Health Insurance Portability and Accountability Act (HIPAA) tillhandahåller en uppsättning standarder för att skydda patienters känsliga uppgifter. Företag som hanterar skyddad hälsoinformation (PHI) måste ha administrativa, fysiska och tekniska säkerhetsåtgärder för att vara HIPAA-kompatibla.
Vad är PHI?
PHI står för folkhälsoinformation.
HIPAA-sekretessreglerna ger federalt skydd för PHI som innehas av berörda enheter. Sekretessreglerna tillåter även utlämnande av PHI som behövs för patientvård och andra viktiga ändamål.
Täckta enheter
Berörda enheter är alla som tillhandahåller behandling, tar emot betalningar eller verkar inom hälso- och sjukvård, eller affärspartners. Dessa inkluderar alla som har patientinformation och ger stöd vid behandling, betalningar eller verksamhet. Alla berörda enheter måste uppfylla HIPAA-kraven. Underleverantörer och andra affärspartners måste också uppfylla HIPAA-kraven.
För att avgöra om du är täckt, följ detta länken.
Allmänna regler
Allmänna säkerhetsregler kräver att berörda enheter upprätthåller rimliga och lämpliga administrativa, tekniska och fysiska skyddsåtgärder för att skydda PHI.
- Säkerställa konfidentialitet, integritet och tillgänglighet för alla PHI-täckta enheter som skapar, tar emot, underhåller eller överför.
- Identifiera och skydda mot rimligen förväntade hot mot informationens säkerhet eller integritet.
- Skydda mot rimligen förväntad, otillåten användning eller avslöjande.
- Säkerställ efterlevnad av berörda enheters personal.
Fysiska skyddsåtgärder
- Åtkomst och kontroll av anläggningen
En omfattad enhet måste begränsa fysisk åtkomst till sina anläggningar samtidigt som behörig åtkomst tillåts. - Arbetsstations- och enhetssäkerhet
En berörd enhet måste implementera policyer och rutiner för att specificera korrekt användning av och åtkomst till arbetsstationer och elektroniska medier. En berörd enhet måste också ha policyer och rutiner för överföring, borttagning, kassering och återanvändning av elektroniska medier för att säkerställa lämpligt skydd av PHI.
Administrativa skyddsåtgärder
- Säkerhetshanteringsprocess
En täckt enhet måste identifiera och analysera potentiella risker för PHI, och den måste implementera säkerhetsåtgärder som minskar risker och sårbarheter till en rimlig och lämplig nivå.
- Säkerhetspersonal
En omfattad enhet måste utse en säkerhetsansvarig som ansvarar för att utveckla och implementera dess säkerhetspolicyer och -rutiner.
- Informationsåtkomsthantering
En täckt enhet måste implementera policyer och procedurer för att auktorisera åtkomst till PHI endast när sådan åtkomst är lämplig baserat på användarens eller mottagarens roll.
- Personalutbildning och ledning
En täckt enhet måste tillhandahålla lämplig auktorisation och övervakning av arbetstagare som arbetar med PHI. - Utvärdering
En omfattad enhet måste regelbundet bedöma hur väl dess säkerhetspolicyer och -rutiner uppfyller kraven i säkerhetsregeln.
Tekniska säkerhetsåtgärder
- Åtkomstkontroll
En täckt enhet måste implementera tekniska policyer och procedurer som endast tillåter behöriga personer att få tillgång till elektronisk skyddad hälsoinformation (e-PHI).
- Revisionskontroller
En berörd enhet måste implementera hårdvara, programvara och/eller procedurmekanismer för att registrera och granska åtkomst och annan aktivitet i informationssystem som innehåller eller använder e-PHI.
- Integritetskontroller
En berörd enhet måste implementera policyer och rutiner för att säkerställa att e-PHI inte ändras eller förstörs på felaktigt sätt. Elektroniska åtgärder måste införas för att bekräfta att e-PHI inte har ändrats eller förstörts på felaktigt sätt. - Överföringskontroller
En täckt enhet måste implementera tekniska säkerhetsåtgärder som skyddar mot obehörig åtkomst till e-PHI som överförs via ett elektroniskt nätverk.