La Llei de protecció i portabilitat de l’assegurança mèdica (HIPAA) del govern federal va crear directrius sobre la manera com els proveïdors d’assistències sanitàries gestionen les dades de salut dels pacients. Malauradament, les directrius HIPAA són vagues. No hi ha cap llista de comprovació fàcil que podeu utilitzar per trobar programari compatible amb HIPAA. En el seu lloc, HIPAA ordena que creeu un conjunt de procediments per accedir i enviar informació sobre la salut del pacient. A continuació, haureu de trobar un proveïdor de programari el programari del qual us pugui permetre implementar els vostres procediments.
Passos
Part 1 de 3: Creació de procediments adequats
Pas 1. Mantingueu un registre d'auditoria
Cal fer un seguiment de qui accedeix al registre d’un pacient. Això vol dir que heu de crear noms d’usuari i contrasenyes separats per a cada persona que tingui accés a la informació de salut del pacient. Com a part del registre d'auditoria, haureu de fer el seguiment del següent:
- que registren l'accés de l'usuari
- la data en què es va accedir
- si l’usuari ha vist la informació, l’ha actualitzat o l’ha suprimit
Pas 2. Creeu nivells d'accés
HIPAA també requereix que un empleat només vegi la informació “mínima necessària” per fer la seva feina. Per exemple, un metge haurà de veure més informació sanitària que una recepcionista. En conseqüència, heu de crear nivells d’accés en què proporcioneu només tanta informació com cada persona necessiti per fer la seva feina.
- Alguns empleats només poden treballar amb determinats pacients. En aquesta situació, se'ls ha de concedir accés només als registres de pacients de les persones amb qui treballen.
- Per crear amb èxit nivells d’accés, heu de definir clarament els rols de la vostra organització. Això pot requerir que consulteu les descripcions de feina i reordeneu les tasques.
Pas 3. Creeu una funció de "substitució d'emergència"
Fins i tot si creeu nivells d’accés, pot haver-hi situacions en què algú necessiti accedir a tota la informació en cas d’emergència. Per aquest motiu, haureu de crear una "substitució" que permeti a la persona recuperar la informació necessària per tractar eficaçment els pacients.
- Tot i això, heu de configurar el programari de manera que l’ús d’aquesta funció d’anul·lació sigui sotmès a un control.
- Per exemple, podeu configurar el programari de manera que cada vegada que algú utilitzi la funció de substitució s'enviï automàticament un correu electrònic a diverses altres persones simultàniament. El programari també hauria de fer un seguiment de la informació a la qual accedeixi aquesta persona.
- També heu d’escriure un procés de revisió per a cada ús de la funció d’anul·lació. Per exemple, la persona que l’utilitza hauria de reunir-se més tard amb un supervisor per justificar-ne l’ús.
Pas 4. Protegiu les vostres dades
HIPAA requereix que mantingueu les vostres dades segures. A la pràctica, això vol dir que heu d’utilitzar contrasenyes i mantenir les dades protegides darrere d’un tallafoc.
- També heu de garantir que els vostres correus electrònics siguin segurs. En particular, heu d’utilitzar la tecnologia de xifratge suficient als vostres correus electrònics.
- Per obtenir més informació sobre com assegurar-vos que el vostre correu electrònic compleix HIPAA, consulteu Com fer que el correu electrònic sigui compatible amb HIPAA.
Pas 5. Escaneja els formularis d'autorització del pacient
Se us demana que els pacients signin formularis que autoritzin l’ús de la seva informació per a la seva atenció. Cada formulari ha d’incloure una descripció de què utilitzarà les dades i la data de caducitat.
- Haureu de fer un seguiment d’aquestes autoritzacions, inclosa la data de signatura del formulari i el nom de la persona que el signa.
- També heu d’escanejar el formulari i mantenir-ne una còpia digital.
Pas 6. Confirmeu que el vostre sistema de facturació compleix
HIPAA va estandarditzar la transmissió de la informació de facturació. Per aquest motiu, qualsevol sistema de facturació que utilitzeu ha de ser compatible amb els estàndards HIPAA.
En aquest moment, pràcticament tots els sistemes de facturació del mercat ho fan. Tot i això, heu de confirmar amb el vostre proveïdor que compleix HIPAA
Pas 7. Pregunteu als proveïdors sobre la còpia de seguretat
HIPAA també requereix que mantingueu les vostres dades perquè un pacient les pugui veure sempre que ho sol·liciti. Això vol dir que heu de mantenir còpies de seguretat de tota la informació. Si guardeu la informació en paper, necessiteu còpies emmagatzemades fora del lloc o creades exploracions digitals. Si emmagatzemeu dades electrònicament, cal fer-ne una còpia de seguretat.
- Pregunteu als proveïdors com fan còpies de seguretat dels seus sistemes. Esbrineu com asseguren la continuïtat del sistema en cas d’accident.
- Si allotgeu el sistema de dades als vostres propis servidors, haureu d’esbrinar quins procediments de còpia de seguretat disposeu, així com els vostres plans d’emergència.
Pas 8. Feu que els associats comercials signin contractes
Qualsevol persona que vegi les seves dades ha d’acceptar mantenir les mateixes polítiques i procediments que la seva organització. Per tant, hauríeu de redactar un contracte "Business Associat" per a la signatura de tots els proveïdors.
- Health and Human Services té un contracte de mostra disponible a https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html. Podeu modificar-lo segons els vostres propòsits.
- També hi ha exemples de contractes a Internet. Per exemple, el Centre de Ciències de la Salut UT té un contracte de formulari que podeu utilitzar.
- També hauríeu de fer que el vostre advocat sanitari revisi qualsevol contracte per assegurar-vos que n’hi ha prou amb protegir-vos.
Part 2 de 3: cerca de proveïdors de programari i dades
Pas 1. Pregunteu a altres proveïdors d’atenció mèdica
Si obriu un negoci, haureu de comprar programari. És possible que també hàgiu de contractar algú per allotjar les vostres dades als seus servidors (o per fer una còpia de seguretat dels vostres propis servidors).
Pregunteu a altres proveïdors quins proveïdors utilitzen. Pràcticament tots els proveïdors d’assistència sanitària estan coberts per HIPAA, de manera que haurien d’haver reflexionat considerablement sobre si el seu programari compleix o no. Hauríeu de demanar recomanacions
Pas 2. Compareu els preus
Després de rebre recomanacions per a diferents proveïdors, heu de comparar-ne els preus. Hauríeu de trucar-los per obtenir un pressupost. Els seus números de telèfon haurien d’estar a Internet.
- Els preus dependran del nombre de persones que necessitin accedir al vostre sistema, així que assegureu-vos que tingueu aquest número disponible.
- Si el vostre negoci creix, hauríeu de pensar un parell d’anys per endavant. Per exemple, si teniu cinc empleats però creieu que doblegareu la mida, assegureu-vos que obtingueu un pressupost del que costa tenir 10 usuaris. No voleu canviar de programari al cap d’un any.
Pas 3. Esbrineu com el venedor controla els canvis a HIPAA
La normativa HIPAA continua evolucionant. Haureu d’esperar que el proveïdor estigui al dia dels canvis en la llei. Quan contacteu amb els proveïdors, heu de demanar el següent:
- Com controla el venedor els canvis en la normativa HIPAA? Té un pla d’acció per mantenir-se al dia amb els canvis en la llei? Busqueu exemples concrets. L’empresa té un advocat al personal que controla els canvis en la llei?
- Quin percentatge de clients del venedor ha de complir HIPAA? Si la majoria dels clients de l’empresa han de complir HIPAA, pot estar segur que realitzarà els canvis necessaris per complir HIPAA, o bé deixarà de funcionar.
Part 3 de 3: Entendre els requisits de HIPAA
Pas 1. Comproveu si us aplica HIPAA
Heu de complir HIPAA si la vostra organització transmet informació de facturació electrònicament a qualsevol companyia d'assegurances mèdiques, inclosos Medicaid i Medicare. La informació pot incloure factures o altra informació necessària per trobar la cobertura de l’assegurança. En general, HIPAA regula els proveïdors dels següents:
- teràpia
- assessorament
- atenció mèdica
- qualsevol altre servei que facturi a les companyies d'assegurances
Pas 2. Trobeu un advocat sanitari
Les regles HIPAA són complicades i difícils d’entendre. Per assegurar-vos que compliu, haureu de contractar un advocat d’assistència sanitària per a la vostra organització. Un advocat de l’àmbit sanitari pot ajudar a abordar problemes de gestió i regulació de riscos. Podeu mantenir aquesta persona "en reserva", cosa que significa que pagueu una quota cada mes. A canvi, l’advocat sempre està disponible per respondre les vostres preguntes.
- Podeu obtenir recomanacions per a un advocat sanitari si pregunteu a altres proveïdors sanitaris qui utilitzen. Si no rebeu cap recomanació, podeu visitar el col·legi d’advocats del vostre estat, que hauria d’executar un programa de referència. Demaneu una derivació per a un advocat sanitari.
- Assegureu-vos de preguntar a l’advocat sobre la seva experiència. Voldreu algú que tingui una àmplia experiència en el compliment de la normativa, no només en la representació d’empreses en plets.
Pas 3. Estigueu segur, no ho sentiu
Tècnicament, no cal que creeu noms d’usuari, nivells d’accés ni tan sols tingueu programari a la vostra organització. En lloc d'això, HIPAA només requereix que prengui "mesures raonables" i reveli només la informació "mínima necessària". No obstant això, com a qüestió pràctica, heu de crear els procediments per accedir i distribuir la informació descrita anteriorment si teniu previst dirigir una oficina moderna mitjançant ordinadors i correu electrònic. Aquests procediments us ajudaran a protegir-vos de la divulgació no autoritzada d’informació del pacient.
- Les sancions per violar HIPAA poden ser greus. Podeu aplicar fins a una multa de 50.000 dòlars per cada infracció, fins a un màxim d'1,5 milions de dòlars cada any. També hi ha sancions penals per a aquells que infringeixen conscientment les normes.
- En conseqüència, és millor que seguiu les pràctiques i els procediments que s'estan convertint en estàndard a la vostra indústria. Els advocats i proveïdors d’assistència sanitària amb experiència us poden guiar en la direcció correcta.