตรวจสอบให้แน่ใจว่ามีการบังคับใช้โปรโตคอลความปลอดภัยและความเป็นส่วนตัวของคุณสำหรับข้อมูล PHI อย่างถูกต้อง

ในกรณีที่ไม่มีนโยบายดังกล่าว เจ้าหน้าที่ HIPAA จะรับผิดชอบในการพัฒนาและดำเนินการตามแผนการปฏิบัติตามสำหรับบุคคลหรือองค์กร

จากนั้นพวกเขาจะรับผิดชอบในการบำรุงรักษาและติดตามโปรแกรม ตรวจสอบและรายงานในกรณีที่จำเป็นตามกฎหมาย และทำให้แน่ใจว่าข้อมูลผู้ป่วยหรือลูกค้าได้รับการปกป้องตามที่กฎหมายของรัฐและรัฐบาลกลางกำหนด

กุญแจสู่ความสำเร็จสำหรับการปฏิบัติตาม HIPAA คืออะไร?

หากคุณเคยอ่านบทความนี้ (หรืออ่านคร่าวๆ) แล้วรู้สึกว่าชีพจรของคุณเต้นแรงขึ้นเล็กน้อยเมื่อดูบทลงโทษสำหรับการไม่ปฏิบัติตามกฎ ก็ไม่ต้องกังวล

ไม่จำเป็นต้องดำเนินการมากนักเพื่อให้แน่ใจว่าคุณปฏิบัติตาม HIPAA แต่แน่นอนว่ามีกุญแจสู่ความสำเร็จสำหรับการปฏิบัติตาม HIPAA ซึ่งองค์กรต่างๆ จะต้องปฏิบัติตามเป็นอย่างดี

ขั้นแรก คุณควรหาผู้ให้บริการความปลอดภัยที่มีการจัดการซึ่งทำการประเมิน HIPAA เพื่อตรวจสอบระบบของคุณเพื่อให้สอดคล้องกับ HIPAA

เมื่อพวกเขาได้ดำเนินการประเมินความเสี่ยงแล้ว พวกเขาจะสามารถแนะนำและดำเนินการใช้งานที่จำเป็นเพื่อให้แน่ใจว่าคุณกำลังทำทุกอย่างที่เป็นไปได้เพื่อรักษาการปฏิบัติตามข้อกำหนด

การประเมินความเสี่ยง HIPAA คืออะไร?

โพสต์ที่เกี่ยวข้อง: จะเกิดอะไรขึ้นระหว่างการตรวจสอบความเสี่ยงด้านความปลอดภัยทางไซเบอร์

การตรวจสอบการปฏิบัติตามข้อกำหนดของ HIPAA เป็นการประเมินที่ดำเนินการโดยเจ้าหน้าที่การปฏิบัติตามกฎระเบียบ ซึ่งจะเจาะลึกลงไปในระบบและโปรโตคอลความปลอดภัยของคุณ

ขั้นแรก พวกเขาจะต้องร่วมมือกับคุณในการกำหนดขอบเขตของการตรวจสอบ ซึ่งส่วนใหญ่เกี่ยวข้องกับภาระหน้าที่ของคุณ (ในกรณีนี้ HIPAA เป็นลำดับความสำคัญหลัก แม้ว่าคุณอาจต้องปฏิบัติตามกฎระเบียบอื่นๆ ด้วย)

จากนั้นพวกเขาจะจัดทำกำหนดการสำหรับการตรวจสอบและดำเนินการในขั้นต่อไป การดำเนินการ ส่วนนี้เกี่ยวข้องกับการสแกนช่องโหว่ การทดสอบการเจาะระบบ และการวิเคราะห์ช่องว่าง

ในกรณีของการประเมินความเสี่ยงสำหรับการปฏิบัติตาม HIPAA การวิเคราะห์ช่องว่างจะมีความจำเป็น เนื่องจากนี่คือจุดที่เจ้าหน้าที่การปฏิบัติตามกฎระเบียบของ HIPAA จะอธิบายรายละเอียดว่าต้องทำอะไรเพื่อให้คุณหรือบริษัทของคุณปฏิบัติตาม

เมื่อการตรวจสอบการปฏิบัติตามข้อกำหนดของ HIPAA สิ้นสุดลง เจ้าหน้าที่การปฏิบัติตามกฎระเบียบจะให้คำแนะนำ และคุณจะได้รับความเข้าใจที่ชัดเจนเกี่ยวกับสิ่งที่ต้องทำ

คุณอาจใช้โอกาสนี้ในการมอบหมายการนำคำแนะนำเหล่านี้ไปใช้กับ MSSP ซึ่งในกรณีนี้ คุณสามารถลงนามในสัญญาระยะยาวกับพวกเขาได้ ซึ่งทำให้คุณสามารถดำเนินธุรกิจต่อไปได้ในขณะที่ผู้ให้บริการรักษาความปลอดภัยที่มีการจัดการดูแลการปฏิบัติตามข้อกำหนด .

หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการปฏิบัติตามข้อกำหนด HIPAA และสิ่งที่ผู้ให้บริการรักษาความปลอดภัยที่มีการจัดการสามารถทำอะไรให้คุณได้ โปรดดูที่ หน้าบริการการปฏิบัติตามข้อกำหนด ของเรา