Zatímco HIPAA získává veškerou pozornost v zdravotnictví, je důležité pochopit, co konkrétně požaduje HITECH – zejména s ohledem na to, že HITECH vyžaduje, abyste nejen chránili chráněné informace o zdraví (PHI), ale také je digitalizovali a elektronicky sdíleli také s pacienty a lékaři. Firmy také potřebují pochopit způsob, jakým společnost HITECH mění a zesiluje požadavky HIPAA, a přijít s řešením šifrování souborů a e-mailové shody, které mohou řešit obě sady požadavků.

Základní informace o shodě HITECH

HITECH , nebo zákon o zdravotnických informačních technologiích pro ekonomické a klinické zdraví, je zákon z roku 2009 vytvořený s cílem povzbudit organizace k „podpoře přijetí a smysluplného používání“ elektronických zdravotních záznamů (EHR). HITECH zavádí pobídky pro digitalizaci lékařských záznamů a jejich používání ke zlepšování kvalita zdravotní péče a pokuty za nedostatečné využívání EHR.

Zákon o HITECH také zpřísnil tresty a změnil vymáhání porušování zákona HIPAA a vytvořil čtyři úrovně porušování s rostoucími tresty, a to až maximální pokuta 1,5 milionu USD. Z důvodu HITECH podléhají subjekty pokutám, i když nevěděly, že došlo k porušení, i když jsou tato porušení v nejnižší kategorii. HITECH také umožňuje organizovat ionty, aby unikly trestům, pokud k porušení nedojde kvůli zanedbání, a jsou napraveny do 30 dnů.

Cíle dodržování předpisů HITECH

Konečným cílem společnosti HITECH je podpora používání bezpečných, interoperabilních EHR v celých USA Má tři fáze smysluplného používání, které vyžaduje větší nasazení EHR a záruky kvality a zabezpečení.

Pravidla 1. fáze se do určité míry liší v závislosti na profesionálovi nebo organizaci; krytí zdravotničtí pracovníci musí splňovat 15 základních cílů, 5 z 10 cílů „nabídky“ a 6 opatření klinické kvality (CQM). Nemocnice mají 15 základních, 5 nabídek a 15 CQM. Poskytovatelé budou osvobozeni od splnění nepoužitelných standardů – například chiropraktici nemusíte používat elektronické předepisování, protože nepíšou recepty.

Mezi hlavní cíle patří opatření ke zvýšení kvality medicíny, jako je kontrola interakcí s léky a zaznamenávání a mapování vitálních funkcí, jakož i cíle smysluplného použití, jako je nasazení a zabezpečení EHR.

HITECH Fáze 2 vyžaduje, aby poskytovatelé začali EHR používat sofistikovaným způsobem. Pro zajištění souladu s HITECH musí poskytovatelé používat EHR nebo počítačové prostředky k:

• Podporujte alespoň pět klinických rozhodnutí
• Zaznamenejte více než 60% receptů a 30% laboratorních i radiologických objednávek
• Přenášejte více než 50% receptů
• Přenášet záznamy o péči při převozu pacientů
• Poskytovat vzdělávání specifické pro pacienta n více než 10% pacientů
• Sestavte a ověřte přesný seznam léků při převozu pacientů
• Poskytněte pacientům online přístup k jejich zdravotním záznamům
• Poskytněte pacientům způsob, jak bezpečně komunikovat online, a
• sledovat imunizaci a další údaje o veřejném zdraví.

Elektronické zabezpečení je prvním cílem pro dodržování předpisů HITECH 2. fáze. Šifrování, analýza bezpečnostních rizik a aktualizace zabezpečení jsou specificky pověřeny „Chránit informace o zdraví pacientů.“

Fáze 3 HITECH se stále vyvíjí a program jako celek se neustále vyvíjí. Co se nebude změnou je však nutnost použití EHR ke zlepšení zdravotní péče a dobré zabezpečení k ochraně záznamů pacientů.

Soulad HITECH a HIPAA

HITECH vyžaduje, aby poskytovatelé prošli certifikací HIPAA podle standardy pravidla Omnibus. Jak již bylo zmíněno výše, pravidla dodržování předpisů HITECH posílila pokuty za porušení předpisů HIPAA a fáze 3 pravděpodobně dále posílí požadavky na zabezpečení a hodnocení rizik, které již HIPAA ukládá.

HITECH také posílila HIPAA pravidlo oznámení o porušení. Předchozí požadavky na dodržování předpisů HIPAA vyžadovaly oznámení pouze v případě, že krytý subjekt viděl riziko poškození strany, jejíž informace o chráněném zdraví (PHI) byly porušeny. Nyní jakýkoli nezajištěný údaj o ochraně zdraví vyžaduje oznámení ovlivnil strany, HHS a v některých případech i média.

HITECH také rozšířil požadavky na shodu s HIPAA tak, aby zahrnoval všechny obchodní partnery, kteří používají, skladují nebo zpracovávají PHI. To znamená, že fakturační společnosti, konzultanti a IT technici pracující na počítačích, které uchovávají EHR, jsou na háku za dodržování stejných standardů zabezpečení a ochrany osobních údajů.

Přidejte pravidla pro dodržování předpisů PCI, kterým zdravotnické organizace čelí, a je nemožné zacházet s bezpečností po částech – je toho příliš mnoho, co je třeba zohlednit, a příliš mnoho překrývajících se oblastí. Organizace musí přijmout celkovou bezpečnostní strategii, která bude společně řešit všechny jejich požadavky na dodržování předpisů.

Zabezpečení smysluplného použití

Každá fáze požadavků na smysluplné použití představuje nové technologické výzvy a rizika. Poskytovatelé zdravotní péče by však měli zajistit, aby jejich zabezpečení splňovalo jejich technologické potřeby, nejen jejich požadavky na shodu s HITECH. Pro většinu organizací to znamená jít nad rámec toho, co HITECH vyžaduje.

Ačkoli 1. stupeň shody s HITECH výslovně nezakazuje šifrování, jako organizace vyhovující HIPAA byste jej již měli používat pro všechny elektronické PHI (ePHI ), včetně EHR a komunikace s pacienty. Šifrování zakóduje soubory dlouhým digitálním klíčem, takže jsou nečitelné pro každého, kdo k nim nemá přístup.

Použití šifrování souborů a e-mailů vás také chrání před požadavky na oznámení o narušení, protože správně šifrované soubory se považují za zabezpečené ; pokud společnost poruší ePHI, ale ne klíče potřebné k jejímu načtení, obecně se to nebude považovat za porušení, protože soubory nelze číst. Instalace programů, jako je zabezpečený e-mail Virtru Pro a šifrování Virtue Pro Google Apps (nyní známé jako G Suite), a strávení několika minut výukou personálu jejich používáním by vás mohlo zachránit před špatným tiskem a mastnými pokutami za porušení.

Fáze 1 také vyžaduje, aby organizace zkontrolovaly své zabezpečení a napravily případné nedostatky, jak je definováno v 41 CFR.308. Nestačí napsat nějaké nové zásady; organizace také potřebují opravit pracovníky, kteří ohrožují bezpečnost, a sledovat přístup k EHR a dalším údajům o zdravotní péči. Váš systém by měl zaznamenávat pokaždé, když někdo přistupuje k datům PHI nebo jiným chráněným datům, sledovat změny a ukládat záložní kopie a měli byste mít vyhrazený bezpečnostní personál, který by sledoval narušení zabezpečení.

Jak vaše organizace roste, více závisí na EHR ke zlepšení výsledků v oblasti zdraví ve fázi 2 budete potřebovat nástroje pro bezpečné a pohodlné sdílení dat a komunikaci s pacienty a dalšími poskytovateli zdravotní péče. Mnoho poskytovatelů se rozhodlo používat portály zdravotní péče ke komunikaci s pacienty a sdílení EHR. Jsou docela bezpečné, ale zdaleka ne pohodlné. Vyžadují nová uživatelská jména a hesla, mají tendenci mít neohrabaná rozhraní a nemohou spolu komunikovat.

Pokud pacient potřebuje jít do jiné nemocnice nebo k poskytovateli, který používá jiný portál, možná nebudete mít zavedený způsob výměny záznamů a pacient se bude muset naučit více systémů. Díky této nepříjemnosti se lidé vzdávají a stačí odeslat nezašifrovanou přílohu e-mailu, což porušuje dodržování předpisů HITECH a v první řadě maří účel mít portál.

Šifrování e-mailů Virtru Pro poskytuje lepší řešení, přidání silného šifrování zaměřeného na data do vašeho standardního e-mailového účtu. Pacienti a poskytovatelé zdravotní péče mohou zaslat zašifrované soubory a přílohy jediným kliknutím – a to i příjemcům, kteří nemají nainstalovanou technologii Virtru. Přidáním Virtru Pro pro G Suite budete také moci šifrovat soubory v cloudu, což poskytuje snadný způsob bezpečného ukládání a sdílení EHR.

Pokud jde o fázi 3, je těžké říci, co přijde další. Pravidla dodržování předpisů HIPAA a HITECH pravděpodobně směřují k velké změně, která může zjednodušit předpisy a nahradit smysluplné použití jiným standardem. Co se však nezmění, je potřeba zabezpečených nástrojů k šifrování EHR a e-mailů a osvědčené postupy zabezpečení k prevenci a zmírnění úniků.

Pokračující dodržování předpisů a zabezpečení HITECH

Existuje mnoho problémů, které samotná technologie nedokáže vyřešit. Například šifrování nemůže vašim zaměstnancům bránit ve výběru slabých hesel a automatické odhlášení nezabrání pacientům v prohledávání pracovní stanice, když je přihlášena. Lékařské organizace musí kombinovat zvukové audity, zásady inteligentních technologií a časté monitorování a zpětná vazba k zachování kultury zabezpečení.

Osvědčené postupy pro dodržování předpisů HIPAA – zejména fyzické a administrativní záruky – naznačují, kolik je třeba udělat mimo zabezpečení IT. Fyzicky musí organizace kontrolovat přístup do jakékoli oblasti, kde je uložen EHR nebo jiný PHI; v malé ordinaci lékaře by to mohlo být stejně jednoduché, jako udržovat pacienty mimo několik oblastí, kde se používají počítače nebo kde jsou uloženy staré záznamy, ale ve velké nemocnici může kontrola přístupu vyžadovat stráže, bezpečnostní karty a monitorování zařízení.

Díky administrativním zárukám podle pravidel shody s HIPAA jsou organizace odpovědné za dobré zabezpečení svých zaměstnanců a partnerů. Vaše pravidla zabezpečení musí být vysvětlena interně i v dohodách o obchodních partnerech (BAA), které podepisujete s partnery, a zálohována častým školením.

Soulad s HITECH však nekončí pouze s vašimi organizace a partneři. Musíte zajistit ePHI odeslané do jiné nemocnice nebo sdílené také s pacientem.Toho lze dosáhnout pouze bezpečnostními nástroji a zásadami, které jsou pro každého pacienta dostatečně snadné.

Soulad s HITECH vyžaduje nástroje, které může použít kdokoli

Protože zákon o HITECH řídí používání EHR , více pacientů a zdravotnických pracovníků přistupuje k citlivým informacím o zdravotní péči v cloudu. Bohužel ne všem těmto lidem záleží na bezpečnosti, nebo jí dokonce rozumějí. Organizace více než kdy jindy potřebují bezpečnostní nástroje, které může použít kdokoli.

Virtru Pro poskytuje uživatelsky přívětivá zabezpečená e-mailová řešení a šifrování souborů. Na rozdíl od portálů nevyžaduje složitý proces instalace a učení ani nové přihlašovací ID k zapamatování. Virtru Pro poskytuje poskytovatelům zdravotní péče e-mail kompatibilní s HIPAA a HITECH, který chrání zprávy a soubory pouhým stisknutím tlačítka. Protože e-mail může používat kdokoli, může jej používat, takže získáte vyšší přijetí, nižší riziko porušení a lepší dodržování standardů dodržování předpisů HITECH.