Heath Insurance bærbarhet og Accountability Act of 1996 (HIPAA) staver ut lovens krav til beskyttelse av personlige helseinformasjon. HIPAA påvirker organisasjoner som bruker elektronisk lagring og overføring av den enkeltes helse poster. Den slags organisasjoner som må overholde HIPAA inkluderer helsepersonell, forsikring leverandører, helseplaner, helsetjenester clearinghouses og forretningsforbindelser til disse organisasjonene. Noen arbeidsgivere må også overholde HIPAA krav.

Pasientinformasjon Sikkerhet og tilgang

Sykehus og andre helsevesenet leverandører må beskytte personvernet til "individuelt identifiserbar helseinformasjon», enten på papir, kommunisert verbalt eller i elektronisk form. Organisasjoner må ha retningslinjer på plass for å definere rollebasert tilgang til personlig informasjon helse i forbindelse med behandling, betaling eller operasjoner. Kun ansatte med behov for å vite spesifikk informasjon kan få tilgang til elektroniske pasientjournaler.

Offentlig interesse og nytte Aktiviteter

Organisasjoner må gjøre seg kjent med utpekte nasjonale prioriteringer som tillater utgivelsen av beskyttede helseinformasjon uten samtykke fra pasienten eller hans representant. HIPAA identifiserer 12 "offentlig interesse formål," som hver har begrensninger og vilkår som skal balansere offentlig interesse med personvernet. Noen av de tillatte avsløringer oppregnet som samfunnsnyttige formål inkluderer minnes av FDA-godkjente medisinsk utstyr, beskytte ofre for vold, overgrep og omsorgssvikt, saker om mistanke om kriminell aktivitet og svar til rettskjennelser.

Arbeidsgivere

Arbeidsgivere kan få beskyttet helseinformasjon om en arbeidstakers on-the-job skade. Dersom en arbeidsgiver gir en egen ansatt helsesøster, og tilbyr en ansatt wellness program eller har en selvassurandør forsikring plan, må arbeidsgiver gi samme beskyttelse av privatliv og sikkerhet for personlige helseopplysninger som for poster i sykehus og legekontorer.

Kontinuerlig opplæring

Arbeidsgivere lagt HIPAA må trene nye ansatte og gi opplæring på HIPAA oppdateringer når implementert. Arbeidsgivere må også gi opplæring i kjølvannet av eventuelle HIPAA brudd.

Organisasjoner som tilbyr fleksible utgifter kontoer

Dersom en arbeidsgiver tilbyr en fleksibel utgifter konto (FSA), som tillater ansatte å sette til side før skatt dollar for out-of-pocket medisinske utgifter, skal arbeidsgiver sørge for at administratoren av FSA oppfyller HIPAA retningslinjer compliance. Arbeidsgivere kan også trenge en HIPAA-kompatibel "forretningsforbindelse" avtale med FSA administrator.

Skrevet Prosedyre for Complaint Investigation

Organisasjoner bør ha en skriftlig plan for å undersøke HIPAA klager. HIPAA regler ikke mandat en skriftlig prosedyre; men kan organisasjoner bruke sine skriftlige planer som en del av sin dokumentasjon på tiltak for å etterforske, avhjelpe og løse klager. Den undersøkende dokumentasjon kan også hindre gjentakelse av problematiske prosesser. HIPAA kan gi 30 dager for organisasjoner å korrigere en utilsiktet HIPAA brudd.

Bøter

Organisasjoner som ikke klarer å overholde HIPAA mandater for å beskytte personvernet og sikkerheten til helseinformasjon som kan stå overfor bøter fra $ 100 til $ 50.000 eller mer per overtredelse. Office for Civil Rights må varsle organiseringen av manglende overholdelse av HIPAA krav, og organisasjonen vil motta muligheter til å tilby bevis som kan redusere straffen.