Während HIPAA die gesamte Aufmerksamkeit in der In der Gesundheitsbranche ist es wichtig zu verstehen, was HITECH speziell vorschreibt – insbesondere angesichts der Tatsache, dass Sie bei HITECH nicht nur geschützte Gesundheitsinformationen (Protected Health Information, PHI) schützen, sondern diese auch digitalisieren und elektronisch an Patienten und Ärzte weitergeben müssen. Unternehmen müssen auch verstehen, wie HITECH die HIPAA-Anforderungen ändert und erweitert, und Dateiverschlüsselungs- und E-Mail-Konformitätslösungen entwickeln, die beide Anforderungen erfüllen können.

HITECH-Konformitätsgrundlagen

HITECH Das Gesetz über Gesundheitsinformationstechnologie für wirtschaftliche und klinische Gesundheit aus dem Jahr 2009 soll Organisationen dazu ermutigen, „die Einführung und sinnvolle Nutzung elektronischer Patientenakten (EHR) zu fördern“. HITECH bietet Anreize für die Digitalisierung und Verwendung von Krankenakten zur Verbesserung die Qualität der Gesundheitsversorgung sowie Strafen für die unzureichende Nutzung von EHR.

Das HITECH-Gesetz verschärfte auch die Strafen und veränderte die Durchsetzung von HIPAA-Verstößen, wodurch vier Stufen von Verstößen mit zunehmenden Strafen bis zu a Höchststrafe von 1,5 Millionen US-Dollar. Aufgrund von HITECH werden Unternehmen mit Strafen belegt, auch wenn sie nicht wussten, dass ein Verstoß vorliegt, obwohl diese Verstöße in der niedrigsten Kategorie liegen. HITECH erlaubt auch die Organisation Ionen, um Strafen zu entgehen, wenn Verstöße nicht vernachlässigt werden und innerhalb von 30 Tagen behoben werden.

HITECH-Konformitätsziele

Das ultimative Ziel von HITECH ist es, die Verwendung sicherer, interoperabler Systeme zu fördern EHR in den USA Um dies zu erreichen, gibt es drei Phasen sinnvoller Nutzung, die eine zunehmende Bereitstellung von EHR sowie Qualitäts- und Sicherheitsmaßnahmen erfordern.

Die Regeln der Stufe 1 variieren je nach Fachmann oder Organisation etwas. Die versicherten Angehörigen der Gesundheitsberufe müssen 15 Kernziele, 5 von 10 „Menü“ -Zielen und 6 klinische Qualitätsmaßnahmen (Clinical Quality Measures, CQMs) erfüllen. Krankenhäuser verfügen über 15 Kern-, 5 Menü- und 15 CQMs. Anbieter werden von der Einhaltung nicht anwendbarer Standards – beispielsweise Chiropraktiker – entschuldigt Sie müssen keine elektronische Verschreibung verwenden, da sie keine Verschreibungen schreiben.

Zu den Hauptzielen gehören Maßnahmen zur Verbesserung der medizinischen Qualität, z. B. die Überprüfung von Arzneimittelwechselwirkungen und die Aufzeichnung und Aufzeichnung von Vitalfunktionen sowie Sinnvolle Nutzungsziele wie die Bereitstellung und Sicherung von EHR.

HITECH In Phase 2 müssen Anbieter EHRs auf ausgefeilte Weise verwenden. Für die Einhaltung von HITECH müssen Anbieter EHR- oder Computerressourcen verwenden, um:

• Unterstützen Sie mindestens fünf klinische Entscheidungen
• Erfassen Sie über 60% der Verschreibungen und 30% der Labor- und Radiologieaufträge
• Übertragen Sie über 50% der Verschreibungen
• Übermitteln Sie Pflegeunterlagen, wenn Patienten übertragen werden.
• Bieten Sie patientenspezifische Informationen an n bis über 10% der Patienten
• Erstellen und überprüfen Sie eine genaue Liste der Medikamente, wenn Patienten übertragen werden.
• Geben Sie den Patienten Online-Zugriff auf ihre Gesundheitsakten.
• Stellen Sie Patienten zur Verfügung Eine Möglichkeit, sicher online zu kommunizieren und
• Impf- und andere Daten zur öffentlichen Gesundheit zu verfolgen.

Elektronische Sicherheit ist das erste Ziel für die Einhaltung von HITECH in Phase 2. Verschlüsselung, Sicherheitsrisikoanalyse und Sicherheitsupdates sind speziell für den Schutz der Patientengesundheitsinformationen vorgeschrieben.

HITECH-Phase 3 wird noch ausgebügelt, und das Programm als Ganzes entwickelt sich weiter. Was nicht Eine Änderung ist jedoch die Notwendigkeit, EHR zur Verbesserung der Gesundheitsversorgung und eine gute Sicherheit zum Schutz von Patientenakten zu verwenden.

HITECH- und HIPAA-Konformität

HITECH verlangt von Anbietern, dass sie die HIPAA-Zertifizierung gemäß der Standards der Omnibus-Regel. Wie oben erwähnt, haben die HITECH-Compliance-Regeln die Strafen für HIPAA-Verstöße verschärft, und Stufe 3 wird wahrscheinlich die bereits von der HIPAA auferlegten Sicherheits- und Risikobewertungsanforderungen weiter verschärfen.

HITECH hat auch die HIPAA verschärft Regel zur Benachrichtigung über Verstöße. Frühere HIPAA-Konformitätsanforderungen erforderten nur eine Benachrichtigung, wenn das abgedeckte Unternehmen ein Risiko für die Partei sah, gegen deren geschützte Gesundheitsinformationen (Protected Health Information, PHI) verstoßen wurde. Jetzt erfordert jede ungesicherte PHI eine Benachrichtigung an t Er betraf Parteien, HHS und in einigen Fällen die Medien.

HITECH erweiterte auch die HIPAA-Compliance-Anforderungen, um alle Geschäftspartner abzudecken, die PHI verwenden, speichern oder verarbeiten. Dies bedeutet, dass Abrechnungsunternehmen, Berater und IT-Techniker, die an Computern arbeiten, auf denen EHR gespeichert ist, die gleichen Sicherheits- und Datenschutzstandards einhalten müssen.

Fügen Sie die PCI-Compliance-Regeln hinzu, denen sich Gesundheitsorganisationen gegenübersehen, und es wird unmöglich um die Sicherheit stückweise zu handhaben – es gibt einfach zu viel zu berücksichtigen und zu viele überlappende Bereiche. Unternehmen müssen eine allgemeine Sicherheitsstrategie festlegen, die alle Compliance-Anforderungen gemeinsam erfüllt.

Sicherstellung einer sinnvollen Nutzung

Jede Stufe der Anforderungen an eine sinnvolle Nutzung stellt sich vor neue technologische Herausforderungen und Risiken. Gesundheitsdienstleister sollten jedoch sicherstellen, dass ihre Sicherheit ihren technologischen Anforderungen entspricht und nicht nur ihren HITECH-Compliance-Anforderungen. Für die meisten Unternehmen bedeutet dies, über die Anforderungen von HITECH hinauszugehen.

Obwohl die HITECH-Konformität in Stufe 1 keine Verschlüsselung vorschreibt, sollten Sie sie als HIPAA-konforme Organisation bereits für alle elektronischen PHI (ePHI) verwenden ), einschließlich EHR und Patientenkommunikation. Durch die Verschlüsselung werden Dateien mit einem langen digitalen Schlüssel verschlüsselt, sodass sie für jeden unlesbar sind, der keinen Zugriff darauf hat.

Die Verwendung der Datei- und E-Mail-Verschlüsselung schützt Sie auch vor Anforderungen für die Benachrichtigung über Verstöße, da ordnungsgemäß verschlüsselte Dateien als gesichert gelten ;; Wenn ein Unternehmen gegen ePHI verstößt, jedoch nicht gegen die zum Lesen erforderlichen Schlüssel, wird dies im Allgemeinen nicht als Verstoß gewertet, da die Dateien nicht gelesen werden können. Wenn Sie Programme wie Virtru Pro Secure E-Mail und Virtru Pro Google Apps (jetzt als G Suite bekannt) installieren und einige Minuten damit verbringen, die Mitarbeiter zu unterrichten, können Sie sich vor der schlechten Presse und den hohen Geldstrafen eines Verstoßes schützen.

In Phase 1 müssen Unternehmen außerdem ihre Sicherheit überprüfen und etwaige Mängel gemäß Definition in 41 CFR.308 beheben. Es reicht nicht aus, neue Richtlinien zu schreiben. Unternehmen müssen auch Mitarbeiter korrigieren, die die Sicherheit gefährden, und den Zugriff auf EHR- und andere Gesundheitsdaten verfolgen. Ihr System sollte jedes Mal aufzeichnen, wenn jemand auf PHI oder andere geschützte Daten zugreift, Änderungen nachverfolgt und Sicherungskopien speichert, und Sie sollten über dediziertes Sicherheitspersonal verfügen, das auf Sicherheitsverletzungen überwacht.

Da Ihr Unternehmen zunehmend von EHR abhängig wird Um die Gesundheitsergebnisse in Phase 2 zu verbessern, benötigen Sie Tools, mit denen Sie Daten sicher und bequem austauschen und mit Patienten und anderen Gesundheitsdienstleistern kommunizieren können. Viele Anbieter nutzen Gesundheitsportale, um mit Patienten zu kommunizieren und EHR zu teilen. Sie sind ziemlich sicher, aber alles andere als bequem. Sie erfordern neue Benutzernamen und Kennwörter, haben in der Regel klobige Schnittstellen und können nicht miteinander kommunizieren.

Wenn ein Patient in ein anderes Krankenhaus oder einen anderen Anbieter gehen muss, der ein anderes Portal verwendet, haben Sie möglicherweise keine etablierte Methode zum Austausch von Aufzeichnungen, und der Patient muss mehrere Systeme lernen. Diese Art von Unannehmlichkeiten führt dazu, dass Menschen aufgeben und einfach einen unverschlüsselten E-Mail-Anhang senden, wodurch die HITECH-Konformität verletzt wird und der Zweck, überhaupt ein Portal zu haben, zunichte gemacht wird.

Die E-Mail-Verschlüsselung von Virtru Pro bietet eine bessere Lösung. Hinzufügen einer starken datenzentrierten Verschlüsselung zu Ihrem Standard-E-Mail-Konto. Patienten und Gesundheitsdienstleister können mit einem einzigen Klick verschlüsselte Dateien und Anhänge senden – auch an Empfänger, auf denen Virtru nicht installiert ist. Durch Hinzufügen von Virtru Pro für G Suite können Sie auch Dateien in der Cloud verschlüsseln und so EHR auf einfache Weise sicher speichern und freigeben.

In Phase 3 ist schwer zu sagen, was auf Sie zukommt Nächster. Die HIPAA- und HITECH-Konformitätsregeln stehen wahrscheinlich vor einer großen Änderung, die die Vorschriften vereinfachen und eine sinnvolle Verwendung durch einen anderen Standard ersetzen kann. Was sich jedoch nicht ändern wird, ist die Notwendigkeit sicherer Tools zum Verschlüsseln von EHR und E-Mail sowie bewährter Sicherheitsmethoden zur Verhinderung und Minderung von Lecks.

Laufende HITECH-Konformität und -Sicherheit

Es gibt viele Probleme, die die Technologie allein nicht lösen kann. Beispielsweise kann die Verschlüsselung Ihre Mitarbeiter nicht daran hindern, schwache Kennwörter zu wählen, und automatische Abmeldungen können Patienten nicht davon abhalten, einen Blick auf eine Workstation zu werfen, während diese angemeldet ist. Medizinische Organisationen müssen fundierte Audits, intelligente Technologierichtlinien und häufige Überwachung und Kombination kombinieren Feedback zur Aufrechterhaltung einer Sicherheitskultur.

Best Practices für die Einhaltung von HIPAA-Richtlinien – insbesondere physische und administrative Schutzmaßnahmen – beschreiben, wie viel außerhalb der IT-Sicherheit zu tun ist. Physisch müssen Organisationen den Zugriff auf alle Bereiche kontrollieren, in denen EHR oder andere PHI gespeichert sind. In einer kleinen Arztpraxis kann dies so einfach sein, als würden Patienten von einigen Bereichen ferngehalten, in denen Computer verwendet oder alte Aufzeichnungen aufbewahrt werden. In einem großen Krankenhaus kann die Kontrolle des Zugangs jedoch Wachen, Sicherheitsschlüsselkarten und die Überwachung von Einrichtungen erfordern.

Administrative Schutzmaßnahmen gemäß den HIPAA-Konformitätsregeln machen Organisationen für die gute Sicherheit ihrer Mitarbeiter und Partner verantwortlich. Ihre Sicherheitsregeln müssen sowohl intern als auch in den Business Associate Agreements (BAAs), die Sie mit Partnern unterzeichnen, festgelegt und durch häufige Schulungen abgesichert werden.

Die Einhaltung von HITECH hört jedoch nicht bei Ihnen auf Organisation und Partner. Sie müssen ePHI sichern, das an ein anderes Krankenhaus gesendet oder auch mit dem Patienten geteilt wurde.Sie können dies nur mit Sicherheitstools und -richtlinien erreichen, die für jeden Patienten einfach zu verwenden sind.

HITECH-Konformität erfordert Tools, die jeder verwenden kann

Da das HITECH-Gesetz die Verwendung von EHR vorantreibt Immer mehr Patienten und Angehörige der Gesundheitsberufe greifen in der Cloud auf vertrauliche Gesundheitsinformationen zu. Leider kümmern sich nicht alle diese Leute um Sicherheit oder verstehen sie sogar. Unternehmen benötigen mehr denn je Sicherheitstools, die jeder verwenden kann.

Virtru Pro bietet benutzerfreundliche sichere E-Mail-Lösungen und Dateiverschlüsselung. Im Gegensatz zu Portalen sind weder ein komplexer Installations- und Lernprozess noch neue Anmelde-IDs erforderlich. Virtru Pro bietet HIPAA- und HITECH-konforme E-Mails für Gesundheitsdienstleister, die Nachrichten und Dateien per Knopfdruck schützen. Da jeder E-Mail verwenden kann, erhalten Sie eine höhere Akzeptanz, ein geringeres Risiko für Verstöße und eine bessere Einhaltung der HITECH-Compliance-Standards.