Mens HIPAA får all oppmerksomheten i helseindustrien, er det viktig å forstå hva som spesifikt er pålagt av HITECH – spesielt med tanke på at HITECH krever at du ikke bare beskytter Protected Health Information (PHI), men å digitalisere den og dele den elektronisk med pasienter og leger også. Bedrifter trenger også å forstå måten HITECH endrer og forsterker HIPAA-kravene, og kommer med filkryptering og e-postoverholdelsesløsninger som kan løse begge settene med krav.

HITECH Compliance Basics

HITECH , eller Health Information Technology for Economic and Clinical Health Act, er en lov fra 2009 opprettet for å oppmuntre organisasjoner til å «fremme adopsjon og meningsfull bruk» av Electronic Health Records (EHR). HITECH pålegger insentiver for å digitalisere medisinske poster og bruke dem til å forbedre kvaliteten på helsevesenet, samt straffer for å unnlate å bruke tilstrekkelig bruk av EPJ.

HITECH-loven skjerpet også straffene og endret håndhevelsen av HIPAA-brudd, og skapte fire nivåer av brudd med økende straffer, opp til en maksimum bot på $ 1,5 millioner. På grunn av HITECH er enheter underlagt straffer, selv om de ikke visste at det oppstod et brudd, selv om disse bruddene er i den laveste kategorien. HITECH tillater også organisering ioner for å unnslippe straffer hvis brudd ikke skyldes forsømmelse, og korrigeres innen 30 dager.

HITECH Overholdelsesmål

Det endelige målet med HITECH er å fremme bruken av sikre, interoperable EMR i hele USA For å gjøre det har den tre faser med meningsfull bruk, som krever økende distribusjon av EPJ, sammen med kvalitets- og sikkerhetsgarantier.

Regler for trinn 1 varierer noe avhengig av fagperson eller organisasjon; dekket helsepersonell må oppfylle 15 kjernemål, 5 av 10 «meny» -mål og 6 kliniske kvalitetsmål (CQM). Sykehus har 15 kjerne-, 5-meny- og 15 CQM-er. Tilbyderne vil bli unnskyldt fra å oppfylle ugyldige standarder – for eksempel kiropraktorer slipper å bruke e-resept, siden de ikke skriver resepter.

Kjernemålene inkluderer tiltak for å øke medisinsk kvalitet, for eksempel å kontrollere legemiddelinteraksjoner og registrere og kartlegge vitale tegn, samt meningsfulle bruksmål, for eksempel å distribuere og sikre EPJ.

HITECH Stage 2 krever at leverandører begynner å bruke EPJ på sofistikerte måter. For HITECH-overholdelse, må leverandører bruke EMR eller dataressurser for å:

• Støtt minst fem kliniske beslutninger
• Registrer over 60% av reseptene, og 30% av både laboratorie- og radiologibestillinger
• Overfør over 50% av reseptene
• Overfør pleieposter når pasienter overføres
• Gi pasientspesifikk utdannelse n til over 10% av pasientene
• Sett sammen og verifiser en nøyaktig liste over medisiner når pasienter blir overført
• Gi pasienter online tilgang til helseregistrene
• Gi pasienter en måte å kommunisere sikkert på nettet, og
• Spor immunisering og andre folkehelsedata.

Elektronisk sikkerhet er det første målet for fase 2 HITECH-samsvar. Kryptering, sikkerhetsrisikoanalyse og sikkerhetsoppdateringer er alle spesifikt pålagt å «Beskytte pasientens helseinformasjon.»

HITECH fase 3 blir fortsatt strøket ut, og programmet som helhet fortsetter å utvikle seg. endring er imidlertid nødvendigheten av å bruke EPJ for å forbedre helsetjenester, og god sikkerhet for å beskytte pasientjournaler.

HITECH og HIPAA-overholdelse

HITECH krever at leverandører gjennomgår HIPAA-sertifisering under standarder i Omnibus-regelen. Som nevnt ovenfor har HITECHs regler for overholdelse styrket HIPAA-straffene, og trinn 3 vil sannsynligvis ytterligere styrke kravene til sikkerhet og risikovurdering som allerede er pålagt av HIPAA.

HITECH har også styrket HIPAA Regel om brudd på varsel. Tidligere HIPAA-krav om overholdelse krevde kun varsling når den omfattede enheten så en risiko for skade for den parten hvis beskyttet helseinformasjon (PHI) hadde blitt brutt. Nå krever enhver usikret PHI en melding til t han berørte parter, HHS og i noen tilfeller media.

HITECH utvidet også HIPAA-kravene til å dekke alle forretningspartnere som bruker, lagrer eller behandler PHI. Det betyr at faktureringsselskaper, konsulenter og IT-teknikere som arbeider på datamaskiner som lagrer EPJ er på kroken for å opprettholde de samme sikkerhets- og personvernstandardene.

Legg til PCI-regler som helsevesenet står overfor, og det blir umulig for å håndtere sikkerhet på en stykkevis måte – det er bare for mye å gjøre rede for, og for mange områder som overlapper hverandre. Organisasjoner må vedta en overordnet sikkerhetsstrategi som adresserer alle kravene til samsvar.

Sikring av meningsfull bruk

Hvert trinn av meningsfylte brukskrav presenterer nye teknologiske utfordringer og risikoer. Imidlertid bør helsepersonell sørge for at deres sikkerhet oppfyller deres teknologiske behov, ikke bare kravene til HITECH-samsvar. For de fleste organisasjoner betyr det å gå utover hva HITECH krever.

Selv om trinn 1 HITECH-samsvar ikke spesifikt krever kryptering, som en HIPAA-kompatibel organisasjon, bør du allerede bruke den til all elektronisk PHI (ePHI ), inkludert EPJ og pasientkommunikasjon. Kryptering krypterer filer med en lang digital nøkkel, noe som gjør dem uleselige for alle som ikke har tilgang til den.

Bruk av fil- og e-postkryptering beskytter deg også mot krav om varsling om brudd, siden riktig krypterte filer teller som sikret ; hvis et selskap bryter ePHI, men ikke nøklene som kreves for å lese det, vil det generelt ikke telle som et brudd, siden filene ikke kan leses. Installere programmer som Virtru Pro sikker e-post og Virtru Pro Google Apps (nå kjent som G Suite) kryptering og bruke noen få minutter på å lære dem å bruke dem, kan redde deg fra dårlig press og store bøter for brudd.

Trinn 1 krever også at organisasjoner vurderer sikkerheten og retter eventuelle mangler, som definert i 41 CFR.308. Det er ikke nok å skrive noen nye retningslinjer; organisasjoner må også korrigere arbeidstakere som kompromitterer sikkerheten, og spore tilgang til EPJ og andre helsedata. Systemet ditt skal registrere hver gang noen får tilgang til PHI eller andre beskyttede data, spore endringer og lagre sikkerhetskopier, og du bør ha dedikert sikkerhetspersonell til å overvåke for sikkerhetsbrudd.

Når organisasjonen din blir mer avhengig av EPJ for å forbedre helseresultatene i trinn 2, trenger du verktøy for å dele data på en sikker og enkel måte og kommunisere med pasienter og andre helsepersonell. Mange leverandører velger å bruke helseportaler for å kommunisere med pasienter og dele EPJ. De er ganske sikre, men langt fra praktiske. De krever nye brukernavn og passord, har en tendens til å ha klumpete grensesnitt og kan ikke kommunisere med hverandre.

Hvis en pasient trenger å gå til et annet sykehus eller leverandør som bruker en annen portal, har du kanskje ingen etablert måte å utveksle journaler på, og pasienten må lære seg flere systemer. Denne typen ulemper er det som får folk til å gi opp og bare sende et ukryptert e-postvedlegg, bryte HITECH-samsvar og beseire formålet med å ha en portal i utgangspunktet.

Virtru Pro e-postkryptering gir en bedre løsning, legge til sterk datasentrisk kryptering til din standard e-postkonto. Pasienter og helsepersonell kan sende krypterte filer og vedlegg med et enkelt klikk – til og med til mottakere som ikke har Virtru installert. Ved å legge til Virtru Pro for G Suite, vil du også kunne kryptere filer i skyen, noe som gir en enkel måte å sikkert lagre og dele EHR på.

Når det gjelder trinn 3, er det vanskelig å si hva som kommer neste. HIPAA og HITECHs regler for overholdelse er sannsynligvis på vei mot en stor endring, noe som kan forenkle regelverket og erstatte meningsfull bruk med en annen standard. Det som imidlertid ikke kommer til å endres, er behovet for sikre verktøy for å kryptere EHR og e-post, og beste praksis for sikkerhet for å forhindre og redusere lekkasjer.

Pågående HITECH-overholdelse og sikkerhet

Det er mange problemer teknologien alene ikke kan løse. Kryptering kan for eksempel ikke hindre de ansatte i å velge svake passord, og automatiske pålogginger kan ikke hindre pasientene i å snike seg inn på en arbeidsstasjon mens den er pålogget. Medisinske organisasjoner må kombinere lydrevisjon, intelligent teknologipolicy og hyppig overvåking og tilbakemelding for å opprettholde en sikkerhetskultur.

HIPAAs beste praksis – særlig fysiske og administrative garantier – skisserer hvor mye det er å gjøre utenfor IT-sikkerheten. Fysisk sett må organisasjoner kontrollere tilgangen til ethvert område der EPJ eller annen PHI er lagret; på et lite legekontor, kan det være så enkelt som å holde pasienter utenfor noen få områder der datamaskiner brukes eller gamle poster er lagret, men i et stort sykehus kan kontroll av tilgang kreve vakter, sikkerhetsnøkkelkort og overvåkning av fasiliteter.

Administrative garantier under HIPAAs overholdelsesregler gjør organisasjoner ansvarlige for god sikkerhet blant sine ansatte og partnere. Sikkerhetsreglene dine må staves, både internt og i Business Associate Agreement (BAAs) du signerer med partnere, og støttes av hyppig opplæring.

HITECH-overholdelse stopper imidlertid ikke med din organisasjon og partnere. Du må sikre ePHI sendt til et annet sykehus eller deles med pasienten også.Du kan bare oppnå dette med sikkerhetsverktøy og retningslinjer som er enkle å bruke for enhver pasient.

HITECH-overholdelse krever verktøy som alle kan bruke

Ettersom HITECH-loven driver bruken av EPJ , flere pasienter og helsepersonell får tilgang til sensitiv helseinformasjon i skyen. Dessverre, ikke alle disse menneskene bryr seg om sikkerhet, eller forstår det til og med. Mer enn noen gang trenger organisasjoner sikkerhetsverktøy som alle kan bruke.

Virtru Pro tilbyr brukervennlige sikre e-postløsninger og filkryptering. I motsetning til portaler krever det ikke en kompleks installasjons- og læringsprosess eller nye påloggings-ID-er å huske. Virtru Pro gir HIPAA og HITECH-kompatibel e-post for helsepersonell, som beskytter meldinger og filer med et trykk på en knapp. Fordi alle kan bruke e-post, kan de bruke den, vil du få høyere adopsjon, lavere risiko for brudd og bedre overholdelse av HITECH-standarder.