În timp ce HIPAA primește toată atenția în în domeniul sănătății, este important să înțelegeți ce este mandatat în mod specific de HITECH – mai ales având în vedere că HITECH vă solicită nu doar să protejați informațiile de sănătate protejate (PHI), ci să le digitalizați și să le distribuiți electronic și pacienților și medicilor. Întreprinderile trebuie, de asemenea, să înțeleagă modul în care HITECH modifică și amplifică cerințele HIPAA și să vină cu soluții de criptare a fișierelor și de e-mail care să răspundă ambelor seturi de cerințe.

HITECH Conformity Basics

HITECH , sau Legea privind tehnologia informației medicale pentru sănătate economică și clinică, este o lege din 2009 creată pentru a încuraja organizațiile să „promoveze adoptarea și utilizarea semnificativă” a dosarelor medicale electronice (EHR). HITECH impune stimulente pentru digitalizarea dosarelor medicale și utilizarea acestora pentru a îmbunătăți calitatea asistenței medicale, precum și sancțiunile pentru neutilizarea suficientă a EHR.

Legea HITECH a întărit și sancțiunile și a modificat aplicarea încălcărilor HIPAA, creând patru niveluri de încălcări cu sancțiuni tot mai mari, până la un amendă maximă de 1,5 milioane de dolari. Din cauza HITECH, entitățile sunt supuse unor sancțiuni chiar dacă nu știau că a avut loc o încălcare, deși aceste încălcări se află în categoria cea mai joasă. HITECH permite, de asemenea, organizarea ioni pentru a scăpa de sancțiuni dacă încălcările nu se datorează neglijării și sunt corectate în termen de 30 de zile.

Obiectivele de conformitate HITECH

Scopul final al HITECH este de a promova utilizarea unui sistem interoperabil sigur și sigur EHR în toată SUA Pentru a face acest lucru, are trei faze de utilizare semnificativă, care necesită o creștere a implementării EHR, împreună cu garanții de calitate și securitate.

Regulile etapei 1 variază oarecum în funcție de profesionist sau organizație; profesioniștii din domeniul sănătății acoperiți trebuie să îndeplinească 15 obiective de bază, 5 din 10 obiective „meniu” și 6 măsuri de calitate clinică (CQM). Spitalele au 15 nuclee, 5 meniuri și 15 CQM. Furnizorii vor fi scutiți de la îndeplinirea standardelor inaplicabile – de exemplu, chiropracticieni nu trebuie să utilizeze prescrierea electronică, deoarece nu scriu prescripții.

Obiectivele principale includ măsuri pentru creșterea calității medicale, precum verificarea interacțiunilor medicamentoase și înregistrarea și graficarea semnelor vitale, precum și obiective de utilizare semnificative, cum ar fi implementarea și securizarea EHR.

Etapa 2 HITECH impune furnizorilor să înceapă utilizarea EHR-urilor în moduri sofisticate. Pentru conformitatea HITECH, furnizorii trebuie să utilizeze resurse EHR sau resurse computerizate pentru:

• Sprijină cel puțin cinci decizii clinice
• Înregistrează peste 60% din prescripții și 30% din ambele comenzi de laborator și radiologie
• Transmite peste 50% din prescripții
• Transmiteți dosarele de îngrijire atunci când pacienții sunt transferați
• Oferiți educație specifică pacientului n la peste 10% dintre pacienți
• Compilați și verificați o listă exactă a medicamentelor atunci când pacienții sunt transferați
• Oferiți pacienților acces online la dosarele lor de sănătate
• Oferiți pacienților o modalitate de a comunica în siguranță online și
• Urmăriți imunizarea și alte date de sănătate publică.

Securitatea electronică este primul obiectiv pentru conformarea HITECH cu faza 2. Criptarea, analiza riscurilor de securitate și actualizările de securitate sunt toate mandatate în mod specific pentru „Protejarea informațiilor privind sănătatea pacientului”.

Faza 3 HITECH este încă în curs de eliminare și programul în ansamblu continuă să evolueze. Ceea ce nu va fi schimbarea este însă necesitatea utilizării EHR pentru a îmbunătăți asistența medicală și o bună securitate pentru a proteja dosarele pacienților.

Conformitatea HITECH și HIPAA

HITECH solicită furnizorilor să treacă prin certificarea HIPAA în conformitate cu Așa cum s-a menționat mai sus, regulile de conformitate HITECH au consolidat sancțiunile de încălcare a HIPAA, iar etapa 3 va consolida în continuare cerințele de securitate și evaluare a riscurilor deja impuse de HIPAA.

HITECH a consolidat și HIPAA regula de notificare a încălcării. Cerințele anterioare de conformitate HIPAA cereau o notificare numai atunci când entitatea acoperită a văzut un risc de prejudiciu părții ale cărei informații de sănătate protejate (PHI) au fost încălcate. Acum, orice PHI nesecurizat necesită o notificare a afectat părțile, HHS și, în unele cazuri, mass-media.

HITECH a extins, de asemenea, cerințele de conformitate HIPAA pentru a acoperi orice partener de afaceri care utilizează, stochează sau procesează PHI. Asta înseamnă că companiile de facturare, consultanții și tehnicienii IT care lucrează pe computerele care stochează EHR sunt în cârlig pentru a respecta aceleași standarde de securitate și confidențialitate.

Adăugați regulile de conformitate PCI cu care se confruntă organizațiile medicale și devine imposibil pentru a gestiona securitatea într-un mod fragmentar – există doar prea multe de luat în calcul și prea multe zone suprapuse. Organizațiile trebuie să adopte o strategie generală de securitate care să abordeze împreună toate cerințele de conformitate.

Asigurarea utilizării semnificative

Fiecare etapă a cerințelor de utilizare semnificativă prezintă noi provocări și riscuri tehnologice. Cu toate acestea, furnizorii de servicii medicale ar trebui să se asigure că securitatea lor răspunde nevoilor lor tehnologice, nu doar cerințelor lor de conformitate HITECH. Pentru majoritatea organizațiilor, asta înseamnă să depășești ceea ce cere HITECH.

Deși conformitatea cu etapa HITECH 1 nu impune în mod specific criptarea, ca organizație conformă HIPAA, ar trebui să o folosești deja pentru toate PHI electronice (ePHI ), inclusiv EHR și comunicațiile pacientului. Criptarea amestecă fișierele cu o cheie digitală lungă, făcându-le ilizibile pentru oricine nu are acces la ea.

Utilizarea criptării fișierelor și a e-mailului vă protejează și de cerințele de notificare a încălcării, deoarece fișierele criptate corespunzător sunt considerate ca fiind securizate. ; dacă o companie încalcă ePHI, dar nu cheile necesare pentru a o citi, în general nu va fi considerată o încălcare, deoarece fișierele nu pot fi citite. Instalarea de programe precum e-mailul securizat Virtru Pro și criptarea Virtru Pro Google Apps (cunoscută acum sub numele de G Suite) și petrecerea a câteva minute predând personalului să le folosească ar putea să vă scutească de presa proastă și de amenzile puternice ale unei încălcări.

Etapa 1 cere, de asemenea, organizațiilor să își revizuiască securitatea și să corecteze orice deficiențe, astfel cum sunt definite în 41 CFR.308. Nu este suficient să scrieți noi politici; organizațiile trebuie, de asemenea, să corecteze lucrătorii care compromit securitatea și să urmărească accesul la EHR și la alte date privind asistența medicală. Sistemul dvs. ar trebui să înregistreze de fiecare dată când cineva accesează PHI sau alte date protejate, urmărește modificările și stochează copii de rezervă și ar trebui să aveți personal de securitate dedicat pentru a monitoriza încălcările de securitate.

Pe măsură ce organizația dvs. devine mai dependentă de EHR pentru a îmbunătăți rezultatele asupra stării de sănătate în etapa 2, veți avea nevoie de instrumente pentru a partaja în siguranță și în mod convenabil datele și pentru a comunica cu pacienții și alți furnizori de servicii medicale. Mulți furnizori aleg să utilizeze portaluri de asistență medicală pentru a comunica cu pacienții și pentru a partaja EHR. Sunt destul de sigure, dar departe de a fi convenabile. Acestea necesită nume de utilizator și parole noi, tind să aibă interfețe ciudate și nu pot comunica între ele.

Dacă un pacient trebuie să meargă la un alt spital sau furnizor care folosește un portal diferit, este posibil să nu aveți mod stabilit de schimb de înregistrări, iar pacientul va trebui să învețe mai multe sisteme. Acest tip de inconvenient este ceea ce îi face pe oameni să renunțe și să trimită doar un atașament de e-mail necriptat, încălcând conformitatea HITECH și învingând scopul de a avea un portal în primul rând.

Criptarea e-mailurilor Virtru Pro oferă o soluție mai bună, adăugând o criptare puternică bazată pe date în contul dvs. de e-mail standard. Pacienții și furnizorii de servicii medicale pot trimite fișiere și atașamente criptate cu un singur clic – chiar și destinatarilor care nu au instalat Virtru. Prin adăugarea Virtru Pro pentru G Suite, veți putea, de asemenea, să criptați fișiere în cloud, oferind o modalitate ușoară de a stoca și de a partaja în siguranță EHR.

În ceea ce privește etapa 3, este greu de spus ce urmează Următorul. Regulile de conformitate HIPAA și HITECH sunt probabil îndreptate spre o schimbare importantă, care poate simplifica reglementările și înlocui utilizarea semnificativă cu un standard diferit. Totuși, ceea ce nu se va schimba este necesitatea unor instrumente sigure pentru a cripta EHR și e-mail și cele mai bune practici de securitate pentru a preveni și a atenua scurgerile.

Conformitate și securitate HITECH în curs

Există o mulțime de probleme pe care tehnologia singură nu le poate rezolva. De exemplu, criptarea nu poate împiedica angajații dvs. să aleagă parole slabe, iar deconectarea automată nu poate împiedica pacienții să arunce o privire la o stație de lucru în timp ce este conectat. Organizațiile medicale trebuie să combine auditul sonor, politicile tehnologice inteligente și monitorizarea frecventă și feedback pentru a menține o cultură a securității.

Cele mai bune practici de conformitate HIPAA – în special măsuri de protecție fizică și administrativă – prezintă cât de multe sunt de făcut în afara securității IT. Din punct de vedere fizic, organizațiile trebuie să controleze accesul la orice zonă în care sunt stocate EHR sau alte PHI; într-un cabinet mic de medic, ar putea fi la fel de simplu ca menținerea pacienților în afara câtorva zone în care sunt utilizate computerele sau în care sunt stocate înregistrări vechi, dar într-un spital mare, controlul accesului poate necesita pază, chei de securitate și monitorizare a instalațiilor.

Garanțiile administrative în conformitate cu normele de conformitate HIPAA fac organizațiile responsabile pentru o bună securitate între angajații și partenerii lor. Regulile dvs. de securitate trebuie să fie detaliate, atât la nivel intern, cât și în acordurile de asociere de afaceri (BAA) pe care le semnați cu partenerii, și susținute de formare frecventă.

Conformitatea HITECH nu se oprește însă organizație și parteneri. Vi se cere să asigurați ePHI trimis la alt spital sau distribuit și pacientului.Puteți realiza acest lucru numai cu instrumente și politici de securitate care sunt suficient de ușor de utilizat de orice pacient.

Conformitatea HITECH necesită instrumente pe care oricine le poate utiliza

Deoarece Legea HITECH conduce la utilizarea EHR , mai mulți pacienți și profesioniști din domeniul sănătății accesează informații sensibile din domeniul sănătății în cloud. Din păcate, nu tuturor acestor oameni le pasă de securitate sau chiar o înțeleg. Mai mult ca oricând, organizațiile au nevoie de instrumente de securitate pe care oricine le poate utiliza.

Virtru Pro oferă soluții de e-mail sigure și criptare de fișiere ușor de utilizat. Spre deosebire de portaluri, nu necesită un proces complex de instalare și învățare sau noi ID-uri de autentificare de reținut. Virtru Pro furnizează e-mailuri compatibile HIPAA și HITECH pentru furnizorii de servicii medicale, care protejează mesajele și fișierele printr-o simplă apăsare de buton. Deoarece oricine poate folosi e-mailul, îl veți putea adopta, veți primi un risc mai mic de încălcare și o mai bună respectare a standardelor de conformitate HITECH.