Mens HIPAA får al opmærksomhed i sundhedsindustrien, er det vigtigt at forstå, hvad der specifikt kræves af HITECH – især i betragtning af at HITECH kræver, at du ikke kun beskytter Protected Health Information (PHI), men at digitalisere den og også dele den elektronisk med patienter og læger. Virksomheder skal også forstå, hvordan HITECH ændrer og forstærker HIPAA-kravene, og kommer med filkryptering og e-mail-overholdelsesløsninger, der kan imødekomme begge sæt krav.

HITECH Basics overholdelse

HITECH , eller Health Information Technology for Economic and Clinical Health Act, er en lov fra 2009 oprettet for at tilskynde organisationer til at “fremme vedtagelse og meningsfuld brug” af Electronic Health Records (EHR). HITECH pålægger incitamenter til digitalisering af medicinske journaler og brug af dem til at forbedre kvaliteten af sundhedsvæsenet samt sanktioner for manglende brug af tilstrækkelig MR.

HITECH-loven skærpede også sanktionerne og ændrede håndhævelsen af HIPAA-overtrædelser, hvilket skabte fire niveauer af overtrædelser med stigende sanktioner, op til en maksimal bøde på $ 1,5 millioner. På grund af HITECH er enheder underlagt sanktioner, selvom de ikke vidste, at der var sket en overtrædelse, selvom disse overtrædelser er i den laveste kategori. HITECH tillader også organisering ioner for at undslippe sanktioner, hvis overtrædelser ikke skyldes forsømmelse og korrigeres inden for 30 dage.

HITECH Overholdelsesmål

Det ultimative mål for HITECH er at fremme brugen af sikre, interoperable EHR i hele USA For at gøre det har det tre faser med meningsfuld brug, der kræver øget anvendelse af EHR sammen med kvalitets- og sikkerhedsgarantier.

Regler for trin 1 varierer noget afhængigt af professionel eller organisation; omfattede sundhedspersonale skal opfylde 15 kernemål, 5 ud af 10 “menu” -mål og 6 kliniske kvalitetsforanstaltninger (CQM’er). Hospitaler har 15 kerner, 5 menuer og 15 CQM’er. Udbydere vil blive fritaget for at opfylde uanvendelige standarder – for eksempel kiropraktorer behøver ikke bruge e-ordination, da de ikke skriver recept.

De centrale mål inkluderer foranstaltninger til at øge medicinsk kvalitet, såsom kontrol af lægemiddelinteraktioner og registrering og kortlægning af vitale tegn samt meningsfulde brugsmål, såsom implementering og sikring af EPJ.

HITECH Stage 2 kræver, at udbydere begynder at bruge EPJ på sofistikerede måder. For HITECH-overholdelse skal udbydere bruge EHR eller computerressourcer til at:

• Understøtter mindst fem kliniske beslutninger
• Optag over 60% af recepterne og 30% af både laboratorie- og røntgenordrer
• Send over 50% af recepterne
• Overfør plejedokumenter, når patienter overføres
• Giv patientspecifik uddannelse n til over 10% af patienterne
• Kompilér og verificer en nøjagtig liste over medicin, når patienter overføres
• Giv patienter online adgang til deres helbredsjournaler
• Giv patienter en måde at kommunikere sikkert online og
• Spor immunisering og andre folkesundhedsdata.

Elektronisk sikkerhed er det første mål for fase 2 HITECH-overholdelse. Kryptering, sikkerhedsrisikoanalyse og sikkerhedsopdateringer er alle specifikt mandater til “Beskyt patientens sundhedsoplysninger.”

HITECH fase 3 bliver stadig strøget ud, og programmet som helhed fortsætter med at udvikle sig. Hvad vil ikke ændring er imidlertid nødvendigheden af at bruge EHR til at forbedre sundhedsvæsenet og god sikkerhed for at beskytte patientjournaler.

HITECH og HIPAA-overholdelse

HITECH kræver, at udbydere gennemgår HIPAA-certificering under standarder i Omnibus-reglen. Som nævnt ovenfor har HITECH-overholdelsesregler styrket HIPAA-overtrædelsesstraffen, og trin 3 vil sandsynligvis yderligere styrke sikkerheds- og risikovurderingskrav, der allerede er pålagt af HIPAA.

HITECH har også styrket HIPAA regel om overtrædelsesmeddelelse. Tidligere HIPAA-overholdelseskrav krævede kun underretning, når den omfattede enhed så en risiko for skade for den part, hvis beskyttede sundhedsoplysninger (PHI) var blevet overtrådt. Nu kræver enhver usikret PHI en anmeldelse til han berørte parter, HHS og i nogle tilfælde medierne.

HITECH udvidede også kravene til HIPAA-overholdelse til at dække forretningspartnere, der bruger, gemmer eller behandler PHI. Det betyder, at faktureringsfirmaer, konsulenter og it-teknikere, der arbejder på computere, der gemmer EHR, er på krogen for at opretholde de samme sikkerheds- og privatlivsstandarder. til at håndtere sikkerhed stykkevis – der er bare for meget at tage højde for og for mange områder, der overlapper hinanden. Organisationer er nødt til at vedtage en overordnet sikkerhedsstrategi, der behandler alle deres overholdelseskrav samlet.

Sikring af meningsfuld brug

Hvert trin i krav til meningsfuld brug præsenterer nye teknologiske udfordringer og risici. Dog bør sundhedsudbydere sørge for, at deres sikkerhed opfylder deres teknologiske behov, ikke kun deres HITECH-overholdelseskrav. For de fleste organisationer betyder det at gå ud over, hvad HITECH kræver.

Selvom trin 1 HITECH-overholdelse ikke specifikt kræver kryptering, som en HIPAA-kompatibel organisation, skal du allerede bruge den til al elektronisk PHI (ePHI ), herunder EHR og patientkommunikation. Kryptering krypterer filer med en lang digital nøgle, hvilket gør dem ulæselige for alle, der ikke har adgang til den.

Brug af fil- og e-mail-kryptering beskytter dig også mod overtrædelseskrav, da korrekt krypterede filer tæller som sikre ; hvis et firma overtræder ePHI, men ikke de nøgler, der kræves for at læse det, tæller det generelt ikke som et brud, da filerne ikke kan læses. Installation af programmer som Virtru Pro sikker e-mail og Virtru Pro Google Apps (nu kendt som G Suite) kryptering og brug af et par minutter på at undervise personale til at bruge dem kan redde dig fra den dårlige presse og store bøder for et brud.

Trin 1 kræver også, at organisationer gennemgår deres sikkerhed og retter eventuelle mangler som defineret i 41 CFR.308. Det er ikke nok at skrive nogle nye politikker; organisationer har også brug for at rette arbejdstagere, der kompromitterer sikkerheden, og spore adgang til EPJ og andre sundhedsdata. Dit system skal registrere hver gang nogen får adgang til PHI eller andre beskyttede data, spore ændringer og gemme sikkerhedskopier, og du skal have dedikeret sikkerhedspersonale til at overvåge for sikkerhedsbrud.

Da din organisation bliver mere afhængig af EPJ for at forbedre sundhedsresultaterne i fase 2 skal du bruge værktøjer til sikkert og bekvemt at dele data og kommunikere med patienter og andre sundhedsudbydere. Mange udbydere vælger at bruge sundhedsportaler til at kommunikere med patienter og dele EHR. De er ret sikre, men langt fra praktiske. De kræver nye brugernavne og adgangskoder, har tendens til at have klodsede grænseflader og kan ikke kommunikere med hinanden.

Hvis en patient har brug for at gå til et andet hospital eller en udbyder, der bruger en anden portal, har du muligvis ingen etableret måde at udveksle optegnelser på, og patienten bliver nødt til at lære flere systemer. Denne form for ulempe er, hvad der får folk til at give op og bare sende en ukrypteret vedhæftet fil til e-mail, hvilket bryder HITECH-overholdelsen og besejrer formålet med at have en portal i første omgang.

Virtru Pro-e-mail-kryptering giver en bedre løsning, tilføje stærk datacentreret kryptering til din standard-e-mail-konto. Patienter og sundhedsudbydere kan sende krypterede filer og vedhæftede filer med et enkelt klik – selv til modtagere, der ikke har Virtru installeret. Ved at tilføje Virtru Pro til G Suite kan du også kryptere filer i skyen, hvilket giver en nem måde at gemme og dele sikkert på. Næste. HIPAA og HITECHs regler er sandsynligvis på vej mod en stor ændring, som kan forenkle reglerne og erstatte meningsfuld brug med en anden standard. Hvad der dog ikke vil ændre sig, er behovet for sikre værktøjer til at kryptere EHR og e-mail og bedste praksis for sikkerhed for at forhindre og afbøde lækager.

Pågående HITECH-overholdelse og sikkerhed

Der er mange problemer, som teknologi alene ikke kan løse. For eksempel kan kryptering ikke forhindre dine medarbejdere i at vælge svage adgangskoder, og automatiske logouts kan ikke forhindre patienter i at snige et blik på en arbejdsstation, mens den er logget ind. Medicinske organisationer har brug for at kombinere lydrevision, intelligente teknologipolitikker og hyppig overvågning og feedback for at opretholde en sikkerhedskultur.

HIPAA’s bedste praksis – især fysiske og administrative garantier – skitserer, hvor meget der er at gøre uden for IT-sikkerhed. Fysisk skal organisationer kontrollere adgangen til ethvert område, hvor EHR eller anden PHI er lagret; på et lille lægekontor kan det være så simpelt som at holde patienter ude af nogle få områder, hvor computere bruges eller gamle optegnelser opbevares, men på et stort hospital kan kontrol af adgang kræve vagter, sikkerhedstaster og overvågning af faciliteter.

Administrative sikkerhedsforanstaltninger under HIPAA-overholdelsesregler gør organisationer ansvarlige for god sikkerhed blandt deres medarbejdere og partnere. Dine sikkerhedsregler skal præciseres, både internt og i de BAA’er, som du underskriver med partnere, og bakkes op af hyppig træning.

HITECH-overholdelse stopper dog ikke med din organisation og partnere. Du skal sikre, at ePHI sendes til et andet hospital eller også deles med patienten.Du kan kun opnå dette med sikkerhedsværktøjer og politikker, der er lette nok for enhver patient at bruge.

HITECH-overholdelse kræver værktøjer, som alle kan bruge

Da HITECH-loven styrer brugen af EPJ , flere patienter og sundhedspersonale har adgang til følsomme sundhedsoplysninger i skyen. Desværre bryder ikke alle disse mennesker sig om sikkerhed eller forstår det endda. Mere end nogensinde har organisationer brug for sikkerhedsværktøjer, som alle kan bruge.

Virtru Pro leverer brugervenlige sikre e-mail-løsninger og filkryptering. I modsætning til portaler kræver det ikke en kompleks installations- og læringsproces eller nye login-id’er at huske. Virtru Pro leverer HIPAA og HITECH-kompatibel e-mail til sundhedsudbydere, der beskytter beskeder og filer med et tryk på en knap. Fordi alle kan bruge e-mail, kan de bruge det, får du højere adoption, lavere risiko for overtrædelser og bedre overholdelse af HITECH-standarder.