El cumplimiento HIPAA no es algo que logre. No hay puntos de inicio y final con un simple mapa de ruta o lista de verificación.
Se supone que debe esforzarse por un sólido programa de cumplimiento HIPAA que cumpla con su obligación de cumplir de manera razonable y apropiada para su entorno.
Solo una auditoría de OCR puede decirle qué tan bien lo está haciendo en su programa. Esa opinión sobre una auditoría también solo se aplica a lo que auditaron y no a dónde se encuentra el día siguiente. Su programa HIPAA debe estar en curso y en constante cambio.
Si usted es una Entidad Cubierta (CE) HIPAA, tiene requisitos más amplios que los HIPAA Business Associates (BA). Sin embargo, muchos de los requisitos son los mismos.
A menudo, los CE creen erróneamente que tienen la HIPAA “cubierta” porque cumplieron con los requisitos de la Regla de Privacidad y usan una aplicación de EHR certificada. Eso no es correcto, los requisitos de la Norma de Privacidad, Seguridad y Violación van más allá de esa suposición.
Los BA creen erróneamente que solo tienen que preocuparse por los requisitos de la Norma de Seguridad. Eso tampoco es correcto Deben preocuparse por ciertos elementos de la Regla de Privacidad relacionada con los Usos y Divulgaciones, los requisitos de Notificación de Incumplimiento más otras inquietudes basadas en los Acuerdos de Asociados Comerciales (BAA) que firmaron.
Tanto los BA como los CE requieren:
- Los oficiales de cumplimiento capacitados regularmente cuyo trabajo está claramente definido para incluir responsabilidades de cumplimiento
- Plan de gestión de documentación (debe demostrar que está haciendo el trabajo requerido por HIPAA con una amplia documentación)
- Plan de Gestión de Acuerdo de Asociado Comercial (BA) debe gestionar muchos más acuerdos que CE porque tienen BAA con todos sus clientes CE, BA, BA y subcontratistas BA. Eso no significa que los CE no tengan mucho que hacer por sí mismos. lista, sin embargo)
- Informes de evaluación de seguridad y análisis de riesgos de seguridad documentados dentro de un marco de tiempo razonable (ninguno realizado en 2005 y nada desde)
- Mitigación documentada de riesgos y plan de gestión
- Políticas escritas relacionadas con la regla de seguridad, la regla de privacidad y los requisitos de notificación de incumplimiento que abordan esos requisitos de una manera que sea razonable y apropiada en su entorno.
- Procedimientos escritos que explican cómo se implementarán, aplicarán, evaluarán y auditarán periódicamente las políticas.
- Programa de capacitación de la fuerza de trabajo de HIPAA completamente documentado
- Programa de entrenamiento de fuerza de trabajo de conciencia de seguridad
- Plan de evaluación regular y actualizaciones de Security Risk Analysis basadas en las necesidades y cambios del negocio
Por supuesto, los elementos de esta lista son amplios, al igual que los requisitos de la ley HIPAA. Pero, si trabajó de esta lista para asegurarse de que su programa tuviera todos estos elementos cubiertos, sin duda podría argumentarse que es un sólido programa de cumplimiento HIPAA que aborda su obligación de cumplir de manera razonable y apropiada para su entorno.