พระราชบัญญัติการเคลื่อนย้ายและคุ้มครองการประกันสุขภาพของรัฐบาลกลาง (HIPAA) ได้สร้างแนวทางสำหรับวิธีที่ผู้ให้บริการด้านการดูแลสุขภาพจัดการกับข้อมูลสุขภาพของผู้ป่วย ขออภัย หลักเกณฑ์ของ HIPAA นั้นคลุมเครือ ไม่มีรายการตรวจสอบง่ายๆ ที่คุณสามารถใช้เพื่อค้นหาซอฟต์แวร์ที่สอดคล้องกับ HIPAA HIPAA กำหนดให้คุณต้องสร้างชุดขั้นตอนในการเข้าถึงและส่งข้อมูลสุขภาพของผู้ป่วย จากนั้นคุณต้องค้นหาผู้จำหน่ายซอฟต์แวร์ที่มีซอฟต์แวร์ที่สามารถอนุญาตให้คุณใช้ขั้นตอนของคุณได้
ขั้นตอน
ส่วนที่ 1 ของ 3: การสร้างขั้นตอนที่เหมาะสม
ขั้นตอนที่ 1 เก็บบันทึกการตรวจสอบ
คุณต้องติดตามว่าใครเข้าถึงบันทึกของผู้ป่วย ซึ่งหมายความว่าคุณต้องสร้างชื่อผู้ใช้และรหัสผ่านแยกต่างหากสำหรับแต่ละคนที่สามารถเข้าถึงข้อมูลสุขภาพของผู้ป่วยได้ ในบันทึกการตรวจสอบ คุณควรติดตามสิ่งต่อไปนี้
- ซึ่งบันทึกที่ผู้ใช้เข้าถึง
- วันที่เข้าถึง
- ไม่ว่าผู้ใช้จะดูข้อมูล ปรับปรุง หรือลบข้อมูลนั้น
ขั้นตอนที่ 2 สร้างระดับการเข้าถึง
HIPAA ยังกำหนดให้พนักงานเห็นเฉพาะข้อมูล "ที่จำเป็นขั้นต่ำ" เพื่อทำงาน ตัวอย่างเช่น แพทย์จะต้องดูข้อมูลด้านสุขภาพมากกว่าพนักงานต้อนรับ ดังนั้น คุณต้องสร้างระดับการเข้าถึง ซึ่งคุณให้ข้อมูลมากเท่าที่แต่ละคนต้องการเพื่อทำงานของตนเท่านั้น
- พนักงานบางคนอาจทำงานกับผู้ป่วยบางรายเท่านั้น ในสถานการณ์นี้ พวกเขาควรได้รับการเข้าถึงเฉพาะบันทึกผู้ป่วยสำหรับคนที่พวกเขาทำงานด้วย
- ในการสร้างระดับการเข้าถึงให้สำเร็จ คุณต้องกำหนดบทบาทในองค์กรของคุณให้ชัดเจน ซึ่งอาจต้องการให้คุณดูลักษณะงานและจัดเรียงหน้าที่ใหม่
ขั้นตอนที่ 3 สร้างฟังก์ชัน "การแทนที่ฉุกเฉิน"
แม้ว่าคุณจะสร้างระดับการเข้าถึง แต่ก็มีบางสถานการณ์ที่บางคนต้องการเข้าถึงข้อมูลทั้งหมดในกรณีฉุกเฉิน ด้วยเหตุผลนี้ คุณควรสร้าง "การแทนที่" ซึ่งช่วยให้บุคคลสามารถดึงข้อมูลที่จำเป็นต่อการรักษาผู้ป่วยได้อย่างมีประสิทธิภาพ
- อย่างไรก็ตาม คุณควรตั้งค่าซอฟต์แวร์ของคุณเพื่อให้การใช้ฟังก์ชันแทนที่นี้ได้รับการตรวจสอบอย่างละเอียด
- ตัวอย่างเช่น คุณสามารถตั้งค่าซอฟต์แวร์เพื่อให้ทุกครั้งที่มีคนใช้ฟังก์ชันแทนที่ คนอื่น ๆ หลายคนจะได้รับอีเมลพร้อมกันโดยอัตโนมัติ ซอฟต์แวร์ควรติดตามข้อมูลใดก็ตามที่บุคคลนี้เข้าถึง
- คุณควรเขียนกระบวนการตรวจสอบสำหรับการใช้ฟังก์ชันแทนที่ในแต่ละครั้ง ตัวอย่างเช่น ผู้ที่ใช้อาจต้องพบกับผู้บังคับบัญชาในภายหลังเพื่อให้เหตุผลในการใช้งาน
ขั้นตอนที่ 4 รักษาความปลอดภัยข้อมูลของคุณ
HIPAA ต้องการให้คุณรักษาข้อมูลของคุณให้ปลอดภัย ในทางปฏิบัติ หมายความว่าคุณควรใช้รหัสผ่านและเก็บรักษาข้อมูลให้ปลอดภัยหลังไฟร์วอลล์
- คุณต้องตรวจสอบให้แน่ใจว่าอีเมลของคุณปลอดภัย โดยเฉพาะอย่างยิ่ง คุณต้องใช้เทคโนโลยีการเข้ารหัสที่เพียงพอในอีเมลของคุณ
- สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการตรวจสอบให้แน่ใจว่าอีเมลของคุณสอดคล้องกับ HIPAA โปรดดูที่ Make Email HIPAA Compliant
ขั้นตอนที่ 5. สแกนแบบฟอร์มอนุมัติผู้ป่วย
คุณต้องให้ผู้ป่วยลงนามในแบบฟอร์มที่อนุญาตให้คุณใช้ข้อมูลของพวกเขาเพื่อการดูแลของพวกเขา แต่ละแบบฟอร์มควรมีคำอธิบายเกี่ยวกับสิ่งที่คุณจะใช้ข้อมูลและวันที่หมดอายุ
- คุณควรติดตามการอนุญาตเหล่านี้ รวมถึงวันที่ลงนามในแบบฟอร์มและชื่อของผู้ลงนาม
- คุณควรสแกนแบบฟอร์มและเก็บสำเนาดิจิทัลไว้
ขั้นตอนที่ 6 ยืนยันว่าระบบการเรียกเก็บเงินของคุณเป็นไปตามข้อกำหนด
HIPAA กำหนดมาตรฐานการส่งข้อมูลการเรียกเก็บเงิน ด้วยเหตุนี้ ระบบการเรียกเก็บเงินใดๆ ที่คุณใช้ต้องรองรับมาตรฐาน HIPAA
ณ เวลานี้ แทบทุกระบบการเรียกเก็บเงินในตลาดมี อย่างไรก็ตาม คุณควรยืนยันกับผู้ขายว่าเป็นไปตามข้อกำหนด HIPAA
ขั้นตอนที่ 7 ถามผู้ขายเกี่ยวกับการสำรองข้อมูล
HIPAA ยังกำหนดให้คุณรักษาข้อมูลของคุณเพื่อให้ผู้ป่วยสามารถดูได้ทุกเมื่อที่เขาหรือเธอร้องขอ ซึ่งหมายความว่าคุณต้องสำรองข้อมูลทั้งหมดไว้ หากคุณเก็บข้อมูลบนกระดาษ คุณต้องมีสำเนาที่จัดเก็บไว้นอกสถานที่หรือสแกนดิจิทัลที่สร้างขึ้น หากคุณเก็บข้อมูลทางอิเล็กทรอนิกส์ ข้อมูลนั้นจะต้องสำรองไว้
- ถามผู้ขายว่าพวกเขาสำรองข้อมูลระบบของตนอย่างไร ค้นหาวิธีที่พวกเขารับประกันความต่อเนื่องของระบบในกรณีที่เกิดอุบัติเหตุ
- หากคุณโฮสต์ระบบข้อมูลบนเซิร์ฟเวอร์ของคุณเอง คุณจะต้องค้นหาขั้นตอนการสำรองข้อมูลที่คุณมี รวมถึงแผนฉุกเฉินของคุณ
ขั้นตอนที่ 8 ให้ผู้ร่วมธุรกิจลงนามในสัญญา
ใครก็ตามที่เห็นข้อมูลของคุณต้องตกลงที่จะรักษานโยบายและขั้นตอนเดียวกันกับองค์กรของคุณ คุณควรร่างสัญญา "ผู้ร่วมธุรกิจ" เพื่อให้ผู้ขายทั้งหมดลงนาม
- บริการด้านสุขภาพและมนุษย์มีตัวอย่างสัญญาที่ https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html คุณสามารถปรับเปลี่ยนให้เหมาะกับวัตถุประสงค์ของคุณ
- นอกจากนี้ยังมีตัวอย่างสัญญาบนอินเทอร์เน็ต ตัวอย่างเช่น ศูนย์วิทยาศาสตร์สุขภาพ UT มีแบบฟอร์มสัญญาที่คุณสามารถใช้ได้
- คุณควรให้ทนายความด้านการดูแลสุขภาพตรวจสอบสัญญาเพื่อให้แน่ใจว่าเพียงพอที่จะปกป้องคุณ
ส่วนที่ 2 จาก 3: การค้นหาซอฟต์แวร์และผู้จำหน่ายข้อมูล
ขั้นตอนที่ 1 ถามผู้ให้บริการดูแลสุขภาพรายอื่น
หากคุณกำลังเปิดธุรกิจ คุณจะต้องซื้อซอฟต์แวร์ คุณอาจต้องจ้างบุคคลอื่นเพื่อโฮสต์ข้อมูลของคุณบนเซิร์ฟเวอร์ของพวกเขา (หรือเพื่อสำรองข้อมูลเซิร์ฟเวอร์ของคุณเอง)
ถามผู้ให้บริการรายอื่นว่าพวกเขาใช้ผู้ขายรายใด ผู้ให้บริการด้านการดูแลสุขภาพแทบทุกรายได้รับการคุ้มครองโดย HIPAA ดังนั้นพวกเขาจึงควรไตร่ตรองให้ดีว่าซอฟต์แวร์ของตนเป็นไปตามข้อกำหนดหรือไม่ คุณควรขอคำแนะนำ
ขั้นตอนที่ 2 เปรียบเทียบราคา
หลังจากได้รับคำแนะนำสำหรับผู้ขายหลายรายแล้ว คุณต้องเปรียบเทียบราคาของพวกเขา คุณควรโทรหาพวกเขาเพื่อรับใบเสนอราคา หมายเลขโทรศัพท์ควรอยู่บนอินเทอร์เน็ต
- ราคาจะขึ้นอยู่กับจำนวนคนที่ต้องการเข้าถึงระบบของคุณ ดังนั้นตรวจสอบให้แน่ใจว่าคุณมีหมายเลขดังกล่าว
- หากธุรกิจของคุณเติบโต คุณควรคิดล่วงหน้าสองสามปี ตัวอย่างเช่น หากคุณมีพนักงานห้าคนแต่คิดว่าคุณจะเพิ่มขนาดเป็นสองเท่า ให้ตรวจสอบให้แน่ใจว่าคุณได้รับใบเสนอราคาสำหรับค่าใช้จ่ายที่มีผู้ใช้ 10 คน คุณไม่ต้องการเปลี่ยนซอฟต์แวร์หลังจากผ่านไปเพียงปีเดียว
ขั้นตอนที่ 3 ค้นหาวิธีที่ผู้ขายตรวจสอบการเปลี่ยนแปลงใน HIPAA
กฎระเบียบ HIPAA ยังคงพัฒนาต่อไป คุณควรคาดหวังให้ผู้ขายติดตามการเปลี่ยนแปลงในกฎหมาย เมื่อติดต่อผู้ขาย คุณควรถามสิ่งต่อไปนี้:
- ผู้จำหน่ายตรวจสอบการเปลี่ยนแปลงในข้อบังคับ HIPAA อย่างไร มีแผนปฏิบัติการตามการเปลี่ยนแปลงกฎหมายหรือไม่? มองหาตัวอย่างที่เป็นรูปธรรม บริษัทมีทนายความเกี่ยวกับพนักงานที่คอยติดตามการเปลี่ยนแปลงในกฎหมายหรือไม่?
- ลูกค้าของผู้ขายต้องปฏิบัติตาม HIPAA กี่เปอร์เซ็นต์ หากลูกค้าส่วนใหญ่ของบริษัทต้องปฏิบัติตาม HIPAA คุณสามารถมั่นใจได้ว่าจะทำการเปลี่ยนแปลงที่จำเป็นเพื่อให้สอดคล้องกับ HIPAA ไม่เช่นนั้นจะเลิกกิจการ
ส่วนที่ 3 จาก 3: การทำความเข้าใจข้อกำหนดของ HIPAA
ขั้นตอนที่ 1 ตรวจสอบว่า HIPAA มีผลกับคุณหรือไม่
คุณต้องปฏิบัติตาม HIPAA หากองค์กรของคุณส่งข้อมูลการเรียกเก็บเงินทางอิเล็กทรอนิกส์ไปยังบริษัทประกันสุขภาพใดๆ รวมถึง Medicaid และ Medicare ข้อมูลดังกล่าวอาจรวมถึงใบแจ้งหนี้หรือข้อมูลอื่นๆ ที่จำเป็นในการค้นหาความคุ้มครองประกันภัย โดยทั่วไป HIPAA จะควบคุมผู้ให้บริการดังต่อไปนี้:
- การบำบัด
- การให้คำปรึกษา
- ดูแลรักษาทางการแพทย์
- บริการอื่นใดที่เรียกเก็บเงินจากบริษัทประกันภัย
ขั้นตอนที่ 2 ค้นหาทนายความด้านการดูแลสุขภาพ
กฎ HIPAA นั้นซับซ้อนและเข้าใจยาก คุณควรจ้างทนายความด้านการดูแลสุขภาพสำหรับองค์กรเพื่อให้แน่ใจว่าคุณปฏิบัติตามนโยบาย ทนายความด้านการดูแลสุขภาพสามารถช่วยในการจัดการความเสี่ยงและประเด็นด้านกฎระเบียบ คุณสามารถให้บุคคลนี้ “เป็นผู้รับการรักษา” ซึ่งหมายความว่าคุณจ่ายค่าธรรมเนียมในแต่ละเดือน ทนายความพร้อมเสมอที่จะตอบคำถามของคุณ
- คุณสามารถรับคำแนะนำสำหรับทนายความด้านการดูแลสุขภาพโดยถามผู้ให้บริการด้านสุขภาพรายอื่นที่พวกเขาใช้ หากคุณไม่ได้รับคำแนะนำใดๆ คุณสามารถไปที่สมาคมเนติบัณฑิตยสภาของรัฐ ซึ่งควรดำเนินการโปรแกรมการอ้างอิง ขอการอ้างอิงสำหรับทนายความด้านการดูแลสุขภาพ
- อย่าลืมถามทนายความเกี่ยวกับประสบการณ์ของเขาหรือเธอ คุณจะต้องการผู้ที่มีประสบการณ์กว้างขวางในการปฏิบัติตามกฎระเบียบ ไม่ใช่แค่เป็นตัวแทนธุรกิจในคดีความ
ขั้นตอนที่ 3 ปลอดภัยไม่เสียใจ
ในทางเทคนิค คุณไม่จำเป็นต้องสร้างชื่อผู้ใช้ ระดับการเข้าถึง หรือแม้แต่มีซอฟต์แวร์ในองค์กรของคุณ HIPAA กำหนดให้คุณดำเนินการ "ขั้นตอนที่เหมาะสม" และเปิดเผยเฉพาะข้อมูล "ที่จำเป็นขั้นต่ำ" เท่านั้น อย่างไรก็ตาม ในทางปฏิบัติ คุณต้องสร้างขั้นตอนในการเข้าถึงและแจกจ่ายข้อมูลที่อธิบายไว้ข้างต้น หากคุณวางแผนที่จะเปิดสำนักงานสมัยใหม่โดยใช้คอมพิวเตอร์และอีเมล ขั้นตอนเหล่านี้จะช่วยปกป้องคุณจากการเปิดเผยข้อมูลผู้ป่วยโดยไม่ได้รับอนุญาต
- บทลงโทษสำหรับการละเมิด HIPAA อาจรุนแรง คุณสามารถเผชิญกับค่าปรับ 50,000 ดอลลาร์สำหรับการละเมิดแต่ละครั้ง สูงสุด 1.5 ล้านดอลลาร์ต่อปี นอกจากนี้ยังมีบทลงโทษทางอาญาสำหรับผู้ที่ละเมิดกฎโดยรู้เท่าทัน
- ดังนั้น คุณจึงควรปฏิบัติตามแนวทางปฏิบัติและขั้นตอนที่กลายเป็นมาตรฐานในอุตสาหกรรมของคุณ ทนายความและผู้ขายด้านการดูแลสุขภาพที่มีประสบการณ์สามารถแนะนำคุณในทิศทางที่ถูกต้อง