Đạo luật Bảo vệ và Cung cấp Bảo hiểm Y tế (HIPAA) của chính phủ liên bang đã tạo ra các hướng dẫn về cách các nhà cung cấp dịch vụ chăm sóc sức khỏe xử lý dữ liệu sức khỏe của bệnh nhân. Thật không may, các hướng dẫn HIPAA rất mơ hồ. Không có danh sách kiểm tra dễ dàng nào bạn có thể sử dụng để tìm phần mềm tuân thủ HIPAA. Thay vào đó, HIPAA yêu cầu bạn tạo một bộ quy trình để truy cập và gửi thông tin sức khỏe của bệnh nhân. Sau đó, bạn phải tìm một nhà cung cấp phần mềm có phần mềm có thể cho phép bạn thực hiện các quy trình của mình.
Các bước
Phần 1/3: Tạo các thủ tục thích hợp
Bước 1. Giữ nhật ký kiểm tra
Bạn cần theo dõi những ai truy cập vào hồ sơ của bệnh nhân. Điều này có nghĩa là bạn cần tạo tên người dùng và mật khẩu riêng biệt cho từng người có quyền truy cập vào thông tin sức khỏe của bệnh nhân. Là một phần của nhật ký kiểm tra, bạn nên theo dõi những điều sau:
- bản ghi mà người dùng đã truy cập
- ngày nó được truy cập
- người dùng đã xem thông tin, cập nhật hay xóa thông tin
Bước 2. Tạo các cấp độ truy cập
HIPAA cũng yêu cầu nhân viên chỉ xem thông tin “cần thiết tối thiểu” để thực hiện công việc của họ. Ví dụ, một bác sĩ sẽ cần xem nhiều thông tin sức khỏe hơn một lễ tân. Theo đó, bạn cần tạo các cấp độ truy cập, trong đó bạn chỉ cung cấp lượng thông tin cần thiết để mỗi người thực hiện công việc của họ.
- Một số nhân viên có thể chỉ làm việc với một số bệnh nhân nhất định. Trong tình huống này, họ chỉ nên được cấp quyền truy cập vào hồ sơ bệnh nhân cho những người họ làm việc cùng.
- Để tạo thành công các cấp độ truy cập, bạn cần xác định rõ các vai trò trong tổ chức của mình. Điều này có thể yêu cầu bạn phải xem mô tả công việc và sắp xếp lại các nhiệm vụ.
Bước 3. Tạo chức năng “ghi đè khẩn cấp”
Ngay cả khi bạn tạo các cấp độ truy cập, vẫn có thể xảy ra tình huống ai đó cần truy cập tất cả thông tin trong trường hợp khẩn cấp. Vì lý do này, bạn nên tạo một "ghi đè" cho phép người đó truy xuất bất kỳ thông tin nào cần thiết để điều trị hiệu quả cho bệnh nhân.
- Tuy nhiên, bạn nên thiết lập phần mềm của mình để việc sử dụng chức năng ghi đè này được kiểm tra kỹ lưỡng.
- Ví dụ: bạn có thể thiết lập phần mềm để mỗi khi ai đó sử dụng chức năng ghi đè, một số người khác sẽ được tự động gửi email đồng thời. Phần mềm cũng phải theo dõi bất kỳ thông tin nào mà người này truy cập.
- Bạn cũng nên viết ra quy trình đánh giá cho mỗi lần sử dụng chức năng ghi đè. Ví dụ, người sử dụng nó có thể phải gặp người giám sát sau đó để chứng minh việc sử dụng.
Bước 4. Bảo mật dữ liệu của bạn
HIPAA yêu cầu bạn phải bảo mật dữ liệu của mình. Trên thực tế, điều này có nghĩa là bạn nên sử dụng mật khẩu và bảo mật dữ liệu sau tường lửa.
- Bạn cũng cần đảm bảo rằng email của bạn được bảo mật. Đặc biệt, bạn phải sử dụng đủ công nghệ mã hóa email của mình.
- Để biết thêm thông tin về cách đảm bảo email của bạn tuân thủ HIPAA, hãy xem Đảm bảo email tuân thủ HIPAA.
Bước 5. Quét các biểu mẫu ủy quyền của bệnh nhân
Bạn được yêu cầu để bệnh nhân ký vào các biểu mẫu cho phép bạn sử dụng thông tin của họ để chăm sóc họ. Mỗi biểu mẫu phải bao gồm mô tả về những gì bạn sẽ sử dụng dữ liệu và ngày hết hạn.
- Bạn nên theo dõi các ủy quyền này, bao gồm ngày ký biểu mẫu và tên của người ký.
- Bạn cũng nên quét biểu mẫu và duy trì một bản sao kỹ thuật số.
Bước 6. Xác nhận rằng hệ thống thanh toán của bạn tuân thủ
HIPAA đã chuẩn hóa việc truyền thông tin thanh toán. Vì lý do này, bất kỳ hệ thống thanh toán nào bạn sử dụng đều phải hỗ trợ các tiêu chuẩn HIPAA.
Tại thời điểm này, hầu như mọi hệ thống thanh toán trên thị trường đều làm như vậy. Tuy nhiên, bạn nên xác nhận với nhà cung cấp của mình rằng nó tuân thủ HIPAA
Bước 7. Hỏi nhà cung cấp về việc sao lưu
HIPAA cũng yêu cầu bạn duy trì dữ liệu của mình để bệnh nhân có thể xem bất cứ khi nào họ yêu cầu. Điều này có nghĩa là bạn phải duy trì các bản sao lưu của tất cả thông tin. Nếu bạn giữ thông tin trên giấy, thì bạn cần tạo các bản sao được lưu trữ bên ngoài trang web hoặc bản quét kỹ thuật số. Nếu bạn lưu trữ dữ liệu điện tử, thì dữ liệu đó phải được sao lưu.
- Hỏi các nhà cung cấp cách họ sao lưu hệ thống của họ. Tìm hiểu cách họ đảm bảo tính liên tục của hệ thống trong trường hợp xảy ra tai nạn.
- Nếu bạn lưu trữ hệ thống dữ liệu trên các máy chủ của riêng mình, thì bạn sẽ cần tìm hiểu xem bạn có những quy trình sao lưu nào, cũng như các kế hoạch khẩn cấp của bạn.
Bước 8. Cho các đối tác kinh doanh ký hợp đồng
Bất kỳ ai nhìn thấy dữ liệu của bạn đều phải đồng ý duy trì các chính sách và quy trình giống như tổ chức của bạn. Do đó, bạn nên soạn thảo hợp đồng “Đối tác kinh doanh” để tất cả các nhà cung cấp ký kết.
- Dịch vụ Y tế và Con người có một hợp đồng mẫu tại https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agosystem-provisions/index.html. Bạn có thể sửa đổi nó cho phù hợp với mục đích của mình.
- Ngoài ra còn có các hợp đồng mẫu trên Internet. Ví dụ: Trung tâm Khoa học Sức khỏe UT có một hợp đồng mẫu mà bạn có thể sử dụng.
- Bạn cũng nên nhờ luật sư chăm sóc sức khỏe của bạn xem qua bất kỳ hợp đồng nào để đảm bảo rằng hợp đồng đó đủ để bảo vệ bạn.
Phần 2/3: Tìm kiếm nhà cung cấp phần mềm và dữ liệu
Bước 1. Hỏi các nhà cung cấp dịch vụ chăm sóc sức khỏe khác
Nếu bạn đang mở một doanh nghiệp, thì bạn sẽ cần phải mua phần mềm. Bạn cũng có thể cần thuê ai đó lưu trữ dữ liệu của bạn trên máy chủ của họ (hoặc sao lưu máy chủ của riêng bạn).
Hỏi các nhà cung cấp khác họ sử dụng nhà cung cấp nào. Hầu như tất cả các nhà cung cấp dịch vụ chăm sóc sức khỏe đều được HIPAA chi trả, vì vậy họ nên cân nhắc kỹ lưỡng về việc liệu phần mềm của họ có tuân thủ hay không. Bạn nên yêu cầu các khuyến nghị
Bước 2. So sánh giá cả
Sau khi nhận được đề xuất cho các nhà cung cấp khác nhau, bạn cần so sánh giá của họ. Bạn nên gọi cho họ để được báo giá. Số điện thoại của họ phải có trên Internet.
- Giá cả sẽ phụ thuộc vào số lượng người cần truy cập vào hệ thống của bạn, vì vậy hãy đảm bảo rằng bạn có sẵn số lượng đó.
- Nếu doanh nghiệp của bạn đang phát triển, thì bạn nên suy nghĩ trước một vài năm. Ví dụ: nếu bạn có năm nhân viên nhưng nghĩ rằng bạn sẽ tăng gấp đôi quy mô, thì hãy đảm bảo rằng bạn nhận được báo giá chi phí bao nhiêu để có 10 người dùng. Bạn không muốn chuyển đổi phần mềm chỉ sau một năm.
Bước 3. Tìm hiểu cách nhà cung cấp giám sát các thay đổi trong HIPAA
Các quy định của HIPAA tiếp tục phát triển. Bạn nên mong đợi nhà cung cấp theo kịp những thay đổi trong luật. Khi liên hệ với nhà cung cấp, bạn nên hỏi những điều sau:
- Nhà cung cấp giám sát những thay đổi trong quy định HIPAA như thế nào? Nó có một kế hoạch hành động để theo kịp những thay đổi của luật pháp không? Hãy tìm những ví dụ cụ thể. Công ty có luật sư về nhân viên theo dõi những thay đổi của luật pháp không?
- Bao nhiêu phần trăm khách hàng của nhà cung cấp phải tuân thủ HIPAA? Nếu hầu hết khách hàng của công ty phải tuân thủ HIPAA, thì bạn có thể chắc chắn rằng công ty sẽ thực hiện những thay đổi cần thiết để tuân thủ HIPAA - nếu không công ty sẽ ngừng hoạt động.
Phần 3/3: Tìm hiểu Yêu cầu của HIPAA
Bước 1. Kiểm tra xem HIPAA có áp dụng cho bạn không
Bạn phải tuân thủ HIPAA nếu tổ chức của bạn chuyển bất kỳ thông tin thanh toán nào bằng phương thức điện tử đến bất kỳ công ty bảo hiểm sức khỏe nào, bao gồm cả Medicaid và Medicare. Thông tin có thể bao gồm hóa đơn hoặc thông tin khác cần thiết để tìm kiếm bảo hiểm. Nói chung, HIPAA quy định các nhà cung cấp những điều sau đây:
- trị liệu
- tư vấn
- chăm sóc y tế
- bất kỳ dịch vụ nào khác lập hóa đơn cho các công ty bảo hiểm
Bước 2. Tìm một luật sư chăm sóc sức khỏe
Các quy tắc HIPAA rất phức tạp và khó hiểu. Để đảm bảo rằng bạn tuân thủ, bạn nên thuê luật sư chăm sóc sức khỏe cho tổ chức của mình. Luật sư chăm sóc sức khỏe có thể giúp giải quyết các vấn đề về quản lý rủi ro và quy định. Bạn có thể giữ người này ở trạng thái “giữ chân”, có nghĩa là bạn phải trả một khoản phí mỗi tháng. Đổi lại, luật sư luôn sẵn sàng giải đáp những thắc mắc của bạn.
- Bạn có thể nhận được các khuyến nghị cho một luật sư chăm sóc sức khỏe bằng cách hỏi các nhà cung cấp dịch vụ chăm sóc sức khỏe khác mà họ sử dụng. Nếu bạn không nhận được bất kỳ đề xuất nào, thì bạn có thể ghé thăm hiệp hội luật sư của tiểu bang của bạn, đoàn luật sư này sẽ điều hành một chương trình giới thiệu. Yêu cầu giới thiệu cho một luật sư chăm sóc sức khỏe.
- Hãy chắc chắn hỏi luật sư về kinh nghiệm của họ. Bạn sẽ cần một người có nhiều kinh nghiệm trong việc tuân thủ quy định, không chỉ đơn giản là đại diện cho các doanh nghiệp trong các vụ kiện.
Bước 3. Hãy an toàn, không xin lỗi
Về mặt kỹ thuật, bạn không cần tạo tên người dùng, cấp truy cập hoặc thậm chí có phần mềm trong tổ chức của mình. Thay vào đó, HIPAA chỉ yêu cầu bạn thực hiện "các bước hợp lý" và chỉ tiết lộ thông tin "tối thiểu cần thiết". Tuy nhiên, về mặt thực tế, bạn cần tạo các thủ tục để truy cập và phân phối thông tin được mô tả ở trên nếu bạn định điều hành một văn phòng hiện đại sử dụng máy tính và email. Các quy trình này sẽ giúp bảo vệ bạn khỏi tiết lộ trái phép thông tin bệnh nhân.
- Các hình phạt nếu vi phạm HIPAA có thể rất nặng. Bạn có thể phải đối mặt với khoản tiền phạt lên đến $ 50, 000 cho mỗi vi phạm, tối đa là $ 1,5 triệu mỗi năm. Ngoài ra còn có các hình phạt hình sự đối với những người cố tình vi phạm các quy tắc.
- Do đó, tốt hơn hết bạn nên tuân theo các thông lệ và quy trình đang trở thành tiêu chuẩn trong ngành của bạn. Các luật sư và nhà cung cấp dịch vụ chăm sóc sức khỏe có kinh nghiệm có thể hướng dẫn bạn đi đúng hướng.
