أنشأ قانون التأمين الصحي وقابلية النقل (HIPAA) للحكومة الفيدرالية إرشادات حول كيفية تعامل مقدمي الرعاية الصحية مع البيانات الصحية للمرضى. لسوء الحظ ، فإن إرشادات HIPAA غامضة. لا توجد قائمة تحقق سهلة يمكنك استخدامها للعثور على برامج متوافقة مع HIPAA. بدلاً من ذلك ، تفرض HIPAA عليك إنشاء مجموعة من الإجراءات للوصول إلى المعلومات الصحية للمريض وإرسالها. يجب عليك بعد ذلك العثور على بائع برامج يمكن أن تسمح لك برامجه بتنفيذ إجراءاتك.
خطوات
جزء 1 من 3: وضع الإجراءات المناسبة
الخطوة 1. احتفظ بسجل تدقيق
تحتاج إلى تتبع من يصل إلى سجل المريض. هذا يعني أنك بحاجة إلى إنشاء أسماء مستخدمين وكلمات مرور منفصلة لكل شخص لديه حق الوصول إلى معلومات صحة المريض. كجزء من سجل التدقيق ، يجب عليك تتبع ما يلي:
- التي سجل وصول المستخدم
- تاريخ الوصول إليه
- ما إذا كان المستخدم قد اطلع على المعلومات أو قام بتحديثها أو حذفها
الخطوة 2. إنشاء مستويات الوصول
تتطلب HIPAA أيضًا أن يرى الموظف فقط "الحد الأدنى من المعلومات الضرورية" للقيام بعمله. على سبيل المثال ، سيحتاج الطبيب إلى رؤية معلومات صحية أكثر من موظف الاستقبال. وفقًا لذلك ، تحتاج إلى إنشاء مستويات وصول ، حيث لا تقدم سوى القدر من المعلومات الذي يحتاجه كل شخص للقيام بعمله.
- قد يعمل بعض الموظفين فقط مع مرضى معينين. في هذه الحالة ، يجب منحهم حق الوصول فقط إلى سجلات المرضى للأشخاص الذين يعملون معهم.
- من أجل إنشاء مستويات الوصول بنجاح ، تحتاج إلى تحديد الأدوار في مؤسستك بوضوح. قد يتطلب ذلك إلقاء نظرة على التوصيفات الوظيفية وإعادة ترتيب الواجبات.
الخطوة 3. إنشاء وظيفة "تجاوز الطوارئ"
حتى إذا قمت بإنشاء مستويات وصول ، فقد تكون هناك مواقف يحتاج فيها شخص ما إلى الوصول إلى جميع المعلومات في حالة الطوارئ. لهذا السبب ، يجب عليك إنشاء "تجاوز" والذي يسمح للشخص باسترداد أي معلومات ضرورية لعلاج المرضى بشكل فعال.
- ومع ذلك ، يجب عليك إعداد برنامجك بحيث يخضع استخدام وظيفة التجاوز هذه للتدقيق.
- على سبيل المثال ، يمكنك إعداد البرنامج بحيث يتم إرسال العديد من الأشخاص الآخرين تلقائيًا عبر البريد الإلكتروني في كل مرة يستخدم فيها شخص ما وظيفة التجاوز. يجب أن يتتبع البرنامج أيضًا أي معلومات يصل إليها هذا الشخص.
- يجب عليك أيضًا كتابة عملية مراجعة لكل استخدام لوظيفة التجاوز. على سبيل المثال ، قد يتعين على الشخص الذي يستخدمه أن يجتمع لاحقًا مع مشرف لتبرير الاستخدام.
الخطوة 4. تأمين البيانات الخاصة بك
تتطلب HIPAA أن تحافظ على أمان بياناتك. في الممارسة العملية ، هذا يعني أنه يجب عليك استخدام كلمات المرور والحفاظ على أمان البيانات خلف جدار حماية.
- تحتاج أيضًا إلى التأكد من أن رسائل البريد الإلكتروني الخاصة بك آمنة. على وجه الخصوص ، يجب عليك استخدام تقنية تشفير كافية على رسائل البريد الإلكتروني الخاصة بك.
- لمزيد من المعلومات حول التأكد من توافق بريدك الإلكتروني مع HIPAA ، راجع جعل البريد الإلكتروني متوافقًا مع HIPAA.
الخطوة 5. مسح استمارات تفويض المريض ضوئيًا
أنت مطالب بجعل المرضى يوقعون نماذج تسمح لك باستخدام معلوماتهم لرعايتهم. يجب أن يتضمن كل نموذج وصفًا لما ستستخدم البيانات من أجله وتاريخ انتهاء الصلاحية.
- يجب عليك تتبع هذه التفويضات ، بما في ذلك تاريخ توقيع النموذج واسم الشخص الذي قام بالتوقيع عليه.
- يجب عليك أيضًا مسح النموذج ضوئيًا والاحتفاظ بنسخة رقمية.
الخطوة السادسة. تأكد من أن نظام الفوترة الخاص بك متوافق
قامت HIPAA بتوحيد نقل معلومات الفواتير. لهذا السبب ، يجب أن يدعم أي نظام فوترة تستخدمه معايير HIPAA.
في هذا الوقت ، يعمل كل نظام فوترة في السوق تقريبًا. ومع ذلك ، يجب أن تؤكد مع البائع أنه متوافق مع HIPAA
الخطوة 7. اسأل البائعين عن النسخ الاحتياطي
تتطلب HIPAA أيضًا أن تحتفظ ببياناتك حتى يتمكن المريض من رؤيتها متى طلبها. هذا يعني أنه يجب عليك الاحتفاظ بنسخ احتياطية لجميع المعلومات. إذا احتفظت بالمعلومات على الورق ، فأنت بحاجة إلى نسخ مخزنة خارج الموقع أو إنشاء عمليات مسح ضوئي رقمية. إذا قمت بتخزين البيانات إلكترونيًا ، فيجب نسخها احتياطيًا.
- اسأل البائعين عن كيفية عمل نسخة احتياطية من أنظمتهم. اكتشف كيف يضمنون استمرارية النظام في حالة وقوع حادث.
- إذا كنت تستضيف نظام البيانات على الخوادم الخاصة بك ، فستحتاج إلى معرفة إجراءات النسخ الاحتياطي التي لديك ، بالإضافة إلى خطط الطوارئ الخاصة بك.
الخطوة الثامنة: اطلب من شركاء العمل توقيع العقود
يجب أن يوافق أي شخص يرى بياناتك على دعم نفس السياسات والإجراءات التي تتبعها مؤسستك. لذلك يجب عليك صياغة عقد "شريك الأعمال" ليوقع عليه جميع البائعين.
- يتوفر نموذج عقد للخدمات الصحية والإنسانية على https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html. يمكنك تعديله ليناسب أغراضك.
- هناك أيضًا عقود نموذجية على الإنترنت. على سبيل المثال ، لدى UT Health Science Center نموذج عقد يمكنك استخدامه.
- يجب عليك أيضًا أن تطلب من محامي الرعاية الصحية الخاص بك النظر في أي عقد للتأكد من أنه كافي لحمايتك.
جزء 2 من 3: البحث عن بائعي البرامج والبيانات
الخطوة 1. اسأل مقدمي الرعاية الصحية الآخرين
إذا كنت تفتح مشروعًا تجاريًا ، فستحتاج إلى شراء برنامج. قد تحتاج أيضًا إلى استئجار شخص لاستضافة بياناتك على خوادمهم (أو لعمل نسخة احتياطية من الخوادم الخاصة بك).
اسأل مقدمي الخدمات الآخرين عن البائعين الذين يستخدمهم. تقريبًا جميع مقدمي الرعاية الصحية مشمولين بقانون HIPAA ، لذا كان ينبغي عليهم التفكير مليًا فيما إذا كانت برامجهم متوافقة أم لا. يجب أن تسأل عن التوصيات
الخطوة 2. قارن الأسعار
بعد الحصول على توصيات لبائعين مختلفين ، تحتاج إلى مقارنة أسعارهم. يجب عليك الاتصال بهم للحصول على الاقتباس. يجب أن تكون أرقام هواتفهم على الإنترنت.
- ستعتمد الأسعار على عدد الأشخاص الذين يحتاجون إلى الوصول إلى نظامك ، لذا تأكد من توفر هذا الرقم.
- إذا كان عملك ينمو ، فعليك التفكير قبل عامين. على سبيل المثال ، إذا كان لديك خمسة موظفين ولكنك تعتقد أنك ستتضاعف في الحجم ، فتأكد من حصولك على عرض أسعار لمقدار تكلفة الحصول على 10 مستخدمين. لا تريد تبديل البرامج بعد عام واحد فقط.
الخطوة الثالثة. اكتشف كيف يراقب البائع التغييرات في HIPAA
تستمر لوائح HIPAA في التطور. يجب أن تتوقع من البائع مواكبة التغييرات في القانون. عند الاتصال بالبائعين ، يجب أن تسأل ما يلي:
- كيف يراقب البائع التغييرات في لوائح HIPAA؟ هل لديها خطة عمل لمواكبة التغييرات في القانون؟ ابحث عن أمثلة محددة. هل للشركة محامٍ من بين الموظفين يراقب التغييرات في القانون؟
- ما هي النسبة المئوية لعملاء البائع الذين يجب أن يكونوا متوافقين مع قانون نقل التأمين الصحي والمسؤولية (HIPAA)؟ إذا كان يجب على معظم عملاء الشركة الامتثال لقانون HIPAA ، فيمكنك التأكد من أنها ستجري التغييرات اللازمة للامتثال لقانون HIPAA - وإلا ستتوقف عن العمل.
جزء 3 من 3: فهم متطلبات HIPAA
الخطوة 1. تحقق مما إذا كانت HIPAA تنطبق عليك
يجب أن تمتثل لقانون HIPAA إذا كانت مؤسستك تنقل أي معلومات فوترة إلكترونيًا إلى أي شركة تأمين صحي ، بما في ذلك Medicaid و Medicare. يمكن أن تتضمن المعلومات فواتير أو معلومات أخرى مطلوبة للعثور على التغطية التأمينية. بشكل عام ، تنظم HIPAA مقدمي ما يلي:
- علاج نفسي
- تقديم المشورة
- رعاية طبية
- أي خدمة أخرى تقدم فواتير لشركات التأمين
الخطوة 2. ابحث عن محامي رعاية صحية
قواعد HIPAA معقدة ويصعب فهمها. من أجل التأكد من امتثالك ، يجب عليك تعيين محامي رعاية صحية لمنظمتك. يمكن لمحامي الرعاية الصحية المساعدة في معالجة إدارة المخاطر والمسائل التنظيمية. يمكنك الاحتفاظ بهذا الشخص "تحت التجنيب" ، مما يعني أنك تدفع رسومًا كل شهر. في المقابل ، المحامي متاح دائمًا للإجابة على أسئلتك.
- يمكنك الحصول على توصيات لمحامي الرعاية الصحية عن طريق سؤال مقدمي الرعاية الصحية الآخرين عن من يستخدمونه. إذا لم تحصل على أي توصيات ، فيمكنك زيارة نقابة المحامين في ولايتك ، والتي ينبغي أن تدير برنامج إحالة. اطلب إحالة لمحامي الرعاية الصحية.
- تأكد من سؤال المحامي عن تجربته. ستحتاج إلى شخص لديه خبرة واسعة في الامتثال التنظيمي ، وليس فقط في تمثيل الشركات في الدعاوى القضائية.
الخطوة 3. كن آمنا ، لا آسف
من الناحية الفنية ، لا تحتاج إلى إنشاء أسماء مستخدمين أو مستويات وصول أو حتى امتلاك برامج في مؤسستك. بدلاً من ذلك ، تتطلب HIPAA فقط اتخاذ "خطوات معقولة" والكشف عن "الحد الأدنى من المعلومات الضرورية" فقط. ومع ذلك ، من الناحية العملية ، تحتاج إلى إنشاء إجراءات للوصول إلى المعلومات الموضحة أعلاه وتوزيعها إذا كنت تخطط لتشغيل مكتب حديث باستخدام أجهزة الكمبيوتر والبريد الإلكتروني. ستساعد هذه الإجراءات على حمايتك من الكشف غير المصرح به لمعلومات المريض.
- يمكن أن تكون عقوبات انتهاك HIPAA شديدة. يمكنك مواجهة غرامة تصل إلى 50 ألف دولار عن كل انتهاك ، بحد أقصى 1.5 مليون دولار كل عام. هناك أيضًا عقوبات جنائية لمن ينتهك القواعد عن قصد.
- وفقًا لذلك ، من الأفضل اتباع الممارسات والإجراءات التي أصبحت قياسية في صناعتك. يمكن للمحامين والبائعين ذوي الخبرة في مجال الرعاية الصحية إرشادك في الاتجاه الصحيح.
