Míg a HIPAA minden figyelmet felkelt a Az egészségügyi ágazatban fontos megérteni, hogy mi a HITECH által kifejezetten meghatalmazott – különös tekintettel arra, hogy a HITECH megköveteli, hogy ne csak védje a védett egészségügyi információkat (PHI), hanem digitalizálja azokat, és elektronikusan ossza meg a betegekkel és az orvosokkal is. A vállalkozásoknak meg kell érteniük azt is, hogy a HITECH hogyan változtatja meg és bővíti a HIPAA követelményeket, és olyan fájl-titkosítási és e-mail-megfelelőségi megoldásokkal kell előállniuk, amelyek mindkét követelménycsoportot kielégítik.

HITECH Compliance Basics

HITECH vagy a Health Information Technology for Economic and Clinical Health Act egy 2009. évi törvény, amelyet arra bíztattak, hogy a szervezeteket ösztönözzék az elektronikus egészségügyi nyilvántartások (EHR) elfogadásának és értelmes használatának előmozdítására. A HITECH ösztönzőket ír elő az egészségügyi nyilvántartások digitalizálására és azok fejlesztésére. az egészségügyi ellátás minősége, valamint az EHR kellő kihasználásának elmulasztása esetén kiszabott büntetések.

A HITECH-törvény szigorította a büntetéseket és megváltoztatta a HIPAA jogsértések végrehajtását, és négyféle szintű szabálysértést hozott létre, növekvő büntetésekkel. maximális bírság 1,5 millió dollár. A HITECH miatt az egységeket akkor is büntetik, ha nem is tudtak róla, hogy szabálysértés történt, bár ezek a jogsértések a legalacsonyabb kategóriába tartoznak. A HITECH lehetővé teszi a ionok, hogy elkerüljék a büntetéseket, ha a szabálysértéseket nem elhanyagolás okozza, és azokat 30 napon belül kijavítják.

HITECH megfelelőségi célok

A HITECH végső célja a biztonságos, interoperábilis használat előmozdítása EHR az egész Egyesült Államokban. Ennek érdekében az értelmes használatnak három fázisa van, amely megköveteli az EHR növekvő telepítését, valamint a minőségi és biztonsági garanciákat.

Az 1. szakasz szabályai némileg eltérnek a szakembertől vagy a szervezettől függően; a lefedett egészségügyi szakembereknek 15 fő célkitűzést, 10-ből 5 “menü” célkitűzést és 6 klinikai minőségi intézkedést (CQM) kell teljesíteniük. A kórházakban 15 fő, 5 menü és 15 CQM van. A szolgáltatókat felmentik az alkalmazhatatlan előírások – például a csontkovácsok – betartásától nem kell e-vényt alkalmazni, mivel nem írnak fel vényeket.

Az alapvető célok között szerepelnek az orvosi minőség javítására irányuló intézkedések, például a gyógyszerkölcsönhatások ellenőrzése, az életjelek feljegyzése és feltérképezése, valamint értelmes felhasználási célok, például az EHR telepítése és biztosítása.

A HITECH 2. szakasz megköveteli a szolgáltatóktól, hogy kifinomult módon kezdjék el használni az EHR-ket. A HITECH megfeleléshez a szolgáltatóknak EHR-t vagy számítógépes erőforrásokat kell használniuk:

• Legalább öt klinikai döntést támogat
• A receptek több mint 60% -át, valamint a laboratóriumi és radiológiai rendelések 30% -át rögzítse
• A receptek több mint 50% -át továbbítsa
• Ápolási nyilvántartások továbbítása a betegek áthelyezésekor
• Biztosítsa a betegspecifikus oktatást n a betegek több mint 10% -ára
• Állítsa össze és ellenőrizze a gyógyszerek pontos listáját a betegek átadásakor
• Online hozzáférést biztosítson a betegeknek az egészségügyi nyilvántartásukhoz
• A betegek biztosítása a biztonságos online kommunikáció módja, valamint
• az immunizálás és az egyéb közegészségügyi adatok nyomon követése.

Az elektronikus biztonság a HITECH 2. fázisának való megfelelés első célja. A titkosítás, a biztonsági kockázatok elemzése és a biztonsági frissítések kifejezetten a “Betegek egészségügyi információinak védelme” feladatot látják el.

A HITECH 3. fázisa még mindig ki van vasalva, és a program egésze tovább fejlődik. A változás azonban az EHR alkalmazásának szükségessége az egészségügy javítása és a jó biztonság a betegnyilvántartások védelme érdekében.

A HITECH és a HIPAA megfelelés

A HITECH megköveteli a szolgáltatóktól, hogy a Az Omnibus Rule szabványai. Amint fentebb említettük, a HITECH megfelelési szabályai megerősítették a HIPAA szabálysértési büntetéseket, és a 3. szakasz valószínűleg tovább erősíti a HIPAA által már előírt biztonsági és kockázatértékelési követelményeket.

A HITECH a HIPAA-t is megerősítette szabálysértési értesítési szabály. A korábbi HIPAA-megfelelőségi követelmények csak akkor írtak elő értesítést, ha az érintett entitás káros kockázatot látott annak a félnek, akinek a Védett Egészségügyi Információit (PHI) megsértették. Most minden nem biztonságos PHI-nak értesítést kell a feleket, a HHS-t és egyes esetekben a médiát is érintette.

A HITECH kiterjesztette a HIPAA megfelelőségi követelményeit minden olyan üzleti partnerre is, aki PHI-t használ, tárol vagy feldolgoz. Ez azt jelenti, hogy az EHR-t tároló számítógépeken dolgozó számlázó cégek, tanácsadók és informatikai szakemberek ugyanazon biztonsági és adatvédelmi előírások betartása mellett állnak.

Ha az egészségügyi szervezetek szembesülnek a PCI-megfelelés szabályaival, akkor ez lehetetlenné válik. hogy a biztonságot darabonként kezeljék – túl sok mindent kell elszámolni, és túl sok az egymást átfedő terület. A szervezeteknek átfogó biztonsági stratégiát kell elfogadniuk, amely valamennyi megfelelési követelményüket együttesen teljesíti.

Az értelmes használat biztosítása

Az értelmes használat követelményeinek minden szakasza bemutatja új technológiai kihívások és kockázatok. Az egészségügyi szolgáltatóknak azonban nem csak a HITECH megfelelőségi követelményeinek kell gondoskodniuk arról, hogy biztonságuk megfeleljen technológiai igényeiknek. A legtöbb szervezetnél ez azt jelenti, hogy túllépünk azon, amit a HITECH megkövetel.

Bár az 1. szakaszban a HITECH megfelelés nem írja elő kifejezetten a titkosítást, mint HIPAA-kompatibilis szervezet, akkor már minden elektronikus PHI-hez (ePHI ), beleértve az EHR-t és a betegek kommunikációját. A titkosítás hosszú digitális kulccsal keveri a fájlokat, így mindenki számára olvashatatlan, aki nem fér hozzá.

A fájlok és e-mailek titkosítása szintén véd a titkosítási értesítési követelményektől, mivel a megfelelően titkosított fájlok biztonságosnak számítanak ; ha egy vállalat megsérti az ePHI-t, de nem az olvasáshoz szükséges kulcsokat, akkor az általában nem számít jogsértésnek, mivel a fájlok nem olvashatók el. Olyan programok telepítése, mint a Virtru Pro biztonságos e-mail és a Virtru Pro Google Apps (ma G Suite néven ismert) titkosítás, és néhány perc eltöltése az oktató személyzet használatával megtakaríthat a rossz sajtó és a súlyos jogsértési bírságok elől.

Az 1. szakasz arra is kötelezi a szervezeteket, hogy vizsgálják felül biztonságukat és orvosolják az esetleges hiányosságokat, amint azt a 41 CFR.308 meghatározza. Nem elég néhány új irányelvet megírni; a szervezeteknek ki kell javítaniuk a biztonságot veszélyeztető munkavállalókat, és nyomon kell követniük az EHR és más egészségügyi adatokhoz való hozzáférést. A rendszernek minden alkalommal rögzítenie kell, amikor valaki hozzáfér a PHI-hez vagy más védett adatokhoz, nyomon követi a változásokat és biztonsági másolatokat tárol, valamint külön biztonsági személyzettel kell rendelkeznie a biztonsági megsértések figyelemmel kísérésére.

Ahogy a szervezete egyre jobban függ az EHR-től az egészségügyi eredmények javításához a 2. szakaszban eszközökre van szükséged az adatok biztonságos és kényelmes megosztásához, valamint a betegekkel és más egészségügyi szolgáltatókkal való kommunikációhoz. Sok szolgáltató úgy dönt, hogy egészségügyi portálokat használ a betegekkel való kommunikációhoz és az EHR megosztásához. Meglehetősen biztonságosak, de korántsem kényelmesek. Új felhasználóneveket és jelszavakat igényelnek, általában ügyetlen interfészekkel rendelkeznek, és nem tudnak kommunikálni egymással.

Ha a betegnek másik kórházba vagy szolgáltatóhoz kell fordulnia, amely másik portált használ, akkor lehet, hogy nincs a nyilvántartások cseréjének kialakított módja, és a betegnek több rendszert kell megtanulnia. Ez a fajta kényelmetlenség arra készteti az embereket, hogy feladják és csak egy titkosítatlan e-mail mellékletet küldjenek, ezzel megtörve a HITECH betartását és legyőzve a portál meglétének célját.

A Virtru Pro e-mail titkosítás jobb megoldást nyújt, erős adatközpontú titkosítást adva a szokásos e-mail fiókhoz. A betegek és az egészségügyi szolgáltatók egyetlen kattintással küldhetnek titkosított fájlokat és mellékleteket – még azoknak a címzetteknek is, akiknek nincs telepítve a Virtru. A Virtru Pro for G Suite hozzáadásával a felhőben is titkosíthatja a fájlokat, így egyszerű módon tárolhatja és megoszthatja az EHR-t.

Ami a 3. lépést illeti, nehéz megmondani, hogy mi következik következő. A HIPAA és a HITECH megfelelőségi szabályok valószínűleg nagy változás előtt állnak, amely egyszerűsítheti a szabályozásokat, és az értelmes használatot más standarddal helyettesítheti. Ami azonban nem változik, az az, hogy biztonságos eszközökre van szükség az EHR és az e-mailek titkosításához, valamint a biztonsággal kapcsolatos legjobb gyakorlatok a szivárgások megelőzésére és enyhítésére.

Folyamatos HITECH megfelelés és biztonság

Sok olyan probléma létezik, amelyet a technológia önmagában nem képes megoldani. Például a titkosítás nem akadályozhatja meg az alkalmazottait abban, hogy gyengék jelszavakat válasszanak, és az automatikus kijelentkezés nem akadályozhatja meg a betegeket abban, hogy bepillantsanak egy munkaállomásra, miközben be van jelentkezve. Az orvosi szervezeteknek össze kell hangolniuk a megfelelő auditálást, az intelligens technológiai irányelveket és a gyakori megfigyelést és visszajelzés a biztonság kultúrájának fenntartása érdekében.

A HIPAA betartásával kapcsolatos legjobb gyakorlatok – különösen a fizikai és adminisztratív biztosítékok – felvázolják, hogy mennyi mindent kell tenni az informatikai biztonságon kívül. Fizikailag a szervezeteknek ellenőrizniük kell a hozzáférést minden olyan területhez, ahol az EHR-t vagy más PHI-t tárolják; egy kis orvosi rendelőben ez ugyanolyan egyszerű lehet, mint a betegek távol tartása néhány olyan területről, ahol számítógépeket használnak vagy régi nyilvántartásokat tárolnak, de egy nagy kórházban a hozzáférés ellenőrzéséhez őrökre, biztonsági kulcskártyákra és létesítmények felügyeletére lehet szükség.

A HIPAA megfelelőségi szabályai szerinti adminisztratív biztosítékok a szervezeteket felelősségre vonják alkalmazottaik és partnereik jó biztonságáért. A biztonsági szabályokat meg kell határozni mind belsőleg, mind a partnerekkel aláírt üzleti társulási megállapodásokban (BAA), és gyakori képzéssel kell alátámasztani.

A HITECH betartása azonban nem áll meg szervezet és partnerek. Biztosítania kell az ePHI-t, amelyet másik kórházba küld, vagy megoszt a beteggel is.Ezt csak olyan biztonsági eszközökkel és házirendekkel érheti el, amelyeket minden beteg elég könnyen használhat.

A HITECH megfelelőségéhez olyan eszközökre van szükség, amelyeket bárki használhat

Mivel a HITECH törvény ösztönzi az EHR használatát. , több beteg és egészségügyi szakember fér hozzá az érzékeny egészségügyi információkhoz a felhőben. Sajnos ezek közül az emberek közül nem mindegyik törődik a biztonsággal, sőt nem is érti azt. A szervezeteknek minden eddiginél nagyobb szükségük van biztonsági eszközökre, amelyeket bárki használhat.

A Virtru Pro felhasználóbarát, biztonságos e-mail megoldásokat és fájl titkosítást kínál. A portálokkal ellentétben nem igényel komplex telepítési és tanulási folyamatot, vagy új bejelentkezési azonosítókat. A Virtru Pro HIPAA és HITECH-kompatibilis e-maileket biztosít az egészségügyi szolgáltatók számára, amely egyetlen gombnyomással védi az üzeneteket és fájlokat. Mivel bárki használhatja az e-mailt, használhatja, így nagyobb az elfogadás, alacsonyabb a jogsértések kockázata és jobban betartja a HITECH megfelelőségi szabványait.