Podczas gdy HIPAA przyciąga całą uwagę w branży medycznej, ważne jest, aby zrozumieć, co jest konkretnie nakazane przez HITECH – zwłaszcza biorąc pod uwagę, że HITECH wymaga nie tylko ochrony Chronionych Informacji Zdrowotnych (PHI), ale także digitalizacji ich i elektronicznego udostępniania pacjentom i lekarzom. Firmy muszą również zrozumieć, w jaki sposób HITECH zmienia i wzmacnia wymagania HIPAA, i opracować rozwiązania do szyfrowania plików i zgodności poczty e-mail, które mogą spełnić oba zestawy wymagań.

Podstawy zgodności HITECH

HITECH , czyli Health Information Technology for Economic and Clinical Health Act, jest ustawą z 2009 r. stworzoną, aby zachęcić organizacje do „promowania przyjęcia i sensownego wykorzystania” elektronicznej dokumentacji medycznej (EHR). HITECH nakłada zachęty do digitalizacji dokumentacji medycznej i wykorzystywania jej do ulepszania jakość opieki zdrowotnej, a także kary za niedostateczne wykorzystanie EHR.

Ustawa HITECH zaostrzyła również kary i zmieniła egzekwowanie naruszeń HIPAA, tworząc cztery poziomy naruszeń z rosnącymi karami, do maksymalna grzywna w wysokości 1,5 mln USD. Z powodu HITECH podmioty podlegają karom, nawet jeśli nie wiedziały, że doszło do naruszenia, chociaż te naruszenia należą do najniższej kategorii. HITECH zezwala również organizatorom jony, aby uniknąć kar, jeśli naruszenia nie wynikają z zaniedbania, i są korygowane w ciągu 30 dni.

Cele zgodności HITECH

Ostatecznym celem HITECH jest promowanie korzystania z bezpiecznych, interoperacyjnych EHR w całych Stanach Zjednoczonych Aby to zrobić, ma trzy fazy sensownego wykorzystania, wymagające coraz szerszego wdrażania EHR, wraz z gwarancjami jakości i bezpieczeństwa.

Zasady etapu 1 różnią się nieco w zależności od specjalisty lub organizacji; pracownicy służby zdrowia objęci opieką medyczną muszą spełniać 15 głównych celów, 5 z 10 celów „menu” i 6 klinicznych miar jakości (CQM). Szpitale mają 15 podstawowych, 5 menu i 15 CQM. Dostawcy będą zwolnieni ze spełniania nieodpowiednich standardów – na przykład kręgarze nie muszą korzystać z e-recept, ponieważ nie wypisują recept.

Główne cele obejmują środki mające na celu poprawę jakości medycznej, takie jak sprawdzanie interakcji leków oraz rejestrowanie i zapisywanie parametrów życiowych, a także znaczące cele użytkowania, takie jak wdrażanie i zabezpieczanie EHR.

HITECH Etap 2 wymaga od dostawców rozpoczęcia korzystania z EHR w wyrafinowany sposób. Aby zapewnić zgodność z HITECH, dostawcy muszą korzystać z EHR lub zasobów komputerowych w celu:

• Wspieraj co najmniej pięć decyzji klinicznych
• Rejestruj ponad 60% recept i 30% zamówień laboratoryjnych i radiologicznych.
• Prześlij ponad 50% recept
• Przekazuj zapisy opieki podczas przenoszenia pacjentów
• Zapewnij szkolenia dostosowane do potrzeb pacjenta n do ponad 10% pacjentów
• Skompiluj i zweryfikuj dokładną listę leków podczas przenoszenia pacjentów
• Zapewnij pacjentom dostęp online do ich dokumentacji medycznej
• Zapewnij pacjentom sposób na bezpieczną komunikację online i
• śledzenie szczepień i innych danych dotyczących zdrowia publicznego.

Bezpieczeństwo elektroniczne jest pierwszym celem zgodności fazy 2 z HITECH. Szyfrowanie, analiza zagrożeń bezpieczeństwa i aktualizacje zabezpieczeń są specjalnie zobowiązane do „ochrony informacji o stanie zdrowia pacjenta”.

Faza 3 programu HITECH jest wciąż eliminowana, a program jako całość nadal ewoluuje. jednak zmiana polega na konieczności korzystania z EHR w celu poprawy opieki zdrowotnej i dobrego bezpieczeństwa w celu ochrony dokumentacji pacjentów.

Zgodność z przepisami HITECH i HIPAA

HITECH wymaga od dostawców przejścia certyfikacji HIPAA zgodnie z standardów Omnibus Rule. Jak wspomniano powyżej, zasady zgodności HITECH zaostrzyły kary za naruszenie HIPAA, a etap 3 prawdopodobnie jeszcze bardziej wzmocni wymagania dotyczące bezpieczeństwa i oceny ryzyka już nałożone przez HIPAA.

HITECH wzmocnił również HIPAA zasada powiadamiania o naruszeniu. Poprzednie wymogi zgodności z ustawą HIPAA wymagały powiadomienia tylko wtedy, gdy podmiot objęty ubezpieczeniem dostrzegł ryzyko wyrządzenia krzywdy stronie, której chronione informacje zdrowotne (PHI) zostały naruszone. Obecnie wszelkie niezabezpieczone PHI wymagają powiadomienia dotyczył stron, HHS oraz, w niektórych przypadkach, mediów.

HITECH rozszerzył również wymagania zgodności z ustawą HIPAA, aby objąć wszystkich partnerów biznesowych, którzy używają, przechowują lub przetwarzają PHI. Oznacza to, że firmy rozliczające, konsultanci i technicy IT pracujący na komputerach, które przechowują EHR, są na haku za przestrzeganie tych samych standardów bezpieczeństwa i prywatności.

Dodaj zasady zgodności PCI, z którymi zmagają się organizacje opieki zdrowotnej, a stanie się to niemożliwe do obsługi bezpieczeństwa w sposób fragmentaryczny – jest po prostu zbyt wiele do uwzględnienia i zbyt wiele nakładających się obszarów. Organizacje muszą przyjąć ogólną strategię bezpieczeństwa, która jednocześnie spełnia wszystkie wymagania dotyczące zgodności.

Zabezpieczanie sensownego użytkowania

Każdy etap wymagań dotyczących sensownego użytkowania przedstawia nowe wyzwania technologiczne i zagrożenia. Jednak dostawcy opieki zdrowotnej powinni upewnić się, że ich bezpieczeństwo spełnia ich potrzeby technologiczne, a nie tylko wymagania zgodności z HITECH. Dla większości organizacji oznacza to wykraczanie poza to, czego wymaga HITECH.

Chociaż zgodność z HITECH na poziomie 1 nie nakłada konkretnie na szyfrowanie, jako organizacja zgodna z HIPAA, powinieneś już używać go do wszystkich elektronicznych PHI (ePHI ), w tym EHR i komunikację z pacjentami. Szyfrowanie szyfruje pliki długim kluczem cyfrowym, czyniąc je nieczytelnymi dla każdego, kto nie ma do niego dostępu.

Korzystanie z szyfrowania plików i wiadomości e-mail chroni również przed wymaganiami dotyczącymi powiadamiania o naruszeniu, ponieważ odpowiednio zaszyfrowane pliki liczą się jako zabezpieczone ; jeśli firma narusza ePHI, ale nie klucze wymagane do jej odczytania, zwykle nie będzie to liczone jako naruszenie, ponieważ plików nie można odczytać. Zainstalowanie programów, takich jak bezpieczna poczta e-mail Virtru Pro i szyfrowanie Virtru Pro Google Apps (obecnie znane jako G Suite) i poświęcenie kilku minut na nauczenie personelu ich używania, może uchronić Cię przed złą prasą i wysokimi karami za naruszenie.

Etap 1 wymaga również, aby organizacje dokonały przeglądu swoich zabezpieczeń i skorygowały wszelkie niedociągnięcia, zgodnie z definicją zawartą w 41 CFR.308. Nie wystarczy napisać nowych zasad; organizacje muszą również korygować pracowników, którzy zagrażają bezpieczeństwu, oraz śledzić dostęp do EHR i innych danych dotyczących opieki zdrowotnej. Twój system powinien rejestrować za każdym razem, gdy ktoś uzyskuje dostęp do PHI lub innych chronionych danych, śledzić zmiany i przechowywać kopie zapasowe, a także powinieneś mieć dedykowany personel ds. Bezpieczeństwa do monitorowania naruszeń bezpieczeństwa.

W miarę jak Twoja organizacja staje się coraz bardziej zależna od EHR Aby poprawić wyniki zdrowotne na etapie 2, będziesz potrzebować narzędzi do bezpiecznego i wygodnego udostępniania danych oraz komunikowania się z pacjentami i innymi świadczeniodawcami. Wielu dostawców decyduje się na używanie portali opieki zdrowotnej do komunikowania się z pacjentami i udostępniania informacji o EHR. Są dość bezpieczne, ale dalekie od wygody. Wymagają nowych nazw użytkownika i haseł, zwykle mają niezgrabne interfejsy i nie mogą się ze sobą komunikować.

Jeśli pacjent musi udać się do innego szpitala lub dostawcy, który korzysta z innego portalu, możesz nie mieć ustalony sposób wymiany danych, a pacjent będzie musiał nauczyć się wielu systemów. Ten rodzaj niedogodności sprawia, że ludzie rezygnują i po prostu wysyłają niezaszyfrowany załącznik do wiadomości e-mail, łamiąc zgodność z HITECH i udaremniając cel posiadania portalu na pierwszym miejscu.

Szyfrowanie poczty e-mail Virtru Pro zapewnia lepsze rozwiązanie, dodanie silnego szyfrowania skoncentrowanego na danych do standardowego konta e-mail. Pacjenci i pracownicy służby zdrowia mogą jednym kliknięciem wysyłać zaszyfrowane pliki i załączniki – nawet do odbiorców, którzy nie mają zainstalowanego Virtru. Dodając Virtru Pro dla G Suite, będziesz mógł również szyfrować pliki w chmurze, zapewniając łatwy sposób bezpiecznego przechowywania i udostępniania EHR.

Jeśli chodzi o etap 3, trudno powiedzieć, co się dzieje Kolejny. Zasady zgodności HIPAA i HITECH prawdopodobnie zmierzają do dużej zmiany, która może uprościć przepisy i zastąpić sensowne użycie innym standardem. Jednak to, co się nie zmieni, to potrzeba bezpiecznych narzędzi do szyfrowania EHR i poczty elektronicznej oraz najlepszych praktyk bezpieczeństwa, aby zapobiegać wyciekom i łagodzić ich skutki.

Bieżąca zgodność i bezpieczeństwo HITECH

Istnieje wiele problemów, których sama technologia nie może rozwiązać. Na przykład szyfrowanie nie może uniemożliwić pracownikom wybierania słabych haseł, a automatyczne wylogowywanie nie może powstrzymać pacjentów przed rzuceniem okiem na stację roboczą, gdy jest ona zalogowana. Organizacje medyczne muszą łączyć audyt dźwiękowy, inteligentne zasady technologiczne i częste monitorowanie oraz informacje zwrotne w celu utrzymania kultury bezpieczeństwa.

Najlepsze praktyki dotyczące zgodności z ustawą HIPAA – zwłaszcza zabezpieczenia fizyczne i administracyjne – określają, ile można zrobić poza bezpieczeństwem IT. Fizycznie organizacje muszą kontrolować dostęp do dowolnego obszaru, w którym przechowywane są EHR lub inne PHI; w małym gabinecie lekarskim, co może być tak proste, jak trzymanie pacjentów z dala od kilku obszarów, w których używane są komputery lub przechowywane są stare zapisy, ale w dużym szpitalu kontrola dostępu może wymagać ochrony, kart bezpieczeństwa i monitorowania obiektów.

Zabezpieczenia administracyjne wynikające z przepisów HIPAA sprawiają, że organizacje są odpowiedzialne za dobre bezpieczeństwo wśród swoich pracowników i partnerów. Twoje zasady bezpieczeństwa muszą być sprecyzowane, zarówno wewnętrznie, jak i w umowach o partnerach biznesowych (BAA), które podpisujesz z partnerami, i poparte częstymi szkoleniami.

Zgodność HITECH nie kończy się jednak na Twoim organizacja i partnerzy. Musisz zabezpieczyć ePHI wysłany do innego szpitala lub udostępniony pacjentowi.Możesz to osiągnąć tylko za pomocą narzędzi i zasad bezpieczeństwa, które są wystarczająco łatwe w użyciu dla każdego pacjenta.

Zgodność HITECH wymaga narzędzi, z których każdy może korzystać

Ponieważ ustawa HITECH napędza korzystanie z EHR , więcej pacjentów i pracowników służby zdrowia ma dostęp do wrażliwych informacji medycznych w chmurze. Niestety nie wszyscy z tych osób dbają o bezpieczeństwo, a nawet je rozumieją. Organizacje bardziej niż kiedykolwiek potrzebują narzędzi bezpieczeństwa, z których każdy może korzystać.

Virtru Pro zapewnia przyjazne dla użytkownika, bezpieczne rozwiązania e-mail i szyfrowanie plików. W przeciwieństwie do portali nie wymaga złożonego procesu instalacji i uczenia się ani nowych identyfikatorów logowania do zapamiętania. Virtru Pro zapewnia zgodną z HIPAA i HITECH wiadomość e-mail dla pracowników służby zdrowia, która chroni wiadomości i pliki za naciśnięciem jednego przycisku. Ponieważ każdy może korzystać z poczty e-mail, może z niej korzystać, uzyskasz wyższą akceptację, mniejsze ryzyko naruszeń i lepsze przestrzeganie standardów zgodności HITECH.