Hvad er forholdet mellem EMR og gennemførelsen af ​​HIPAA?

Idéen om elektroniske patientjournaler blev introduceret i slutningen af ​​1960'erne af Dr. Larry Weed, og det første fuldt elektroniske sundhedspostsystem blev udviklet af Regenstreif Institute i 1972. Ikke før vedtagelsen af ​​Health Insurance Portability and Accountability Act fra 1996, Imidlertid blev EHR'er meget udbredt. Ejere af små virksomheder i sundhedssektoren - især leverandører og underleverandører - bør forstå forholdet mellem EHR og HIPAA.

Historisk betydning

Veterans Health Administration, en række softwareudviklingsfirmaer og to præsidenter var drivkræfterne bag den brede accept af EHR-systemer. Føderal lovgivning, herunder Health Information Technology for Economic and Clinical Health Act fra 2009 og ændringer, der er skitseret i HIPAAs Omnibus Rule, opfordrede samtidig anvendelsen af ​​EMR'er i sundhedsfaciliteter og styrket HIPAA-regler om beskyttelse af personlige oplysninger, sikkerhed, misligholdelse og håndhævelse.

Hvordan forholdet udviklede sig

Gennemførelsen af ​​HITECH-loven fra 2009 begyndte at ændre forholdet mellem EHR og HIPAA. Den væsentligste ændring fokuserede på tredjepartsvirksomheder, der arbejder med sundhedsvæsener. Før implementering af retsakten blev tredjepartsvirksomheder - kaldet forretningsforbindelser - ikke holdt til de samme HIPAA-standarder for informationssikkerhedsoverensstemmelse som ansatte i sundhedsvirksomheder. For eksempel gælder indtil 2009 en virksomhed, der kræver, at virksomheder rapporterer om en sikkerhedsbrud, der fører til offentliggørelse af beskyttede sundhedsoplysninger, ikke anvendelse på forretningsforbindelser.

Informationssikkerhed

HIPAA Security Rule kræver nu sundhedssektoren og forretningsforbindelser - herunder leverandører, udveksling af sundhedsinformation og elektroniske gateways - for at beskytte de oplysninger, der er lagret i EHR'er, ved at gennemføre fysiske, administrative og tekniske informationssikkerhedsgarantier. Disse omfatter computeradgangskontroller, som f.eks. En politik, der kræver et stærkt kodeord og et personligt identifikationsnummer, et krypteringssystem til sikring af lagret elektronisk information og et system til oprettelse af et automatisk revisionsspor til registrering af hvem der har adgang til og arbejder med elektronisk sundhedsinformation.

Misligholdelse og fuldbyrdelse

HIPAA's fulde krav til oplysningskrav og konsekvenser for manglende overholdelse er blevet strengere siden 2009. Hygiejneforretninger og forretningsforbindelser har en juridisk forpligtelse til ikke kun at fortælle en klient, patient eller patientens repræsentant og regeringen, at der er sket en sikkerhedsbrud, men også at forklare omstændighederne. Manglende overholdelse kan resultere i betydelige monetære sanktioner i henhold til HIPAA Enforcement Rule. Reglen beskriver fire kategorier af overtrædelser og fire tilsvarende niveauer af strafbeløb. Den maksimale straf er 1, 5 millioner dollars om året for alle overtrædelser af en ensartet regulering.