c

Melindungi Data Pasien

Melindungi Data Pasien : Melindungi data pasien adalah masalah utama yang dihadapi oleh praktik rawat jalan dan entitas tertutup lainnya. Ada sejumlah undang-undang yang diberlakukan untuk mengatur privasi data pasien. Selain HIPAA, ada sejumlah negara bagian, seperti Massachusetts 201 CMR 17, dengan undang-undang terkait. Tujuan Inti untuk Tahap 1 Penggunaan yang Bermakna termasuk pemanfaatan Catatan Kesehatan Elektronik (“EHR”). Selain itu, meskipun bukan peraturan pemerintah, Standar Keamanan Data Industri Kartu Pembayaran (“PCI”) adalah standar keamanan industri yang kritis dan sangat spesifik yang berlaku untuk penggunaan dan penyimpanan informasi kartu kredit/debit.

Jika Anda ditemukan memiliki pelanggaran, itu bisa menjadi urusan yang sangat mahal dan berpotensi melemahkan. Contoh denda yang dikenakan baru-baru ini adalah denda $100.000 yang dikenakan pada Bedah Jantung Phoenix karena pelanggaran Aturan Keamanan HIPAA. Penyelidikan menemukan bahwa praktik tersebut gagal menerapkan kebijakan dan prosedur yang memadai untuk melindungi informasi pasien; tidak mendokumentasikan bahwa pihaknya memberikan pelatihan HIPAA kepada karyawan; gagal melakukan analisis risiko; dan gagal mendapatkan persetujuan yang layak dari rekan bisnis.

Jika terjadi pelanggaran, biaya untuk praktik Anda dapat mencakup satu atau lebih hal berikut:

– Memberitahu pasien,
– Menyelidiki dan mengendalikan pelanggaran,
– Potensi litigasi dan denda,
– Biaya tidak berwujud yang terkait dengan:
1 Kerusakan pada merek Anda,
2 Kehilangan pelanggan,
3 Penurunan nilai praktik, dan
4 Manajemen reputasi

Jadi, memberikan keamanan yang tepat atas informasi pasien sebenarnya merupakan praktik yang hemat biaya, jika di lihat dari segi biaya pelanggaran. Ada beberapa bidang perlindungan yang harus di perhatikan,

antara lain perlindungan dari:

– Ancaman eksternal, seperti peretas
– Ancaman fisik, seperti kehilangan dokumen atau aset lainnya
– Penyalahgunaan internal, seperti akses yang tidak pantas oleh Staf Internal atau Rekan Bisnis

Langkah pertama adalah menetapkan garis besar kontrol secara keseluruhan. Untuk organisasi yang lebih besar, ini dikenal sebagai Tata Kelola Perusahaan, Risiko dan Kepatuhan (“eGRC”), untuk organisasi yang lebih kecil, seperti program rawat jalan atau praktik serupa, ini mungkin dalam bentuk daftar periksa proses atau serangkaian prosedur.

Dalam eGRC, organisasi akan mengembangkan kerangka kerja risiko untuk mengukur maturitas Item Pengendalian risiko. Semakin rendah tingkat maturitas, harapannya adalah bahwa kontrol kompensasi akan ada dan / atau upaya akan dalam proses untuk meningkatkan tingkat maturitas kontrol tersebut.

Beberapa contoh kategori Item Kontrol meliputi:

– Manajemen Hak
– Deteksi / Pencegahan Kehilangan Data
– Keamanan fisik
– Tata Kelola Data
– Manajemen Arsip / Aset
– Inventarisasi Data Sensitif

Dalam praktik yang lebih kecil, daftar periksa atau serangkaian prosedur harus di perkenalkan ketika karyawan baru di bawa dan di tinjau secara berkala untuk pembaruan persyaratan dan perubahan prosedur. Selain itu mereka harus mudah di akses oleh staf terkait.

Daftar periksa harus mencakup hal-hal seperti:

– Administrasi pernyataan kerahasiaan
– Memberikan salinan rekam medis yang di minta
– Pengarsipan dan pemeliharaan dokumen yang aman
– Prosedur untuk pemusnahan dokumen yang aman
– Menginventarisir dan mengelola aset teknologi
– Pemanfaatan Media Sosial

Dalam kedua contoh tersebut, kami memiliki tujuan tertentu yang ingin kami capai yang perlu tercermin dalam daftar periksa atau kebijakan eGRC kami. Ini termasuk:

– Melindungi data sensitif apa pun yang ada di dokumen dan perangkat
– Menyediakan saluran komunikasi yang aman
– Meminimalkan jumlah data sensitif di lingkungan kita
– Dan melakukan semua ini dengan biaya yang efektif

Untuk melindungi data, kita harus memahami di mana Informasi Kesehatan Pribadi (PHI) ada di lingkungan kita. Inventaris harus cukup otomatis dan di audit secara berkala dan perlu di perbarui saat fungsionalitas baru di perkenalkan dan laporan baru di perkenalkan. Setelah kami memahami di mana PHI ada, kami dapat memiliki rencana untuk mengamankan data ini.

Keamanan fisik sangat penting. Memastikan akses ke area di mana PHI di tangani hanya oleh mereka yang harus memiliki akses ke data tersebut. Selain itu, proses pemusnahan dokumen harus jelas dan dapat di terapkan dalam lingkungan kerja staf. Kebijakan Clean Desk serta tempat sampah yang di tandai dengan jelas untuk menyimpan dokumen yang akan di parut adalah penting. Penilaian sendiri secara berkala atas kebijakan ini akan memberikan jaminan serta dokumentasi bagi regulator.

Setiap data sensitif yang berada di perangkat harus di enkripsi.

Jika perangkat jatuh ke tangan yang salah, ini akan memberikan keamanan dari ancaman yang kurang canggih dan membeli waktu dari yang lebih canggih. Kontrol aset yang mencakup dokumentasi penghentian atau penghancuran aset harus di terapkan. Idealnya, perangkat seluler akan memiliki solusi perlindungan pada perangkat dan siap di nonaktifkan dari jarak jauh jika hilang atau di curi.

Solusi Perlindungan Kehilangan Data (“DLP”) harus di gunakan untuk mengawasi pergerakan data. Ini dapat berkisar dari pemantauan jaringan standar dan perangkat lunak perlindungan PC hingga suite yang sangat canggih yang menyediakan deteksi dan pencegahan intrusi.

Penggunaan internal dan akses ke PHI harus di minimalkan. HIPAA menyatakan bahwa prosedur hanya boleh mengizinkan akses ke orang-orang dan rekan bisnis yang benar-benar membutuhkan akses ke PHI. Untuk pertukaran data dengan mitra bisnis atau pihak ketiga lainnya, semua data yang masuk ke mereka harus di de-identifikasi. Untuk tujuan pengujian internal oleh karyawan kami sendiri, de-identifikasi adalah suatu keharusan.

Memberikan keamanan di sekitar data pasien dan membatasi akses ke data tidak hanya secara moral dan etis di wajibkan secara hukum, tetapi juga merupakan praktik bisnis yang sehat yang memberikan hasil nyata atas investasi yang di lakukan. Selain itu, langkah-langkah keamanan yang kami terapkan dapat di gunakan dalam upaya pemasaran kami kepada mitra dan pasien.