Tuân thủ email HIPAA


 
Bắt đầu với Đạo luật Trách nhiệm Giải trình và Cung cấp Thông tin Bảo hiểm Y tế (HIPPA) năm 1996, luật mới đã liên tục củng cố các quy định về quyền riêng tư của bệnh nhân. Vào năm 2009, đạo luật HITECH đã được thông qua để đảm bảo bảo vệ thông tin bệnh nhân và liệt kê các hành động cần thực hiện nếu thông tin bệnh nhân bị vi phạm.

Sản phẩm Văn phòng Quyền dân sự (OCR) thực thi việc tuân thủ email thông qua Quy tắc bảo mật HIPAA. Cho phép liên lạc qua email giữa các tổ chức được bảo hiểm và bệnh nhân miễn là cung cấp các biện pháp bảo vệ “hợp lý”.

Các biện pháp bảo vệ này bao gồm thông báo, cổng bảo mật và mã hóa email. Các thực thể được bảo hiểm bao gồm các nhà cung cấp dịch vụ chăm sóc sức khỏe, chương trình sức khỏe và cơ quan thanh toán bù trừ chăm sóc sức khỏe.

Mặc dù email đã được sử dụng hơn XNUMX năm nhưng chúng vẫn chưa được coi là một hình thức liên lạc an toàn. Việc sử dụng email giữa các nhà cung cấp dịch vụ chăm sóc sức khỏe và bệnh nhân ngày càng trở nên phổ biến. Email không an toàn trừ khi được mã hóa.

Ngoài ra, các email bảo mật được gửi tới điện thoại thông minh có thể mất mã hóa khi chúng dịch trở lại các ứng dụng email khách dựa trên web (chẳng hạn như Google).

Sản phẩm Đạo luật HITECH năm 2009 quy định những hậu quả đáng xấu hổ nếu dù chỉ một bệnh nhân phàn nàn về hành vi vi phạm quyền riêng tư.

Nếu vi phạm an ninh xảy ra với một bệnh nhân, điều đó có nghĩa là vi phạm đang xảy ra với nhiều bệnh nhân.

Sự vi phạm như vậy đòi hỏi phải có thông báo của một số bên. Đầu tiên, Bộ trưởng Bộ Y tế và Dịch vụ Nhân sinh phải được thông báo.

Tiếp theo, tất cả bệnh nhân của đơn vị được bảo hiểm phải được thông báo. Cuối cùng, tổ chức được điều chỉnh có thể cần liên hệ với phương tiện truyền thông để đáp ứng các yêu cầu về thông báo. Những yêu cầu này sẽ bị vô hiệu nếu thông tin được mã hóa.

Không có nhà cung cấp dịch vụ chăm sóc sức khỏe hoặc tổ chức nào muốn trở thành tâm điểm chú ý của giới truyền thông. Các nhà cung cấp dịch vụ chăm sóc sức khỏe (và các tổ chức liên quan) có thể thực hiện các hành động để đảm bảo tuân thủ email HIPAA.

Các nhà cung cấp dịch vụ chăm sóc sức khỏe sử dụng hệ thống EMR (hồ sơ y tế điện tử) có thể sử dụng các cổng an toàn trong hệ thống của họ để gửi và nhận thông tin liên lạc được bảo vệ của bệnh nhân.

Đây là một phương pháp lý tưởng và tiết kiệm chi phí để giao tiếp với khách hàng. Tính bảo mật của các cổng này phải được kiểm tra kỹ lưỡng trước khi sử dụng.

Cổng bảo mật thường có địa chỉ web bắt đầu bằng https (lưu ý chữ “s” ở cuối). Những chữ cái này dịch sang giao thức truyền siêu văn bản an toàn.

Tuân thủ email HIPAA yêu cầu bệnh nhân được thông báo về các lựa chọn liên quan đến thư từ qua email theo nhiều cách khác nhau.

Trước đây, chính phủ liên bang đã kêu gọi các tổ chức chăm sóc sức khỏe thực hiện việc tuân thủ tự nguyện. Yêu cầu tự nguyện này đã được thay thế bằng các nhiệm vụ và phương pháp kiểm duyệt. Thực tiễn gửi email tuân thủ HIPAA bao gồm một số điều khoản.

Tất cả các email của bệnh nhân phải chứa tuyên bố từ chối trách nhiệm để đáp ứng các yêu cầu tuân thủ. Điều này có nghĩa là tổ chức được bảo hiểm phải cung cấp thông báo email trực tuyến và thông báo “vật lý” hiển thị để cảnh báo bệnh nhân về những rủi ro bảo mật tiềm ẩn khi truyền “thông tin sức khỏe được bảo vệ” (PHI) qua email.

Nếu tổ chức của bạn bao gồm một trang web để gửi câu hỏi qua email, hãy dán một tuyên bố nổi bật nêu rõ: "Thông tin liên lạc qua email không an toàn". Điều này sẽ không áp dụng cho một cổng thông tin an toàn.

Tạo chữ ký email cho tất cả các liên lạc qua email gửi đi để thông báo cho bệnh nhân rằng liên lạc qua email không an toàn và có thể bị chặn bởi các bên không xác định.

Sử dụng chữ ký này để thông báo cho bệnh nhân không tiết lộ thông tin cá nhân như ngày sinh hoặc thông tin y tế.

Tư vấn cho bệnh nhân của bạn rằng không cần thiết phải đưa thông tin y tế vào thông tin liên lạc qua email. Đặt tuyên bố từ chối trách nhiệm ở nhiều vị trí bao gồm trang web, tường văn phòng và trong thông tin liên lạc qua email của bạn.

Ghi lại sự đồng ý của bệnh nhân để nhận thông tin liên lạc qua email. Sử dụng “Bảng liên hệ khẩn cấp” để cung cấp các khu vực cho sự đồng ý qua email.

Nếu bạn đang sử dụng hệ thống EMR, hãy tránh nhập địa chỉ email của bệnh nhân vào hệ thống. Điều này sẽ đảm bảo bệnh nhân không nhận được lời nhắc cuộc hẹn qua email và các thông báo khác.

Hệ thống hồ sơ sức khỏe điện tử (EHR) cho phép truy cập vào cổng thông tin bệnh nhân an toàn. Hướng dẫn bệnh nhân của bạn sử dụng các cổng này để liên lạc nhạy cảm.

Các cổng này được thiết kế để vượt qua các tiêu chuẩn bảo mật HIPAA và cho phép liên lạc an toàn bao gồm thanh toán bằng thẻ tín dụng, nạp thuốc theo toa và thậm chí truy cập vào hồ sơ y tế. Với tư cách là nhà cung cấp, bạn phải đảm bảo rằng các cổng này được nhà cung cấp Cổng thông tin EHR của bạn kiểm tra đầy đủ và bạn được cung cấp chứng chỉ bảo mật.

Nếu bạn phải sử dụng email để giao tiếp với khách hàng, hãy sử dụng các ứng dụng mã hóa email tuân thủ HIPAA an toàn. Có rất nhiều ứng dụng như vậy trên thị trường. Mục đích của các ứng dụng email tuân thủ HIPAA là để:

  • Sử dụng máy chủ email an toàn
  • Kiểm soát ai có thể đọc, sao chép hoặc chuyển tiếp email
  • Tạo giới hạn “đọc” và đặt ngày hết hạn cho email đã gửi
  • Mã hóa tài khoản email
  • Cho phép gửi email được mã hóa từ bất kỳ máy tính nào
  • Cho phép xem các email được mã hóa từ bất kỳ máy tính nào có truy cập internet
  • Tạo cài đặt bảo mật nâng cao để vô hiệu hóa khả năng in và sao chép
  • Mã hóa không chỉ văn bản email mà cả tệp đính kèm

Quy tắc bảo mật HIPAA tạo ra các tiêu chuẩn để bảo vệ thông tin sức khỏe cá nhân điện tử (ePHI).

Quy tắc bảo mật yêu cầu các biện pháp bảo vệ thích hợp để đảm bảo tính bảo mật của ePHI. Quy tắc bảo mật thực thi việc tuân thủ các tiêu chuẩn hiện có và có thể điều tra các khiếu nại cũng như thực hiện đánh giá việc tuân thủ.

Nếu tổ chức của bạn là một thực thể được bảo hiểm phải tuân thủ các quy định về email của HIPAA, thì bắt buộc phải hành động theo Quy tắc bảo mật. Các hình phạt đối với việc không tuân thủ bao gồm từ hình phạt dân sự là $100.00 cho mỗi lần vi phạm cho đến hình phạt hình sự là $250,000.00 và mười năm tù vì cố ý không tuân thủ.

Tốt nhất, bất kỳ vi phạm nào sẽ dẫn đến việc bệnh nhân được thông báo và dư luận tiêu cực. Quá trình kiểm tra tuân thủ đang diễn ra và mọi thực thể được bảo hiểm phải phát triển và triển khai các quy trình bảo mật bao gồm cả tài liệu. Các chính sách tuân thủ phải bao gồm các thủ tục kiểm soát và xác minh.

Đối với các nhà cung cấp dịch vụ chăm sóc sức khỏe không muốn sử dụng các cổng bảo mật hoặc ứng dụng email tuân thủ HIPAA, hãy tránh đặt ePHI trong phần nội dung của email và mã hóa thủ công các tệp được gửi dưới dạng tệp đính kèm email. Thông tin sức khỏe bệnh nhân điện tử có thể được gửi qua mạng điện tử mở miễn là thông tin được bảo vệ đầy đủ.

Các quy tắc tuân thủ email HIPAA yêu cầu nhà cung cấp dịch vụ y tế hoặc tổ chức được bảo hiểm thực hiện các biện pháp phòng ngừa hợp lý. Điều này bao gồm kiểm tra độ chính xác của địa chỉ email và gửi email kiểm tra cho bệnh nhân để xác nhận địa chỉ. Nếu bệnh nhân bắt đầu liên hệ qua email, nhà cung cấp có thể cho rằng liên hệ qua email được khách hàng chấp nhận.

Có nhiều sản phẩm trên thị trường để bảo mật và mã hóa thư từ email.

Tìm hiểu các quy định, yêu cầu và đặc biệt là các hình phạt đối với việc không bảo mật thư điện tử có chứa ePHI.

Nếu bạn đang truy cập thông tin nhạy cảm qua điện thoại thông minh và máy tính bảng, hãy xác minh rằng email được mã hóa vẫn được mã hóa trên các thiết bị này. Tuân thủ các quy định về email của HIPAA và tránh sự chú ý của dư luận phương tiện truyền thông có hại.