요즘 같은 불경기엔 HIPAA를 더 잘 지켜야 한다. 규정 위반 시 최소 1,000달러에서 최대 150만 달러까지 벌금을 낼 수 있기 때문이다.
HIPAA는 총 4개의 티어(Tier)로 나눠 벌금을 받는다. 예를 들어 환자정보를 누출한 경우 관리자가 이 사실을 몰랐을 때가 티어1이며 한 건당 $1,000에서 $50,000까지 벌금이 부과된다. 최대 벌금액순 한도는 $150만 달러다.
티어2는 환자정보 누출 사실을 인지한 곳에서 이를 해결하지 않는 경우로 벌금은 티어 1과 같다.
티어3은 환자정보를 안전하게 보관하려는 노력을 하지 않은 상태에서 정보 누출사안을 인지하고 적절히 해결한 경우로 벌금은 같다.
티어4는 환자정보를 안전하게 지키려는 노력을 하지 않은 데다 정보 누출을 알고도 제대로 조처하지 않은 경우로 건당 벌금은 5,000~150만 달러다.
벌금 부가 기준은 알면서도 규정을 지키려는 노력을 하지 않은 것이며 이때의 벌금은 거의 최대수준까지 올라간다.
이번 호에서는 한의사가 흔히 놓칠 수 있는 HIPPA 위반 사례 및 어떻게 하면 잘 지킬 수 있는지에 대해 살펴봤다.
환자정보, 외부업체 계약∙전자차트∙직원 등 여러 경로로 노출
매년 ‘정보 안전분석(SRA)’ 시행, 그 결과를 6년까지 보관해야
HIPAA(Health Insurance Portability and Accountability Act)는 민감한 환자의 건강 정보가 환자의 동의나 지식 없이 공개되지 않도록 보호하는 것을 목표로 1996년 시작됐다.
▶HIPAA 규정 위반 사례: 주로 많은 것이 건강보험 클레임의 외주 계약으로 환자 개인정보가 빌링업체로 나가는 경우다. 이때는 반드시 보안처리가 된 이메일을 사용해야 한다.
업체와의 계약 시 안전하게 환자 정보를 취급하고 만일 정보가 누출됐을 때를 대비해 각자의 책임한계를 정확하게 명시한 계약서를 쓰는 게 좋다.
만일 전자차트를 사용한다면 HIPAA 규정 관련 주의사항이 있다. 특히 차트 기입 및 보관 편의를 위해 구글 웹하드에 워드나 엑셀 등의 프로그램으로 작성한 차트를 암호화하지 않은 상태에서 보관하면 상당히 위험할 수 있기 때문이다. 환자 개인정보 등이 해킹 등의 사고 등으로 고스란히 노출될 위험이 있고 이에 대한 책임은 한의사에게 돌아가기 때문이다.
또한 한의원의 직원이 자신의 핸드폰이나 태블릿 등으로 정보에 접근할 경우, 직원이 업무에 사용하는 기기를 분실해 이를 획득한 개인이 범죄 등의 목적으로 환자 정보를 사용할 수도 있다. 때문에 사전에 이에 대한 철저한 직원 교육이 필요하다.
▶규정 지키는 방법: HIPAA 규정 위반으로 벌금을 내는 가장 흔한 사례는 정보 안전분석(SRA, data Security Risk Analysis)를 하지 않았을 때다. 이는 매년 시행하고 분석 결과는 6년까지 보관해야 한다.
간단하게 하려면 국가건강정보전산화부서(ONC; Office of the National Coordinator for Health Information Technology) 홈페이지에서 SRA Tool(https://www.healthit.gov/topic/privacy-security-and-hipaa/security-risk-assessment-tool)을 다운로드 받아 이를 자신의 컴퓨터에 실행하면 된다. 가급적이면 SRA 사용법(SRA Tool User Guide)를 읽어보면 프로그램 설치 및 사용법 등이 자세하게 나와있다.
만일 사용이 불편하다면 전문가들의 도움을 받을 수 있다. 생각보다 복잡하거나 비용이 많이 들지 않는다. 만일 한의사 1명 또는 소규모 인원이 한의원에서 일한다면 관련홈페이지(www.hhs.gov)나 구글에서 ‘HIPAA Compliance consultant’라고 검색해 나오는 업체를 통해 정보 안전분석을 의뢰할 수 있다.
비용은 개인 및 소규모한의원은 연간 $200, 중간 규모이상은 연간 $2,500 정도이며 SRA 분석에 소요 시간은 대략 1시간~1시간 30분 정도다.
진희정 기자
<저작권자ⓒHani Times, 무단 전재-재배포 금지>
