HIPAA-overtrædelser: historier, eksempler på arbejdsplads og arbejdsgiver og mere | /eguro Blog

januar 24, 2021 admin 0 Comments

“men jeg vidste ikke.”

det er ingen undskyldning. Uanset om du er fem eller femoghalvfems, har du ofte reageret på en beskyldning med denne sætning. Desværre ønsker regulatorer i databeskyttelsesverdenen ikke at høre denne sætning. Du må vide det. Når det kommer til medarbejder eller kunde sundhedspleje oplysninger, ulykker kan konkurs en virksomhed., Opretholdelse af en virksomhedskultur med sikkerhed – første overholdelse for at skabe en cyberbevidst arbejdsstyrke forbereder og beskytter din praksis eller din virksomhed mod almindelige HIPAA – overtrædelser forbundet med medarbejderhandlinger-uanset om du er inden for sundhedsområdet eller ej.

Hvad er HIPAA?

Healthcare Insurance Portability and Accountability Act of 1996 (HIPAA) krævede Department of Health and Human Services (HHS), administreret gennem Office of Civil Rights (OCR), at vedtage nationale standarder for elektronisk sundhedsinformation., Udvidet i årenes løb, HIPAA inkorporerer nu Privacy Rule, sikkerhedsregel, håndhævelse regel, og brud anmeldelse regel.

et kort HIPAA-resum is er, at disse fire regler fastlægger strenge retningslinjer for privatlivets fred og sikkerhedskontrol over beskyttede sundhedsoplysninger (Phi). Defineret som “individuelt identificerbare sundhedsoplysninger”, PHI eller electronic PHI (ePHI) inkluderer demografiske oplysninger, medicinsk historie, test-eller laboratorieresultater, oplysninger om mental sundhed, forsikringsoplysninger eller andre data, der identificerer en klient., For fuldt ud at forstå ikke kun, hvad HIPAA er, men hvordan det vedrører din virksomhed, har du brug for en kort oversigt over Sikkerhedsreglen og Privatlivsreglen.

et simpelt HIPAA-Sikkerhedsregeloversigt

kort sagt opretter Sikkerhedsreglen en række retningslinjer for at sikre, at sundhedsorganisationer, andre dækkede enheder og forretningsforbindelser beskytter fortroligheden, integriteten og tilgængeligheden af ePHI oprettet, modtaget, vedligeholdt eller transmitteret. Med andre ord, lad ikke nogen ved et uheld få adgang til oplysningerne eller stjæle det, uanset hvad det er, eller hvor det er., Som en del af dette skal du identificere og beskytte mod potentielle risici, der fører til utilsigtede anvendelser eller afsløringer. Desuden skal du sørge for, at dine medarbejdere gør det samme.

en simpel HIPAA Privacy Rule resum

selvom lignende karakter, HIPAA Privacy Rule fokuserer på en persons ret til at kontrollere brugen af deres oplysninger. Mens du skal sikre det, skal du også sørge for, at du ikke lader nogen have utilsigtet eller uautoriseret adgang til det.,

Centrale Forskelle Mellem Sikkerheds-og Privacy-Regler

HIPAA Privatliv Regel og HIPAA sikkerhedsregler lyder måske ens, men der er to vigtige forskelle:

  1. Mens Sikkerheden Regel fokuserer på elektronisk information, Privacy Regel også indeholder talt og papir oplysninger.
  2. Privacy Rule fokuserer på at “holde det stille”, mens Sikkerhedsreglen beskriver specifikke trin til overholdelse.

Hvem skal overholde HIPAA?,

HIPAA gælder for dig som en “dækket enhed”, hvis du er en sundhedsudbyder, sundhedsplan eller sundhedspleje clearinghouse. HIPAA-definitionen af “forretningsenheder” udvider den til at inkorporere tredjepart, der udfører funktioner på vegne af dækkede enheder, der bruger, gemmer, behandler eller videregiver sundhedsoplysninger for dem.

med andre ord, hvis du ønsker at udvide en soft .are eller webebapplikation for at aktivere nogen af de overdækkede enheder, der er nævnt ovenfor, skal du være i overensstemmelse med HIPAA-regler.

hvad udgør en HIPAA-overtrædelse?,

selvom HIPAA-overtrædelser opstår på forskellige måder, inkorporerer de alle “nogen, der ikke burde vide noget, der lærer om det, fordi der ikke var nok beskyttelse.”Denne definition inkluderer alt fra medarbejdere, der har for meget systemadgang, til en hacker, der får adgang til dit system, til nogen, der efterlader et stykke papir på et skrivebord eller en skærm, der er åben for at se.

Under Fuldbyrdelse Regel, OCR kan opkræve bøder overalt fra $100 per overtrædelse (ikke over $25,000 årligt) til $50.000 per overtrædelse (ikke mere end $1,5 millioner årligt) for en utilsigtet overtrædelse., Straffen minimum stiger, når du handler mere forsætligt, når du overtræder loven. Faktisk, hvis dine handlinger er for ekstreme, kan Justitsministeriet bøde dig $ 250,000 og udsætte dig for op til ti års fængsel for et datakompromis med det formål at sælge, overføre eller bruge oplysningerne til kommerciel fordel, personlig gevinst eller ondsindet skade.,

overtrædelser af arbejdsgiverens HIPAA: Sådan beskytter du medarbejderoplysninger

selvom du ikke er en sundhedsudbyder eller forretningsforbindelse (tredjepart, der håndterer sundhedsoplysninger på vegne af en sundhedsudbyder), kan du stadig være i fare. HIPAA lov og arbejdsgivere har en anspændt forhold. Selvom medarbejdernes medicinske privatlivsrettigheder for det meste falder ind under amerikanerne med handicaploven (ADA), falder nogle under HIPAA-love og regler. Det er vigtigt, at der findes et par HIPAA-retningslinjer for arbejdsgivere.,

ring ikke til lægen

uanset hvad du gør, skal du aldrig ringe til en medarbejders sundhedsudbyder. Bare lad være.

Adskil Medicinsk Dokumentation

Hvis du har brug for medicinske eksamener som en del af et medarbejders sundhedsprogram eller som et krav til et jobtilbud, skal du holde medicinske oplysninger adskilt fra traditionelle medarbejderregistre. Dette kan være fysisk adskillelse eller digital adskillelse (såsom en anden server).,

Beskytte ePHI inden for Selv-Forsikrede Sundhedspleje Planer

Hvis du bruger en Administrativ Service Kun (ASO) plan, hvor du som arbejdsgiver betaler ydelser ved hjælp af din egen virksomhed-midler, så er du nødt til at være helt HIPAA-kompatibel.

etablere Datahåndteringspraksis for Gruppesundhedsplanoplysninger

Hvis du får mere end sammenfattende oplysninger fra gruppesundhedsplanen, er den dækket af HIPAA og har brug for beskyttelse., Sørg for at gennemgå den dokumentation, der sendes til din personaleafdeling, og enten oprette ny praksis eller bedre definere, hvilke oplysninger gruppesundhedsplanen skal sende dig.

gennemgå virksomhedens sundhedsklinikker og Medarbejderassistentprogrammer

begge disse kan klassificeres som hybride enheder, hvor udbyderen overfører oplysninger til betaling. Som sådan, hvis du vedligeholder poster som disse, skal du låse dem ned for at være kompatible.,

annoncer aldrig noget (godt eller dårligt) klassificeret som en medicinsk tilstand

Du kan være over månen, at din medarbejder er gravid eller ødelagt af en medarbejders kræftdiagnose. Medmindre din medarbejder tillader dig at videregive, kan det være en HIPAA-overtrædelse at offentliggøre en meddelelse om at dele disse oplysninger med andre medarbejdere eller ledelse.

HIPAA overtrædelse eksempler

HIPAA overtrædelse historier bugne. De kan opstå ved oversharing på sociale medier og mistede eller stjålne enheder., Selv virksomheder, der ikke længere opererer, er ikke sikre mod konsekvenserne af HIPAA-overtrædelser.

eksempler på HIPAA-overtrædelser på sociale medier

mange HIPAA-overtrædelser, der involverer sociale medier, er tilfældige. For eksempel kan kommentarer og indlæg på sociale medier overtræde HIPAA-regler, selvom de ikke nævner en patient ved navn. I nogle tilfælde kan medarbejdere dele fotos på sociale medier uden at indse, at patientinformation er synlig i baggrunden.,

Et nyligt eksempel involverer en sygeplejerske, der har skabt en video, hvor hun interviewede medarbejdere på de udfordringer, de står over for at arbejde i hele COVID-19 pandemi i April 2020. En kollega bemærkede, at hvis hospitalet havde de ressourcer, det havde anmodet om, en bestemt patient er muligvis ikke død, med henvisning til patienten ved navn. Denne potentielle overtrædelse er i øjeblikket under undersøgelse i skrivende stund.

i et andet eksempel reagerede en medarbejder fra Elite Dental Associates på en patients anmeldelse af Yelp, en social medieplatform til vurdering og gennemgang af virksomheder., Svaret omfattede følsomme patientoplysninger, herunder patientens navn, detaljer om behandlingsplanen og oplysninger om omkostningerne ved behandlingen og patientens forsikring. Under sin undersøgelse af klagen fandt Office of Civil Rights (OCR), at Elite Dental Associates’ svar på andre patientanmeldelser indeholdt lignende oplysninger. Elite Dental Associates afgjort klagen for $ 10.000.

eksempler på HIPAA-overtrædelser som følge af mistede eller stjålne enheder

stjålne enheder kan også føre til HIPAA-overtrædelser., For eksempel, Katolske sundhedsydelser af Ærkebispedømmet Philadelphia (CHCS) afgjort potentiale HIPAA krænkelser for $650,000 i 2016 efter tyveri af en mobil enhed, der indeholdt PHI af hundredvis af plejehjemsbeboere.

i 2017 meddelte Lifespan, Rhode Islands største hospitalssystem, 20.000 patienter, at deres PHI kan have været på en medarbejders stjålne bærbare computer. I begge disse eksempler viste det sig, at de stjålne enheder var ukrypterede og ikke adgangskodebeskyttede.,

Eksempler på “Minimum” HIPAA Krænkelser

HIPAA kræver, at PHI er delt på en “minimum” basis – der er dækket enheder og samarbejdspartnere skal gøre en rimelig indsats for at sikre, at kun de oplysninger, der som minimum er nødvendige for at fuldføre en opgave eller udføre et job, er adgang til eller deles med autoriserede personer, og det er en anden tricky krav, der kan føre til krænkelser. For eksempel bør en sygeplejerske, der arbejder i en enhed eller på et gulv, kun gives de oplysninger, der er nødvendige for at passe de patienter, de er ansvarlige for under deres skift.,

overtrædelser af det nødvendige minimumskrav er almindelige, når de handler med tredjepart. For eksempel kan deling af flere patientoplysninger end nødvendigt for at behandle krav hos en sundhedsforsikringsudbyder udgøre en HIPAA-overtrædelse. En ne.Jersey-psykolog stod over for beskyldninger om HIPAA-overtrædelser i 2017, efter at praksisens faktureringschef sendte kopier af patienters regninger inklusive koder, der kunne afsløre diagnoser og behandlinger til et indsamlingsbureau., Klagen hævdede, at praksis ikke overvejede at give kun en transaktionsbogbog eller redacting eventuelle unødvendige følsomme patientoplysninger, før de sendte oplysningerne til collections agency.,

Bedste praksis for at undgå disse typer af potentielle HIPAA krænkelser omfatter udvikling af klare og omfattende skrevet sikkerhedspolitikker, herunder sociale medier politikker, gennemføre cybersecurity bevidsthed uddannelse for medarbejderne, og at gennemføre og håndhæve robust device management politikker, herunder krav om rapportering for mistede eller stjålne enheder, og fjern tørre evner til at beskytte følsomme oplysninger.,

Beskytte Din Virksomhed Fra HIPAA Krænkelser: En Do/Don”t Do-Guide

Kilde: Zeguro

Åbenhed Er Grundlaget for HIPAA Overholdelse

HIPAA detaljerede control list og vurderingskrav gøre din sikkerhed-første tilgang vanskelig. Du vil være gennemsigtig, men reglerne forhindrer undertiden det., På Zeguro, vi værdi gennemsigtighed i den måde, vi kommunikerer med vores kunder, som også kan være en guide til, hvordan du får vist medicinske data gennemsigtighed:

  • Ærlighed: Vi er op foran om, hvor godt din beskyttelse juster med HIPAA Sikkerhed-Reglen ‘ s krav.
  • klarhed: vores almindelige sprogpolitiske skabeloner og træningsmoduler fjerner juridisk sprog fra processen for at hjælpe dig med at oprette HIPAA-retningslinjer for medarbejdere.
  • enkelhed: Vi forenkler HIPAA-overholdelse med en let at navigere platform og personale, der kan besvare dine spørgsmål og lette byrden ved overholdelse.,Bemærk: Noteeguro er ikke i stand til at kommentere specifikke HIPAA-sager eller overtrædelser og giver kun generel rådgivning i sine blogs og artikler. Vi er heller ikke i stand til at hjælpe med personlige HIPAA-spørgsmål. For at få hjælp med HIPAA-overtrædelser anbefaler vi, at du kontakter licenseret juridisk rådgiver. Hvis du søger løsninger, der kan hjælpe dig med at opfylde HIPAA overholdelse, vi tilbyder en integreret cybersecurity og cyber forsikring løsning, der kan hjælpe med at sikre din organisation og beskytte PHI/ePHI. Læs mere her: https://www.zeguro.com/cybersecurity/compliance.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *