La Health Insurance Portability and Protection Act (HIPAA) du gouvernement fédéral a créé des lignes directrices sur la façon dont les prestataires de soins de santé traitent les données de santé des patients. Malheureusement, les directives HIPAA sont vagues. Il n'y a pas de liste de contrôle facile que vous pouvez utiliser pour trouver un logiciel compatible HIPAA. Au lieu de cela, HIPAA vous oblige à créer un ensemble de procédures pour accéder et envoyer des informations sur la santé des patients. Vous devez ensuite trouver un éditeur de logiciel dont le logiciel peut vous permettre de mettre en œuvre vos procédures.
Pas
Partie 1 sur 3: Création de procédures appropriées
Étape 1. Tenez un journal d'audit
Vous devez savoir qui accède au dossier d'un patient. Cela signifie que vous devez créer des noms d'utilisateur et des mots de passe distincts pour chaque personne ayant accès aux informations sur la santé des patients. Dans le cadre du journal d'audit, vous devez suivre les éléments suivants:
- qui enregistre l'utilisateur accédé
- la date à laquelle il a été consulté
- si l'utilisateur a consulté les informations, les a mises à jour ou les a supprimées
Étape 2. Créez des niveaux d'accès
HIPAA exige également qu'un employé ne voie que les informations « minimum nécessaires » pour faire son travail. Par exemple, un médecin aura besoin de voir plus d'informations sur la santé qu'une réceptionniste. En conséquence, vous devez créer des niveaux d'accès, dans lesquels vous ne fournissez que les informations dont chaque personne a besoin pour faire son travail.
- Certains employés peuvent ne travailler qu'avec certains patients. Dans cette situation, ils ne devraient avoir accès qu'aux dossiers des patients pour les personnes avec lesquelles ils travaillent.
- Pour réussir à créer des niveaux d'accès, vous devez définir clairement les rôles dans votre organisation. Cela peut nécessiter que vous examiniez les descriptions de poste et réorganisiez les tâches.
Étape 3. Créez une fonction de « dérogation d'urgence »
Même si vous créez des niveaux d'accès, il peut arriver que quelqu'un ait besoin d'accéder à toutes les informations en cas d'urgence. Pour cette raison, vous devez créer une « annulation » qui permet à la personne de récupérer toutes les informations nécessaires pour traiter efficacement les patients.
- Néanmoins, vous devez configurer votre logiciel de manière à ce que l'utilisation de cette fonction de remplacement soit contrôlée.
- Par exemple, vous pouvez configurer le logiciel de sorte que chaque fois que quelqu'un utilise la fonction de dérogation, plusieurs autres personnes reçoivent automatiquement un e-mail simultanément. Le logiciel doit également suivre toutes les informations auxquelles cette personne accède.
- Vous devez également rédiger un processus de révision pour chaque utilisation de la fonction de remplacement. Par exemple, la personne qui l'utilise pourrait devoir rencontrer plus tard un superviseur pour justifier l'utilisation.
Étape 4. Sécurisez vos données
HIPAA exige que vous gardiez vos données en sécurité. En pratique, cela signifie que vous devez utiliser des mots de passe et garder les données sécurisées derrière un pare-feu.
- Vous devez également vous assurer que vos e-mails sont sécurisés. En particulier, vous devez utiliser une technologie de cryptage suffisante sur vos e-mails.
- Pour plus d'informations sur la façon de vous assurer que votre e-mail est conforme à la HIPAA, consultez Rendre les e-mails conformes à la HIPAA.
Étape 5. Scannez les formulaires d'autorisation du patient
Vous êtes tenu de faire signer aux patients des formulaires autorisant votre utilisation de leurs informations pour leurs soins. Chaque formulaire doit inclure une description de l'utilisation que vous ferez des données et de la date d'expiration.
- Vous devez suivre ces autorisations, y compris la date de signature du formulaire et le nom de la personne qui le signe.
- Vous devez également numériser le formulaire et conserver une copie numérique.
Étape 6. Confirmez que votre système de facturation est conforme
HIPAA a normalisé la transmission des informations de facturation. Pour cette raison, quel que soit le système de facturation que vous utilisez, il doit prendre en charge les normes HIPAA.
À l'heure actuelle, pratiquement tous les systèmes de facturation sur le marché le font. Néanmoins, vous devez confirmer auprès de votre fournisseur qu'il est conforme à la loi HIPAA
Étape 7. Interrogez les fournisseurs sur la sauvegarde
HIPAA exige également que vous conserviez vos données afin qu'un patient puisse les voir chaque fois qu'il en fait la demande. Cela signifie que vous devez conserver des sauvegardes de toutes les informations. Si vous conservez des informations sur papier, vous avez besoin de copies stockées hors site ou de numérisations numériques créées. Si vous stockez des données par voie électronique, elles doivent être sauvegardées.
- Demandez aux fournisseurs comment ils sauvegardent leurs systèmes. Découvrez comment ils assurent la continuité du système en cas d'accident.
- Si vous hébergez le système de données sur vos propres serveurs, vous devrez alors connaître les procédures de sauvegarde que vous avez mises en place, ainsi que vos plans d'urgence.
Étape 8. Faites signer des contrats à vos associés
Toute personne qui voit vos données doit accepter de respecter les mêmes politiques et procédures que votre organisation. Vous devez donc rédiger un contrat d'« associé commercial » que tous les fournisseurs doivent signer.
- Health and Human Services a un exemple de contrat disponible sur https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html. Vous pouvez le modifier en fonction de vos besoins.
- Il existe également des exemples de contrats sur Internet. Par exemple, le UT Health Science Center a un contrat type que vous pouvez utiliser.
- Vous devriez également demander à votre avocat de la santé d'examiner tout contrat pour s'assurer qu'il est suffisant pour vous protéger.
Partie 2 sur 3: Recherche de fournisseurs de logiciels et de données
Étape 1. Demandez à d'autres fournisseurs de soins de santé
Si vous ouvrez une entreprise, vous devrez acheter un logiciel. Vous devrez peut-être également embaucher quelqu'un pour héberger vos données sur leurs serveurs (ou pour sauvegarder vos propres serveurs).
Demandez aux autres fournisseurs quels fournisseurs ils utilisent. Pratiquement tous les prestataires de soins de santé sont couverts par la HIPAA, ils auraient donc dû réfléchir longuement à la conformité ou non de leur logiciel. Vous devriez demander des recommandations
Étape 2. Comparez les prix
Après avoir obtenu des recommandations pour différents fournisseurs, vous devez comparer leurs prix. Vous devriez les appeler pour obtenir un devis. Leurs numéros de téléphone doivent être sur Internet.
- Les prix dépendront du nombre de personnes qui ont besoin d'accéder à votre système, alors assurez-vous d'avoir ce numéro disponible.
- Si votre entreprise est en croissance, vous devriez penser à quelques années à l'avance. Par exemple, si vous avez cinq employés mais pensez que vous allez doubler de taille, assurez-vous d'obtenir un devis pour combien il en coûte pour avoir 10 utilisateurs. Vous ne voulez pas changer de logiciel après seulement un an.
Étape 3. Découvrez comment le fournisseur surveille les changements dans HIPAA
La réglementation HIPAA continue d'évoluer. Vous devez vous attendre à ce que le vendeur suive les changements de la loi. Lorsque vous contactez des fournisseurs, vous devez poser les questions suivantes:
- Comment le fournisseur surveille-t-il les changements dans les réglementations HIPAA ? Dispose-t-elle d'un plan d'action pour suivre l'évolution de la loi ? Cherchez des exemples concrets. L'entreprise a-t-elle un juriste parmi son personnel qui surveille les changements dans la loi ?
- Quel pourcentage des clients du fournisseur doit être conforme à la loi HIPAA ? Si la plupart des clients de l'entreprise doivent se conformer à la HIPAA, vous pouvez être sûr qu'elle apportera les modifications nécessaires pour se conformer à la HIPAA, sinon elle fera faillite.
Partie 3 sur 3: Comprendre les exigences de la HIPAA
Étape 1. Vérifiez si HIPAA s'applique à vous
Vous devez vous conformer à la loi HIPAA si votre organisation transmet des informations de facturation par voie électronique à une compagnie d'assurance maladie, y compris Medicaid et Medicare. Les informations peuvent inclure des factures ou d'autres informations nécessaires pour trouver une couverture d'assurance. En règle générale, la HIPAA réglemente les fournisseurs des éléments suivants:
- thérapie
- conseils
- soins médicaux
- tout autre service qui facture les compagnies d'assurance
Étape 2. Trouvez un avocat en soins de santé
Les règles HIPAA sont compliquées et difficiles à comprendre. Afin de vous assurer que vous êtes en conformité, vous devez engager un avocat de la santé pour votre organisation. Un avocat spécialisé dans les soins de santé peut vous aider à résoudre les problèmes de gestion des risques et de réglementation. Vous pouvez garder cette personne « sur provision », ce qui signifie que vous payez des frais chaque mois. En échange, l'avocat est toujours disponible pour répondre à vos questions.
- Vous pouvez obtenir des recommandations pour un avocat spécialisé en soins de santé en demandant à d'autres fournisseurs de soins de santé qui ils utilisent. Si vous ne recevez aucune recommandation, vous pouvez vous rendre au barreau de votre état, qui devrait gérer un programme de parrainage. Demandez une référence pour un avocat de la santé.
- Assurez-vous de demander à l'avocat son expérience. Vous aurez besoin de quelqu'un qui possède une vaste expérience de la conformité réglementaire, et pas seulement de la représentation d'entreprises dans le cadre de poursuites.
Étape 3. Soyez prudent, pas désolé
Techniquement, vous n'avez pas besoin de créer des noms d'utilisateur, des niveaux d'accès ou même d'avoir un logiciel dans votre organisation. Au lieu de cela, HIPAA exige uniquement que vous preniez des « mesures raisonnables » et que vous ne divulguiez que les informations « minimum nécessaires ». Néanmoins, d'un point de vue pratique, vous devez créer les procédures d'accès et de diffusion des informations décrites ci-dessus si vous envisagez d'exploiter un bureau moderne utilisant des ordinateurs et des e-mails. Ces procédures vous aideront à vous protéger contre les divulgations non autorisées d'informations sur les patients.
- Les sanctions en cas de violation de la loi HIPAA peuvent être sévères. Vous pouvez faire face à une amende allant jusqu'à 50 000 $ pour chaque infraction, jusqu'à un maximum de 1,5 million de dollars chaque année. Il existe également des sanctions pénales pour ceux qui enfreignent sciemment les règles.
- Par conséquent, vous feriez mieux de suivre les pratiques et les procédures qui deviennent la norme dans votre industrie. Des avocats et des fournisseurs de soins de santé expérimentés peuvent vous guider dans la bonne direction.