Medan HIPAA får all uppmärksamhet i inom hälso- och sjukvårdsindustrin är det viktigt att förstå vad HITECH specifikt föreskriver – särskilt med tanke på att HITECH kräver att du inte bara skyddar PHI (Protected Health Information) utan att digitalisera den och dela den elektroniskt med patienter och läkare också. Företag måste också förstå hur HITECH ändrar och förstärker HIPAA-kraven och kommer med lösningar för filkryptering och e-postöverensstämmelse som kan hantera båda uppsättningarna av krav.

Grunderna för HITECH-efterlevnad

HITECH , eller Health Information Technology for Economic and Clinical Health Act, är en lag från 2009 som skapats för att uppmuntra organisationer att ”främja antagande och meningsfull användning” av Electronic Health Records (EHR). HITECH inför incitament för att digitalisera medicinska journaler och använda dem för att förbättra kvaliteten på hälso- och sjukvården samt påföljder för att inte utnyttja EHR i tillräcklig utsträckning.

HITECH-lagen skärpte också påföljder och ändrade verkställigheten av HIPAA-överträdelser, vilket skapade fyra nivåer av överträdelser med ökande påföljder, upp till en högsta böter på 1,5 miljoner dollar. På grund av HITECH utsätts enheter för påföljder även om de inte visste att en överträdelse inträffade, även om dessa överträdelser är i den lägsta kategorin. HITECH tillåter också organisering joner för att undkomma påföljder om brott inte beror på försummelse och korrigeras inom 30 dagar.

HITECHs mål för efterlevnad

Det yttersta målet för HITECH är att främja användningen av säkra, interoperabla EHR i hela USA För att göra det har den tre faser av meningsfull användning, vilket kräver ökad användning av EHR, tillsammans med kvalitets- och säkerhetsgarantier.

Reglerna för steg 1 varierar något beroende på professionell eller organisation; omfattande vårdpersonal måste uppfylla 15 kärnmål, 5 av 10 ”meny” -mål och 6 kliniska kvalitetsåtgärder (CQM). Sjukhus har 15 kärn-, 5-meny- och 15 CQM. Leverantörer kommer att undantas från att uppfylla otillämpliga standarder – till exempel kiropraktorer behöver inte använda e-recept eftersom de inte skriver recept.

Kärnmålen inkluderar åtgärder för att öka den medicinska kvaliteten, såsom att kontrollera läkemedelsinteraktioner och registrera och kartlägga vitala tecken, samt meningsfulla användningsmål, som att distribuera och säkra EHR.

HITECH Stage 2 kräver att leverantörer börjar använda EHR på sofistikerade sätt. För HITECH-efterlevnad måste leverantörer använda EHR eller datorresurser för att:

• Stöd åtminstone fem kliniska beslut
• Spela in över 60% av recepten och 30% av både lab- och radiologibeställningar
• Överför 50% av recepten
• Överföra vårdregister när patienter överförs
• Ge patientspecifik utbildning n till över 10% av patienterna
• Sammanställa och verifiera en korrekt lista över mediciner när patienter överförs
• Ge patienter online tillgång till sina hälsoposter
• Ge patienter ett sätt att kommunicera säkert online, och
• Spåra immunisering och annan folkhälsoinformation.

Elektronisk säkerhet är det första målet för fas 2 HITECH-efterlevnad. Kryptering, säkerhetsriskanalys och säkerhetsuppdateringar är alla specifikt skyldiga att ”Skydda patienthälsoinformation.”

HITECH fas 3 stryks fortfarande ut och programmet som helhet fortsätter att utvecklas. förändring är dock nödvändigheten av att använda EHR för att förbättra vården och god säkerhet för att skydda patientjournaler.

HITECH och HIPAA-efterlevnad

HITECH kräver att leverantörer ska genomgå HIPAA-certifiering enligt standarder i Omnibus-regeln. Som nämnts ovan har HITECH-reglerna för överensstämmelse stärkt HIPAA-överträdelsestraffen, och steg 3 kommer sannolikt att ytterligare stärka kraven på säkerhet och riskbedömning som redan införts av HIPAA.

HITECH har också stärkt HIPAA. Regel om överträdelsemeddelande. Tidigare HIPAA-krav krävde endast anmälan när den täckta enheten såg en risk för skada för den part vars skyddade hälsoinformation (PHI) hade brutits. Nu kräver alla osäkra PHI en anmälan han drabbade parter, HHS och i vissa fall media.

HITECH utökade också HIPAA-kraven för att täcka alla affärspartners som använder, lagrar eller bearbetar PHI. Det betyder att faktureringsföretag, konsulter och IT-tekniker som arbetar på datorer som lagrar EHR är på kroken för att upprätthålla samma säkerhets- och integritetsstandarder.

Lägg till PCI-reglerna som vårdorganisationer står inför och det blir omöjligt för att hantera säkerhet på ett styckevis sätt – det finns bara för mycket att redogöra för och för många överlappande områden. Organisationer måste anta en övergripande säkerhetsstrategi som behandlar alla deras efterlevnadskrav tillsammans.

Säkra meningsfull användning

Varje steg med meningsfulla användningskrav presenterar nya tekniska utmaningar och risker. Vårdgivare bör dock se till att deras säkerhet uppfyller deras tekniska behov, inte bara deras HITECH-krav. För de flesta organisationer betyder det att gå längre än vad HITECH kräver.

Även om steg 1 HITECH-efterlevnad inte specifikt kräver kryptering, som en HIPAA-kompatibel organisation, bör du redan använda den för all elektronisk PHI (ePHI ), inklusive EHR och patientkommunikation. Kryptering krypterar filer med en lång digital nyckel, vilket gör dem oläsliga för alla som inte har tillgång till den.

Med hjälp av fil- och e-postkryptering skyddar du dig också från krav på aviseringar om intrång, eftersom korrekt krypterade filer räknas som säkra ; om ett företag bryter mot ePHI men inte de nycklar som krävs för att läsa det, räknas det vanligtvis inte som ett brott, eftersom filerna inte kan läsas. Att installera program som Virtru Pro säker e-post och Virtru Pro Google Apps (nu känd som G Suite) kryptering och spendera några minuter på att lära personal att använda dem kan spara dig från dålig press och kraftiga böter för ett brott.

Steg 1 kräver också att organisationer granskar sin säkerhet och rättar till eventuella brister, enligt definitionen i 41 CFR.308. Det räcker inte att skriva några nya policyer; organisationer måste också korrigera arbetstagare som äventyrar säkerheten och spårar åtkomst till EHR och annan vårdinformation. Ditt system ska spela in varje gång någon får åtkomst till PHI eller annan skyddad data, spåra ändringar och lagra säkerhetskopior, och du bör ha dedikerad säkerhetspersonal för att övervaka säkerhetsöverträdelser.

När din organisation blir mer beroende av EHR För att förbättra hälsoresultaten i steg 2 behöver du verktyg för att säkert och enkelt dela data och kommunicera med patienter och andra vårdgivare. Många leverantörer väljer att använda vårdportaler för att kommunicera med patienter och dela EHR. De är ganska säkra men långt ifrån bekväma. De kräver nya användarnamn och lösenord, tenderar att ha klumpiga gränssnitt och kan inte kommunicera med varandra.

Om en patient behöver gå till ett annat sjukhus eller leverantör som använder en annan portal, kanske du inte har etablerat sätt att utbyta register, och patienten måste lära sig flera system. Denna typ av olägenhet är det som får människor att ge upp och bara skicka en okrypterad e-postbilaga, bryta HITECH-överensstämmelsen och besegra syftet med att ha en portal i första hand.

Virtru Pro-e-postkryptering ger en bättre lösning, lägga till stark datacentrerad kryptering till ditt vanliga e-postkonto. Patienter och vårdgivare kan skicka krypterade filer och bilagor med ett enda klick – även till mottagare som inte har Virtru installerat. Genom att lägga till Virtru Pro för G Suite kan du också kryptera filer i molnet, vilket är ett enkelt sätt att säkert lagra och dela EHR.

När det gäller steg 3 är det svårt att säga vad som kommer Nästa. HIPAA och HITECHs regler för efterlevnad är troligen på väg mot en stor förändring, vilket kan förenkla reglerna och ersätta meningsfull användning med en annan standard. Vad som emellertid inte kommer att förändras är behovet av säkra verktyg för att kryptera EHR och e-post, och bästa praxis för säkerhet för att förhindra och mildra läckage.

Pågående HITECH-efterlevnad och säkerhet

Det finns många problem som teknik inte ensam kan lösa. Kryptering kan till exempel inte hindra dina anställda från att välja svaga lösenord, och automatiska utloggningar kan inte hindra patienter från att smyga en blick på en arbetsstation medan den är inloggad. Medicinska organisationer behöver kombinera ljudgranskning, intelligent teknikpolicy och frekvent övervakning och feedback för att upprätthålla en säkerhetskultur.

Bästa metoder för HIPAA-efterlevnad – särskilt fysiska och administrativa skyddsåtgärder – beskriver hur mycket det finns att göra utanför IT-säkerheten. Fysiskt måste organisationer kontrollera åtkomst till alla områden där EHR eller annan PHI lagras; på ett litet läkarmottagning kan det vara så enkelt som att hålla patienter utanför några få områden där datorer används eller gamla register lagras, men på ett stort sjukhus kan kontroll av åtkomst kräva vakter, säkerhetskort och anläggningsövervakning.

Administrativa skyddsåtgärder enligt HIPAA-reglerna gör organisationer ansvariga för god säkerhet bland sina anställda och partners. Dina säkerhetsregler måste anges, både internt och i Business Associate Agreement (BAAs) som du undertecknar med partners och backas upp av frekvent utbildning.

HITECH-efterlevnad slutar dock inte med din organisation och partners. Du måste säkra ePHI som skickas till ett annat sjukhus eller delas med patienten också.Du kan bara åstadkomma detta med säkerhetsverktyg och policyer som är tillräckligt enkla för alla patienter att använda.

HITECH-efterlevnad kräver verktyg som alla kan använda

Eftersom HITECH Act driver användningen av EHR , fler patienter och vårdpersonal har tillgång till känslig hälsoinformation i molnet. Tyvärr bryr sig inte alla dessa om säkerhet eller ens förstår det. Mer än någonsin behöver organisationer säkerhetsverktyg som alla kan använda.

Virtru Pro erbjuder användarvänliga säkra e-postlösningar och filkryptering. Till skillnad från portaler kräver det ingen komplex installation och inlärningsprocess eller nya inloggnings-ID för att komma ihåg. Virtru Pro tillhandahåller HIPAA och HITECH-kompatibel e-post för vårdgivare, som skyddar meddelanden och filer med ett knapptryck. Eftersom vem som helst kan använda e-post kan använda den får du högre antagande, lägre risk för överträdelser och bättre efterlevnad av HITECH-standarder.