Домашний офис, соответствующий требованиям HIPAA, – это рабочая среда, созданная для поддержки соблюдения требований HIPAA, когда застрахованная организация, деловой партнер или сотрудник любой из них работает из дома. Из–за различных функций, которые могут выполняться домашним офисом, и услуг, которые могут предоставляться им, требования к соответствию HIPAA могут значительно различаться.
Что такое домашний офис в здравоохранении?
Хотя домашний офис чаще всего считается удаленной рабочей средой “в месте, отличном от центрального рабочего места работодателя”, домашний офис в здравоохранении может быть основной рабочей средой для практикующего врача-одиночку, сотрудника, работающего неполный рабочий день в покрываемой организации, или домашнего предприятия, предоставляющего услуги медицинской расшифровки в качестве делового партнера.
Независимо от того, является ли домашний офис удаленной или основной рабочей средой, используется ли он полный или неполный рабочий день отдельным лицом или командой, домашний офис должен быть настроен в соответствии с HIPAA всякий раз, когда выполняемая в домашнем офисе функция или предоставляемые им услуги связаны с созданием, получением, обслуживанием или передачей защищенной медицинской информации (PHI).
Для чего может использоваться домашний офис?
Работа на дому становится все более приемлемой для ряда профессий, в том числе для многих работников здравоохранения. Домашний офис в здравоохранении может использоваться для выполнения множества различных функций для пациентов или для предоставления ряда услуг охваченным страхованием организациям и деловым партнерам. Примеры того, как домашний офис может использоваться для выполнения медицинских функций или предоставления услуг, включают:
- Поставщик телемедицины
- Медицинский транскрипционист
- Медицинский программист / биллер
- Специалист по информационным технологиям здравоохранения
- Специалист по поведенческому здоровью
- Эпидемиолог
- Тренер по здоровью
- Навигатор для пациентов
- Специалист по биостатистике
- Координатор клинических исследований
- Медицинский педагог или специалист по электронному обучению
- Представитель медицинской службы поддержки клиентов
Некоторые из этих функций и услуг на дому могут регулироваться государственными или местными правилами найма, в то время как другие могут потребовать, чтобы сотрудник некоторое время работал из дома, а в другое время – на центральном рабочем месте работодателя. Тем не менее, независимо от организации работы, всякий раз, когда домашний офис используется для создания, получения, обслуживания или передачи PHI – на любых носителях или в формате, – необходимо, чтобы домашний офис был домашним офисом, соответствующим HIPAA.
Требования к домашнему офису, соответствующему HIPAA
Требований к домашнему офису, соответствующему HIPAA, гораздо больше, чем думают некоторые люди. Это связано с тем, что целью Правил упрощения административных процедур является защита конфиденциальности индивидуально идентифицируемой медицинской информации и обеспечение конфиденциальности, целостности и доступности электронного PHI независимо от того, где информация создается, принимается, хранится или передается.
Следовательно, не имеет значения, выполняются ли выполняемые функции и предоставляемые услуги в домашнем офисе, медицинском учреждении или защищенном центре обработки данных. Требования к соответствию HIPAA одинаковы. Это означает, что должны быть внедрены те же политики, процедуры и гарантии, и те же штрафы могут применяться за нарушения HIPAA.
Требования к домашнему офису, соответствующему HIPAA, будут означать разные вещи для разных типов домашних работников. Например:
- Практикующий врач-одиночка должен соблюдать все применимые положения, стандарты и спецификации внедрения Правил упрощения административных процедур
- Домашний бизнес, действующий в качестве делового партнера, может быть обязан соблюдать только применимые стандарты Правила конфиденциальности и Правил безопасности и уведомления о нарушениях.
- Сотрудник застрахованной организации или деловой партнер должен соблюдать политику и процедуры своего работодателя, которые могут отличаться от правил и процедур на центральном рабочем месте из-за уникальных угроз, связанных с работой на дому.
Следовательно, для некоторых домашних работников требования к домашнему офису, соответствующему HIPAA, могут включать проведение аудита, чтобы определить, где и как создается, принимается, хранится или передается PHI, проведение оценки рисков для выявления потенциального недопустимого использования и раскрытия PHI и уязвимостей в системе безопасности, а также разработку процедур уведомления отдельных лиц и Управления HHS по гражданским правам в случае утечки данных.
Для надомных работников, которые поддерживают PHI в домашнем офисе – на любом носителе или формате – требования к домашнему офису, совместимому с HIPAA, могут включать установку безопасного или запирающегося картотечного шкафа для хранения бумажных записей и резервных копий данных, разработку плана непрерывности операций и обеспечение того, чтобы все устройства, используемые для хранения электронных PHI, включая мобильные устройства, были заблокированы PIN-кодом и активировали автоматический выход из системы для предотвращения несанкционированного доступа к PHI.
Каковы уникальные угрозы работы на дому?
Работа на дому расширяет возможности для кибератак, и хотя кибератаки характерны не только для работы на дому, домашние офисы могут быть более уязвимы для атак из-за отсутствия передовых средств защиты и – когда домашний офис является удаленным офисом – меньшего контроля со стороны корпоративных групп безопасности. В дополнение к повышенному уровню уязвимости, вероятно, будет меньше поддержки, помогающей домашним работникам реагировать на успешную атаку и восстанавливаться после нее.
Помимо угроз кибербезопасности, домашние работники могут подвергаться отвлекающим факторам (дети, домашние животные, посетители и т.д.), Которые могут привести к оставлению бумажных записей или электронных устройств без присмотра. Также могут быть случаи, когда они забывают заблокировать бумажные записи и резервные копии данных, забывают держать экраны устройств подальше от людей, которые могут увидеть, что на них находится, или небрежно отпускают комментарии, которые представляют собой недопустимое раскрытие PHI.
Во многих случаях одной из важнейших уникальных угроз домашней работы является легкость, с которой можно разработать несоответствующие методы “для выполнения работы”. Несоответствующие практики могут варьироваться от непредоставления пациенту уведомления о правилах конфиденциальности до установки программного обеспечения, не поддерживающего соответствие требованиям HIPAA, до отказа заключить соглашение о деловом сотрудничестве перед сохранением PHI в облачном хранилище.
Вывод: Убедитесь, что ваш домашний офис соответствует стандарту HIPAA
Независимо от того, как вы используете свой домашний офис, если выполняемая вами функция или предоставляемая вами услуга включает в себя создание, получение, хранение или передачу PHI, у вас должен быть домашний офис, соответствующий HIPAA. Если вы не сможете убедиться, что ваш домашний офис соответствует стандарту HIPAA, более вероятно, что вы станете жертвой кибератаки или другого нарушения стандарта HIPAA, за которое могут быть применены существенные финансовые санкции.
Если вы не уверены в требованиях соответствия домашнего офиса – будь то частное лицо или работодатель с удаленной рабочей группой, – рекомендуется ознакомиться с нашим контрольным списком соответствия HIPAA, чтобы лучше понять, какие положения HIPAA могут быть применимы. В качестве альтернативы, рекомендуется обратиться за профессиональной консультацией по соблюдению требований о том, какие стандарты HIPAA вы обязаны соблюдать и как лучше всего их соблюдать.