Transportation Providers2017

HIPAA Privacy & Security

As a non‐emergency medical transportation provider, you deal directly with Medicare and Medicaid Members’ healthcare information every time you provide services. Much of this information is protected from disclosure by the Health Insurance Portability and Accountability Act, also known as HIPAA. 

This educational presentation seeks to explain the privacy and security of healthcare information in compliance with HIPAA. The materials also cover the Texas Medical Privacy law.

Thank you for taking the time to review these materials. At the end of this presentation, you can take a quiz that presents hypothetical situations for you to analyze to test your knowledge.

HIPAA Privacy & Security

Topics Covered 

• What is HIPAA?• Who is Subject to HIPAA?• Protected Health Information• HIPAA Privacy• Reasonable Safeguards• HIPAA Security• Administrative Safeguards• Physical Safeguards• Technical Safeguards

• Handling PHI• Security Breaches• PHI Rights of Individuals• Enforcement• Quiz

What is HIPAA?

HIPAA is a far‐reaching federal law passed in 1996. HIPAA does many things,but its primary purposes are:

• Privacy and security of healthcare information

• Standardization of healthcare data

• Insurance portability for individuals who lose or change jobs

• Preventing discrimination against applicants or businesses

• Preventing fraud with stiff penalties and tight controls

As a federal law, HIPAA applies to all states. Keep in mind, however, that youmust also comply with any more restrictive state laws regarding the privacy andsecurity of healthcare information. If there is a conflict between HIPAA andstate laws, HIPAA preempts state law unless the state law is more strict. In otherwords, you must follow whichever law provides greater protection to members.

Who is Subject to HIPAA?

Covered Entities

Organizations such as hospitals, insurance companies, self‐insured employers, and small physician practices are considered covered entities under HIPAA. 

There are three categories of covered entities:

• Healthcare plans• Healthcare providers• Clearinghouses

Transportation providers brokers are not covered entities because they do not fall into any of these three categories.

Who is Subject to HIPAA? (continued)

Business Associates

Many covered entities use the services of other individuals and businesses to help them carry out their healthcare activities and functions. These business associates include auditors, consultants, lawyers, claims‐processing firms, pharmacy benefit managers, and the like. 

Business associates also include entities that provide data‐transmission services involving personal health information protected by HIPAA. A non‐emergency medical transportation broker is a business associate of the health plans and state Medicaid agencies who are their clients.

Business associates are subject to HIPAA in several ways:

• They must provide written (contractual) assurance to the covered entity that they will comply with the HIPAA requirements imposed on them, use the information only for proper purposes and safeguard it from misuse, and help the covered entity comply with some of its HIPAA privacy‐related duties.

• They must comply with all HIPAA regulations requiring administrative, physical, and technical safeguards for the security of the protected information.

• They must comply with certain HIPAA regulations pertaining to the privacy of the information.

Who is Subject to HIPAA? (continued)

Who is Subject to HIPAA? (continued)

The Security Rule

A law passed after HIPAA went into effect, the Health Information Technology for Economic and Clinical Health Act, or HITECH (effective in 2010) made the HIPAA Security Rule directly applicable to business associates. Prior to this, business associates were only contractually liable to covered entities for any security (or privacy) violations. In other words, before HITECH, if a business associate violated HIPAA it would be in breach of contract, not in violation of HIPAA itself. Now, business associates are subject to the same HIPAA penalties as covered entities.

Who is Subject to HIPAA? (continued)

The Privacy Rule

Another law, the Omnibus Rule (effective in 2013) made certain portions of the HIPAA Privacy Rule directly applicable to business associates. The applicable portions are the general rules pertaining to uses and disclosures of protected information and organizational requirements.

Who is Subject to HIPAA? (continued)

Business Associate Subcontractors

In many instances, a business associate delegates functions, actions and services to subcontractors — individuals and entities outside of the business associate's workforce. HIPAA requires agreements between business associates and their subcontractors providing that the subcontractor is subject to the same HIPAA requirements concerning access to and use of protected health information as the business associate. 

Subcontractors also are directly subject to HIPAA requirements separate and apart from their contractual agreements with business associates. For these reasons, the subcontracted transportation providers with NEMT brokers does business must also comply with HIPAA.

Protected Health Information (PHI)

HIPAA protects information that qualifies as protected health information, or PHI. PHI is essentially any part of an individual's medical record or payment history. In HIPAA terms, PHI is information that concerns —• Any past, present or future physical or mental health of an individual• Providing healthcare to an individual• Payment for healthcare for an individualThis means that when a NEMT broker enters trip information into its reservations system, a billing department clerk process trip logs and claims for payment, transportation brokers or providers speak with members on the phone or in person, or brokers and providers exchange trip manifests, any identifiable health information becomes PHI under HIPAA.HIPAA has separate but interrelated Privacy and Security rules. The Privacy Rule covers PHI in all forms, while the Security Rule covers only electronic PHI.

The Privacy Rule addresses the use and disclosure of PHI. In general, transportation providers may use or disclose a member’s PHI only under these conditions: To communicate directly with the individual about his/her PHI With the individual's written authorization or other legal agreement, subject to certain exceptions

Without the individual's authorization for treatment, payment and operations (TPO), subject to certain exceptions

If allowed by state law, PHI may be disclosed to a child's parent or guardian.When using or disclosing PHI or when requesting PHI from a covered entity or business associate, you must make reasonable efforts to limit your use or disclosure as much as possible.

The Privacy Rule

Reasonable Safeguards

The Privacy Rule requires that you use reasonable safeguards to protect the confidentiality of PHI. Reasonable safeguards include —

• Speaking softly when discussing PHI in public spaces, such as in a waiting rooms or in vehicles that are multi‐loaded

• Not using the name of the individual whose PHI is being discussed

• Reminding employees to keep PHI secure at their workstations, at fax machines and copiers, and in other public spaces

• Isolating and locking filing cabinets or anything else that contains PHI

• Equipping computers with password‐protected screensavers

HIPAA's Security Rule addresses the creation, receipt, maintenance and transmission of electronic PHI. This Rule applies equally to covered entities and business associates.

The primary goals of the Security Rule are to —

• Maintain the confidentiality of stored and transmitted electronic PHI • Protect electronic PHI from unauthorized creation, modification and 

deletion • Ensure that electronic PHI is available to authorized individuals or 

entities when needed

The Security Rule sets out three types of security safeguards required for compliance: administrative, physical and technical safeguards.

The Security Rule

Administrative Safeguards

The Security Rule includes these administrative safeguards:

• Security Officer —Designating a Security Officer to be responsible for the development and implementation of security policies

• Workforce Security —Developing a plan for granting employees varying levels of access to PHI

• Contingency Plan —Developing a plan for responding to system emergencies and natural disasters

• Business Associate Contracts —Having contracts with business associates to protect the confidentiality of PHI 

• Termination Procedures — Implementing procedures to prevent a terminated employee from having access to confidential information

Physical Safeguards

The Security Rule requires that you protect PHI from fire and environmental hazards, as well as from intrusion. Physical safeguards include —

• Facility Access Controls — Developing procedures that allow authorized access to places where PHI is kept but that deter intruders• Workstation Use — Developing procedures to handle PHI that is or may be displayed on computer screens• Workstation Security — Providing secured rooms, curtains, partitions, or user IDs and passwords for workstations on which PHI is processed• Device and Media Controls —Having procedures for the handling of computer hardware and software (such as laptops, cell phones, tablets, and media used with them), including proper disposal and storage

The Security Rule also requires that you implement certain technical safeguards for electronic PHI, including —• Access Controls — Limiting access to PHI on a need‐to‐know basis, based on roles and context• Audit Controls — Recording and examining system activity to eliminate unnecessary access to PHI• Person or Entity Authentication —Using verification controls such as passwords, PIN numbers, biometrics, or tokens to ensure that those seeking access to PHI actually have authorization• Transmission Security — Protecting PHI during transmission over electronic networks, including encryption and protections such as firewalls, SSL/TLS protocol and S/MIME support

Technical Safeguards

Handling PHI

In line with those safeguards, please follow the following guidelines when handling member PHI:

• Access PHI only to the extent necessary to perform job‐related functions• Destroy PHI once it is no longer needed in accordance with established record‐management policies and procedures• Take steps to verify the proper receipt of transmitted PHI, whether by fax, phone, or e‐mail• Secure work areas by keeping documents containing PHI in a locked cabinet and maintaining strong passwords on electronic systems• Take special precautions while working in the field or at home to ensure that PHI is secured in laptop computers and briefcases

The Security Rule distinguishes between secure and unsecure PHI. Secure PHI is information that is —

• Protected by a technology or methodology specified by the government (the Health & Human Services Department, or HHS)

• Rendered "unusable, unreadable, or indecipherable" to unauthorized persons

• Shredded/destroyed so that it cannot be read or reconstructed

If there is a security breach involving unsecured PHI, notice must be given to the affected individuals and, if the breach affects 500 or more individuals, to the government and the media. If you become aware of a security breach, please report it to your supervisor immediately. They must then report it to the transportation broker’s HIPAA Compliance Officer.

Security Breach

PHI Rights of Individuals

In addition to what has already been discussed, members have these rights over the use and disclosure of their PHI with respect to their health plans, which are covered entities:

•  Covered entities must abide by an individual's request not to divulge PHI with his/her health plan for payment or healthcare operations if he/she is paying for the full service cost to which the PHI relates.

•  Individuals are entitled to copies of any records that the covered entity keeps electronically

•  Individuals have the right to request that a covered entity correct any inaccurate PHI

•  Covered entities maintaining electronic health records must provide an accounting of all PHI disclosures made for treatment, payment and healthcare operations during the prior three years, upon the individual's request

Failure to comply with HIPAA can lead to significant financial and other penalties, such as the following:

• Civil fines range from $100 to $50,000 for each violation up to $1.5 million per year

• Criminal penalties for a basic offense may include a fine of up to $50,000 and/or imprisonment for up to one year

• Criminal penalties for an offense committed under false pretenses may include a fine of up to $100,000 and/or imprisonment for up to five years

• Criminal penalties for an offense committed with the intent to use PHI for one's commercial advantage may include a fine of up to $250,000 and/or imprisonment for up to ten years

Enforcement

Civil Fines

The civil penalties for HIPAA violations are based on a tiered approach, depending on the type of violation:

• Fines for unintentional violations may be $100 per violation and up to $25,000 per year• Fines for "reasonable cause" violations may be $1,000 per violation and up to $100,000 per year• Fines for "willful neglect" (but rectified) violations may be $10,000 per violation and up to $250,000 per year• Fines for "willful neglect" (and un‐rectified) violations may be $50,000 per violation and up to $1.5 million per year

Civil penalties are now required for covered entities or business associates who are found to have made a "willful neglect" violation, such as failure to follow HIPAA policies and procedures, or failure to sufficiently train and supervise employees.

Enforcement (continued)

Quiz

Which of the following is the best summary of one of HIPAA's primary purposes?

1. Keeping a business associate’s information private2. Keeping people’s personal health information private3. Keeping people safe from identity theft

Number 2 is the correct answer. 

One of HIPAA’s primary purposes is safeguarding the privacy and security of personal healthcare information.

Quiz

Which of these is the best reason to be sure you understand how HIPAA affects your day‐to‐day job responsibilities?

1. Violations of HIPAA can incur substantial penalties, including large fines and imprisonment.

2. Protecting the privacy of personal healthcare information aids the integrity of our healthcare system.

3. Both of the above.

Quiz

Quiz

Number 3 is the correct answer. 

Understanding how HIPAA affects your job responsibilities will help keep you and your organization compliant with HIPAA regulations and provides a valuable public service to all participants in our healthcare system.

Jane is a Medicare Advantage (Medicare Part C) member of Big Health Plan, a managed care organization. She called Big Health Plan’s subcontracted NEMT broker to schedule a trip for her annual physical. The broker referred the trip to its subcontractor, Super Duper Transport, an NEMT provider, who called Jane the day before the trip to confirm. Is Jane’s personal health information protected by HIPAA in this situation?

1. No, because the NEMT broker is not subject to HIPAA.

2. No, because the Super Duper Transport is not subject to HIPAA.

3. Yes, because both entities are subject to HIPAA.

Quiz

Quiz

Number 3 is the correct answer. 

Big Health Plan is a covered entity and both the NEMT broker and the NEMT provider are subject to HIPAA. The broker is Big Health Plan’s business associate, and the transportation provider is the broker’s business associate. All parties are covered by HIPAA’s privacy and security rules. 

Bob scheduled trips for appointments with his medical doctor on Monday, his chiropractor on Tuesday, his psychiatrist on Wednesday, a walk‐in clinic on Thursday, and his dentist on Friday. On what day(s) was Bob’s personal health information unprotected by HIPAA?

1. Tuesday and Friday

2. Thursday

3. Wednesday and Monday

4. It was protected every day.

Quiz

Quiz

Number 4 is the correct answer. 

PHI includes information regarding any past, present, or future physical or mental health of an individual, which means that information about all of Bob’s trips and doctor visits would be subject to HIPAA protection.

A news reporter called the hospital where a local celebrity has recently had knee surgery. The reporter told the receptionist that he needed some information for an important article and offers her a small fee for her assistance. What is the appropriate response from the receptionist.

1. “No. HIPAA prohibits the release of that information.”

2. “Certainly. He’s a celebrity and therefore a figure the public is entitled to hear about.”

3. “Perhaps, but I will need approval from the hospital administration.”

Quiz

Quiz

Number 1 is the correct answer. 

Under HIPAA, the patient, whether a celebrity or not, may see his/her own medical chart, but this information must remain secure from unauthorized release or transmission to others, including reporters. The hospital may only release the information with the patient’s written authorization.