Ten tips for your HIPAA Program If you are a health care provider, plan or clearinghouse...

Posted on:

If you are a health care provider, plan or clearinghouse, you are considered a “covered entity” by HIPAA (Health Insurance Portability and Accountability Act of 1996). This means that you must comply with the provisions of this law intended to protect patient health information and at the same time make electronic health information exchange more efficient. Furthermore, if you have a contract with the entities above that requires access to patient heath information, that makes you a “business associate” and are also covered by the expanded HIPAA provisions of the HITECH Act (Health Information Technology for Economic and Clinical Health Act of 2009). Health information is considered “protected” – “Protected Health Information” or PHI for short – if it pertains to health condition, as well as corresponding care and payment, that can be reasonably attributable to a specific individual.

Compliance with this law however requires putting together an entire program that many providers struggle with their stretched resources and sometimes complicated IT requirements.

HIPAA Program

Here are ten items that I hope will help you get started or reinforce your existing program. Certainly, a comprehensive HIPAA program includes details and items that go beyond these items and this isn’t intended as a legal checklist. It nevertheless describes many of the key elements and shares links to go deeper if you wish.

  1. Have a Business Associate Agreement Signed with all your business associates. In a nutshell, “business associates” get access to and process PHI but do not directly provide healthcare (like medical transcriptionists or billing companies). This agreement defines responsibilities and required procedures pertaining to their handling of PHI. Templates are available online. Information as well as some wordings for a Business Associate Agreement is available here – http://www.hhs.gov/ocr/privacy/hipaa/understanding/coveredentities/contractprov.html
  2. Do a risk assessment of your operations. Since each operation is different, the likely areas for breach (or unencrypted PHI getting out) vary. For example, some providers may have one laptop while others might have hundreds. Furthermore, risk of harm to the patient can be less serious for situations like say being publicly seen entering a clinic for flu shots compared to a drug rehab facility. A risk assessment will both guide you develop the appropriate measures as well as provide a way of explaining to auditors why certain decisions have been made. A security risk assessment tool is available here – http://www.healthit.gov/providers-professionals/security-risk-assessment
  3. Have written privacy and security procedures developed for your practice. Following the risk assessment, you should put in writing (and update regularly) your privacy and security procedures. Employees should be well versed with this document.
  4. Train all your personnel on PHI privacy. All new employees should be trained on HIPAA and current employees should be periodically reoriented. Make sure these training exercises are documented. It is recommended that the training covers HIPAA, the privacy provisions under the HITECH Act as well as state health privacy laws.
  5. Assign a Privacy Officer in your organization. You’ll need a point person (internally and externally) in charge of keeping the procedures relevant as well as facilitating training and other program activities.
  6. Make sure all your patients read or at least acknowledge access to your Notice of Privacy Practices. This document, ideally should be part of your new patient packet as well as displayed prominently in your facility. It describes the rights of your patients in regards to their health information. Sample notices are available here – http://www.hhs.gov/ocr/privacy/hipaa/modelnotices.html
  7. Implement your Physical security. Ask the questions: Do you have control over who has physical access to your network and servers 24×7? Are your routers, back up drives and servers located in a restricted area? Do you know at all times exactly who has the keys and who knows the entry codes? If not, now is the time to fix it.
  8. Make sure you have reliable and secure Data backups for electronic PHI. The HIPAA security final rule basically says that PHI data backups are not optional, they’re required – they should be verified, must have offsite versions and must be documented. Ask your electronic medical records/practice management vendors about their recommendations for backup. Here’s some info on HIPAA compliant backup – http://www.hbma.org/news/public-news/n_the-truth-about-hipaa-hitech-and-data-backup
  9. Secure your network. Your internal network should not be accessible to party crashers. You should have your own router that is separate from the one provided by your internet service provider. This is your main gate and entry point from the outside and should be set up by an IT professional. You should have a separate office-network wifi from guest wifi; the latter being set up between your router and your internet providers own modem/router. Employee access for personal purposes (smart phones and tablets) should only use the guest network. And if any PHI has to go past your “gate” (main router), it should always be encrypted (i.e. look for the “s” in “https” for sites in you browser, or “ftps”/”sftp” for file transfer). Other risks to watch out for are USB drives, network wall plugs and a loose password policy.
  10. Have a protocol for PHI external requests. HIPAA allows (and requires under certain conditions) PHI to be disclosed to specific parties (i.e. request by a patient or by their attorneys, or an approved research study) for a reasonable charge and within a time window. Many of these requests are routine but note that they must be compliant to HIPAA standards. Information we provide must he the “minimum necessary” to satisfy the request and disclosure is documented (normally not an issue of the patient directly makes the request or is made by another health provider as part of that patient’s care). Note too that not just HIPAA but other federal, state and local laws may come into play so it is best to know these rules beforehand rather than do the research when you receive the request.

Here’s some guidance if you receive a PHI request – http://www.proassurance.com/newsletter/default.aspx?f=a&k=53.
Here’s a reference for “minimum necessary “ – http://www.hhs.gov/ocr/privacy/hipaa/understanding/coveredentities/minimumnecessary.html.

You may contact the author at rob.raroque@apexteleserv.com

109 comments on “Ten tips for your HIPAA Program If you are a health care provider, plan or clearinghouse...Add yours →

  1. А для начала рассмотрим 2 вида поисковых запросов:
    SEO продвижение сайтов в Москве https://proffseo.ru/prodvizhenie-angloyazychnykh-sajtov

    Все награды https://proffseo.ru/prodvizhenie-sajtov-po-moskve

    служб Яндекса: Вебмастер, Справочник, Каталог, Карты, Маркет и др https://proffseo.ru/
    текстов сайта, SEO-настроек и мета-тегов контактных данных (в т https://proffseo.ru/prodvizhenie-sajtov-po-rf
    ч https://proffseo.ru/prodvizhenie-angloyazychnykh-sajtov
    удалятся региональные телефонные номера) домена, названия, описания и URL-адресов веб-ресурса отзывов и комментариев https://proffseo.ru/prodvizhenie-zarubezhnykh-sajtov

    Еще истории успеха https://proffseo.ru/

    Результаты наших клиентов https://proffseo.ru/kontakty

    Reply

  2. увеличилось время, проведённое посетителями на сайте https://proffseo.ru/kontakty

    Премия «Большой Оборот» в сфере e-commerce https://proffseo.ru/kontakty

    больше трафика с апреля 2021 по январь 2022 https://proffseo.ru/prodvizhenie-sajtov-po-rf

    в области электронная коммерция, интернет-магазины по версии Ruward 2022 https://proffseo.ru/

    Пишет и редактирует контент для сайта (статьи, исследования, раздаточные материалы), раскрывает пользу продукта услуги, адаптирует материалы с учетом алгоритмов ранжирования поисковых систем https://proffseo.ru/kontakty
    Совместно с веб-дизайнерами работает над креативными материалами, дополняющими копирайт https://proffseo.ru/prodvizhenie-sajtov-po-moskve

    * Подробнее о классификации запросов информация есть в статье: Как проверить геозависимость запроса?.

    Reply

  3. Tagline Awards, 2019 г https://proffseo.ru/prodvizhenie-zarubezhnykh-sajtov

    Результаты наших клиентов https://proffseo.ru/prodvizhenie-sajtov-po-rf

    7 ключевых особенностей продвижения сайта по всей России https://proffseo.ru/prodvizhenie-sajtov-po-rf

    Выйдите на новые рынки — продвижение по России https://proffseo.ru/privacy

    А для начала рассмотрим 2 вида поисковых запросов:
    Иногда бывает эффективно дополнительным каналом рекламы подключить контекстную рекламу в определенных регионах https://proffseo.ru/prodvizhenie-sajtov-po-rf
    Для этого географическая привязка сайта не требуется https://proffseo.ru/kontakty

    Reply

  5. Получайте индивидуальные предложения и скидки от стоматологии Денттайм! Для этого необходимо подписаться на наш Instagram, затем записаться и прийти на бесплатную консультацию к стоматологу https://superdenta.ru/terapevticheskaya
    Также вы получите спецпредложение на необходимую услугу https://superdenta.ru/control
    Наша стоматология – это честный подход и доступные цены для каждого!
    Стоматология SEN?clinic в Туле https://superdenta.ru/ortodontiya

    Верните своим зубам естественную белизну и здоровье с нашей акцией «Профессиональная гигиена 6 в 1»! Всего за 3 900 ? вместо 5 450 ?
    Расписание недоступно https://superdenta.ru/viniry

    ул https://superdenta.ru/profilaktika
    Чапаева, д https://superdenta.ru/control
    42 https://superdenta.ru/terapevticheskaya

    ул https://superdenta.ru/
    Октябрьская, д https://superdenta.ru/control
    217, корп https://superdenta.ru/implantologiya
    3 https://superdenta.ru/hirurgiya

    Reply

  6. ВАЖНО: понятие геоНЕзависимой выдачи в Яндексе очень условно https://proffseo.ru/privacy
    Сотрудники Yandex на «Вебмастерских» конференциях неоднократно заявляли, что не бывает выдачи Яндекса без региона https://proffseo.ru/prodvizhenie-sajtov-po-rf

    Продвижение в ТОП-10 за рубли https://proffseo.ru/privacy
    Успейте заказать сейчас и воспользоваться скидкой 20%. Выведем из-под санкций https://proffseo.ru/prodvizhenie-sajtov-po-rf
    Будьте в топе https://proffseo.ru/prodvizhenie-zarubezhnykh-sajtov

    Ещё в далёком 2009 году в Яндексе был запущен алгоритм поиска «Арзамас», в котором в разных регионах результаты по одинаковым запросам стали отличаться https://proffseo.ru/prodvizhenie-angloyazychnykh-sajtov
    Таким образом, появилось понятие регионального продвижения, то есть продвижения сайта в конкретном регионе или регионах России https://proffseo.ru/prodvizhenie-zarubezhnykh-sajtov

    Результаты:
    Улучшаем техническое состояние сайта https://proffseo.ru/prodvizhenie-zarubezhnykh-sajtov

    Старший менеджер отдела поискового продвижения https://proffseo.ru/kontakty

    Reply

  106. Какой срок действия диплома по профессиональной переподготовке?
    Контрольно-измерительные приборы Россия РОСМА предлагаемые нашей компанией https://sbn-66.ru/kontrolno-izmeritelnye-pribory-1/raskhodomery/raskhodomery-koriolisovye-massovye/

    Гарантии, которые Вы получаете https://sbn-66.ru/kontrolno-izmeritelnye-pribory-1/raskhodomery/ultrazvukovye-raskhodomery/raskhodomer-krohne-ufm3030k/

    Манометры радиальные Росма ТМ 10 https://sbn-66.ru/kontrolno-izmeritelnye-pribory-1/raskhodomery/raskhodomery-koriolisovye-massovye/

    Цена: 1 120 ?
    Вносятся ли данные об обучении в ФРДО?

    Reply

  108. Все присутствующие за столом пары вызываются на танцпол https://www.virgo-show.com/spektakli-balet/ Для конкурса нужно, чтобы было шесть пар, не меньше https://www.virgo-show.com/dancing-waiters/ Мужчинам предлагается поцеловать свою возлюбленную, при этом нужно озвучивать места для поцелуя https://www.virgo-show.com/photo/ Например, мужчина говорит: «Я расцелую Веронику в шею» https://www.virgo-show.com/korporativy/ Повторяться мужчины не должны, конечно же, это будет усложнять задание уже на втором круге игры https://www.virgo-show.com/videos/ Если места для поцелуя не нашлось, игрок выбывает из команды вместе с супругой https://www.virgo-show.com/korporativy/ Останется один самый любвеобильный мужчина и его счастливая возлюбленная https://www.virgo-show.com/newyear/
    Адрес : м https://www.virgo-show.com/icegirls/ ул https://www.virgo-show.com/korporativy/ 1905 года, ул https://www.virgo-show.com/wedding-program/ 1905 года д https://www.virgo-show.com/blog/балерина-вишенка-на-торте-или-как-соз/ 10 стр https://www.virgo-show.com/showballet/ 1 Сайт : https://vkusoterria https://www.virgo-show.com/korporativy/ ru Телефон : +7 (495) 154-15-08 Стоимость : от 3900 р https://www.virgo-show.com/blog/cheerleading-school-in-moscow/ /чел https://www.virgo-show.com/photo/
    Подарок от всего сердца https://www.virgo-show.com/blog/cheerleading-school-in-moscow/
    В стоимость билета входит только лежак (VIP или Стандарт), остальное по стоимости «проката инвентаря» https://www.virgo-show.com/portfolio/ VIP-лежаки находятся на подиуме у воды https://www.virgo-show.com/lights/
    Основное понятие камерной свадьбы https://www.virgo-show.com/cheerleading/
    Залы для вашего мероприятия:

    Reply

  109. Безопасная и надежная установка натяжных потолков от компании «Невадо»
    * Скидки и специальные предложения не суммируются с другими акциями и скидками на натяжные потолки https://skyprofi.ru/uslugi/peretjazhka-natjazhnogo-potolka/

    14 декабря 2021 https://skyprofi.ru/konturnye-natyazhnye-potolki-s-podsvetkoj/

    Эксклюзивный https://skyprofi.ru/potolki-v-rajonax/natyazhnye-potolki-v-kronshtadtskom-rajone/

    Длительное время основной проблемой при установке натяжного потолка оставался стык между поверхностью потолка и стены https://skyprofi.ru/fotografii-potolkovv/
    Простая конструкция крепления через h-образный профиль имела незаконченный вид https://skyprofi.ru/stati/natyazhnye-potolki-bez-nagreva/
    Для придания ему эстетической красоты приходилось использовать маскировочную ленту или потолочные плинтуса https://skyprofi.ru/stati/montazh-potolochnogo-karniza-na-natyazhnoj-potolok/
    И то и другое визуально утяжеляли конструкцию (особенно широкие потолочные плинтуса). Но прогресс не стоит на месте и теперь мы с радостью готовы предложить вам монтаж натяжного потолка с использованием передовой технологии KRAAB https://skyprofi.ru/faq/
    Благодаря уникальной системе крепления полотна натяжные потолки имеют полностью законченный внешний вид и не требуют дополнительного декорирования https://skyprofi.ru/natyazhnye-potolki-v-xrushhevke/
    Давайте разберем основные виды крепления потолка к стене, их различия, плюсы и минусы https://skyprofi.ru/stati/potolok-oblaka-s-podsvetkoj/

    Прозрачные цены https://skyprofi.ru/rew/page/3/

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *