你可能听说过 健康保险流通与责任法案(HIPAA). 法律规定,医疗服务提供者禁止与除你以外的任何人分享你的医疗信息(除非你授权任何其他人)。. 和大多数人一样, 你可能认为这条法律只适用于医疗服务提供者——你错了.
受HIPAA约束的雇主
HIPAA下, 任何负责健康计划的雇主, 进行特定电子交易的卫生保健信息交换中心和卫生保健提供者, 是否受HIPAA的约束. 当新员工被雇佣时,雇主会收集一些个人信息. 这些信息中的大部分被归类为“受保护的健康信息”,(PHI)或个人标识符. 这些信息包括:
- 名字
- Address
- 电话号码
- 社会安全号码
- 生日
- 病历编号
- 健康计划ID
- 正面的照片
- 帐号
- 驾驶执照号码
如果贵实体的任何工作人员获得并保存上述任何信息, 您必须保护这些信息并遵守HIPAA.
我的实体须如何遵从?
那么根据HIPAA,你需要做些什么呢? 首先:
- 你必须充分 保护 从员工那里获得并存储在工作环境IT系统中的任何PHI. 就像你应该努力保护你处理和存储的任何客户信息一样, 你也应该努力保护员工的个人信息. 确保你所采取的IT安全措施是最好的.
- 您必须获得员工的书面同意才能与其他服务提供商或供应商共享PHI. 可能发生这种情况的情况包括披露PHI以进行治疗, 支付和其他医疗保健业务. 如果您需要与外部服务提供商共享此信息, 确保你已经为你的员工准备了书面同意书.
- 确保任何外部服务提供者, 供应商或分包商——根据HIPAA都被定义为“业务伙伴”——与您合作并共享PHI,了解与HIPAA相关的合规性要求. 制定“商业伙伴”协议, 哪些概述了每个外部供应商应采取的步骤,以确保员工个人信息的机密性.
HIPAA安全规则
HIPAA的一部分包括一个特定的部分,概述了国家安全标准,以保护创建的个人电子个人健康信息, 收到了, 由一个实体使用或维护的. 这部分被称为“HIPAA安全规则.根据美国的说法.S. 卫生署 & 美国公共服务部(HHS)网站, 这条规则“……要求适当的行政管理, 确保保密的物理和技术保障措施, 完整性, 以及电子健康信息的安全性.”
根据该规则,实体需要执行a 风险分析 确保IT系统和流程充分保护PHI. 要了解您的实体是否符合HIPAA的安全要求,请查看以下内容 HHS安全风险评估工具.
必须遵守HIPAA安全规则的实体/个人包括:
- 卫生保健提供者
- 健康计划
- 健康保险公司
- 健康维护组织(hmo)
- 雇主团体健康计划
- 政府项目,包括:
- 医疗保险
- 医疗补助计划
- 弗吉尼亚州的程序
- “业务伙伴”,包括:
- 会计师
- 律师
- 咨询顾问
- 软件公司
- 资产回收
- IT顾问
- 药品福利管理(PBMs)
- 健康计划经纪人
HIPAA帮助
像大多数政府法规一样,HIPAA可能会令人困惑和不堪重负. 美国.S. 卫生署 & 人类服务部在其网站上有一个很好的部分,专门帮助专业人士更好地了解他们应该如何遵守HIPAA. 一定要看看这个网站 在这里. 我们在意图的政府团队也很乐意就hipaa相关事宜提供咨询. 请随意 安全的赌博软件 随时寻求帮助.
By 安妮·约德,注册会计师,CFF, CFE (新费城办事处)