By Leave a Comment on HIPAA Titlul II – O privire de ansamblu de la confidențialitate la aplicare

În postările noastre anterioare, am discutat despre istoricul HIPAA, Legea privind portabilitatea și accesibilitatea asigurărilor de sănătate. După cum am menționat anterior, HIPAA este un set de legi care este împărțit în cinci „titluri”, fiecare acoperind un subiect diferit. Dintre acestea, titlul II este cel mai probabil cel care vă este cel mai familiar, deoarece acoperă confidențialitatea. Însă, cercetând titlul II al HIPAA, se constată că acesta se referă la mult mai mult decât la confidențialitate și, de fapt, se poate spune că are cea mai mare amploare dintre toate titlurile.

Descompunerea titlului II al HIPAA

În cadrul titlului II al HIPAA veți găsi cinci reguli:

  1. Privacy Rule
  2. Transactions and Code Sets Rule
  3. Security Rule
  4. Unique Identifiers Rule
  5. Enforcement Rule

Care dintre acestea este apoi defalcată mai departe pentru a acoperi diferitele sale părți. În scopul acestei postări, ne vom concentra pe secțiunile mai puțin cunoscute ale titlului II, dar pentru a spune întreaga poveste este necesar să vorbim și despre confidențialitate.

Este util să ne gândim la Titlul II ca și cum prima secțiune ar fi obiectivul general – Prevenirea fraudei și abuzului în domeniul sănătății. Dacă faceți un pas înapoi și vă uitați la întregul Titlu II, fiecare parte se încadrează în prevenirea fraudei, iar părțile care ar putea părea disparate sunt readuse în context.

Regula de confidențialitate

Majoritatea regulii de confidențialitate se referă la informațiile medicale protejate (PHI). În majoritatea cazurilor, este clar ce poate și ce nu poate fi împărtășit și cu cine. O consecință neintenționată a Regulii privind confidențialitatea este că unele unități sunt, de fapt, prea restrictive în interpretările lor. Acestea fiind spuse, se recomandă să se dea dovadă de prudență, din cauza consecințelor grave care sunt prevăzute în Regula de punere în aplicare.

Este ușor să te pierzi în buruienile proverbiale ale Regulamentului privind confidențialitatea, așa că nu ne vom aventura prea mult pe această cale. Ca o privire de ansamblu, ceea ce trebuie să știți este că atât consimțământul, cât și divulgarea sunt esențiale și că utilizarea ISP este limitată la șase domenii:

  • Când sunt dezvăluite individului
  • Pentru tratament, plată și operațiuni
  • Când se acordă permisiunea
  • Când sunt folosite incidental
  • În beneficiul interesului public
  • Când informațiile de identificare personală au fost eliminate

Câteva dintre acestea ar putea ridica semnale de alarmă, așa că haideți să vorbim despre ele. Prima este excepția care permite „utilizarea accidentală”. Aceasta este definită ca o dezvăluire care are loc ca un incident la o utilizare permisă. HHS continuă să dea un exemplu, citat aici:

un vizitator al spitalului poate auzi o conversație confidențială a unui furnizor cu un alt furnizor sau cu un pacient, sau poate întrevedea informațiile despre un pacient pe o foaie de înregistrare sau pe o tablă albă a postului de asistență medicală. Regula de confidențialitate HIPAA nu este menită să împiedice aceste comunicări și practici obișnuite și esențiale și, prin urmare, nu cere ca orice risc de utilizare sau divulgare accidentală să fie eliminat pentru a satisface standardele sale.

Cea de-a doua excepție este cea a interesului public și nu este luată cu ușurință. Interesul public este strict definit de 12 norme, printre acestea numărându-se cele impuse de lege, victimele abuzurilor și scopurile de aplicare a legii. Este suficient să spunem că excepția de interes public nu permite o utilizare ușoară a ISP.

Din nou, am putea să ne scufundăm adânc în Privacy Rule, dar esența lucrurilor este deja bine înțeleasă, așa că nu vreau să pierd prea mult timp aici.

Transactions and Code Sets Rule

Aici lucrurile devin cu adevărat interesante, în special pentru noi, cei de la Eligible. În primul rând, să ne întoarcem la înțelegerea faptului că toate domeniile titlului II sunt axate pe prevenirea fraudei și a abuzurilor. Unul dintre obiectivele HIPAA este de a face sistemul de sănătate al Statelor Unite mai eficient și, la rândul său, mai sigur. Eficiența necesită standardizare, iar regula privind tranzacțiile și setul de coduri se referă la acest aspect. Înainte de HIPAA, fiecare tranzacție necesita hârtii sau apeluri telefonice. După HIPAA, toate aceste informații pot fi transferate pe cale electronică.

Potrivit AMA, acest set de reguli a fost de fapt solicitat de industria medicală pentru a ajuta la gestionarea „cheltuielilor suplimentare de facturare a persoanelor pentru continuarea acoperirii”. Logica din jurul solicitării se referă la modul în care informațiile despre pacienți trebuiau să fie create, menținute și stocate într-un peisaj digital. Mai mult, odată cu trecerea la dosarele electronice de sănătate, era important să existe metode standardizate pentru aceste date.

Întregul set de tranzacții și seturi de coduri este mult prea complex pentru a putea fi descompus aici. Așadar, în scopul acestei postări, iată ce trebuie să știți:

Toate lucrurile, de la primele raportări de leziuni până la eligibilitatea pacientului și o solicitare a statutului cererii de rambursare, primesc un tip unic de tranzacție cu un număr corespunzător. De exemplu, dacă ați văzut 270/271, acestea sunt codurile pentru o cerere de eligibilitate și un răspuns la această cerere. Fiecare dintre aceste tipuri de tranzacții a fost formalizat de către American National Standards Institute Accredited Standards Committee X12 (ANSI ASC X12, sau pur și simplu X12).

Dacă o entitate este acoperită de HIPAA (și majoritatea sunt), aceasta este obligată să utilizeze X12 EDI pentru tranzacțiile electronice.

Regula de securitate

Este probabil cel mai simplu să ne gândim la Regula de securitate în legătură cu Regula de confidențialitate. În timp ce Regula de confidențialitate a avut un impact asupra tuturor formelor de ISP, Regula de securitate se referă în mod specific la ISP electronice (ePHI). Aceasta stabilește cerințele pentru măsurile de protecție care trebuie să fie puse în aplicare dacă o entitate acoperită de HIPAA alege să utilizeze ePHI.

Aceste măsuri de protecție se împart în trei domenii:

  • Administrativ
  • Fizic
  • Tehnic

În cadrul acestor domenii, există detalii cu privire la măsurile care trebuie luate de o entitate acoperită. De exemplu, garanțiile administrative necesită existența unor proceduri scrise de confidențialitate care să acopere autorizarea, stabilirea, modificarea și încetarea. Garanțiile fizice necesită controale de acces, cum ar fi planuri de securitate, registre de întreținere și escorte pentru vizitatori. În cele din urmă, garanțiile tehnice stabilesc cerințe privind utilizarea sumelor de control, criptarea și documentația.

Regula identificatorilor unici

Probabil că ați mai auzit de NPI. Identificatorul național al furnizorului este un șir alfanumeric din 10 cifre, care este unic pentru fiecare entitate acoperită de HIPAA. Acesta nu înlocuiește un număr DEA, un număr de identificare fiscală sau orice alt identificator și nu poate conține nicio informație. Cu toate acestea, trebuie să existe pentru ca o entitate acoperită de HIPAA să poată procesa și manipula PHI.

Regula de punere în aplicare

Acum că am prezentat toate cerințele care sunt stabilite în Titlul II, ce se întâmplă dacă acestea sunt încălcate? Aici intră în joc Regula de punere în aplicare. Mai degrabă decât să spună doar că o încălcare va atrage după sine o anumită amendă, Regula de punere în aplicare stabilește proceduri pentru investigații, sancțiuni și audieri.

În conformitate cu Enforcement Rule, amenzile sunt cuprinse între 100 și 250.000 de dolari și variază în funcție de gravitatea încălcării. Există, de asemenea, o denumire între încălcările care au loc accidental și cele care sunt făcute cu bună știință. După cum puteți deduce, amenda de 100 de dolari s-ar întâmpla atunci când o persoană încalcă din greșeală HIPAA, în timp ce cele mai mari amenzi sunt rezervate pentru infracțiunile care au intenția de a vinde sau de a transfera PHI pentru uz comercial, câștig personal sau prejudicii rău intenționate.

Suficient să spunem că titlul II este un set imens de reguli și acoperă o gamă largă de subiecte. Dar, concentrându-ne pe ideea că toate părțile sale au ca scop prevenirea fraudei și a abuzurilor, putem înțelege mai bine cum funcționează.

(vizitat de 19.810 ori, 2 vizite astăzi)

(vizitat de 19.810 ori, 2 vizite astăzi).

Lasă un răspuns

Adresa ta de email nu va fi publicată.