Как убедиться, что ваша некоммерческая организация соответствует требованиям HIPAA

Фото Юлии Зябловой на Unsplash =кредиткопитекст)

В сфере здравоохранения работает поразительное количество американских благотворительных организаций — [чуть менее 40 000] (https://www.statista.com/statistics/189283/number-of-public-charities-by-subsector-in-the-united- штаты-2008/). Некоторые из крупнейших некоммерческих организаций в стране работают в этой области, что составляет более 12 процентов благотворительного сектора. Добавьте к этому организации, которые каким-то образом работают с медицинскими картами, и их число возрастет еще больше.

HIPAA — это свод законов США, который устанавливает правила безопасного и надежного обращения с защищенной медицинской информацией. Ниже мы немного расскажем о том, что влечет за собой соблюдение HIPAA для организаций, работающих с медицинскими записями, а также о некоторых продуктах TechSoup, совместимых с HIPAA, которые могут помочь вам защитить конфиденциальность пациентов.

Что такое HIPAA?

Закон о переносимости и подотчетности медицинского страхования (HIPAA) — это закон США, принятый в 1996 году. HIPAA был создан в первую очередь для модернизации обработки медицинских записей в информационную эпоху.

В законе есть требования о том, как информация о состоянии здоровья отдельных лиц (известная как «защищенная медицинская информация») поддерживается и защищается от мошенничества и кражи любой организацией, которая обрабатывает медицинские записи.

Некоммерческие организации, которые каким-либо образом имеют дело с защищенной медицинской информацией (PHI), должны иметь физические, ИТ-сетевые и технологические меры безопасности и следовать им для обеспечения соответствия требованиям HIPAA. Некоммерческие организации, которые не соблюдают правила HIPAA, могут быть оштрафованы на тысячи долларов — [до 50 000 долларов за нарушение] (https://www.hipaajournal.com/what-are-the-penalties-for-hipaa-violations- 7096/#:\~:text=HIPAA%20нарушение%20штрафов%20может%20быть%20выписано%20до%20нарушение%20штрафов%20на%20адвокатам%20общим%20в%20нескольких%20штатах.).

Как соблюдать HIPAA при обслуживании клиентов

Существует довольно много дополнительной работы для благотворительных организаций, которые каким-либо образом обрабатывают медицинские записи. Вот неполный список некоторых основных требований для соответствия HIPAA.

• Проведите шесть обязательных ежегодных аудитов и оценок и сохраните документацию, подтверждающую их проведение за последние шесть лет. [Найдите их список здесь] (https://www.linkedin.com/pulse/what-hipaa-audit-requirements-marlene-m-maheu-phd/).

• Разработать политику и процедуры для предоставления пациентам доступа к информации об их здоровье. Кроме того, предоставьте пациентам или клиентам документ «Уведомление о соблюдении конфиденциальности и правах клиента» HIPAA для прочтения и подписания. Найдите пример здесь (PDF).

• Поддерживайте безопасную базу данных, соответствующую требованиям HIPAA, и убедитесь, что ваш поставщик облачных хранилищ полностью соответствует требованиям HIPAA.

• Убедитесь, что сотрудники уполномочены обрабатывать защищенные данные о передаче медицинской информации с использованием шифрования и уникальных имен пользователей и паролей. Сотрудники также должны проходить ежегодное обучение HIPAA.

• Проводите регулярные проверки того, кто и как получает доступ к записям HIPAA и обрабатывает их, чтобы выявить любые подозрительные действия.

• Определите всех своих поставщиков и деловых партнеров и заключите с ними письменные соглашения HIPAA. Кроме того, регулярно проводите ежегодную комплексную проверку на соответствие HIPAA.

• Создайте план на случай нарушений безопасности и разработайте политики и процедуры в соответствии с [ежегодными правилами HIPAA о конфиденциальности, безопасности и уведомлении о нарушениях] (https://www.hhs.gov/hipaa/for-professionals/breach-notification/index. .html). Ваши планы восстановления должны быть полностью задокументированы в письменной форме.

Найдите [полный контрольный список требований соответствия HIPAA] (https://www.hipaajournal.com/wp-content/uploads/2018/08/HIPAA-Journal-HIPAA-Compliance-Checklist.pdf) (PDF), любезно предоставленный HIPAA. Журнал.

Продукты TechSoup для соответствия HIPAA

TechSoup предлагает своим участникам множество бесплатных товаров, соответствующих HIPAA, и товаров со скидкой. Ниже мы перечисляем некоторые из них в областях кибербезопасности, обмена файлами, хранения и восстановления данных, управления идентификацией, онлайн-офисных пакетов, факсимильной связи и онлайн-совещаний.

Правила конфиденциальности HIPAA требуют, чтобы любая компания или некоммерческая организация, которые обрабатывают медицинские данные (определяемые в соответствии с HIPAA как «застрахованные лица»), имели подписанное Соглашение о деловом партнерстве (BAA) с каждым используемым вами поставщиком, который может вступить в контакт с защищенной медицинской информацией.

ДокуСигн

[DocuSign] (https://www.techsoup.org/docusign) – это ведущее в отрасли программное обеспечение для электронной подписи и управления транзакциями. Он позволяет членам TechSoup подписывать, отправлять и управлять цифровыми документами в Интернете. DocuSign поддерживает HIPAA во всех планах, но для Соглашения о деловом партнерстве требуется учетная запись Enterprise, доступная в [предложении DocuSign Advanced Solutions] (https://www.techsoup.org/products/docusign-advanced-solutions-access-to-discounted). -ставки-г-52229-).

Вот [документ о соответствии DocuSign HIPAA] (https://www.docusign.com/sites/default/files/DocuSign_HIPAA_Compliance_Overview.pdf) (PDF) для вашего юриста и специалиста по ИТ-поддержке.

Дропбокс

Dropbox предлагает участникам TechSoup безопасные онлайн-сервисы обмена файлами, чтобы вы могли совместно работать над контентом с членами команды. Вот [Документ Dropbox Getting Started with HIPAA] (https://www.dropbox.com/static/business/resources/getting_started_with_hipaa.pdf) (PDF) для вашего юриста и специалиста по ИТ-поддержке.

Рабочая область Google

Google Workspace для некоммерческих организаций (ранее – G Suite) – это облачный пакет Google для офиса и повышения производительности. Он включает безопасные бизнес-приложения, такие как Gmail, Документы, Календарь, Диск и Google Meet. См. [Руководство по внедрению HIPAA в G Suite и Cloud Identity] Google (https://services.google.com/fh/files/misc/gsuite_cloud_identity_hipaa_implementation_guide.pdf) (PDF) для вашего юриста и специалиста по ИТ-поддержке.

ифакс

iFax – новый партнер TechSoup. Это онлайн-платформа для отправки факсов, которая позволяет членам TechSoup безопасно отправлять и получать факсы с любого устройства, сохраняя при этом соответствие требованиям HIPAA. Многие медицинские компании и аптеки используют технологию факсимильной связи для большей безопасности пациентов. Вот [Советы iFax по отправке факсов в соответствии с HIPAA] (https://www.ifaxapp.com/blog/tips-hipaa-compliable-faxing/) для вашего юриста и специалиста по ИТ-поддержке.

Microsoft Office 365 и Microsoft 365

Microsoft Office 365 и Microsoft 365 комплекты для повышения производительности содержат стандартные отраслевые приложения, такие как Microsoft Word, Excel, PowerPoint, Teams, SharePoint и многие другие необходимые для ведения организации.

TechSoup рекомендует приобрести лицензии E3 для Office 365 или Microsoft 365. Эта комплексная лицензия позволяет настраивать средства управления потерей данных и шифрованием на уровне элементов в соответствии с HIPAA. [Дополнительную информацию о наших рекомендациях см. здесь] (https://blog.techsoup.org/posts/microsoft-365-and-office-365-for-health-organizations).

См. [Технический документ Microsoft о соответствии требованиям HIPAA] (https://www.microsoft.com/en-us/microsoft-365/blog/wp-content/uploads/sites/2/2019/04/HIPAA-Compliance-Microsoft- Office-365-and-Microsoft-Teams.pdf) (PDF) для их пакетов Office, включая видеоконференции и совместную работу с использованием Microsoft Teams, для вашего юриста и специалиста по ИТ-поддержке.

Окта

[Okta] (https://www.techsoup.org/how-okta-helps-nonprofits) – это современное облачное программное обеспечение для управления идентификацией и доступом. Он связывает все ваши приложения, логины и устройства в единую цифровую ткань. Ячейка Okta, соответствующая требованиям HIPAA, специально разработана для соответствия требованиям HIPAA.

Он обеспечивает сквозное шифрование данных на выделенном оборудовании. Okta позволяет организациям управлять идентификацией сотрудников, поставщиков и пациентов с помощью единого безопасного решения. Загрузите Технический документ Okta Security для вашего юриста и специалиста по ИТ-поддержке.

Веритас

Veritas – это программное обеспечение для резервного копирования и восстановления, предназначенное для защиты подключенных к сети компьютеров от возможной потери данных в результате ошибки пользователя или вредоносного ПО. Это критически важная функция для соответствия HIPAA, особенно в отношении вашего необходимого плана нарушений безопасности. См. Veritas Solutions for Healthcare (PDF) (PDF), чтобы сообщить об этом своему юристу и специалисту по ИТ-поддержке.

Масштаб

[Zoom] (https://www.techsoup.org/zoom) предлагает некоммерческим организациям инструменты для видео- и аудиоконференций для общения с коллегами, волонтерами и избирателями. В связи с быстро растущим обменом медицинской информацией в Интернете с помощью телемедицины Zoom также является важным инструментом для соблюдения требований HIPAA.

Версия Zoom Meetings, соответствующая HIPAA, предоставляется бесплатно и доступна для организаций в США при настройке нового плана Zoom Meetings Pro с максимальным количеством лицензий девять.

Если у вас есть план Zoom Meetings Pro и требуется соответствие требованиям HIPAA, или если вам требуется более девяти лицензий, свяжитесь с отделом продаж Zoom напрямую, чтобы включить соответствие требованиям HIPAA.

Ознакомьтесь с этим сообщением в блоге Zoom, в котором приведены ответы на часто задаваемые вопросы о соблюдении Zoom и HIPAA. Кроме того, вот Данные о соответствии Zoom HIPAA (PDF) для вашего юриста и специалиста по ИТ-поддержке.

Повышение соответствия вашей некоммерческой организации требованиям HIPAA

Если ваша организация обрабатывает защищенную медицинскую информацию, мы надеемся, что эта информация даст вам хорошее представление о том, как привести вашу некоммерческую организацию в более полное соответствие требованиям HIPAA. Как всегда, мы надеемся, что наше постоянно растущее количество пожертвований и товаров со скидкой, соответствующих требованиям HIPAA, также поможет.

Сценарист: Джим Линч

• Совместно опубликовано [здесь] (https://blog.techsoup.org/posts/bringing-your-nonprofit-into-better-hipaa-compliance)*