W naszych poprzednich postach, omówiliśmy historię HIPAA, ustawy o przenoszeniu ubezpieczeń zdrowotnych i dostępności. Jak wspomnieliśmy wcześniej, HIPAA jest zestaw przepisów, które są podzielone na pięć „tytułów”, z których każdy obejmuje inny temat. Spośród nich, Tytuł II jest najbardziej prawdopodobne, aby być znane do Ciebie, ponieważ obejmuje prywatność. Ale zagłębianie się w HIPAA Tytuł II ujawnia, że dotyczy on znacznie więcej niż tylko prywatności i w rzeczywistości można twierdzić, że ma największy zakres spośród wszystkich tytułów.
HIPAA Tytuł II Podział
W ramach Tytułu II HIPAA znajdziesz pięć zasad:
- Privacy Rule
- Transactions and Code Sets Rule
- Security Rule
- Unique Identifiers Rule
- Enforcement Rule
Każda z nich jest następnie dalej rozbita, aby pokryć jej różne części. Dla celów tego postu, zamierzamy skupić się na mniej znanych sekcjach Tytułu II, ale opowiedzenie całej historii wymaga, abyśmy rozmawiali również o prywatności.
Pomocne jest myślenie o Tytule II tak, jakby pierwsza sekcja była nadrzędnym celem – Zapobieganie oszustwom i nadużyciom w opiece zdrowotnej. Jeśli zrobisz krok do tyłu i spojrzysz na całość Tytułu II, każda część jest zgodna z zapobieganiem oszustwom, a kawałki, które mogą wydawać się rozbieżne, wracają do kontekstu.
Privacy Rule
Większość Privacy Rule obejmuje Chronione Informacje Zdrowotne (PHI). W większości przypadków, to jest jasne, co może i nie może być udostępniane, i z kim. Jedną z niezamierzonych konsekwencji Reguły Prywatności jest to, że niektóre placówki są w rzeczywistości zbyt restrykcyjne w swoich interpretacjach. To powiedziawszy, zaleca się zachowanie ostrożności ze względu na poważne konsekwencje, które są określone w Przepisie o egzekwowaniu.
Łatwo jest się zgubić w przysłowiowych chwastach Reguły Prywatności, więc nie będziemy zapuszczać się zbyt daleko w dół tej ścieżki. Jako przegląd, co musisz wiedzieć, że zgoda i ujawnienie są zarówno kluczowe, i że korzystanie z PHI jest ograniczone do sześciu obszarów:
- Gdy ujawnione osobie fizycznej
- Do leczenia, płatności i operacji
- Gdy udzielono zgody
- Gdy użyte przypadkowo
- W interesie publicznym
- Gdy informacje umożliwiające identyfikację osoby zostały usunięte
Kilka z nich może podnieść czerwone flagi, więc porozmawiajmy o nich. Pierwszym z nich jest wyjątek, który pozwala na „przypadkowe użycie”. Jest to zdefiniowane jako ujawnienie, które dzieje się jako incydent do dozwolonego użytku. HHS idzie dalej, aby podać przykład, cytowany tutaj:
Wizytator szpitala może podsłuchać poufną rozmowę dostawcy z innym dostawcą lub pacjentem, lub może rzucić okiem na informacje o pacjencie na arkuszu rejestracji lub tablicy stacji pielęgniarskiej. Reguła Prywatności HIPAA nie ma na celu utrudnienia tych zwyczajowych i istotnych komunikacji i praktyk, a zatem nie wymaga, aby całe ryzyko przypadkowego wykorzystania lub ujawnienia zostały wyeliminowane, aby spełnić swoje standardy.
Innym wyjątkiem jest to, że interes publiczny, i to nie jest traktowane lekko. Interes publiczny jest ściśle określony przez 12 zasad, wśród których znajdują się te wymagane przez prawo, ofiary nadużyć i cele egzekwowania prawa. Dość powiedzieć, że wyjątek interesu publicznego nie ułatwia korzystania z PHI.
Again, moglibyśmy zanurkować głęboko w Regułę Prywatności, ale sedno rzeczy jest już dobrze rozumiane, więc nie chcę spędzać tu zbyt wiele czasu.
Transakcje i Code Sets Rule
Here’s where things get really interesting, especially to us at Eligible. Po pierwsze, wróćmy do zrozumienia, że wszystkie obszary Tytułu II skupiają się na zapobieganiu oszustwom i nadużyciom. Jednym z celów HIPAA jest uczynienie systemu opieki zdrowotnej w Stanach Zjednoczonych bardziej efektywnym, a z kolei także bardziej bezpiecznym. Efektywność wymaga standaryzacji, i to właśnie obejmuje Reguła Transakcji i Zestawów Kodowych. Przed wprowadzeniem HIPAA każda transakcja wymagała papierkowej roboty lub rozmów telefonicznych. Po wprowadzeniu HIPAA wszystkie te informacje mogą być przekazywane drogą elektroniczną.
Zgodnie z AMA, ten zestaw zasad został faktycznie zażądał przez przemysł opieki zdrowotnej w celu pomocy w radzeniu sobie z „dodatkowych kosztów rozliczania osób dla kontynuacji pokrycia.” Logika wokół wniosku dotyczy sposobów, w których informacje o pacjencie muszą być tworzone, utrzymywane i przechowywane w cyfrowym krajobrazie. Ponadto, wraz z przejściem do elektronicznej dokumentacji zdrowotnej, ważne było, aby mieć standardowe metody dla tych danych.
Całość transakcji i zestawów kodów jest o wiele zbyt skomplikowana, abyśmy mogli się tutaj załamać. Więc dla celów tego postu, oto co musisz wiedzieć:
Wszystko, od pierwszych raportów o urazach do kwalifikowalności pacjenta i żądania statusu roszczenia, otrzymuje unikalny typ transakcji z odpowiednim numerem. Na przykład, jeśli widziałeś 270/271, są to kody dla żądania kwalifikowalności i odpowiedzi na to żądanie. Każdy z tych typów transakcji został sformalizowany przez American National Standards Institute Accredited Standards Committee X12 (ANSI ASC X12, lub po prostu X12).
Jeśli podmiot jest objęty HIPAA (a większość z nich jest), jest on zobowiązany do używania X12 EDI dla transakcji elektronicznych.
Reguła bezpieczeństwa
Prawdopodobnie najłatwiej jest myśleć o Regule bezpieczeństwa, ponieważ odnosi się ona do Reguły prywatności. W przypadku gdy Reguła Prywatności dotyczyła wszystkich form PHI, Reguła Bezpieczeństwa odnosi się w szczególności do elektronicznych PHI (ePHI). Określa ona wymagania dotyczące zabezpieczeń, które muszą być wprowadzone, jeśli podmiot objęty HIPAA zdecyduje się na wykorzystanie ePHI.
Zabezpieczenia te dzielą się na trzy obszary:
- Administracyjne
- Fizyczne
- Techniczne
W ramach tych obszarów, istnieją szczegóły dotyczące kroków, które muszą być podjęte przez podmiot objęty ochroną. Na przykład, zabezpieczenia administracyjne wymagają, aby istniały pisemne procedury ochrony prywatności, które obejmują autoryzację, ustanowienie, modyfikację i zakończenie. Zabezpieczenia fizyczne wymagają kontroli dostępu, takich jak plany bezpieczeństwa, rejestry konserwacji i eskorty gości. Wreszcie, zabezpieczenia techniczne określają wymagania dotyczące stosowania sum kontrolnych, szyfrowania i dokumentacji.
Reguła unikalnych identyfikatorów
Prawdopodobnie słyszałeś już o NPI. Krajowy identyfikator dostawcy (National Provider Identifier) to 10-cyfrowy ciąg alfanumeryczny, który jest unikalny dla każdego podmiotu objętego HIPAA. Nie zastępuje on numeru DEA, numeru identyfikacji podatkowej ani żadnego innego identyfikatora i nie może zawierać żadnych informacji. Musi on jednak istnieć, aby podmiot objęty HIPAA mógł przetwarzać i obsługiwać PHI.
Reguła egzekwowania
Więc teraz, że mamy ustanowione wszystkie wymagania, które są określone w tytule II, co się stanie, jeśli są one łamane? Tu właśnie w grę wchodzi Reguła Egzekwowania. Zamiast stwierdzenia, że naruszenie spowoduje nałożenie konkretnej grzywny, Przepis wykonawczy określa procedury dotyczące dochodzeń, kar i przesłuchań.
Under the Enforcement Rule, grzywny wahają się od $100 do $250,000 i różnią się w zależności od ciężkości naruszenia. Istnieje również oznaczenie między naruszeniami, które zdarzają się przypadkowo i tych, które są wykonane świadomie. Jak można wywnioskować, $ 100 grzywny stanie się, gdy osoba omyłkowo narusza HIPAA, podczas gdy największe grzywny są zarezerwowane dla wykroczeń, które mają zamiar sprzedać lub przekazać PHI do użytku komercyjnego, osobistego zysku lub złośliwego harm.
Dość powiedzieć, Tytuł II jest ogromny zestaw zasad i obejmuje szeroki zakres tematów. Ale koncentrując się na tym, że wszystkie jego części mają na celu zapobieganie oszustwom i nadużyciom, możemy lepiej zrozumieć, jak one działają.
.