Mentre HIPAA ottiene tutta l’attenzione nel settore sanitario, è importante capire cosa è specificamente richiesto da HITECH, soprattutto considerando che HITECH richiede non solo di salvaguardare le informazioni sanitarie protette (PHI), ma di digitalizzarle e condividerle elettronicamente anche con pazienti e medici. Le aziende devono anche capire il modo in cui HITECH cambia e amplifica i requisiti HIPAA e trovare soluzioni di crittografia dei file e conformità della posta elettronica in grado di soddisfare entrambe le serie di requisiti.

Nozioni di base sulla conformità HITECH

HITECH , o Health Information Technology for Economic and Clinical Health Act, è una legge del 2009 creata per incoraggiare le organizzazioni a “promuovere l’adozione e l’uso significativo” delle cartelle cliniche elettroniche (EHR). HITECH impone incentivi per la digitalizzazione delle cartelle cliniche e il loro utilizzo per migliorare la qualità dell’assistenza sanitaria, nonché le sanzioni per il mancato uso sufficiente di EHR.

La legge HITECH ha anche rafforzato le sanzioni e modificato l’applicazione delle violazioni HIPAA, creando quattro livelli di violazioni con pene crescenti, fino a un multa massima di $ 1,5 milioni. A causa di HITECH, le entità sono soggette a sanzioni anche se non sapevano che si è verificata una violazione, sebbene tali violazioni rientrino nella categoria più bassa. HITECH consente anche di organizzare ioni per sfuggire alle sanzioni se le violazioni non sono dovute a negligenza e vengono corrette entro 30 giorni.

Obiettivi di conformità HITECH

L’obiettivo finale di HITECH è promuovere l’uso di strumenti sicuri e interoperabili EHR negli Stati Uniti Per fare ciò, prevede tre fasi di utilizzo significativo, che richiedono un aumento della distribuzione di EHR, insieme a garanzie di qualità e sicurezza.

Le regole della fase 1 variano leggermente a seconda del professionista o dell’organizzazione; gli operatori sanitari coperti devono soddisfare 15 obiettivi principali, 5 obiettivi di menu su 10 e 6 misure di qualità clinica (CQM). Gli ospedali hanno 15 obiettivi principali, 5 menu e 15 CQM. I fornitori saranno esentati dal soddisfare standard inapplicabili, ad esempio chiropratici non è necessario utilizzare la prescrizione elettronica, poiché non scrivono prescrizioni.

Gli obiettivi principali includono misure per aumentare la qualità medica, come il controllo delle interazioni farmacologiche e la registrazione e la creazione di grafici dei segni vitali, nonché obiettivi di utilizzo significativi, come la distribuzione e la protezione delle cartelle cliniche elettroniche.

HITECH Fase 2 richiede che i fornitori inizino a utilizzare le cartelle cliniche elettroniche in modi sofisticati. Per la conformità HITECH, i fornitori devono utilizzare le risorse EHR o del computer per:

• Supportare almeno cinque decisioni cliniche
• Registrare oltre il 60% delle prescrizioni e il 30% degli ordini di laboratorio e di radiologia
• Trasmettere oltre il 50% delle prescrizioni
• Trasmettere le cartelle cliniche quando i pazienti vengono trasferiti
• Fornire un’istruzione specifica per il paziente n a oltre il 10% dei pazienti
• Compilare e verificare un elenco accurato di farmaci quando i pazienti vengono trasferiti
• Fornire ai pazienti l’accesso online alle loro cartelle cliniche
• Fornire ai pazienti un modo per comunicare in modo sicuro online e
• tenere traccia delle vaccinazioni e di altri dati sulla salute pubblica.

La sicurezza elettronica è il primo obiettivo per la conformità HITECH di fase 2. La crittografia, l’analisi dei rischi per la sicurezza e gli aggiornamenti della sicurezza sono tutti specificamente incaricati di “Proteggere le informazioni sulla salute dei pazienti”.

La fase 3 di HITECH è ancora in fase di definizione e il programma nel suo insieme continua a evolversi. cambiamento, tuttavia, è la necessità di utilizzare EHR per migliorare l’assistenza sanitaria e una buona sicurezza per proteggere le cartelle cliniche dei pazienti.

Conformità HITECH e HIPAA

HITECH richiede ai fornitori di superare la certificazione HIPAA ai sensi del standard della regola omnibus. Come accennato in precedenza, le norme di conformità HITECH hanno rafforzato le sanzioni per le violazioni HIPAA e la fase 3 è probabile che rafforzi ulteriormente i requisiti di sicurezza e valutazione del rischio già imposti dall’HIPAA.

HITECH ha anche rafforzato l’HIPAA regola di notifica delle violazioni. I precedenti requisiti di conformità HIPAA richiedevano una notifica solo quando l’entità coperta vedeva un rischio di danno per la parte le cui informazioni sanitarie protette (PHI) erano state violate. Ora, qualsiasi PHI non protetto richiede una notifica a t ha interessato le parti, HHS e, in alcuni casi, i media.

HITECH ha inoltre ampliato i requisiti di conformità HIPAA per coprire tutti i partner commerciali che utilizzano, archiviano o elaborano PHI. Ciò significa che le società di fatturazione, i consulenti e i tecnici IT che lavorano su computer che archiviano le cartelle cliniche elettroniche sono pronti a mantenere gli stessi standard di sicurezza e privacy.

Aggiungi le regole di conformità PCI che le organizzazioni sanitarie devono affrontare e diventa impossibile per gestire la sicurezza in modo frammentario: c’è semplicemente troppo di cui tenere conto e troppe aree sovrapposte. Le organizzazioni devono adottare una strategia di sicurezza globale che affronti insieme tutti i loro requisiti di conformità.

Garantire un uso significativo

Ogni fase dei requisiti di utilizzo significativo presenta nuove sfide e rischi tecnologici. Tuttavia, gli operatori sanitari dovrebbero assicurarsi che la loro sicurezza soddisfi le loro esigenze tecnologiche, non solo i loro requisiti di conformità HITECH. Per la maggior parte delle organizzazioni, ciò significa andare oltre ciò che richiede HITECH.

Sebbene la conformità HITECH della fase 1 non imponga specificamente la crittografia, in quanto organizzazione conforme a HIPAA, dovresti già utilizzarla per tutti i PHI elettronici (ePHI ), comprese le cartelle cliniche elettroniche e le comunicazioni ai pazienti. La crittografia codifica i file con una chiave digitale lunga, rendendoli illeggibili a chiunque non vi abbia accesso.

L’uso della crittografia di file ed e-mail ti protegge anche dai requisiti di notifica delle violazioni, poiché i file crittografati correttamente contano come protetti ; se un’azienda viola l’ePHI ma non le chiavi necessarie per leggerlo, generalmente non conterà come violazione, poiché i file non possono essere letti. Installare programmi come Virtru Pro secure email e Virtru Pro Google Apps (ora noto come G Suite) e dedicare alcuni minuti all’insegnamento del personale per utilizzarli potrebbe salvarti dalla cattiva stampa e dalle pesanti multe di una violazione.

La fase 1 richiede inoltre alle organizzazioni di rivedere la propria sicurezza e correggere eventuali carenze, come definito da 41 CFR.308. Non è sufficiente scrivere alcune nuove politiche; le organizzazioni devono anche correggere i lavoratori che compromettono la sicurezza e monitorare l’accesso a EHR e altri dati sanitari. Il tuo sistema dovrebbe registrare ogni volta che qualcuno accede a PHI o ad altri dati protetti, tenere traccia delle modifiche e archiviare copie di backup e dovresti avere personale di sicurezza dedicato per monitorare le violazioni della sicurezza.

Man mano che la tua organizzazione diventa sempre più dipendente da EHR per migliorare i risultati di salute nella fase 2, avrai bisogno di strumenti per condividere i dati in modo sicuro e conveniente e comunicare con i pazienti e altri operatori sanitari. Molti fornitori scelgono di utilizzare portali sanitari per comunicare con i pazienti e condividere EHR. Sono abbastanza sicuri, ma tutt’altro che convenienti. Richiedono nuovi nomi utente e password, tendono ad avere interfacce goffe e non possono comunicare tra loro.

Se un paziente deve recarsi in un altro ospedale o fornitore che utilizza un portale diverso, potresti non avere modo stabilito per lo scambio di record e il paziente dovrà apprendere più sistemi. Questo tipo di inconveniente è ciò che induce le persone a rinunciare e inviare semplicemente un allegato di posta elettronica non crittografato, infrangendo la conformità HITECH e vanificando lo scopo di avere un portale in primo luogo.

La crittografia e-mail Virtru Pro fornisce una soluzione migliore, aggiunta di una potente crittografia incentrata sui dati al tuo account di posta elettronica standard. I pazienti e gli operatori sanitari possono inviare file e allegati crittografati con un solo clic, anche a destinatari che non hanno Virtru installato. Aggiungendo Virtru Pro per G Suite, sarai anche in grado di crittografare i file nel cloud, fornendo un modo semplice per archiviare e condividere in modo sicuro EHR.

Per quanto riguarda la fase 3, è difficile dire cosa succederà Il prossimo. Le regole di conformità HIPAA e HITECH sono probabilmente destinate a un grande cambiamento, che potrebbe semplificare le normative e sostituire l’uso significativo con uno standard diverso. Ciò che non cambierà, tuttavia, è la necessità di strumenti sicuri per crittografare EHR ed email e le migliori pratiche di sicurezza per prevenire e mitigare le fughe di notizie.

Conformità e sicurezza HITECH in corso

Ci sono molti problemi che la tecnologia da sola non può risolvere. Ad esempio, la crittografia non può impedire ai dipendenti di scegliere password deboli e le disconnessioni automatiche non possono impedire ai pazienti di dare uno sguardo furtivo a una workstation mentre è connesso. Le organizzazioni mediche devono combinare auditing del suono, politiche tecnologiche intelligenti e monitoraggio frequente e feedback per mantenere una cultura della sicurezza.

Le migliori pratiche di conformità HIPAA, in particolare le salvaguardie fisiche e amministrative, delineano quanto c’è da fare al di fuori della sicurezza IT. Fisicamente, le organizzazioni devono controllare l’accesso a qualsiasi area in cui sono archiviati EHR o altri PHI; in un piccolo studio medico, ciò potrebbe essere semplice come tenere i pazienti fuori da alcune aree in cui vengono utilizzati i computer o sono archiviati vecchi documenti, ma in un grande ospedale, il controllo dell’accesso può richiedere guardie, schede di sicurezza e monitoraggio delle strutture.

Le garanzie amministrative ai sensi delle norme di conformità HIPAA rendono le organizzazioni responsabili della buona sicurezza tra i propri dipendenti e partner. Le tue regole di sicurezza devono essere enunciate, sia internamente che negli accordi di associazione in affari (BAA) che firmi con i partner, e supportate da una formazione frequente.

La conformità HITECH, tuttavia, non si ferma al tuo organizzazione e partner. Ti viene richiesto di proteggere l’ePHI inviato a un altro ospedale o condiviso anche con il paziente.Puoi farlo solo con strumenti e criteri di sicurezza abbastanza facili da utilizzare per qualsiasi paziente.

La conformità HITECH richiede strumenti che chiunque può utilizzare

Poiché la legge HITECH guida l’uso di EHR , più pazienti e operatori sanitari accedono a informazioni sanitarie sensibili nel cloud. Sfortunatamente, non tutte queste persone si preoccupano della sicurezza, o addirittura la capiscono. Più che mai, le organizzazioni hanno bisogno di strumenti di sicurezza che chiunque possa utilizzare.

Virtru Pro fornisce soluzioni di posta elettronica sicure e facili da usare e crittografia dei file. A differenza dei portali, non richiede un processo di installazione e apprendimento complesso o nuovi ID di accesso da ricordare. Virtru Pro fornisce e-mail conformi a HIPAA e HITECH per gli operatori sanitari, che protegge messaggi e file con la semplice pressione di un pulsante. Poiché chiunque può utilizzare la posta elettronica può utilizzarlo, otterrai una maggiore adozione, un minor rischio di violazioni e una migliore aderenza agli standard di conformità HITECH.