1月2017

转录趋势:mtso面临HIPAA合规挑战beplay最新备用网站
作者:Susan Lucci, RHIA, CHPS, CHDS, AHDI-F和Nick Mahurin
郑重声明
第二十九卷第一页

最近,HIPAA遵从性工作是医疗保健beplay最新备用网站文档界的热门话题。对于业务伙伴(ba)来说,这是必要的开销负担;然而,对于医疗转录服务机构(mtso)来说,这尤其具有挑战性,因为今天的收费比20年前要低。(你能说出医疗保健行业中还有什么行业的价格没有至少两位数的增长吗?)

无论在什么情况下,mtso和ba都必须确保他们完全理解合规流程。beplay最新备用网站

科技进步与网络犯罪
技术进步完全改变了捕获、存储和发布受保护健康信息(PHI)的环境。mtso适应得很好,提供各种选择以满足客户不断变化的需求。

卫生信息电子化的目的是使这些记录能够流畅地共享,以支持护理。不幸的是,这些技术进步导致医疗保健数据的可访问性和价值相应提高,这是坏人注意到的一个事实。事实上,当HIPAA的隐私和安全条款被构思出来的时候,监管机构肯定是从谦虚的角度来保护我们的隐私的。

如今更严重的问题是医疗身份盗窃。只要看看卫生与公众服务部的“耻辱之墙”(Wall of Shame),就不难看出网络犯罪的增长速度有多快。该墙突出显示了涉及500名或更多患者的违规行为。截至撰写本文时,2016年数据被黑客入侵的患者数量超过2000万。

经历黑客攻击、勒索软件和网络钓鱼计划等网络犯罪活动对任何BA来说都是毁灭性的。接下来的潜在调查过程可能是昂贵的、破坏性的和旷日持久的。如果发现不合规的做法,可能会导致巨额罚款,以及实施多年的纠正行动计划。

随着安全风险继续成为头条新闻,卫生系统、医院和个体提供者在提高意识的环境中工作。越来越多的供应商在签署合同之前要求提供安全最佳实践的证据。这可以是简单的问卷调查,也可以是需要返回附件以供审查的多页文档。提供商必须确保他们的数据得到了适当的保护,这一过程需要的不仅仅是获得BA协议(BAA)。

自2009年以来,即使承保实体(CE)没有发起baas, BAs也必须进入baas。换句话说,有时候mtso必须说服供应商执行BAA。在某些情况下,mtso有时必须抵制供应商进行风险通信实践的要求,例如通过电子邮件发送ePHI。

仔细看看BAAs
虽然BAA要求已经存在了7年,但其内容已经发生了变化。现在它更长更详细了。当然,提供技术、管理和物理保障是必需的内容语言,但问题在于细节。建议mtso仔细阅读,因为可能存在其他语言,例如发生安全事件时所需的通知。事实上,实际的违约通常是单独处理的。

管理服务机构须特别留意向行政长官呈报的时限。在某些情况下,它可以是规则的标准语言:“不得无故延误,但不得超过60天。”然而,看到时间线短至24小时或三个工作日也不要感到惊讶。无论要求是什么,记住签名是一种遵守的承诺。

责任并不仅仅止于通知。在确定为违规的事件的情况下,开始记录、报告和实施补救工作的过程。这对任何组织来说都是巨大的代价。请记住,在BAA中可能有一个赔偿条款,这意味着任何和所有费用都将由责任方承担。因此,在谈判BAA时,一定要避免使用过于笼统或适用于行政总裁方面风险的赔偿语言。

除了解决违规行为的硬性和可衡量的代价之外,还有与客户信任丧失和声誉受损相关的更持久的成本。也就是说,重要的是要记住,不好的事情发生在好的组织中。有许多意图良好、运作良好的医疗保健团体和医疗保健机构被网络罪犯利用。

审查BAs
选择BA合作伙伴是医疗保健提供者和其他BA必须认真对待的决定。在考虑广管局时,应该向潜在的合作伙伴询问一些基本问题,包括:

是否有人负责HIPAA?
•是否有指定的隐私和安全官员?
•员工是否接受过HIPAA隐私、安全和违规通知教育?
是否有清晰易懂的政策和程序?
•在家办公的员工是否在符合政策和程序的安全环境中工作?

创建一份针对这些问题的调查问卷,并要求在回答时提供基于证据的文件。此外,获取潜在合作伙伴的隐私和/或安全官员的姓名和联系信息。与那个人安排一次会面,讨论相关问题。一般来说,潜在的广管局响应此请求的意愿和及时性将显示其当前的合规准备水平。beplay最新备用网站

如何完成工作:重要吗?
传统的转录通常在由提供商、MTSO或BA平台供应商维护和操作的听写/转录系统中执行。各种形式的文档支持可以包括转录、编辑或直接抄写到CE的EMR中。原则上,无论使用什么系统,强大的隐私和安全实践都很重要。有趣的部分是客户和供应商之间在建立和履行这些策略方面的责任划分。对于居家直接电子病历访问,有几种常见的配置文件,包括:

•安装的应用程序。医疗转录员(MT)可以在他或她的计算机上安装EMR程序,并使用虚拟专用网络(VPN)访问客户的服务器。

•远程桌面/应用。客户提供思杰(Citrix)或其他品牌的体验,其中整个Windows计算机桌面或单个应用程序出现在MT的计算机中。该程序在其他地方运行,但可在本地查看。

•云。在其他情况下,电子病历在云中——甚至医院或诊所的用户也通过网络使用它。在这种情况下,MT以相同的方式使用它。由于加密是通过安全套接字层(SSL)等另一种协议进行的,因此通常不需要VPN。即使使用VPN,也要记住它是双向的。如果坏人已经在宿主系统中,破坏迫在眉睫。另外,VPN连接可以让敌意传播到远程用户的系统。

为了保护每个人,遵守法规并控制任何潜在的接触,限制每个工人执行其工作所需的最低接触量。行政长官认为什么是最好的,就必须作出决定。MTSO可以根据这些需求推荐最合适的解决方案。

从业务角度来看,基于行数的客观、可验证和公平的计费实践曾经使转录成为一种有吸引力的外包选择。然而,当在EMR中记录时,大多数公司使用他们的平台进行听写和回放,而MT直接输入EMR。由于emr缺乏线路计数机制,因此计费一直是基于小时费率或口述分钟数,而这些仅与工作量大致相关。

前几代人的听写/抄写正在迅速发展,革命性的新思想开始出现,以解决这些问题。例如,一个平台正准备发布一项新功能,该功能将在MT工作时计算EMR内的击键和鼠标点击次数。这允许供应商和客户回到一个合理的计费场景,真正跟踪工作。

其他保证和保护
网络保险在医疗保健行业的发展势头越来越猛。大多数常规的小企业保险不包括网络责任。

发现自己成为身份窃贼的受害者的不仅仅是粗心的坏演员。过去几年的新闻充斥着许多著名的商业和政府企业被黑客攻击的报道。事实是,即使是好的IT系统也有漏洞。网络政策将解决的不仅仅是赔偿问题。例如,随叫随到的专家将帮助解决正在发生的危机,甚至可以协助处理民权办公室(Office For Civil Rights)施加的罚款。换句话说,网络保险可以成为mtso自信地管理HIPAA合规问题的实用方法。beplay最新备用网站

最佳前瞻计划
mtso在支持详细、准确、及时的记录方面发挥着至关重要的作用,使提供者能够花更多的时间照顾患者。这是供应商长期依赖的重要伙伴关系。

在当今的环境中,供应商面临着越来越多的监管要求(如有意义的使用和MACRA)和日益增长的网络犯罪威胁,医疗保健决策者必须实施符合最佳实践的HIPAA合规实践,以确保在流程的每个步骤中都能保护患者数据。beplay最新备用网站

- Susan Lucci, RHIA, CHPS, CHDS, AHDI-F,是郑重声明的编辑顾问委员会和Just Associates的首席隐私官。

- Nick Mahurin是InfraWare的首席执行官。