HIPAA가 의료 산업에서는 HITECH가 특별히 요구하는 사항을 이해하는 것이 중요합니다. 특히 HITECH는 보호 된 건강 정보 (PHI)를 보호 할뿐만 아니라이를 디지털화하고이를 환자 및 의사와 전자적으로 공유하도록 요구한다는 점을 고려할 때 특히 중요합니다. 기업은 또한 HITECH가 HIPAA 요구 사항을 변경하고 확대하는 방식을 이해하고 두 가지 요구 사항을 모두 해결할 수있는 파일 암호화 및 이메일 규정 준수 솔루션을 마련해야합니다.

HITECH 규정 준수 기본 사항

HITECH 또는 경제 및 임상 건강을위한 건강 정보 기술법 (Health Information Technology for Economic and Clinical Health Act)은 조직이 EHR (Electronic Health Records)의 “적용 및 의미있는 사용을 장려”하도록 제정 된 2009 년 법률입니다. HITECH는 의료 기록을 디지털화하고이를 개선하는 데 인센티브를 부과합니다. 의료의 질은 물론 EHR을 충분히 사용하지 않은 것에 대한 벌금입니다.

HITECH 법은 또한 벌금을 강화하고 HIPAA 위반의 시행을 변경하여 벌금이 증가하는 4 가지 수준의 위반을 만들었습니다. 최고 벌금 150 만 달러. 하이테크로 인해 위반 사항이 가장 낮은 범주에 속하지만 위반이 발생한 사실을 몰랐더라도 기업은 처벌을받습니다. 하이테크는 조직도 허용합니다. 위반이 방치로 인한 것이 아니고 30 일 이내에 시정되는 경우 처벌을 피하기위한 이온입니다.

HITECH 준수 목표

HITECH의 궁극적 인 목표는 안전하고 상호 운용 가능한 미국 전역의 EHR이를 위해 3 단계의 의미있는 사용이 있으며 품질 및 보안 보호와 함께 EHR 배포를 늘려야합니다.

1 단계 규칙은 전문가 또는 조직에 따라 다소 다릅니다. 보장되는 의료 전문가는 15 개의 핵심 목표, 10 개의 “메뉴”목표 중 5 개 및 6 개의 임상 품질 측정 (CQM)을 충족해야합니다. 병원에는 15 개의 핵심, 5 개의 메뉴 및 15 개의 CQM이 있습니다. 제공자는 적용 할 수없는 표준 (예 : 카이로 프랙틱 의사)을 충족하지 못하도록 면제됩니다. 처방전을 작성하지 않기 때문에 전자 처방을 사용할 필요가 없습니다.

핵심 목표에는 약물 상호 작용 확인, 활력 징후 기록 및 차트 작성과 같은 의료 품질 향상 조치뿐만 아니라 EHR 배포 및 보안과 같은 의미있는 사용 목표.

HITECH 2 단계에서는 제공 업체가 정교한 방식으로 EHR을 사용하기 시작해야합니다. HITECH 규정 준수를 위해 제공 업체는 EHR 또는 컴퓨터 리소스를 사용하여 다음을 수행해야합니다.

• 최소 5 개의 임상 결정 지원
• 처방전의 60 % 이상, 실험실 및 방사선과 주문의 30 % 이상 기록
• 처방전의 50 % 이상 전송
• 환자 이송시 진료 기록 전송
• 환자 별 교육 제공 n 환자의 10 % 이상
• 환자가 이송 될 때 정확한 약물 목록을 작성하고 확인합니다.
• 환자가 자신의 건강 기록에 온라인으로 액세스 할 수 있도록 허용
• 환자에게 제공 온라인으로 안전하게 통신하고
• 예방 접종 및 기타 공중 보건 데이터를 추적하는 방법입니다.

전자 보안은 2 단계 HITECH 규정 준수의 첫 번째 목표입니다. 암호화, 보안 위험 분석 및 보안 업데이트는 모두 “환자 건강 정보 보호”에 특별히 의무화되어 있습니다.

HITECH 3 단계는 아직 단계적으로 진행 중이며 전체 프로그램은 계속 발전하고 있습니다. 그러나 변화는 EHR을 사용하여 의료 서비스를 개선하고 환자 기록을 보호하기위한 우수한 보안의 필요성입니다.

HITECH 및 HIPAA 규정 준수

HITECH는 제공자가 HIPAA 인증을 받아야합니다. 옴니버스 규칙의 기준입니다. 위에서 언급했듯이 HITECH 준수 규칙은 HIPAA 위반 처벌을 강화했으며 3 단계는 HIPAA에서 이미 부과 한 보안 및 위험 평가 요구 사항을 더욱 강화할 것입니다.

HITECH는 HIPAA도 강화했습니다. 위반 통지 규칙. 이전 HIPAA 규정 준수 요구 사항은 보호 대상이 PHI (보호 된 건강 정보)를 위반 한 당사자에게 위해 위험이 있음을 확인한 경우에만 통지를 요구했습니다. 이제 보안되지 않은 모든 PHI는 그는 당사자, HHS 및 일부 경우 언론에 영향을 미쳤습니다.

HITECH는 또한 PHI를 사용, 저장 또는 처리하는 모든 비즈니스 파트너를 포함하도록 HIPAA 규정 준수 요구 사항을 확대했습니다. 즉, EHR을 저장하는 컴퓨터에서 작업하는 청구 회사, 컨설턴트 및 IT 기술자는 동일한 보안 및 개인 정보 보호 표준을 유지하기 위해 노력하고 있습니다.

의료 조직이 직면 한 PCI 준수 규칙을 추가하면 불가능 해집니다. 단편적인 방식으로 보안을 처리하기 위해-설명 할 것이 너무 많고 겹치는 영역이 너무 많습니다. 조직은 모든 규정 준수 요구 사항을 함께 해결하는 전체 보안 전략을 채택해야합니다.

의미있는 사용 확보

의미있는 사용 요구 사항의 각 단계는 새로운 기술적 도전과 위험. 그러나 의료 제공자는 보안이 HITECH 규정 준수 요구 사항뿐만 아니라 기술적 요구 사항을 충족하는지 확인해야합니다. 대부분의 조직에서 이는 HITECH에서 요구하는 것 이상을 의미합니다.

1 단계 HITECH 준수가 특별히 암호화를 요구하지는 않지만 HIPAA 준수 조직이므로 이미 모든 전자 PHI (ePHI)에 사용하고 있어야합니다. ), EHR 및 환자 커뮤니케이션 포함. 암호화는 긴 디지털 키로 파일을 스크램블하여 액세스 권한이없는 사람이 읽을 수 없도록합니다.

파일 및 이메일 암호화를 사용하면 적절하게 암호화 된 파일이 보안 된 것으로 간주되기 때문에 위반 알림 요구 사항으로부터 보호 할 수 있습니다. ; 회사가 ePHI를 위반했지만 읽는 데 필요한 키가 아닌 경우 파일을 읽을 수 없기 때문에 일반적으로 위반으로 간주되지 않습니다. Virtru Pro 보안 이메일 및 Virtru Pro Google Apps (현재 G Suite로 알려짐) 암호화와 같은 프로그램을 설치하고이를 사용하기 위해 교직원을 몇 분만 투자하면 침해로 인한 엄청난 벌금과 나쁜 언론에서 벗어날 수 있습니다.

1 단계는 또한 조직이 41 CFR.308에 정의 된대로 보안을 검토하고 결함을 수정하도록 요구합니다. 새로운 정책을 작성하는 것만으로는 충분하지 않습니다. 또한 조직은 보안을 침해하는 작업자를 수정하고 EHR 및 기타 의료 데이터에 대한 액세스를 추적해야합니다. 시스템은 누군가 PHI 또는 기타 보호 된 데이터에 액세스 할 때마다 기록하고 변경 사항을 추적하고 백업 사본을 저장해야하며 보안 위반을 모니터링 할 전담 보안 직원이 있어야합니다.

조직이 EHR에 더 많이 의존함에 따라 2 단계에서 건강 결과를 개선하려면 안전하고 편리하게 데이터를 공유하고 환자 및 기타 의료 제공자와 통신 할 수있는 도구가 필요합니다. 많은 공급자가 의료 포털을 사용하여 환자와 의사 소통하고 EHR을 공유합니다. 상당히 안전하지만 편리하지는 않습니다. 새로운 사용자 이름과 비밀번호가 필요하고 인터페이스가 어색하며 서로 의사 소통 할 수 없습니다.

환자가 다른 포털을 사용하는 다른 병원이나 제공 업체에 가야하는 경우 기록을 교환하는 방법이 확립되어 있고 환자는 여러 시스템을 배워야합니다. 이런 종류의 불편 함은 사람들이 포기하고 암호화되지 않은 이메일 첨부 파일을 보내 게하여 HITECH 규정 준수를 위반하고 처음에 포털을 갖는 목적을 무너 뜨리는 원인이됩니다.

Virtru Pro 이메일 암호화는 더 나은 솔루션을 제공합니다. 표준 이메일 계정에 강력한 데이터 중심 암호화를 추가합니다. 환자와 의료 서비스 제공자는 Virtru를 설치하지 않은 수신자에게도 클릭 한 번으로 암호화 된 파일과 첨부 파일을 보낼 수 있습니다. G Suite 용 Virtru Pro를 추가하면 클라우드에서 파일을 암호화하여 EHR을 안전하게 저장하고 공유 할 수있는 손쉬운 방법을 제공 할 수 있습니다.

3 단계의 경우 향후 출시 될 내용을 파악하기가 어렵습니다. 다음. HIPAA 및 HITECH 준수 규칙은 아마도 규제를 단순화하고 의미있는 사용을 다른 표준으로 대체 할 수있는 큰 변화를 향하고있을 것입니다. 그러나 변경되지 않는 것은 EHR 및 이메일을 암호화하기위한 보안 도구와 유출을 방지 및 완화하기위한 보안 모범 사례가 필요하다는 것입니다.

지속적인 HITECH 규정 준수 및 보안

기술만으로는 해결할 수없는 문제가 많이 있습니다. 예를 들어, 암호화는 직원이 취약한 암호를 선택하는 것을 막을 수 없으며 자동 로그 아웃은 환자가 로그인 한 상태에서 워크 스테이션을 몰래 들여다 보는 것을 막을 수 없습니다. 의료 기관은 건전한 감사, 지능형 기술 정책 및 빈번한 모니터링을 결합해야합니다. 보안 문화를 유지하기위한 피드백.

HIPAA 준수 모범 사례 (특히 물리적 및 관리적 보호 장치)는 IT 보안 외부에서해야 할 일이 얼마나되는지 설명합니다. 물리적으로 조직은 EHR 또는 기타 PHI가 저장된 모든 영역에 대한 액세스를 제어해야합니다. 작은 의사 사무실에서는 환자를 컴퓨터가 사용되거나 오래된 기록이 저장되어있는 몇 군데에 들어 가지 못하게하는 것처럼 간단 할 수 있지만 큰 병원에서는 액세스를 제어하려면 경비원, 보안 키 카드 및 시설 모니터링이 필요할 수 있습니다.

HIPAA 규정 준수 규칙에 따른 관리적 보호 장치는 조직이 직원과 파트너 사이에서 우수한 보안을 책임지게합니다. 보안 규칙은 내부적으로 그리고 파트너와 서명 한 BAA (Business Associate Agreement)에 모두 명시되어야하며 빈번한 교육을 통해 뒷받침되어야합니다.

그러나 HITECH 규정 준수는 귀하에게 그치지 않습니다. 조직 및 파트너. 다른 병원으로 보내거나 환자와 공유 한 ePHI를 확보해야합니다.환자가 쉽게 사용할 수있는 보안 도구와 정책을 통해서만이를 달성 할 수 있습니다.

HITECH 규정 준수에는 누구나 사용할 수있는 도구가 필요합니다.

HITECH 법이 EHR 사용을 주도하므로 , 더 많은 환자와 의료 전문가가 클라우드에서 민감한 의료 정보에 액세스하고 있습니다. 안타깝게도이 모든 사람들이 보안에 관심이 있거나 심지어 이해하는 것도 아닙니다. 그 어느 때보 다 조직에는 누구나 사용할 수있는 보안 도구가 필요합니다.

Virtru Pro는 사용자 친화적 인 보안 이메일 솔루션과 파일 암호화를 제공합니다. 포털과 달리 복잡한 설치 및 학습 프로세스 나 기억할 새 로그인 ID가 필요하지 않습니다. Virtru Pro는 의료 서비스 제공자에게 HIPAA 및 HITECH 준수 이메일을 제공하여 버튼을 눌러 메시지와 파일을 보호합니다. 누구나 이메일을 사용할 수 있기 때문에 채택률이 높아지고 위반 위험이 낮아지고 HITECH 규정 준수 표준을 더 잘 준수 할 수 있습니다.