Apa itu Kepatuhan HIPAA dan Mengapa Penting?

Apa Artinya HIPAA?

Apa sebenarnya HIPAA dan apa yang Anda sebagai perusahaan perlu lakukan untuk tetap berada di sisi kanan peraturan terkait?

HIPAA adalah singkatan dari Health Insurance Portability and Accountability Act, yang disahkan oleh Kongres pada tahun 1996.

HIPAA sejak itu telah diperbarui dan dibangun, terutama dengan undang-undang HITECH 2009 (Teknologi Informasi Kesehatan untuk Kesehatan Ekonomi dan Klinis) dan Aturan Omnibus 2013.

Ini bersama-sama memperluas tanggung jawab terhadap Rekan Bisnis dan subkontraktor mereka, serta perlindungan yang lebih ketat tentang bagaimana PHI dapat digunakan dalam hal pemasaran dan penjualan.

Sementara HIPAA menyangkut sejumlah bidang, termasuk cakupan layanan kesehatan untuk orang yang kehilangan atau berganti pekerjaan dan ketentuan terkait pajak, fokus utama kami adalah pada Judul II undang-undang, yaitu tentang pertukaran, keamanan, dan privasi data kesehatan dan apa yang menjadi perhatian sebagian besar bisnis dalam hal kepatuhan.

Mari langsung masuk dan melalui semua yang perlu Anda ketahui tentang HIPAA dan apa kunci sukses untuk kepatuhan HIPAA.

Apa Tujuan HIPAA?

Seperti yang baru saja kita ketahui, HIPAA memiliki beberapa tujuan di luar perlindungan data—khususnya terkait dengan reformasi undang-undang jaminan kesehatan.

Namun, bagi sebagian besar organisasi yang meneliti HIPAA, tujuan utama mereka adalah untuk mengetahui apa yang perlu mereka lakukan agar tetap mematuhi peraturannya dan menghindari denda yang berasal dari ketidakpatuhan.

Area HIPAA ini semuanya berkaitan dengan perlindungan data dan privasi sehubungan dengan pengungkapan dan penggunaan informasi kesehatan yang dilindungi, atau PHI.

Kepatuhan HIPAA dan keamanan PHI sangat penting bagi organisasi kesehatan saat ini.

Siapa yang Harus Mematuhi HIPAA?

Entitas yang harus mematuhi kepatuhan HIPAA dikenal sebagai entitas tertutup.

Entitas yang tercakup adalah orang atau perusahaan yang menyimpan, menangani, dan memproses PHI.

Entitas yang tercakup, selain mematuhi HIPAA, juga bertanggung jawab untuk melaporkan pelanggaran yang terkait dengannya.

Individu dan organisasi berikut merupakan entitas yang tercakup:

Penyedia layanan kesehatan

• Dokter
• Klinik
• Psikolog
• Dokter gigi
• Kiropraktor
• Rumah jompo
• Apotik
• Paket Kesehatan

Perusahaan Asuransi Kesehatan

• HMO
• Rencana kesehatan perusahaan
• Rencana perawatan kesehatan yang disediakan pemerintah

Clearinghouse Perawatan Kesehatan

• Ini adalah entitas yang memfasilitasi pemrosesan informasi kesehatan yang tidak standar menjadi elemen data standar. Ini adalah perantara yang efektif antara penyedia layanan kesehatan dan pembayar asuransi.

Asosiasi bisnis

• “Rekan bisnis” membuat, menerima, memelihara, atau mengirimkan informasi kesehatan yang dilindungi (PHI) atas nama entitas yang dilindungi atau rekan bisnis lain yang bertindak sebagai subkontraktor.

Subkontraktor

• Subkontraktor yang membuat, memelihara, atau mengirimkan informasi kesehatan yang dilindungi (PHI) atas nama rekan bisnis memiliki tanggung jawab hukum yang sama dengan rekan bisnis berdasarkan HIPAA. Dengan kata lain, tanggung jawab hukum terkait privasi dan keamanan mengalir “ke hilir” ke subkontraktor yang melakukan pekerjaan untuk rekan bisnis.

Entitas hibrida

• Entitas hibrida menjalankan fungsi yang tercakup dan tidak tercakup HIPAA sebagai bagian dari bisnisnya. Sebuah perusahaan besar yang memiliki rencana kesehatan yang diasuransikan sendiri untuk karyawannya dapat memilih untuk diperlakukan sebagai entitas hibrida. Contoh lain adalah universitas dengan pusat kesehatan atau toko kelontong yang memiliki apotek.

Apa yang Dicakup oleh PHI?

Informasi kesehatan pribadi (PHI) mengacu pada informasi demografis yang dapat digunakan untuk mengidentifikasi pasien, klien, atau entitas lain.

Ada 18 pengenal yang membuat informasi yang berkaitan dengan kesehatan dianggap PHI. Ini adalah:

1. Nama
2. Tanggal, kecuali tahun
3. Data Geografis
4. Nomor FAX
5. Nomor Jaminan Sosial
6. Alamat email
7. Nomor rekam medis
8. Nomor rekening
9. Nomor penerima program kesehatan
10. Nomor sertifikat/lisensi
11. Pengenal kendaraan dan nomor seri, termasuk nomor plat
12. Nomor telepon
13. URL web
14. Pengidentifikasi perangkat dan nomor seri
15. Alamat protokol Internet (IP)
16. Foto wajah penuh dan gambar yang sebanding
17. Pengidentifikasi biometrik (sidik jari, misalnya)
18. Angka atau kode apa pun yang secara unik mengidentifikasi seseorang

Ini adalah jenis data dan informasi yang harus dilindungi agar tetap sesuai dengan HIPAA.

Apa yang Dianggap Pelanggaran HIPAA?

Pelanggaran HIPAA terjadi ketika kepatuhan tidak dipatuhi oleh suatu entitas, dan ada ratusan cara individu dan organisasi dapat melanggar kepatuhan HIPAA.

Pelanggaran umum HIPAA biasanya akan melibatkan salah satu dari berikut ini:

• Pengungkapan PHI yang tidak sah, tidak diizinkan, atau tidak perlu
• Pengaksesan PHI yang tidak sah
• Pembuangan PHI yang salah
• Kurangnya penilaian risiko yang dilakukan oleh entitas
• Kurangnya manajemen risiko terkait PHI
• Kegagalan untuk membuat perjanjian kepatuhan HIPAA dengan pihak ketiga saat memberikan akses ke PHI
• Kegagalan untuk memberikan kesadaran keamanan pelatihan HIPAA kepada karyawan
• pencurian PHI
• Berbagi PHI tanpa izin sebelumnya
• Kesalahan penanganan/pengiriman PHI yang tidak beralasan
• Kegagalan untuk memberi tahu individu tentang insiden keamanan yang melibatkan PHI dalam waktu 60 hari setelah penemuan pelanggaran
• Tidak ada dokumentasi protokol, prosedur, dan manajemen kepatuhan

Apa Yang Terjadi Jika HIPAA Dilanggar?

Pelanggaran HIPAA terjadi ketika salah satu aspek dari standar dan ketentuan HIPAA dilanggar.

Anda dapat menemukan ikhtisar lengkap dari semua peraturan HIPAA, yang diterbitkan oleh Departemen Kesehatan dan Kantor Layanan Kemanusiaan untuk Hak Sipil, di sini.

Jika pelanggaran dilaporkan, entitas yang tercakup akan dikenakan hukuman, apakah itu perdata atau pidana—hukuman dapat bervariasi secara signifikan, tergantung pada pelanggarannya.

Biasanya, Departemen Kesehatan dan Layanan Kemanusiaan AS untuk Hak Sipil (OCR) akan menyelidiki pelanggaran—dan mereka akan menyelidiki semua entitas tercakup yang melaporkan pelanggaran lebih dari 500 catatan.

Jika OCR menentukan bahwa kasus tertentu adalah pidana daripada perdata, mereka akan merujuknya ke Departemen Kehakiman.

Dalam sebagian besar kasus, individu dapat mengharapkan untuk membayar $100 per pelanggaran; pelanggaran berulang dapat menyebabkan denda hingga $25.000.

Dalam kasus di mana individu telah menunjukkan pengabaian yang disengaja terhadap peraturan HIPAA dan tidak berusaha untuk memperbaiki kebijakan dan prosedur mereka, denda minimum $50.000 dapat dikenakan, hingga maksimum $1,5 juta.

Dalam kasus kriminal, hukuman yang lebih rendah dari $50.000 dan hingga satu tahun penjara dimungkinkan—dengan denda $250.000 dan maksimum 10 tahun penjara.

Untuk proses perdata, pelanggaran dikategorikan ke dalam tingkatan, dengan 4 yang paling parah.

Mereka adalah sebagai berikut:

• Tingkat 1: Pelanggaran yang tidak disadari oleh entitas yang tercakup dan tidak dapat dihindari.
• Tingkat 2: Pelanggaran yang seharusnya diketahui oleh entitas yang tercakup tetapi tidak dapat dihindari.
• Tingkat 3: Pelanggaran yang terjadi sebagai akibat langsung dari pengabaian yang disengaja, tetapi di mana upaya dilakukan untuk memperbaiki pelanggaran tersebut.
• Tingkat 4: Pelanggaran yang merupakan pengabaian yang disengaja di mana tidak ada upaya yang dilakukan untuk memperbaiki pelanggaran tersebut.

Hukuman untuk ketidakpatuhan HIPAA untuk setiap tingkatan adalah sebagai berikut:

• Tingkat 1: Denda minimum $100 per pelanggaran hingga $50.000
• Tingkat 2: Denda minimum $1.000 per pelanggaran hingga $50.000
• Tingkat 3: Denda minimum $10.000 per pelanggaran hingga $50.000
• Tingkat 4: Denda minimum $50,000

Proses pidana sedikit berbeda, dengan tiga tingkatan dan hukuman yang jauh lebih berat daripada proses perdata.

Mereka adalah sebagai berikut:

• Tingkat 1: Penyebab yang masuk akal atau tidak ada pengetahuan tentang pelanggaran
• Tingkat 2: Mendapatkan PHI dengan alasan palsu
• Tingkat 3: Mendapatkan PHI untuk keuntungan pribadi atau dengan niat jahat

Hukuman pidana:

• Tingkat 1: Hingga satu (1) tahun penjara
• Tingkat 2: Hingga lima (5) tahun penjara
• Tingkat 3: Hingga 10 tahun penjara

Bisakah Saya Bersertifikat HIPAA?

Pada saat penulisan ini, tidak ada sertifikasi atau verifikasi kepatuhan HIPAA.

Pihak ketiga mungkin menawarkan bentuk “sertifikasi HIPAA”, tetapi tidak ada sertifikasi resmi yang didukung atau diamanatkan yang ditawarkan oleh HHS.

Tidak ada spesifikasi standar atau implementasi yang mengharuskan entitas yang tercakup untuk "menyatakan" kepatuhan. Standar evaluasi 164.308(a)(8) mensyaratkan entitas yang dilindungi untuk melakukan evaluasi teknis dan non-teknis berkala yang menetapkan sejauh mana kebijakan dan prosedur keamanan entitas memenuhi persyaratan keamanan. – Kantor Hak Sipil (OCR)

Jadi, meskipun tidak ada sertifikasi HIPAA, banyak MSSP pihak ketiga dapat melakukan penilaian berkala bila perlu dan memastikan bahwa Anda mematuhi HIPAA.

Apa itu Petugas HIPAA?

Petugas HIPAA adalah petugas kepatuhan.

Baik mereka bekerja sendiri atau dipekerjakan sebagai pihak ketiga, tugas utama mereka adalah memastikan kepatuhan HIPAA Anda dengan memastikan protokol keamanan dan privasi Anda untuk data PHI diterapkan dengan benar.

Dalam kasus di mana tidak ada kebijakan seperti itu, petugas HIPAA akan bertanggung jawab untuk mengembangkan dan menerapkan rencana kepatuhan untuk individu atau organisasi.

Mereka kemudian akan bertanggung jawab untuk memelihara dan memantau program, menyelidiki dan melaporkan jika diperlukan secara hukum dan memastikan bahwa data pasien atau klien dilindungi sebagaimana diwajibkan oleh undang-undang negara bagian dan federal.

Apa Kunci Sukses untuk Kepatuhan HIPAA?

Jika Anda telah membaca bagian ini (atau membaca sekilas) dan merasakan denyut nadi Anda sedikit meningkat melihat hukuman atas ketidakpatuhan, maka jangan khawatir.

Tidak perlu banyak waktu untuk memastikan bahwa Anda mematuhi HIPAA, tetapi tentu saja ada beberapa kunci keberhasilan kepatuhan HIPAA yang sebaiknya diikuti oleh organisasi.

Pertama, Anda harus mencari penyedia layanan keamanan terkelola yang melakukan penilaian HIPAA untuk datang dan mengaudit sistem Anda untuk kepatuhan HIPAA.

Setelah mereka melakukan penilaian risiko, mereka akan dapat merekomendasikan dan melaksanakan implementasi yang Anda perlukan untuk memastikan Anda melakukan segala kemungkinan untuk menjaga kepatuhan.

Apa itu Penilaian Risiko HIPAA?

Posting Terkait: Apa yang Terjadi Selama Audit Risiko Keamanan Siber?

Audit kepatuhan HIPAA adalah penilaian yang dilakukan oleh petugas kepatuhan yang akan mendalami sistem dan protokol keamanan Anda.

Pertama, mereka perlu berkolaborasi dengan Anda dalam menentukan ruang lingkup audit—terutama terkait dengan kewajiban Anda (dalam hal ini, HIPAA adalah prioritas utama, meskipun Anda mungkin juga harus mematuhi peraturan lain).

Mereka kemudian akan menyusun jadwal audit dan melanjutkan ke tahap berikutnya; eksekusi. Bagian ini melibatkan pemindaian kerentanan, pengujian penetrasi, dan analisis celah.

Dalam hal penilaian risiko untuk kepatuhan HIPAA, analisis kesenjangan akan menjadi penting, karena di sinilah petugas kepatuhan HIPAA akan merinci apa yang perlu dilakukan untuk membuat Anda atau perusahaan Anda mematuhinya.

Setelah audit kepatuhan HIPAA selesai, petugas kepatuhan akan membuat rekomendasi mereka dan Anda bisa mendapatkan pemahaman yang jelas tentang apa yang perlu dilakukan.

Anda juga dapat mengambil kesempatan ini untuk mendelegasikan penerapan rekomendasi ini ke MSSP, dalam hal ini Anda dapat menandatangani kontrak jangka panjang dengan mereka—memungkinkan Anda untuk melanjutkan dan menjalankan bisnis Anda sementara penyedia layanan keamanan terkelola menangani kepatuhan .

Jika Anda ingin mempelajari lebih lanjut tentang kepatuhan HIPAA dan apa yang dapat dilakukan oleh penyedia layanan keamanan terkelola untuk Anda, lihat halaman Layanan Kepatuhan kami.