Drei zentrale Empfehlungen zur Verbesserung der Einhaltung der HIPAA-Vorschriften

Drei zentrale Empfehlungen zur Verbesserung der Einhaltung der HIPAA-Vorschriften

HIPAA compliance 1200 x 1335

Die Health Insurance Portability and Accountability Act (HIPAA) Mandate, die Industrie-weite standards für die ordnungsgemäße Verwaltung der Gesundheitsinformationen und elektronischen Rechnungsstellung. HIPAA erfordert Schutz sowie die vertrauliche Behandlung aller geschützten Gesundheitsinformationen (PHI).

Nach HIPAA-Regeln, die jede Gesellschaft, die sich mit geschützten Informationen, muss eine physikalische Netzwerk-und security-Maßnahmen Folgen, um die Einhaltung zu gewährleisten. Es kann sein, sicher zu sagen, dass viele Organisationen sind immer noch ratlos über die HIPAA-audits, – Durchsetzung und compliance.

Als ein Ergebnis, die Anzahl der Organisationen, die nicht zur Erfüllung von compliance-jedes Jahr hoch bleibt. In der Tat, nach dem United States Department of Health and Human Services (HHS), die etwa 70% der Organisationen sind nicht HIPAA-konform.

Um zu beginnen, Verständnis compliance, healthcare Organisationen wäre klug, zu berücksichtigen, drei wichtige Empfehlungen.

Verwandte Inhalte: Sind Sie bereit für die HIPAA-Polizei?

Drei zentrale Empfehlungen zur Verbesserung der Einhaltung der HIPAA-Vorschriften

1. Analysieren Sie die Vergangenheit, um zu vermeiden, den gleichen Fehler zweimal

Es ist wichtig für Krankenhäuser und Einrichtungen des Gesundheitswesens zu betrachten, einige der häufigsten Fehler, die immer wieder beobachtet, in der HIPAA-Sicherheits-Bewertungen. HIPAA besagt, dass aus allen Bewertungen abgeschlossen, es gibt eine Reihe von häufigen compliance-Verstöße und Probleme, die gefunden werden, jedes Jahr.

Sie umfassen:

    • Mangel an Maßnahmen zum Schutz der Gesundheit Informationen
    • unzulässige Verwendungen und Offenlegungen geschützter Gesundheitsinformationen
    • Mangel an Patienten Zugriff auf Ihre persönlichen Gesundheits-Informationen
    • mangelnde administrative Maßnahmen auf elektronisch geschützte Gesundheitsinformationen
    • Nutzung oder Offenlegung der mehr als das minimum geschützten Gesundheit Informationen

Schutz wertvoller Daten durch die Analyse von Fehlern der Vergangenheit ist ein wichtiger Schritt in die compliance-Prozess.

2. Führen Sie ein Risiko-assessment und GAP-Analyse der Organisation die Einhaltung der HIPAA-Vorschriften

Präventive Maßnahmen zu verwenden, die bei der Beurteilung einer Organisation compliance mit HIPAA gehören:

  • Risiko Analyse
  • GAP-Analyse.

Die Verwirrung und der Mangel an Verständnis der beiden Ansätze ist Häufig bei healthcare-professionals am Markt. Nicht das Verständnis der Unterschiede zwischen den beiden kann sich nachteilig auf eine Organisation. Es kann Sie zu einem erheblich höheren Risiko für ein HIPAA Verletzung.

Nach dem HHS Office of Civil Rights (OCR) Leitlinien, Materialien, Organisationen im Gesundheitswesen müssen insbesondere die Durchführung einer Risikoanalyse als innerhalb von HIPAA.

–Die GAP-Analyse

Ein HIPAA-GAP-Analyse kann verwendet werden, zur Messung der Organisationen “ Informationssicherheit stehen gegen HIPAA, das ist Teil des HHS audit-Protokoll. Vergleich der Organisation ist es, aktuelle Praktiken der HHS OCR-audit-Protokoll identifiziert die stärken und Schwächen der Programm für die Sicherheit.

Von dort aus, kann die Organisation bestimmen, ob Sie haben vernünftige und angemessene administrative, physische und technische Sicherheitsvorkehrungen zum Schutz der Gesundheit der Patienten. Die Leistung der GAP-Analyse ermöglicht auch die Organisation zur Entwicklung einer audit-response-Toolkits. Dieser enthält die Daten und Dokumente, die Sie würde in der Lage sein, um Unterstützung bei der Einhaltung der HIPAA-Vorschriften für Behörden.

–Die Risikoanalyse

Die Risikoanalyse ist erforderlich, damit die Kontrolle im Sinne des audit-Protokolls. Ohne eine Gründliche und umfassende Risikoanalyse, Organisationen im Gesundheitswesen nicht identifizieren können anwendbar Bedrohungen und Schwachstellen, die es Ihnen ermöglichen, Korrekturmaßnahmen zu ergreifen.

Abschluss einer umfassenden Risikoanalyse gibt einen Einblick in die Organisation der Sicherheits-position. Es ermöglicht auch ändern, bevor eine Prüfung stattfindet.

Risikoanalysen sollten aktualisiert werden, mindestens einmal jährlich, um sicherzustellen, dass Sie entsprechend der aktuellen betrieblichen Praktiken. Die Risikobewertung sollte die Bewertung der Sicherheit, Verwendung und Weitergabe von PHI gegen HIPAA Privatsphäre, Sicherheit und die Meldung von Verstößen gegen die Umsetzung der Spezifikationen.

–Dokumentation

Um zu beginnen, eine Organisation sollte dokumentieren ePHI (Electronic Personal Health Information) die übertragung oder Verarbeitung Dienstleistungen. Dies umfasst alle Geschäftspartner oder Beschäftigten erhalten und verwenden Sie das ePHI.

Verwandte Inhalte: Was ist mit Ihren Geschäftspartnern Engagement der HIPAA

Es ist wichtig zu beurteilen, alle Aspekte der von der Organisation operation zu überprüfen, ob alle Verwendungen und Offenlegungen von ePHI identifiziert werden. Gehen Sie nicht davon aus, dass Ihre IT-Abteilung ist sich bewusst, alle Ihre Verwendungen und Offenlegungen. Stellen Sie Fragen in alle operativen Bereiche Ihres Unternehmens.

3. Entwickeln Sie einen Aktionsplan und eine Antwort toolkit

Für viele Organisationen im Gesundheitswesen, die Frage ist nicht ob, Sie erhalten eine HIPAA audit-oder ein OCR-Untersuchung, aber wenn. Wenn dies geschieht, wird der OCR, die Teil der HHS Verantwortung für die Erfüllung der HIPAA-audits, werden an die Organisation wenden. Bitten Sie für eine Vielzahl von Dokumenten und Daten in der Vorbereitung für die Prüfung/Untersuchung.

–Überprüfung und Ermittlung

Sobald diese Unterlagen und Daten werden überprüft, die OCR schicken die Organisation eine vorläufige Kopie Ihrer Ergebnisse. Dieser vorbereitende Bericht bietet Organisationen im Gesundheitswesen die Möglichkeit, zu reagieren, um die OCR-Funktion. Und Ihre Antworten sind im Abschlussbericht enthalten.

Aus dem Abschlussbericht, der OCR-bestimmen, ob eine Organisation wurde in übereinstimmung mit HIPPA. Und wenn nicht, wo eine Organisation fehlte. Wenn eine Organisation nicht in völliger übereinstimmung, die OCR wird geben Sie korrigierende Maßnahmen. Darüber hinaus wird Sie technische Hilfe der Organisation verwenden können, um die Arbeit in Richtung compliance.

–Bereit sein,

Entwickeln Sie einen Aktionsplan. Und Bewertung der Organisation der information security gegen die OCR-audit-Protokolls zu entwickeln, die ein audit response-toolkit. Dies wird Organisationen verlassen, mit praktischen Maßnahmen, die dazu dienen Ihrem besten Interesse, beseitigen Fehler, und das Risiko zu verringern.

Abschließend, die Verwendung der Hilfe von Profis mit know-how in der Einhaltung der HIPAA-Vorschriften ist stets zu empfehlen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.