电子新闻独家

你的Scribe服务是否符合HIPAA ?该知道什么，该问什么

特里·西斯拉著

COVID-19和远程医疗的普遍接受推动了远程抄写服务的采用。

医院和医生网络都从外包电子病历文档、图表和其他辅助服务中获得了财务和生活质量方面的好处。这包括更高效的工作流程，每周患者就诊次数的增加，减少积压的图表，以及收入周期效率的提高。

可以理解的是，让外部公司访问电子病历和其他敏感的患者信息会发出危险信号，这对医疗服务提供者来说可能是不可能的，尽管他们会从这些服务中受益。

HIPAA合beplay最新备用网站规性是医疗保健组织在考虑虚拟抄写员时表达的三大关注点之一。这里有一个清单，说明在允许抄写员访问患者的电子保护健康信息(ePHI)之前，要确保抄写员服务符合HIPAA要求，需要知道什么和要求什么。如果一个服务不能证明它符合HIPAA(通过认证来验证培训)，那么就离开。一个较便宜的抄写员服务不值得冒着因违反HIPAA而遭受重大处罚的风险。

虚拟HIPAA合规性的五个关键组件beplay最新备用网站

1.商业伙伴协议:HIPAA要求
所有医疗保健提供者、保险公司、医疗服务公司——几乎任何涉及健康信息的实体——必须与任何有权访问其ePHI的供应商或业务伙伴签订已签署的业务合作协议(BAA)。

由于医疗保健提供者最终要对违反HIPAA负责，因此每年跟踪和审查所有baa以评估HIPAA合规性非常重要。beplay最新备用网站

确保您的虚拟记录员服务的BAA包括允许使用或披露ePHI，以及记录员建立和维护所有必要流程和保护ePHI的义务。

2.限制访问:虚拟抄写员能做什么和不能做什么
一名训练有素、符合hipaa标准的抄写员应该登录到电子病历系统，开始一次会话，并在患者就诊和制图完成后退出。所有ePHI都应该留在电子病历中。

虚拟抄写员可以做以下事情:

• 登录并使用远程医疗来收听和捕捉医生和病人之间的环境对话;
• 在患者就诊期间安全地登录并在您的电子病历中工作;
• 使用标准化模板记录患者病史、药物清单和诊断信息;
• 完成所需的检查清单;
• 记录和准备处方和转介，供提供者履行;和
• 启动x光和实验室订单以供供应商批准。

虚拟抄写员服务和抄写员不应该做以下事情:

• 记录一次访问;
• 传输数据;
• 下载、存储或打印患者信息;和
• 履行临床职能。

3.培训和认证:要求文件
询问有关抄写员服务的HIPAA遵从性培训计划的详细信息。beplay最新备用网站确保他们执行定期(年度)更新，并从认可的行业资源获得HIPAA认证。抄写员也应该接受培训，并遵守工厂的HIPAA协议。

Scribe公司应该拥有ISO/IEC 27001:2013认证，这表明他们在人员、流程和技术上进行了投资，以保护他们的数据。

SOC 2认证是一个额外级别的认证，重点关注五个信任服务:安全性、可用性、处理完整性、机密性和隐私性。

网络责任保险保护脚本服务免受基于互联网和其他与IT基础设施和活动相关的风险。每一个信誉良好的公司进行网上业务应该有它。

4.密码保护和其他重要安全策略
外部供应商使用的计算机可能成为网络安全攻击的渠道。医疗保健数据泄露的最常见原因是对弱密码的暴力网络钓鱼攻击入侵了凭证。

强大的密码管理策略指导用户采取所有必要的预防措施，包括:

• 每个虚拟抄写员都应该有自己唯一的密码，带有日期、时间和身份戳，以跟踪EMR内的活动。
• 密码应该是由密码管理器生成并定期更改的长度超过15个字符的字母数字字符串。
• 双因素身份验证是关键，因此如果登录凭据在网络钓鱼攻击中暴露，黑客就无法访问EMR。

额外的远程办公、移动电话和清晰屏幕政策旨在最大限度地减少暴露。在抄写员服务设施，不允许在工作楼层使用手机，当抄写员离开办公桌时，所有屏幕都应关闭并清理干净。

5.查看公正的行业排名
公正的组织，如学校咨询，并根据用户实践采访发布广受尊重的行业报告。它们是关于公司实践和HIPAA遵从性的可靠的第一方信息的良好来源。beplay最新备用网站

红旗
要警惕下载ePHI的虚拟记录平台和记录和存储患者遭遇的人工智能系统。贵组织的ePHI存储在哪里?采用了什么安全协议来防止未经授权的访问?这些程序使得完整记录访问变得更加困难，并且在访问后关闭图表，并且图表通常不会关闭超过24小时。此外，您将需要花费更多的时间审查和编辑人工智能转录的图表，并且您将需要更多的数据协议来控制访问。

对海上抄写服务的接受有助于满足对这种有益服务日益增长的需求。然而，如果供应商不符合HIPAA法规，任何好处都将被否定。

- - - - - -特里Ciesla高级副总裁是ScribeEMR在马萨诸塞州的沃本。