第1部分第1部分，共3部分：创建适当的程序

1. 1保存审核日志。您需要跟踪谁访问患者记录。这意味着您需要为每个有权访问患者健康信息的人创建单独的用户名和密码。作为审核日志的一部分，您应该跟踪以下内容：用户访问的记录访问日期用户查看信息、更新信息还是删除信息

2. 2创建访问级别。HIPAA还要求员工只查看工作所需的“最低限度”信息。例如，医生比接待员需要查看更多的健康信息。因此，您需要创建访问级别，只提供每个人工作所需的信息。一些员工可能只与某些患者合作。在这种情况下，应该只允许他们访问与他们一起工作的人的病历。为了成功创建访问级别，您需要明确定义组织中的角色。这可能需要你查看工作描述并重新安排职责。

3. 3创建“紧急超控”功能。即使您创建了访问级别，也可能有人需要在紧急情况下访问所有信息。因此，您应该创建一个“覆盖”，允许患者检索有效治疗患者所需的任何信息。尽管如此，您还是应该设置软件，以便对该覆盖功能的使用进行仔细检查。例如，您可以设置软件，以便每次有人使用覆盖功能时，自动同时向其他人发送电子邮件。软件还应该跟踪此人访问的任何信息。您还应该为每次使用覆盖功能编写一个审查流程。例如，使用它的人可能需要稍后与主管会面，以证明使用的合理性。

4. 4保护您的数据。HIPAA要求您确保数据安全。实际上，这意味着您应该使用密码，并在防火墙后保护数据。你还需要确保你的电子邮件是安全的。特别是，你必须对你的电子邮件使用足够的加密技术。有关确保电子邮件符合HIPAA的更多信息，请参阅确保电子邮件符合HIPAA。

5. 5扫描患者授权表。您需要让患者签署表格，授权您将其信息用于护理。每一份表格都应该包括一份关于你将使用这些数据做什么的描述，以及有效期。您应该跟踪这些授权，包括表格的签署日期和签署人的姓名。你还应该扫描表格并保存一份数字副本。

6. 6确认您的计费系统符合要求。HIPAA规范了账单信息的传输。因此，无论您使用何种计费系统，都必须支持HIPAA标准。此时此刻，市场上几乎所有的计费系统都能做到这一点。尽管如此，您仍应与供应商确认其符合HIPAA。

7. 7询问供应商有关备份的信息。HIPAA还要求您维护您的数据，以便患者可以在他或她请求时查看数据。这意味着您必须维护所有信息的备份。如果你将信息保存在纸上，那么你需要在场外存储副本或创建数字扫描。如果以电子方式存储数据，则必须对其进行备份。询问供应商如何备份他们的系统。了解他们如何在发生事故时确保系统的连续性。如果您在自己的服务器上托管数据系统，那么您需要了解您有哪些备份程序，以及您的应急计划。

8. 8.让业务伙伴签署合同。任何看到您的数据的人都必须同意遵守与您的组织相同的政策和程序。因此，您应该起草一份“业务伙伴”合同，供所有供应商签署。卫生与公众服务部有一份样本合同，可在http://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html.您可以修改它以适合您的目的。互联网上也有合同样本。例如，UT健康科学中心有一份你可以使用的格式合同。你还应该让你的医疗保健律师检查任何合同，以确保它足以保护你。

第2部分第2部分，共3部分：搜索软件和数据供应商

1. 1询问其他医疗保健提供者。如果你正在开业，那么你需要购买软件。您可能还需要雇佣某人在其服务器上托管您的数据（或备份您自己的服务器）。询问其他供应商他们使用的供应商。实际上，所有医疗保健提供商都在HIPAA的覆盖范围内，因此他们应该充分考虑自己的软件是否符合规定。你应该征求建议。

2. 2比较价格。在得到不同供应商的推荐后，你需要比较他们的价格。你应该打电话给他们获取报价。他们的电话号码应该在网上。价格将取决于需要访问您的系统的人数，因此请确保您有该号码。如果你的业务在增长，那么你应该考虑未来几年。例如，如果你有五名员工，但你认为自己的规模会翻倍，那么请确保你得到一个报价，说明拥有10名用户的成本。你不想在仅仅一年后就更换软件。

3. 3了解供应商如何监控HIPAA的变化。HIPAA法规不断发展。你应该期望供应商跟上法律的变化。联系供应商时，您应该问以下问题：供应商如何监控HIPAA法规的变化？它有跟上法律变化的行动计划吗？寻找具体的例子。公司员工中是否有律师监督法律的变化？供应商的客户必须符合HIPAA的百分比是多少？如果该公司的大多数客户必须遵守HIPAA，那么您可以确保它将做出必要的更改以遵守HIPAA，否则它将停业。

第3部分第3部分，共3部分：理解hipaa的要求

1. 1检查HIPAA是否适用于您。如果您的组织以电子方式向任何医疗保险公司（包括Medicaid和Medicare）传输任何账单信息，您必须遵守HIPAA。这些信息可以包括发票或寻找保险范围所需的其他信息。通常，HIPAA对以下服务的提供者进行监管：治疗、宣传、医疗保健或向保险公司收费的任何其他服务

2. 2.找一位医疗保健律师。HIPAA规则复杂且难以理解。为了确保你遵守规定，你应该为你的组织聘请一名医疗保健律师。医疗保健律师可以帮助解决风险管理和监管问题。你可以让这个人“保留”，这意味着你每个月都要支付一笔费用。作为交换，律师随时可以回答你的问题。你可以通过询问其他医疗服务提供者，了解他们使用的医疗服务律师的建议。如果你没有得到任何建议，那么你可以访问你所在州的律师协会，该协会应该运行一个推荐程序。请转介一位医疗保健律师。一定要向律师询问他或她的经历。你需要一个在法规遵从性方面拥有丰富经验的人，而不仅仅是在诉讼中代表企业。

3. 3注意安全，不要抱歉。从技术上讲，您不需要创建用户名、访问级别，甚至不需要在组织中使用软件。相反，HIPAA只要求你采取“合理步骤”，只披露“最低限度的必要”信息。然而，作为一个实际问题，如果你计划使用计算机和电子邮件来运行一个现代化的办公室，你需要创建访问和分发上述信息的程序。这些程序将有助于防止未经授权泄露患者信息。违反HIPAA的处罚可能会很严厉。每次违规最高可被罚款5万美元，每年最高可达150万美元。对于那些故意违反规则的人也有刑事处罚。因此，您最好遵循正在成为行业标准的实践和程序。经验丰富的医疗保健律师和供应商可以为您指引正确的方向。