Mis on seos EHR ja HIPAA rakendamise vahel?

Elektrooniliste tervisekontrollide idee tutvustas 1960ndate aastate lõpus dr Larry Weed ja esimene täielikult elektrooniline tervisekontrollisüsteem töötati välja Regenstreifi instituudis 1972. aastal. Kuni 1996. aasta tervisekindlustuse kaasaskantavuse ja aruandekohustuse seaduse jõustumiseni, aga kas EHRs kasutati laialdaselt. Tervishoiusektori väikeettevõtete omanikud - eriti müüjad ja alltöövõtjad - peaksid mõistma EHRide ja HIPAA vahelisi suhteid.

Ajalooline tähendus

Veteranide tervishoiuamet, mitmed tarkvaraarenduse ettevõtted ja kaks presidenti olid EHR-süsteemide laialdase heakskiitmise liikumapanevad jõud. Föderaalsed õigusaktid, sealhulgas 2009. aasta majandusteaduse ja kliinilise tervise tervishoiualane infotehnoloogia ning HIPAA Omnibus-reegliga kirjeldatud muudatused soodustasid samaaegselt tervisehäirete kasutamist tervishoiuasutustes ja tugevdasid HIPAA privaatsust, turvalisust, rikkumisest teatamist ja jõustamist käsitlevaid eeskirju.

Kuidas suhe arenenud

2009. aasta HITECHi seaduse rakendamine hakkas muutma EHRide ja HIPAA vahelisi suhteid. Kõige olulisem muutus keskendus tervishoiuasutustega töötavatele kolmandate isikute ettevõtetele. Enne seaduse rakendamist ei peetud kolmandate osapoolte ettevõtteid, mida nimetatakse äripartneriteks, samadele HIPAA teabeturbe nõuetele nagu tervishoiuettevõtete töötajad. Näiteks kuni 2009. aastani ei kohaldatud äripartnerite suhtes reeglit, mis kohustas ettevõtjaid teatama kaitstud terviseteabe avalikustamist põhjustavast turvarikkumisest.

Infoturbe

HIPAA turvaeeskirjad nõuavad nüüd, et tervishoiuettevõtted ja äripartnerid - sealhulgas müüjad, tervisealased teabevahetused ja elektroonilised väravad - kaitseksid EHR-is talletatud teavet, rakendades füüsilise, haldusliku ja tehnilise teabe turvalisuse tagatisi. Nende hulka kuuluvad arvuti juurdepääsu kontrollid, näiteks poliitika, mis nõuab tugevat parooli ja isikukoodi, krüpteerimissüsteem salvestatud elektroonilise teabe kindlustamiseks ja süsteem automaatse auditiraja loomiseks, kes registreerib elektroonilise tervisealase teabe ja töötab sellega.

Rikkumise teatamine ja täitmine

HIPAA täielikud avalikustamisnõuded ja mittevastavuse tagajärjed on alates 2009. aastast rangemad. Tervishoiuettevõtetel ja äripartneritel on seaduslik kohustus mitte ainult teatada kliendile, patsiendi või patsiendi esindajale ja valitsusele, et on toimunud turvarikkumine, vaid ka selgitada asjaolusid. Vastamata jätmine võib kaasa tuua olulisi rahalisi karistusi vastavalt HIPAA jõustamisreeglist. Eeskirjades kirjeldatakse nelja rikkumise kategooriat ja nelja vastavat karistusmäära. Maksimaalne karistus on 1, 5 miljoni dollari eest aastas iga identse määruse rikkumise eest.