Hitech Act解释说:定义,合规性和违规行为

我们与HIPAA联系的许多规则和罚款随着Hitech法案推出,以使电子健康记录安全现实。

医疗保健数据泄露/医疗患者隐私安全违规
Leo Wolfert / Getty Images

Hitech ACT定义和摘要

Hitech法案是一项法律,旨在扩大美国在美国使用电子健康记录(EHRS)。 (Hitech代表 健康信息技术经济和临床健康。)法律提供了许多规定,为医疗保健提供者和消费者提供直接和间接的激励措施,以搬到EHRS,但最多兴趣的法律的部分是那些收紧提供商规则的人,以确保EHRS保持私密和安全。后一种方面将是本文的主要重点。

法律通过延长预先存在的规则来解决其安全和隐私目标 HIPAA 法律到更多和不同种类的企业,并通过增加更加艰难的报告和执法条款。结果,大部分落下的监管生态系统(和 昂贵的今天的HIPAA合规伞实际上是Hitech行为通过的结果。

为什么Hitech Act创建,为什么它很重要?

Hitech Act是2009年美国较较大的美国复苏和再投资法案的一部分,这是奥巴马政府初期颁布的刺激计划,以将资金注入经济,以削弱巨大经济衰退的影响。 Hitech Act旨在使用其中一些政府支出帮助医疗卫生行业使昂贵的飞跃进入使用EHRS。法律为此目的提供了Hitech Act激励,以额外的支付给医疗保险和转型给电子记录的医疗补助提供者。法律的这一目标可以被认为是成功的,急性护理医院部署EHRS 从2011年的28%从2015年从28%扩展到84%.

然而,虽然EHRS持有很多令人讨意改善卫生保健行业,但他们也使得在组织之间的个人识别数据上进行了更快,更容易,这对隐私和安全产生了严重影响。因此,Hitech法案为ehrs制定了一个监管框架,即不仅对医疗提供者施加安全和隐私要求,而且还对他们与其做生本的其他公司和组织进行了处理也可能处理EHR数据。

为实现这一目标,Hitech捎带到早期的HIPAA法律已经施加的一些规定 - 并且还封闭了HIPAA原始实施的一些漏洞。随着EHR采用变得越来越普遍,它是Hitech Act的隐私和安全条款,最重要的是今天最重要的。

Hitech和Hipaa.

HIPAA(这 健康保险便携性和问责法)已于1996年通过,除其他目标之外,旨在促进患者个人数据的安全和隐私。但是1996年是互联网的早期和EHRS的早期,其中一些HIPAA的规定并不是在一个更加联系的世界中的鼻烟,并且某些商业任务越来越多地被专门的第三方公司追求,而不是照顾由医疗提供者内部的内部。

特别是,当它来到Hipaa时,有漏洞 商务伙伴 该法案所涵盖的医疗提供者。在HIPAA法规术语中,商业伙伴是独立公司,为医疗组织提供支持服务,如计费,调度,营销,甚至IT服务或软件,而不是为患者提供直接医疗服务。商业伙伴理论上是遵守HIPAA的隐私和安全要求所要求的,但根据法律,这些规则不能直接在美国政府直接执行;仅适用于医疗组织本身的执法,他们可以在违规的情况下只表示他们不知道他们的商业伙伴是不合规的 避免惩罚.

当医学组织被判犯下违反HIPAA时,他们面临的潜在惩罚是非常轻:每次违规行为的罚款,每次违规100美元,最大化为25,000美元,这几乎不仅仅超过了许多大公司手腕的耳光。利通通过扩大其涵盖和惩罚更严重的违规行为的公司数量来加强HIPAA的法规。

Hitech Act要求

美国政府的任务按照HIPAA或Hitech法案等立法规定了广泛的形式,但详细说明了呼吁的规定 规则 在这种情况下,由相关的行政部门 - 卫生和人力服务部(HHS)组成。安全规则和隐私规则已于90年代奠定了规范,以正式化HIPAA所载的任务。 (再次,我们在我们的这两项规则上更详细 HIPAA文章。)在2009年Hitech法案通过的后果中,其任务被制定为两项规则: Hitech执法规则, 这阐述了更加严格的执法条款,扩展了HIPAA框架,以及 违规通知规则, 这建立了这一点 个人识别信息 暴露或黑客攻击,该组织负责该数据不得不通知所涉及的人民。

2013年, HIPAA OMNIBUS规则 将所有先前提到的规则合并和现代化为一个综合文件。虽然HIPAA是其名称,但这套规定正式确定了HIPAA和Hitech ACT的任务,Hitech的更新在整个DNA中都是编织的。该规则的细节超出了本文的范围 - 您可以 阅读HHS网站的完整文本 - 但让我们概述规则所需的概述。

商业伙伴责任。 这是HIPAA所建立的HIPAA最重要的更新之一。 HIPAA监管的医疗组织的商业伙伴以及这些商业伙伴的分包商,现在他们本身直接受HIPAA和Hitech Charmations,特别是隐私和安全规则。这种敲击效应极大地扩展了HIPAA规则的范围,并随着遵守软件和服务的市场(在一瞬间更多)。

违反通知要求。 医疗组织和商业伙伴现在必须通知个人信息已被安全漏洞所暴露或可能暴露的个人。通知标准是 相当严格答:公司必须在大多数情况下假设,不允许使用或披露个人健康信息可能有害,并且必须了解信息的主题。

隐私和数据的权利。 Hitech和Omnibus规则的目标是让个人更多地控制他们的个人数据如何以多种方式使用:

  • 在营销或筹款中使用个人信息受到限制
  • 未经他们的明确同意,不得销售某人的个人数据
  • 患者可以要求任何与自己的健康保险公司共享数据
  • 个人有权访问自己的个人数据

Hitech行动惩罚和执法

正如我们上文所述,所有这些新的规则和条例都伴随着更加艰难的执法和处罚框架,而不是HIPAA所设立的原始框架。今天,HIPAA和Hitech违规是根据违规行为的令人震惊的一系列层进行罚款。 HIPAA Journal. 概述了惩罚:

  • Tier 1 是针对没有意识到违规行为的组织,即使他们在合理的尽职调查中也会没有意识到。这个层的罚款开始 每次违规100美元。
  • Tier 2 对于他们行使尽职调查,适合有意识到违规行为的组织。这个层的罚款开始 每次违规1000美元。
  • Tier 3 适用于表现出严重忽视HIPAA / HITECH规则的组织,但在发现后30天内纠正了问题。这个层的罚款开始 每次违规10,000美元。
  • Tier 4 适用于表现出严重忽视HIPAA / Hitech规则的组织,并没有努力在发现后30天内纠正问题。这个层的罚款开始 每次违规50,000美元。

所有Tiers的罚款每次违规50,000美元或每年为组织所罚款的所有罚款。执法是在HHS的公民权利办公室的权威,这通常更喜欢通过非惩罚性措施解决违规行为。国家律师将军 独立执法权力 as well. 

Hitech法案合规

当你听到这句话 HIPAA合规性 在科技产业中使用,通常包括遵守HIPAA和Hitech法案的规定,因为如上所述,执行这两项法律的法规如此紧密地交织在一起。遵守这些规则并不简单问题;提供医疗保健服务的组织(或为这些组织提供产品和服务),不得避免不良行为,但必须能够证明他们正在积极遵循最佳实践。例如,组织需要采取行政,物理和技术步骤来保护患者的个人数据,然后需要使用风险评估和风险缓解技术来确定他们的保障是否足够。 RSI安全有 一些深入的分析 您需要采取符合HIPAA和HITECH法案的步骤。

在实践中,这些法规的复杂和暧昧的性质产生了愿意提供合规帮助的店主的山寨行业。各种各样的 软件包 承诺帮助您遵守法律,如果您需要更多的手持有,则会有一个 蓬勃发展的咨询业务 也是。通常,这两者往往是组合的,软件供应商定制对公司需求的解决方案,并提供培训或验证等资源。

并强调最后一次:Hitech法案专门扩展了HIPAA的助理服务提供者的商业伙伴,因此它不仅是医生和保险公司需要成为HIPAA / Hitech的符合要求。如果您在医疗行业的任何人向任何人销售产品或服务,您需要能够向您的客户保证您的产品符合我们在此概述的规则。这就是为什么每个人都来自 计算机程序员云服务提供商 需要意识到这些任务。

版权© 2021 IDG通讯,Inc。