医疗保健以昂贵的行业而闻名。 尖端的医疗保健和世界领先的研发项目非常昂贵。 据估计,美国在医疗保健方面的支出占 GDP 的 17%。 这大约是人均 12,000 美元。 有了这些天文数字,是否有可能在像美国医疗保健系统这样受到严格监管的行业内实现成本效益?
HIPPA 适用于哪些地方?
HIPAA 涵盖隐私和安全法规,要求医院、医生和其他组织(例如存储或处理与个人相关的私人医疗信息的健康保险和健康维护组织)采取严格的安全措施。 HIPAA 定义了作为医疗记录主体的个人的权利,因此维护此类记录的组织必须以书面形式披露这些权利。
健康保险流通与责任法案 (HIPAA) 于 1996 年 8 月 21 日由克林顿总统提出并签署成为法律,并成为社会保障法案的一部分。 其目的主要是维护患者数据的机密性。 直到 2003 年,随着隐私规则修正案的出台,合规性的财务影响才开始受到影响,该修正案专门针对电子病历。 对于许多人来说,毫无疑问,该规则的引入和保护患者的成本推高了美国医疗保健的成本。
产生费用的原因是医疗保健专业人员不得不聘请合规官来监督隐私规则保障措施的正确实施。 还需要支付另外两个直接成本:首先,引入复杂的技术 IT 解决方案以满足 HIPAA 的预期技术保障,其次,每个员工都必须参加 HIPAA 培训计划以了解 HIPAA 合规性。
自然,这进一步增加了行业的财务负担,使医疗专业人员承受更大的压力。 然而,重要的是停下来想想如果忽视立法可能会付出什么代价。 除了将患者的隐私置于危险之中之外,如果被发现违规,实际财务成本可能会高得多。 价格将包括 2013 年最终综合规则中引入的强制处罚,以及可能造成的业务损失和声誉损害。
如果发现组织违规,处罚会很严厉,轻度违规(每次违规)最高罚款 58,490 美元,最严重的第 4 级违规最高罚款 1,785,651 美元(每次违规)。 医疗保健实践必须权衡实施 HIPAA 合规性的成本以及违反的潜在罚款。 在所有情况下,支付费用以专业地实施 HIPAA 合规性是更便宜的选择。 (另请阅读:数据泄露通知:法律和监管环境。)
维护任何行业的合规性法规都需要投资,但节约成本的举措可以在不影响数据完整性的情况下降低开支。 成本会有所不同,具体取决于组织是选择实施全新的 IT 系统和业务流程、仅实施最低要求,还是介于两者之间。
符合 HIPAA 的管理成本
2003 年,隐私规则的引入引起了人们的严重担忧,即实施该法律的成本过高,这些成本将转嫁给患者。 一些要求需要更多的员工专门从事合规性工作。
所需的隐私差距分析和风险评估只是引入的实质性管理要求中的两项,每一项都需要几个月的时间才能完成,并且需要每两年进行一次审查。 任何新流程都必须记录在案、同行评审并定期更新,制定和颁布额外的政策,然后向员工提供培训以维护隐私规则。
解决不可避免的成本的一个有效解决方案是聘请专业的 HIPAA 咨询公司。 保持合规医疗实践的后勤工作可能会让忙碌的医疗保健提供者的生活变得困难,外包这一责任可以带来专业经验,而且通常对预算有利。
外包到云端
一些供应商通过将医疗应用程序、数据库和 IT 系统等核心 IT 基础设施外包到云端来节省成本。 将 IT 基础架构保留在本地的医疗保健实践面临着设计、维护和更新快速发展的计算平台的复杂而昂贵的挑战。
云优先的叙述允许预算从资本支出 (CAPEX) 演变为具有可预测的每月成本的运营支出 (OPEX)。 此外,在昂贵的存储、网络和服务器硬件上没有额外支出……这些硬件在您拆箱时就会贬值。
大多数医疗保健企业已经采用混合云模型,核心业务工作负载在内部处理,但电话、视频会议和生产力办公套件等一些服务是托管在 SaaS 上的。 但一些人建议,为了节省大笔费用,医疗保健需要将所有生产工作负载转移到云端。
这是一项需要仔细规划的大工作,但不必自己完成所有工作。 外包给托管服务提供商或 HIPAA 云托管专家可以节省您的时间和金钱。 许可、电力、冷却和核心数据中心设施的成本将不再是您的责任,最终允许您关闭昂贵的现场计算机房。
最终,数据安全的责任仍由客户承担,而谁做什么以及何时做什么的责任由合同决定。 但是,可以采用额外的具有成本效益的托管服务,例如托管备份和灾难恢复解决方案。 该解决方案将满足存档和维护必要患者信息的要求,并通过使用来自加密数据源的加密备份来保护个人健康信息 (PHI) 数据不被删除或修改。
维持对 PHI 的全天候访问的业务连续性和灾难恢复服务非常昂贵。 服务器硬件、同步网络和存储功能以及许可成本、托管设施租赁以及保持平台 24/7 全天候运行的团队将花费数千万美元。
节省技术工程师
管理符合 HIPAA 标准的基础设施需要一个由 24/7 全天候一线人员组成的团队,以及一个由主题专家组成的广泛团队。 IT 工资是工作场所中最高的,特别是如果您想投资于最好的员工。 同样,通过外包这项责任,你的工资账单会大幅削减。
此外,您还可以从卸载整个平台的日常管理和技术支持中受益。 保持一切安全和打补丁成为供应商的责任,此外,当基础设施进入生命周期支持结束时,供应商有责任(和成本)承担昂贵的硬件更新计划。
技术保障
身份服务、用户帐户、访问控制列表、权限管理和多因素身份验证等一些不太明显的技术保护措施可以保护您的医疗保健机构免受巨额罚款。 如果在内部完成,这些服务中的每一项的实施、管理和维护都非常昂贵,但是从 HIPAA 合规性提供商那里,可以轻松地使用这些服务。
利用最近放宽的执法规则,2020 年 3 月 17 日,民权办公室 (OCR) 发布了一份声明,建议引入“对 HIPAA 违规行为的执法自由裁量权和免除处罚”。 医疗专业人员首次获准使用第三方工具进行远程医疗预约,例如 Let’s Talk、Apple FaceTime、Google Hangouts、Zoom 或 Skype 等产品。 可能会在许可方面节省大量资金,同时也为患者提供更多选择。 请记住,这些规则是临时的。
结论
总而言之,要遵守和保持 HIPAA 合规性将不可避免地付出代价。 除非您是一家医疗初创公司,否则您很可能已经拥有符合 HIPAA 标准的系统,重要的一步是了解该保护对您患者数据的有效性,以及拥有该技术解决方案的总拥有成本。
与云相比,整体托管非常昂贵。 您可以控制内部的所有基础设施,但通过对基础设施进行现代化改造可以节省大量资金。 花点时间挑选信誉良好且符合 HIPAA 标准的托管服务提供商,寻找他们可以提供的物理、管理和技术保障,然后比较成本。
这不仅仅是寻找最便宜的托管服务提供商,尽管成本始终是一个实际的考虑因素。 您需要在安全性、功能性和价格之间找到合适的平衡点。 云服务可以显着降低您的管理成本和管理负担,通过更大的可扩展性提高效率,并提供操作灵活性。
