Porušení HIPAA: příběhy, příklady pracoviště a zaměstnavatele a další / Zeguro Blog

24 ledna, 2021 admin 0 Comments

“ ale nevěděl jsem to.“

to není omluva. Ať už je vám pět nebo pětapadesát, často jste touto větou reagovali na obvinění. Ve světě ochrany údajů bohužel regulátoři tuto frázi nechtějí slyšet. Musíš to vědět. Pokud jde o informace o zdravotní péči zaměstnanců nebo zákazníků, nehody mohou společnost zbankrotovat., Udržování firemní kultury bezpečnosti-první souladu vytvořit cyber vědomi síly připravuje a chrání vaše trénink, nebo vaše podnikání od společné PŘÍSAHY porušování spojené s činností zaměstnanců – ať už jste v oblasti zdravotní péče, nebo ne.

co je HIPAA?

Zdravotní Pojištění Přenositelnost a Accountability Act z roku 1996 (HIPAA), které vyžaduje Ministerstvo Zdravotnictví a Lidských Služeb (HHS), podané prostřednictvím Úřadu pro Občanská Práva (OCR), k přijetí národních standardů pro elektronické zdravotní informace., HIPAA, rozšířený v průběhu let, nyní zahrnuje pravidlo ochrany osobních údajů, bezpečnostní pravidlo, Pravidlo vymáhání a pravidlo oznámení o porušení.

stručné shrnutí HIPAA spočívá v tom, že tato čtyři pravidla stanoví přísné pokyny pro ochranu soukromí a bezpečnostní kontroly chráněných zdravotních informací (PHI). Definována jako „individuálně identifikovatelných zdravotních informací,“ PHI nebo elektronické PHI (ePHI) zahrnuje veškeré demografické údaje, anamnéza, test nebo laboratorní výsledky, duševní zdraví informace, informace o pojištění nebo jiné údaje, které identifikují klienta., Abyste však plně porozuměli nejen tomu, co je HIPAA, ale jak se to týká vašeho podnikání, potřebujete stručný přehled pravidla zabezpečení a pravidla ochrany osobních údajů.

Jednoduchý HIPAA Bezpečnostní Pravidlo Shrnutí

stručně řečeno, Pravidlo Zabezpečení vytváří řadu pokynů pro ujistěte se, že zdravotnické organizace, ostatní subjekty, které uvedené, a obchodních partnerů, zajištění důvěrnosti, integrity a dostupnosti ePHI vytvořené, přijaté, udržované nebo přenášeny. Jinými slovy, nenechte někoho náhodně přistupovat k informacím nebo je ukrást bez ohledu na to, co to je nebo kde to je., V rámci toho musíte identifikovat a chránit před potenciálními riziky, která vedou k neúmyslnému použití nebo zveřejnění. Kromě toho se musíte ujistit, že vaši zaměstnanci dělají totéž.

jednoduché shrnutí pravidla ochrany osobních údajů HIPAA

přestože má podobnou povahu, pravidlo ochrany osobních údajů HIPAA se zaměřuje na právo osoby kontrolovat používání svých informací. I když ji potřebujete zabezpečit, musíte se také ujistit, že nikomu nedovolíte mít k němu náhodný nebo neoprávněný přístup.,

hlavní Rozdíly Mezi Bezpečností a Pravidly ochrany Soukromí

HIPAA Soukromí Pravidlo a HIPAA Bezpečnostní Pravidla, může se zvuk podobný, ale jsou tam dva důležité rozdíly:

  1. Bezpečnostní Pravidlo se zaměřuje na elektronické informace, Soukromí Pravidlo také obsahuje mluvený a informace o papíru.
  2. Pravidlo ochrany Osobních údajů Se zaměřuje na „mlčel“, zatímco Pravidlo Zabezpečení detaily konkrétní kroky k jejich dodržování.

kdo musí dodržovat HIPAA?,

HIPAA se na vás vztahuje jako na“ krytou entitu“, pokud jste poskytovatelem zdravotní péče, zdravotním plánem nebo clearinghouse zdravotní péče. HIPAA definice „podnikatelských subjektů“ rozšiřuje, že začlenit třetí strany, které vykonávají funkce jménem krytých subjektů, které používají, ukládat, zpracovávat, nebo zveřejnit zdravotní informace pro ně.

jinými slovy, pokud chcete rozšířit software nebo webovou aplikaci, která umožní některý z výše uvedených subjektů, musíte být v souladu s pravidly HIPAA.

co představuje porušení HIPAA?,

přestože porušení HIPAA vznikají různými způsoby, všichni zahrnují “ někoho, kdo by neměl vědět něco, kdo se o tom dozví, protože nebylo dost ochrany.“Tato definice zahrnuje vše od zaměstnanců, kteří mají příliš velký přístup k systému, aby hacker získat vstup na vašem systému, aby někdo odešel kus papíru na stůl nebo na obrazovce se otevře pro prohlížení.

podle pravidla vymáhání může OCR vybírat pokuty kdekoli od $100 za porušení (nepřesahující $25,000 ročně) do $50,000 za porušení (nepřesahující $1.5 milionů ročně) za náhodné porušení., Trestní minima se zvyšují, protože při porušování zákona jednáte svévolněji. Ve skutečnosti, pokud vaše akce jsou až příliš do očí bijící, Ministerstvo Spravedlnosti může pokutu 250.000 dolarů a vás vystavit až deset let ve vězení za dat kompromis s úmyslem prodávat, převádět, nebo použít informace, které za obchodní výhodu, osobní zisk, nebo škodlivé škody.,

Zaměstnavatel HIPAA Porušení: Jak se Chránit Zaměstnance Informace

I když nejste poskytovatele zdravotní péče nebo obchodní partner (třetí strany zpracování zdravotnických informací jménem poskytovatele zdravotní péče), může být stále v ohrožení. HIPAA právo a zaměstnavatelé mají napjatý vztah. Přestože práva na ochranu soukromí zaměstnanců většinou spadají pod zákon o Američanech se zdravotním postižením (ADA), některé spadají pod zákony a předpisy HIPAA. Důležité je, že existuje několik pokynů HIPAA pro zaměstnavatele.,

nevolejte Doktora

ať uděláte Cokoli, nikdy volat zaměstnance zdravotní péče poskytovatele služeb. Prostě to nedělej.

Oddělit Zdravotnické Dokumentace

Pokud budete potřebovat lékařské vyšetření jako součást zaměstnanec zdravotní program, nebo jako požadavek na nabídku práce, aby zdravotní informace odděleny od tradiční záznamy zaměstnanců. Může to být fyzická segregace nebo digitální segregace (například jiný server).,

Chraňte ePHI v rámci Self-Pojistné Zdravotní Plány

Pokud jste pomocí Administrativní Služby (ASO) plán, ve kterém vy jako zaměstnavatel vyplácet dávky pomocí své vlastní společnosti finanční prostředky, pak se budete muset být plně HIPAA kompatibilní.

Vytvoření Dat Manipulace pro Skupiny Zdravotní Plán, Informace

Pokud jste stále víc, než souhrn informace ze skupiny zdravotní plán, je pod HIPAA a potřebuje ochranu., Ujistěte se, že si prohlédnete dokumentaci zaslanou vašemu oddělení lidských zdrojů a buď vytvoříte nové postupy, nebo lépe definujete, jaké informace by vám měl plán zdraví skupiny poslat.

Review Company health Clinics and Employee Assistance Programs

oba mohou být klasifikovány jako hybridní entity, kde poskytovatel předává informace k platbě. Jako takový, pokud vedete záznamy, jako jsou tyto, je třeba je uzamknout, aby byly kompatibilní.,

Nikdy Oznámit Něco (Dobré nebo Špatné) Klasifikován jako Zdravotní Stav

můžete být v sedmém nebi, že vaše zaměstnankyně těhotná nebo zničená tím, že zaměstnanec je diagnóza rakoviny. Pokud vám však váš zaměstnanec nedovolí zveřejnit, oznámení o sdílení těchto informací s ostatními zaměstnanci nebo vedením může být porušením HIPAA.

HIPAA příklady porušení

HIPAA příběhy porušení oplývají. Mohou vzniknout z překročení na sociálních médiích a ztracených nebo odcizených zařízeních., Dokonce i podniky, které již nefungují, nejsou v bezpečí před důsledky porušení HIPAA.

příklady porušení sociálních médií HIPAA

mnoho porušení HIPAA týkajících se sociálních médií je náhodných. Například komentáře a příspěvky na sociálních médiích mohou porušovat předpisy HIPAA, i když nezmiňují pacienta podle jména. V některých případech mohou zaměstnanci sdílet fotografie na sociálních médiích, aniž by si uvědomili, že informace o pacientech jsou viditelné na pozadí.,

jeden nedávný příklad zahrnuje zdravotní sestru, která vytvořila video, ve kterém pohovořila se spolupracovníky o výzvách, kterým čelí během pandemie COVID-19 v dubnu 2020. Jeden spolupracovník poznamenal, že pokud nemocnice měla prostředky, které požadovala, konkrétní pacient nemusí zemřít, s odkazem na pacienta podle jména. Toto potenciální porušení je v současné době vyšetřováno v době psaní.

v jiném příkladu zaměstnanec společnosti Elite Dental Associates reagoval na recenzi pacienta na Yelp, platformě sociálních médií pro hodnocení a kontrolu podniků., Odpověď zahrnovala citlivé informace o pacientech včetně jména pacienta, podrobnosti o léčebném plánu a informace o nákladech na léčbu a pojištění pacienta. Během svého šetření podnětu Úřadu pro Občanská Práva (OCR) zjistil, že Elite Dental Associates odpovědi na další pacienta recenze obsažené podobné informace. Elite Dental Associates urovnala stížnost na $10,000.

příklady porušení HIPAA vyplývající ze ztracených nebo odcizených zařízení

Ukradená zařízení mohou také vést k porušení HIPAA., Například Katolická Zdravotní Péče Arcidiecéze ve Filadelfii (CHC) se usadil potenciální porušení HIPAA 650.000 dolarů v roce 2016 v důsledku odcizení mobilního zařízení, které jsou obsaženy PHI stovky obyvatel pečovatelských domů.

V roce 2017, Životnost, Rhode Island je největší nemocnici systému, oznámí to 20 000 pacientů, že jejich PHI může být na zaměstnance ukradený notebook. V obou těchto příkladech bylo zjištěno, že odcizená zařízení jsou nešifrovaná a nejsou chráněna heslem.,

Příklady „Nezbytné Minimum“ Porušení HIPAA

vyžaduje HIPAA, že FÍ je společná pouze na „nezbytné minimum“ základě – to je, na něž subjekty a obchodní partneři musí vyvinout přiměřené úsilí, aby zajistila, že pouze minimální informace potřebné k dokončení úkolu, nebo provést práce je přistupovat nebo sdílet s autorizovanými osobami, a to je další složité požadavku, které mohou vést k porušování lidských práv. Například zdravotní sestra pracující na jednotce nebo na podlaze by měla dostat pouze informace potřebné k péči o pacienty, za které jsou odpovědní během jejich směny.,

porušení minimálního nezbytného požadavku je běžné při jednání s třetími stranami. Například sdílení více informací o pacientech, než je nezbytné pro zpracování nároků u poskytovatele zdravotního pojištění, může představovat porušení HIPAA. New Jersey psycholog čelí obvinění z porušení HIPAA v roce 2017 po praxi fakturace manažer poslal kopie pacientů účty včetně kódů, které by mohly odhalit diagnózy a léčby do sbírky agentury., Stížnost tvrdila, že tato praxe neuvažovala o poskytnutí pouze účetní knihy transakcí nebo o redigování nepotřebných citlivých údajů o pacientech před odesláním informací agentuře pro sbírky.,

Nejlepší postupy pro zamezení těchto typů potenciálních HIPAA porušování patří rozvíjení jasné a ucelené písemné bezpečnostní politiky, včetně sociálních médií, politiky, provádění informovanost o kybernetické bezpečnosti, školení pro zaměstnance, provádění a vymáhání robustní zařízení, zásady řízení, včetně požadavků na podávání zpráv pro ztraceného nebo odcizeného zařízení a vzdálené stírací schopnosti chránit citlivé informace.,

Chránit Svou Firmu Z Porušení HIPAA: Do/Don“t Dělat Průvodce

Zdroj: Zeguro

Transparentnost Je Základem Dodržování HIPAA

HIPAA je podrobný kontrolní seznam a požadavky na hodnocení rizik, aby vaše zabezpečení-první přístup obtížné. Chcete být transparentní, ale pravidla tomu někdy brání., Na Zeguro, vážíme transparentnosti ve způsobu, jakým jsme se komunikovat s našimi zákazníky, což může být také průvodce, jak si prohlédnout lékařské transparentnost dat:

  • Poctivost: my Jsme dopředu o tom, jak dobře vaše ochran sladit s HIPAA Bezpečnostní Pravidlo požadavků.
  • jasnost: naše šablony zásad prostého jazyka a školicí moduly odstraňují legalese z procesu, které vám pomohou vytvořit pokyny HIPAA pro zaměstnance.
  • Jednoduchost: zjednodušit HIPAA souladu s snadný-k-navigaci platformu a zaměstnanci, kteří mohou odpovědět na vaše otázky a zmírnit zátěž souladu.,

Poznámka: Zeguro není schopen komentovat konkrétní HIPAA případech ani porušení a poskytuje pouze obecné rady, v jeho blogy a články. Nejsme také schopni pomoci v osobních otázkách HIPAA. Pro pomoc s porušením HIPAA doporučujeme kontaktovat licencovaného právního zástupce. Pokud hledáte řešení, která vám pomohou splnit dodržování předpisů HIPAA, nabízíme integrované řešení kybernetické bezpečnosti a Kybernetického pojištění, které vám pomůže zajistit vaši organizaci a chránit PHI/ePHI. Více se dozvíte zde: https://www.zeguro.com/cybersecurity/compliance.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *