Terwijl HIPAA alle aandacht krijgt in de in de zorgsector is het belangrijk om te begrijpen wat specifiek door HITECH wordt opgelegd – vooral gezien het feit dat HITECH vereist dat u niet alleen beschermde gezondheidsinformatie (PHI) beschermt, maar deze ook digitaliseert en elektronisch deelt met patiënten en artsen. Bedrijven moeten ook begrijpen hoe HITECH de HIPAA-vereisten verandert en versterkt, en met oplossingen voor bestandscodering en e-mailnaleving komen die aan beide sets vereisten kunnen voldoen.

HITECH Compliance Basics

HITECH , of de Health Information Technology for Economic and Clinical Health Act, is een wet uit 2009 die in het leven is geroepen om organisaties aan te moedigen “de adoptie en zinvol gebruik te bevorderen” van elektronische medische dossiers (EPD). HITECH legt prikkels op voor het digitaliseren van medische dossiers en het gebruik ervan om deze te verbeteren de kwaliteit van de gezondheidszorg, evenals sancties voor het niet voldoende gebruik maken van EPD.

De HITECH Act heeft ook de sancties en de handhaving van HIPAA-overtredingen aangescherpt, waardoor vier niveaus van overtredingen met oplopende straffen zijn ontstaan, tot een maximale boete van $ 1,5 miljoen. Vanwege HITECH kunnen entiteiten worden bestraft, zelfs als ze niet wisten dat er een overtreding plaatsvond, hoewel die overtredingen in de laagste categorie vallen. HITECH staat ook organizat ionen om aan sancties te ontsnappen als overtredingen niet het gevolg zijn van verwaarlozing, en binnen 30 dagen worden gecorrigeerd.

HITECH-nalevingsdoelen

Het uiteindelijke doel van HITECH is het gebruik van veilige, interoperabele EPD in de VS Om dat te doen, kent het drie fasen van zinvol gebruik, waarbij een toenemende inzet van EPD vereist is, samen met kwaliteits- en veiligheidswaarborgen.

Fase 1-regels variëren enigszins, afhankelijk van de professional of organisatie; behandelde zorgprofessionals moeten voldoen aan 15 kerndoelen, 5 van de 10 “menu” -doelstellingen en 6 Clinical Quality Measures (CQM’s). Ziekenhuizen hebben 15 core-, 5 menu- en 15 CQM’s. Zorgverleners zullen worden vrijgesteld van het voldoen aan niet-toepasselijke normen, bijvoorbeeld chiropractoren hoeven geen e-voorschrijven te gebruiken, omdat ze geen recepten schrijven.

De kerndoelen zijn onder meer maatregelen om de medische kwaliteit te verbeteren, zoals het controleren van interacties tussen geneesmiddelen en het registreren en in kaart brengen van vitale functies, evenals zinvolle gebruiksdoelen, zoals het implementeren en beveiligen van EPD.

HITECH Fase 2 vereist dat providers EPD’s op geavanceerde manieren gaan gebruiken. Voor naleving van HITECH moeten providers EPD of computerbronnen gebruiken om:

• Ondersteun ten minste vijf klinische beslissingen
• Registreer meer dan 60% van de recepten en 30% van zowel laboratorium- als radiologische bestellingen
• Verzend meer dan 50% van de recepten
• Zorgregistraties verzenden wanneer patiënten worden overgedragen
• Patiëntspecifieke voorlichting geven n aan meer dan 10% van de patiënten
• Stel een nauwkeurige lijst van medicijnen samen en verifieer deze wanneer patiënten worden overgedragen
• Geef patiënten online toegang tot hun medische dossiers
• Geef patiënten een manier om veilig online te communiceren, en
• het volgen van immunisatie en andere volksgezondheidsgegevens.

Elektronische beveiliging is het eerste doel voor fase 2 HITECH-naleving. Versleuteling, analyse van beveiligingsrisico’s en beveiligingsupdates zijn allemaal specifiek verplicht om “Patiëntgezondheidsinformatie te beschermen”.

HITECH-fase 3 wordt nog steeds gladgestreken en het programma als geheel blijft zich ontwikkelen. Wat niet verandering is echter de noodzaak van het gebruik van EPD om de gezondheidszorg te verbeteren, en een goede beveiliging om patiëntendossiers te beschermen.

HITECH- en HIPAA-naleving

HITECH vereist dat zorgverleners HIPAA-certificering ondergaan onder de normen van de Omnibus-regel. Zoals hierboven vermeld, hebben de HITECH-nalevingsregels de HIPAA-overtredingen aangescherpt, en fase 3 zal waarschijnlijk de beveiligings- en risicobeoordelingsvereisten die al zijn opgelegd door HIPAA verder versterken.

HITECH heeft ook de HIPAA versterkt. meldingsregel voor inbreuken. Eerdere HIPAA-nalevingsvereisten vereisten alleen melding wanneer de gedekte entiteit een risico op schade zag voor de partij wiens beschermde gezondheidsinformatie (PHI) was geschonden. Nu vereist elke onbeveiligde PHI een melding aan de hij had invloed op partijen, HHS en, in sommige gevallen, de media.

HITECH breidde ook de HIPAA-nalevingsvereisten uit naar alle zakenpartners die PHI gebruiken, opslaan of verwerken. Dat betekent dat factureringsbedrijven, consultants en IT-technici die werken op computers waarop EPD is opgeslagen, bereid zijn om dezelfde beveiligings- en privacystandaarden te handhaven.

Voeg de PCI-nalevingsregels toe waarmee zorgorganisaties worden geconfronteerd, en het wordt onmogelijk om de beveiliging stukje bij beetje af te handelen – er is gewoon te veel om rekening mee te houden en te veel overlappende gebieden. Organisaties moeten een algemene beveiligingsstrategie hanteren die al hun compliancevereisten samen aanpakt.

Zinvol gebruik beveiligen

Elke fase van zinvolle gebruiksvereisten presenteert nieuwe technologische uitdagingen en risico’s. Zorgaanbieders moeten er echter voor zorgen dat hun beveiliging voldoet aan hun technologische behoeften, niet alleen aan hun HITECH-nalevingsvereisten. Voor de meeste organisaties betekent dat verder gaan dan wat HITECH vereist.

Hoewel de naleving van fase 1 HITECH niet specifiek codering verplicht stelt, zou je het als HIPAA-compliant organisatie al moeten gebruiken voor alle elektronische PHI (ePHI ), inclusief EPD en communicatie met patiënten. Versleuteling vervormt bestanden met een lange digitale sleutel, waardoor ze onleesbaar worden voor iedereen die er geen toegang toe heeft.

Het gebruik van bestands- en e-mailversleuteling beschermt u ook tegen meldingsvereisten voor inbreuken, aangezien correct versleutelde bestanden als beveiligd gelden ; als een bedrijf ePHI schendt, maar niet de sleutels die nodig zijn om het te lezen, telt dit over het algemeen niet als een schending, aangezien de bestanden niet kunnen worden gelezen. Het installeren van programma’s zoals Virtru Pro beveiligde e-mail en Virtru Pro Google Apps (nu bekend als G Suite) -versleuteling en een paar minuten besteden aan het onderwijzend personeel om ze te gebruiken, kan u redden van de slechte pers en hoge boetes van een inbreuk.

Fase 1 vereist ook dat organisaties hun beveiliging herzien en eventuele tekortkomingen corrigeren, zoals gedefinieerd door 41 CFR.308. Het is niet genoeg om een nieuw beleid te schrijven; organisaties moeten ook werknemers corrigeren die de beveiliging in gevaar brengen, en de toegang tot EPD en andere gezondheidsgegevens volgen. Uw systeem moet elke keer dat iemand toegang heeft tot PHI of andere beschermde gegevens opnemen, wijzigingen bijhouden en back-upkopieën opslaan, en u moet toegewijd beveiligingspersoneel hebben om te controleren op inbreuken op de beveiliging.

Naarmate uw organisatie afhankelijker wordt van EPD om de gezondheidsresultaten in fase 2 te verbeteren, hebt u tools nodig om veilig en gemakkelijk gegevens te delen en te communiceren met patiënten en andere zorgverleners. Veel zorgverleners kiezen ervoor om zorgportalen te gebruiken om met patiënten te communiceren en EPD te delen. Ze zijn redelijk veilig, maar verre van handig. Ze hebben nieuwe gebruikersnamen en wachtwoorden nodig, hebben vaak onhandige interfaces en kunnen niet met elkaar communiceren.

Als een patiënt naar een ander ziekenhuis of een andere zorgverlener moet gaan die een ander portaal gebruikt, heeft u misschien geen gevestigde manier om records uit te wisselen, en de patiënt zal meerdere systemen moeten leren. Dit soort ongemak zorgt ervoor dat mensen het opgeven en gewoon een niet-versleutelde e-mailbijlage verzenden, waardoor de HITECH-compliance wordt verbroken en het doel van een portaal in de eerste plaats wordt verslagen.

Virtru Pro e-mailversleuteling biedt een betere oplossing, het toevoegen van sterke gegevensgerichte versleuteling aan uw standaard e-mailaccount. Patiënten en zorgverleners kunnen met een enkele klik versleutelde bestanden en bijlagen verzenden – zelfs naar ontvangers die Virtru niet hebben geïnstalleerd. Door Virtru Pro for G Suite toe te voegen, kunt u ook bestanden in de cloud versleutelen, waardoor u op een gemakkelijke manier EPD veilig kunt opslaan en delen.

Wat betreft fase 3 is het moeilijk te zeggen wat er gaat komen De volgende. HIPAA- en HITECH-nalevingsregels staan waarschijnlijk op het punt een grote verandering te ondergaan, die de regelgeving kan vereenvoudigen en zinvol gebruik kan vervangen door een andere norm. Wat echter niet zal veranderen, is de behoefte aan veilige tools om EPD en e-mail te versleutelen, en aan best practices voor beveiliging om lekken te voorkomen en te beperken.

Aanhoudende HITECH-naleving en beveiliging

Er zijn veel problemen die technologie alleen niet kan oplossen. Versleuteling kan bijvoorbeeld niet voorkomen dat uw werknemers zwakke wachtwoorden kiezen, en automatische afmeldingen kunnen patiënten er niet van weerhouden een blik op een werkstation te werpen terwijl het is aangemeld. Medische organisaties moeten degelijke auditing, intelligent technologisch beleid en frequente monitoring en feedback om een veiligheidscultuur te behouden.

Best practices voor naleving van HIPAA – met name fysieke en administratieve waarborgen – geven aan hoeveel er buiten IT-beveiliging te doen is. Fysiek moeten organisaties de toegang controleren tot elk gebied waar EPD of andere PHI is opgeslagen; in een kleine dokterspraktijk zou dat zo simpel kunnen zijn als patiënten uit een paar gebieden houden waar computers worden gebruikt of oude dossiers worden opgeslagen, maar in een groot ziekenhuis kan voor het controleren van de toegang bewakers, beveiligingssleutelkaarten en bewaking van faciliteiten vereist zijn.

Administratieve waarborgen onder de HIPAA-nalevingsregels maken organisaties verantwoordelijk voor een goede beveiliging van hun werknemers en partners. Uw beveiligingsregels moeten worden gespecificeerd, zowel intern als in de Business Associate Agreements (BAA’s) die u met partners ondertekent, en worden ondersteund door regelmatige training.

De naleving van HITECH houdt echter niet op bij uw organisatie en partners. U moet een ePHI beveiligen die naar een ander ziekenhuis is gestuurd of ook met de patiënt wordt gedeeld.U kunt dit alleen bereiken met beveiligingshulpmiddelen en -beleid die door elke patiënt eenvoudig te gebruiken zijn.

HITECH-naleving vereist hulpmiddelen die iedereen kan gebruiken

Aangezien de HITECH-wet het gebruik van EPD stimuleert krijgen meer patiënten en zorgprofessionals toegang tot gevoelige zorginformatie in de cloud. Helaas geven niet al deze mensen om veiligheid, of begrijpen ze het zelfs maar. Organisaties hebben meer dan ooit beveiligingstools nodig die iedereen kan gebruiken.

Virtru Pro biedt gebruiksvriendelijke veilige e-mailoplossingen en bestandscodering. In tegenstelling tot portals is er geen ingewikkeld installatie- en leerproces nodig, of nieuwe inlog-ID’s om te onthouden. Virtru Pro biedt HIPAA- en HITECH-compatibele e-mail voor zorgverleners, die berichten en bestanden met één druk op de knop beveiligt. Omdat iedereen e-mail kan gebruiken, kan het worden gebruikt, krijgt u een hogere acceptatie, een lager risico op inbreuken en een betere naleving van de HITECH-nalevingsnormen.