De HIPAA-wet ter bescherming van de gezondheidsinformatie van patiënten is vrij goed bekend bij het personeel van de meeste artsenpraktijken. Er blijven echter enkele vragen bestaan over de regels en voorschriften van HIPAA. Aanbieders die niet op de hoogte zijn van wetswijzigingen, riskeren een mogelijke schending die niet alleen de reputatie van een praktijk kan schaden, maar ook strafrechtelijke en civiele boetes kan veroorzaken.

De Health Insurance Portability and Accountability Act, gewoonlijk HIPAA genoemd, werd in 1996 opgericht om nationale normen vast te stellen voor de vertrouwelijkheid, veiligheid en overdraagbaarheid van persoonlijke gezondheidsinformatie.

Zorgverleners zijn vereist, onder de HIPAA-privacyregel, om persoonlijke gezondheidsinformatie te beschermen en vertrouwelijk te houden. Het stelt ook beperkingen en voorwaarden aan het gebruik en de openbaarmaking ervan zonder toestemming van de patiënt. De regel geeft patiënten ook rechten op hun gezondheidsinformatie, inclusief het recht om een kopie van hun medische dossiers te verkrijgen en om correcties te vragen.

HIPAA heeft echter uitzonderingen op de regel, bijvoorbeeld als het de mogelijkheid belemmert om kwaliteitsvolle gezondheidszorg te bieden. Een voorbeeld is de discussie tussen twee artsen die beiden een patiënt behandelen. Bovendien zijn collegiaal getoetste activiteiten, openbaarmakingen die nodig zijn voor gezondheidsplannen om factureringsvragen op te lossen en andere soortgelijke situaties vrijgesteld.

Het Department of Health and Human Services definieert gedekte entiteiten als zorgaanbieders, gezondheidsplannen en gezondheidszorg uitwisselingscentra, waaronder ziekenhuizen, artsen, chiropractoren, tandartsen, optometristen, scholen, non-profitorganisaties die bepaalde gezondheidszorg verlenen, en zelfs overheidsinstanties. Degenen die getroffen zijn door HIPAA eindigen hier echter niet.

HIPAA-overtredingen kunnen resulteren in aanzienlijke boetes tot een praktijk die varieert van $ 100 tot $ 1,5 miljoen. Zorgverleners kunnen ook het risico lopen op sancties of het verlies van een vergunning.

Hieronder noemen we enkele van de meest voorkomende redenen voor het citeren van HIPAA-schendingen:

1. Werknemers die informatie vrijgeven – Werknemers “roddelen over patiënten aan vrienden of collega’s is ook een HIPAA-overtreding die een praktijk een aanzienlijke boete kan kosten. Werknemers moeten rekening houden met hun omgeving, gesprekken over patiënten beperken tot privéplekken en vermijden om patiëntinformatie te delen met vrienden en familie.

2. Verkeerd gebruik van medische dossiers – Een andere veel voorkomende HIPAA-overtreding is het verkeerd omgaan met patiëntendossiers. Als een praktijk gebruikmaakt van schriftelijke patiëntendossiers of dossiers, kan een arts of verpleegkundige per ongeluk een kaart achterlaten in de de onderzoekskamer van de patiënt is beschikbaar voor een andere patiënt. Afgedrukte medische dossiers moeten achter slot en grendel worden bewaard en buiten het zicht van het publiek worden gehouden.

3. Verloren of gestolen apparaten – Diefstal van PHI (beschermde gezondheidsinformatie) via verloren of gestolen laptops, desktops, smartphones, en andere apparaten die patiëntinformatie bevatten, kunnen resulteren in HIPAA-boetes. Mobiele apparaten zijn vanwege hun grootte het kwetsbaarst voor diefstal; daarom moeten de nodige voorzorgsmaatregelen worden getroffen, zoals autorisatie met wachtwoordbeveiliging en versleuteling om toegang te krijgen tot patiëntspecifieke informatie.

4. Sms’en naar patiëntinformatie – Het sms’en van patiëntinformatie, zoals vitale functies of testresultaten, is vaak een gemakkelijke manier waarop zorgverleners informatie snel kunnen doorgeven. Hoewel het onschuldig lijkt, kan het de patiëntgegevens in handen geven. van cybercriminelen die gemakkelijk toegang kunnen krijgen tot deze informatie. Er zijn nieuwe versleutelingsprogramma’s waarmee vertrouwelijke informatie veilig kan worden verzonden, maar beide partijen moeten deze hebben geïnstalleerd op hun draadloze apparaat, wat ik s meestal niet het geval.

5. Sociale media – Het plaatsen van foto’s van patiënten op sociale media is een overtreding van de HIPAA. Hoewel het onschuldig lijkt als een naam niet wordt genoemd, kan iemand de patiënt herkennen en de specialiteit van de dokter kennen, wat een inbreuk is op de privacy van de patiënt. Zorg ervoor dat alle medewerkers zich ervan bewust zijn dat het gebruik van sociale media om patiëntinformatie te delen wordt beschouwd als een overtreding van de HIPAA-wetgeving.

6. Werknemers die illegaal toegang hebben tot patiëntendossiers – Werknemers die toegang hebben tot patiëntgegevens wanneer ze niet geautoriseerd zijn, is een andere veel voorkomende HIPAA-overtreding. Of het nu uit nieuwsgierigheid, wrok of als gunst voor een familielid of vriend is, dit is illegaal en kan een praktijk aanzienlijk kosten. Ook kunnen personen die PHI gebruiken of verkopen voor persoonlijk gewin worden onderworpen aan boetes en zelfs gevangenisstraf.

7. Sociale inbreuken – Een onopzettelijke inbreuk op patiëntinformatie in een sociale situatie komt vrij vaak voor, vooral in kleinere, meer landelijke gebieden.De meeste patiënten zijn niet op de hoogte van de HIPAA-wetten en kunnen een onschuldige vraag stellen aan de zorgverlener of clinicus in een sociale omgeving over hun vriend die een patiënt is. Hoewel dit soort vragen zal plaatsvinden, is het het beste om ruim van tevoren een passend antwoord te plannen om de kans op het per ongeluk vrijgeven van persoonlijke patiëntgegevens te verkleinen.

8. Autorisatievereisten – Er is schriftelijke toestemming vereist voor het gebruik of openbaarmaking van de persoonlijke gezondheidsinformatie van een persoon die niet wordt gebruikt voor behandeling, betaling, gezondheidszorg of is toegestaan door de privacyregel. Als een werknemer het niet zeker weet, is dat altijd het geval. U kunt het beste vooraf toestemming krijgen voordat u informatie vrijgeeft.

9. Toegang tot patiëntinformatie op thuiscomputers – De meeste artsen gebruiken hun thuiscomputers of laptops van tijd tot tijd buiten kantooruren om toegang te krijgen tot patiëntinformatie om notities op te nemen of om de ups. Dit kan mogelijk leiden tot een HIPAA-overtreding als het scherm per ongeluk wordt ingeschakeld en een gezinslid de computer gebruikt. Zorg ervoor dat uw computer en laptop met een wachtwoord zijn beveiligd en houd alle mobiele apparaten uit het zicht om het risico te verkleinen dat patiëntinformatie wordt geopend of gestolen.

10. Gebrek aan training – Een van de meest voorkomende redenen voor een HIPAA-overtreding is een werknemer die niet bekend is met de HIPAA-voorschriften. Vaak zijn alleen managers, een administratie en medisch personeel krijgen training, hoewel de HIPAA-wet vereist dat alle werknemers, vrijwilligers, stagiaires en iedereen met toegang tot patiëntinformatie wordt getraind. Nalevingstraining is een van de meest proactieve en gemakkelijkste manieren om een overtreding te voorkomen.

De privacy en beveiliging van gezondheidsinformatie van patiënten zouden een prioriteit moeten zijn voor alle zorgverleners en medische professionals. Zorg ervoor dat uw materiaal actueel is, werk uw handleidingen bij en geef jaarlijkse HIPAA-training om mogelijke overtredingen te voorkomen. De meeste overtredingen kunnen gemakkelijk worden voorkomen door HIPAA-voorschriften in praktijkbeleid en -procedures te implementeren en ervoor te zorgen dat alle personen met toegang tot patiëntinformatie de juiste training krijgen.

Laurie Zabel, CHC, CPC is Director of Coding & Naleving van MedSafe (www.medsafe.com). Ze is een professionele zorgverlener met meer dan 25 jaar ervaring in praktijkbeheer en compliance. Laurie is een Certified Professional Coder (CPC), een arts chart auditor, een gecertificeerde ICD-10-CM / PCS Trainer en is gecertificeerd in Healthcare Compliance (CHC).

Voordat hij bij MedSafe kwam, werkte Laurie voor een groot Universitair-Academisch Medisch Centrum in New Jersey, waar ze de Praktijkmanager was voor de afdeling Obstetrie, Gynaecologie en Reproductieve Wetenschappen. Haar ervaring daar omvatte operationeel management, EMR-implementatie, beleid & -procedure-ontwikkeling, debiteurenbeheer en ervoor zorgen dat het personeel voldoet aan OSHA, HIPAA en EOHSS.

De de meningen, meningen en standpunten die in deze gastposten worden geuit, zijn die van de auteur alleen en vertegenwoordigen niet die van Becker’s Hospital Review / Becker’s Healthcare. De juistheid, volledigheid en geldigheid van enige verklaringen in dit artikel zijn niet gegarandeerd. Wij aanvaarden geen aansprakelijkheid voor eventuele fouten, weglatingen of representaties. Het copyright van deze inhoud berust bij de auteur en elke aansprakelijkheid met betrekking tot inbreuk op intellectuele eigendomsrechten blijft bij hem.