BH16067_DataSecurity_DataRisk_800-300x208卫生系统需要了解其IT能力和运营能力,并开发所需的基础架构来支持医师实践的临床整合

医疗保健行业向基于价值的业务模式的转变导致医院与医生之间更加紧密的联系,以提供高质量,以结果为导向的护理,从而获得医疗服务的付款。在实施《平价医疗法案》之前,内科医生通常是独立执业医生,他们拥有医务人员特权来照顾医院的患者。卫生系统发展临床集成网络和负责任的护理组织的压力以及医师执业的财务限制,必须与医师执业保持一致,并将其整合到卫生系统中。

改善医院和医生之间的一致性对于改变医疗服务的提供方式至关重要。这些安排结构合理,旨在降低成本和服务重复,提高所提供的患者护理质量,并提高患者满意度。卫生系统的IT基础架构,数据共享和数据分析是成功集成的关键。

但是,许多医院不是完全集成为一个医疗系统,而是不同医院和医师小组的集合,每个医院和医师小组都有自己的信息系统,用于患者记录,账单,日程安排和信息实践的发布,这些信息系统创建了IT系统的拼凑而成,并且变化很大。专用于维护这些系统的隐私和安全性资源的级别。

的统计资料 2016 BakerHostetler事件响应报告 包括涉及新习俗的事件,并发现隐私和安全保护措施有很大差异。对HIPAA隐私,安全和违反通知规则的遵守情况各不相同;一些做法人员不足或没有隐私或安全官来监视合规性并解决风险;最低限度的政策和程序,缺乏完成对员工的培训和教育的文档,缺乏完成安全风险分析的能力,或者如果完成了一项,缺乏采取纠正措施或解决风险的风险管理计划的文档确定的问题已实施。

卫生系统需要了解其IT能力和运营能力,并开发所需的基础架构来支持医师实践的临床整合。其中包括对医疗系统IT系统如何与医疗机构连接,是否连接各种系统,实施新系统或使医疗机构保持原有状态(与医院电子医疗记录的连通性)的理解。为了在每个受保实体之间共享健康信息,医疗系统及其受保实体的结构如何,例如在有共同点的情况下,受保实体是组织成有组织的卫生保健安排(OHCA)还是附属的受保实体(ACE)实体的所有权或控制权。如果所涵盖的实体认为自己拥有一份隐私惯例联合声明(NPP),则所有所涵盖的实体都必须遵守既定的NPP和HIPAA政策和程序。尽管以OHCA或ACE的方式进行操作会提高效率,但如果受保护实体遇到安全事件或违规行为,也存在风险。 OCR可以针对整个受保护实体的违规行为,而不是针对单个受保护实体,对整个卫生系统采取纠正措施,特别是如果OCR确定ACE的系统合规性问题。卫生系统应制定和利用标准化活动进行尽职调查,评估或进行安全风险分析;以及将HIPAA隐私和安全性整合到医疗系统中的实施策略和风险管理计划,从而降低违规或违规的风险。

HIPAA拟议交易的尽职调查。

交易之前的卫生系统尽职调查工作将提供有关医师实践的当前操作和合规状态的信息,以做出明智的决定,以决定卫生系统是否希望继续进行交易。进行尽职调查的各方应确定该业务的HIPAA隐私和安全计划中的差距以及相关风险。进行尽职调查的文件应包括该业务的安全风险分析和安全风险管理计划;商业伙伴关系和协议;数据使用协议;隐私和安全政策与程序;隐私惯例通知;劳动力培训和教育;对员工和供应商的纠正措施和制裁;投诉和违规调查与回应,OCR和州律师的一般行动;诉讼;违反投诉日志;移动设备使用;社交媒体;使用短信和电子邮件传输PHI;并记录前六年的保留和文件检索做法以及文件的可用性。

将实践纳入卫生系统

许多卫生系统都有专门的合并和收购团队在交易前进行尽职调查。但是,一旦收购完成,许多整合活动将留给执业医师和当前的卫生系统人员来应对。这种改变可能会使医疗机构不堪重负,特别是如果没有足够的资源来帮助将医疗机构转换为卫生系统流程时。整合团队应根据尽职调查结果(包括业务风险分析)制定并实施整合计划。如果该实践尚未进行风险分析,则获取健康的系统应完成该过程以了解当前的HIPAA遵守情况,制定风险战略的计划以及解决风险的时间表。这需要高层领导的承诺和资源分配,以充分解决合规风险并将这种做法纳入卫生系统的整体隐私和安全计划。值得一提的是,要确保该行为符合规定,并且如果发生违反HIPAA的行为,则所涵盖的实体和卫生系统将更有能力识别,遏制和减轻该事件。