Was ist HIPAA für das Gesundheitswesen?

Titel I: Reform der HIPAA-Krankenversicherung

Damit soll der Krankenversicherungsschutz für Personen, die ihren Arbeitsplatz gewechselt oder verloren haben, erhalten bleiben. Es schränkt Gruppenkrankenversicherungen ein, die den Versicherungsschutz für Personen mit bereits bestehenden Krankheiten oder Zuständen verweigern, und hindert sie daran, Grenzen für die Lebensversicherung festzulegen.

Titel II: Vereinfachung der HIPAA-Verwaltung

Dies deutet darauf hin, dass das United States Department of Human Services and Health dazu veranlasst wird, die Verarbeitung elektronischer Transaktionen im Gesundheitswesen weltweit zu regulieren. Es benötigt die Systeme, um eine sichere elektronische Einführung in die Gesundheitsinformationen der Patienten zu erreichen, die in Übereinstimmung mit den vom HHS festgelegten Datenschutzgesetzen stehen.

Titel III: Steuerbezogene HIPAA-Gesundheitsbestimmungen

Damit verbunden sind steuerliche Vorschriften sowie gängige medizinische Versorgungsrichtlinien.

Titel IV: Anwendung und Umsetzung der Anforderungen des Gruppengesundheitsplans

Dies stellt eine weitere Verbesserung der Krankenversicherung dar, einschließlich Plänen für diejenigen, die bereits Krankheiten oder Krankheiten haben, und für jemanden, der eine dauerhafte Deckung beantragt.

Titel V: Erlösausgleich

Darunter fallen Begriffe im Zusammenhang mit betriebseigenen Versicherungen und der medizinischen Versorgung von Personen, denen aus einkommensteuerlichen Gründen die Staatsbürgerschaft fehlt.

Administrative Schutzmaßnahmen

Dazu gehören Richtlinien und Verfahren, die lediglich zeigen sollen, wie das Unternehmen die folgenden Handlungen einhält:

• Betroffene Unternehmen (Unternehmen, die unter HIPAA stehen) müssen einen schriftlichen Satz von Datenschutzplänen verwenden und einen Datenschutzbeauftragten benennen, der für die Förderung und Umsetzung aller erforderlichen Richtlinien und Methoden verantwortlich ist.
• Pläne sollten Mitarbeiter oder Klassen von Mitarbeitern anerkennen, die Zugang zu elektronisch geschützten Gesundheitsinformationen (EPHI) haben. Der Zugriff auf EPHI muss auf diejenigen Mitarbeiter beschränkt sein, die ihn zur Erfüllung ihrer beruflichen Rolle benötigen.
• Autorisierung, Einrichtung, Änderung und Beendigung müssen durch das Verfahren geregelt werden.
• Die Unternehmen müssen nachweisen, dass Mitarbeiter, die in Verwaltungsfunktionen des Krankenversicherungsplans tätig sind, ein angemessenes fortlaufendes Schulungsprogramm zur Behandlung von PHI erhalten.
• Die Anweisungen zur Adressierung und Reaktion auf Sicherheitsverletzungen, die sowohl während der Prüfung als auch im normalen Betriebsablauf erkannt werden, sollten im Verfahren dokumentiert werden.

Physische Schutzmaßnahmen

• Verwalten des physischen Zugriffs zum Schutz vor missbräuchlichem Zugriff auf geschützte Daten
• Überwachter und kontrollierter Zugang zu Geräten mit Gesundheitsinformationen.
• Der Zugriff auf Hard- und Software darf nur autorisierten Personen gestattet werden.
• Die Arbeitsplätze sollten sich nicht in einem stark frequentierten Bereich befinden und der Bildschirm sollte von der direkten Sicht der Öffentlichkeit entfernt sein. Es werden Regeln benötigt, um die korrekte Verwendung der Arbeitsstation zu regeln.
• Wenn die betroffenen Unternehmen Auftragnehmer oder Vertreter beschäftigen, müssen auch diese vollständig auf ihre physischen Zugangspflichten vorbereitet sein.

Technische Sicherheitsvorkehrungen

• Regulieren des Zugangs zu Computersystemen und Ermöglichen des Schutzes von elektronisch über offene Netze übertragener Kommunikation mit geschützten Gesundheitsdaten durch andere Personen als die benannte Person.
• Informationssysteme, die PHI abdecken, müssen gegen Eindringen geschützt werden. Wenn Daten über offene Netzwerke fließen, muss irgendeine Form der Verschlüsselung verwendet werden. Wenn geschlossene Systeme/Netzwerke verwendet werden, gelten die aktuellen Zugriffskontrollen als ausreichend und die Verschlüsselung ist optional.
• Jedes betroffene Unternehmen ist dafür verantwortlich sicherzustellen, dass die Daten in seinen Systemen nicht auf unbefugte Weise geändert oder gelöscht wurden.
• Prüfsumme, doppelte Schlüsselung, Nachrichtenauthentifizierung und digitale Signatur müssen verwendet werden, um die Datenintegrität sicherzustellen.
• IT-Dokumente müssen eine schriftliche Aufzeichnung aller Konfigurationseinstellungen aller Teile des Netzwerks enthalten, da diese Teile kompliziert und konfigurierbar sind und sich ständig ändern.