Что такое HIPAA для здравоохранения?

Раздел I: Реформа медицинского страхования HIPAA

Это направлено на сохранение охвата медицинским страхованием тех, кто сменил или потерял работу. Он ограничивает групповые планы медицинского страхования от отказа в покрытии людей с ранее существовавшими заболеваниями или состояниями и не позволяет им устанавливать ограничения на пожизненное страхование.

Раздел II: Административное упрощение HIPAA

Это указывает на то, что Министерство социальных служб и здравоохранения США должно регулировать обработку электронных транзакций в области здравоохранения во всем мире. Ему нужны системы для обеспечения безопасного электронного доступа к информации о здоровье пациентов в соответствии с законами о конфиденциальности, которые были установлены HHS.

Раздел III: Медицинские положения HIPAA, связанные с налогами

Это связано с положениями, касающимися налогообложения, а также с общими рекомендациями по медицинскому обслуживанию.

Раздел IV: Применение и выполнение требований группового плана медицинского обслуживания

Это представляет собой дальнейшее улучшение медицинского страхования, включая планы для тех, у кого уже есть заболевания или заболевания, и для тех, кто запрашивает постоянное покрытие.

Раздел V: Компенсация доходов

Это включает в себя условия, связанные со страхованием, принадлежащим компании, и медицинским обслуживанием тех, кто не имеет гражданства по причинам, связанным с подоходным налогом.

Административные гарантии

Сюда входят политики и процедуры, предназначенные просто для того, чтобы показать, как организация будет соблюдать следующие действия:

• Подпадающие под действие организации (организации, подпадающие под действие HIPAA) должны использовать письменный набор планов обеспечения конфиденциальности и назначить сотрудника по вопросам конфиденциальности, который будет нести ответственность за продвижение и внедрение всех необходимых политик и методов.
• Планы должны признавать сотрудников или классы сотрудников, которые имеют доступ к электронной защищенной медицинской информации (EPHI). Доступ к EPHI должен быть ограничен только теми сотрудниками, которым это необходимо для выполнения своих должностных обязанностей.
• Авторизация, создание, модификация и прекращение должны регулироваться процедурой.
• Организации должны продемонстрировать, что сотрудники, выполняющие административные функции плана медицинского страхования, проходят надлежащую программу непрерывного обучения по вопросам обращения с PHI.
• Инструкции по устранению и реагированию на нарушения безопасности, выявленные как во время аудита, так и в ходе обычной деятельности, должны быть документированы в процедуре.

Физические гарантии

• Управление физическим доступом для защиты от несанкционированного доступа к защищенным данным
• Мониторинг и контроль доступа к оборудованию, имеющему информацию о состоянии здоровья.
• Доступ к оборудованию и программному обеспечению должен быть разрешен только уполномоченным лицам.
• Рабочие станции не должны находиться в местах с интенсивным движением, а экран монитора должен быть удален от прямого взгляда публики. Правила необходимы для правильного использования рабочей станции.
• Если покрываемые организации нанимают подрядчиков или агентов, они также должны быть полностью готовы к выполнению своих обязанностей по физическому доступу.

Технические гарантии

• Регулирование доступа к компьютерным системам и разрешение организациям, находящимся под защитой, защищать сообщения, содержащие PHI, передаваемые в электронном виде по открытым сетям, от блокировки кем-либо, кроме назначенного лица.
• Информационные системы, охватывающие PHI, должны быть защищены от вторжения. Когда данные передаются по открытым сетям, необходимо использовать некоторую форму шифрования. Если используются закрытые системы/сети, текущий контроль доступа считается адекватным, а шифрование является необязательным.
• Каждая застрахованная организация несет ответственность за обеспечение того, чтобы данные в ее системах не были изменены или удалены несанкционированным образом.
• Для обеспечения целостности данных необходимо использовать контрольную сумму, двойной ключ, аутентификацию сообщений и цифровую подпись.
• Документы по информационным технологиям должны включать письменные записи всех параметров конфигурации всех частей сети, поскольку эти части сложны, настраиваются и постоянно меняются.