HIPAA Verletzungen: Geschichten, Arbeitsplatz & Arbeitgeber Beispiele und mehr / Zeguro Blog
“ Aber ich wusste es nicht.“
Es ist keine Entschuldigung. Egal, ob Sie fünf oder fünfundfünfzig sind, Sie haben oft auf einen Vorwurf mit diesem Satz geantwortet. Leider wollen die Aufsichtsbehörden in der Welt des Datenschutzes diesen Satz nicht hören. Du musst es wissen. Wenn es um Gesundheitsinformationen von Mitarbeitern oder Kunden geht, können Unfälle ein Unternehmen bankrott führen., Aufrechterhaltung einer Unternehmenskultur der Sicherheit-First Compliance zur Schaffung einer cyberbewussten Belegschaft bereitet Ihre Praxis oder Ihr Unternehmen vor häufigen HIPAA – Verstößen im Zusammenhang mit Mitarbeiteraktionen vor und schützt sie-unabhängig davon, ob Sie im Gesundheitsbereich tätig sind oder nicht.
Was ist HIPAA?
Das Healthcare Insurance Portability and Accountability Act von 1996 (HIPAA) verpflichtete das Department of Health and Human Services (HHS), das über das Office of Civil Rights (OCR) verwaltet wird, nationale Standards für elektronische Gesundheitsinformationen zu erlassen., Im Laufe der Jahre erweitert, enthält HIPAA jetzt die Datenschutzregel, Sicherheitsregel, Durchsetzungsregel und Benachrichtigungsregel für Verstöße.
Eine kurze HIPAA-Zusammenfassung besagt, dass diese vier Regeln strenge Richtlinien für Datenschutz-und Sicherheitskontrollen über geschützte Gesundheitsinformationen (PHI) festlegen. Definiert als“ individuell identifizierbare Gesundheitsinformationen“, umfasst PHI oder Electronic PHI (ePHI) alle demografischen Informationen, Krankengeschichte, Test-oder Laborergebnisse, Informationen zur psychischen Gesundheit, Versicherungsinformationen oder andere Daten, die einen Kunden identifizieren., Um jedoch nicht nur zu verstehen, was HIPAA ist, sondern auch, wie es sich auf Ihr Unternehmen bezieht, benötigen Sie einen kurzen Überblick über die Sicherheitsregel und die Datenschutzregel.
Eine einfache Zusammenfassung der HIPAA-Sicherheitsregel
Kurz gesagt, die Sicherheitsregel erstellt eine Reihe von Richtlinien, um sicherzustellen, dass Gesundheitsorganisationen, andere abgedeckte Stellen und Geschäftspartner die Vertraulichkeit, Integrität und Verfügbarkeit von ePHI schützen erstellt, empfangen, gepflegt oder übertragen. Mit anderen Worten, lassen Sie niemanden versehentlich auf die Informationen zugreifen oder stehlen, egal was es ist oder wo es ist., Im Rahmen dessen müssen Sie potenzielle Risiken identifizieren und schützen, die zu unbeabsichtigten Verwendungen oder Offenlegungen führen. Außerdem müssen Sie sicherstellen, dass Ihre Mitarbeiter dasselbe tun.
Eine einfache Zusammenfassung der HIPAA-Datenschutzregel
Obwohl sie ähnlicher Natur ist, konzentriert sich die HIPAA-Datenschutzregel auf das Recht einer Person, die Verwendung ihrer Informationen zu kontrollieren. Während Sie es sichern müssen, müssen Sie auch sicherstellen, dass Sie niemanden versehentlichen oder unbefugten Zugriff darauf gewähren.,
Hauptunterschiede zwischen den Sicherheits-und Datenschutzregeln
Die HIPAA-Datenschutzregel und die HIPAA-Sicherheitsregeln mögen ähnlich klingen, aber es gibt zwei wichtige Unterschiede:
- Während sich die Sicherheitsregel auf elektronische Informationen konzentriert, enthält die Datenschutzregel auch gesprochene und Papierinformationen.
- Die Datenschutzregel konzentriert sich auf „stillhalten“, während die Sicherheitsregel bestimmte Schritte zur Einhaltung beschreibt.
Wer muss HIPAA einhalten?,
HIPAA gilt für Sie als „covered Entity“, wenn Sie ein Gesundheitsdienstleister, ein Gesundheitsplan oder eine Clearingstelle für Gesundheitsfürsorge sind. Die HIPAA-Definition von“ Geschäftseinheiten “ erweitert diese auf Dritte, die Funktionen im Namen von Unternehmen ausführen, die Gesundheitsinformationen für sie verwenden, speichern, verarbeiten oder offenlegen.
Mit anderen Worten, wenn Sie eine Software oder Webanwendung erweitern möchten, um eine der oben genannten abgedeckten Entitäten zu aktivieren, müssen Sie die HIPAA-Regeln einhalten.
Was stellt eine HIPAA-Verletzung dar?,
Obwohl HIPAA-Verstöße auf verschiedene Arten auftreten, integrieren sie alle „jemanden, der nichts wissen sollte, der davon erfährt, weil es nicht genug Schutz gibt.“Diese Definition umfasst alles, von Mitarbeitern, die zu viel Systemzugriff haben, über einen Hacker, der Zugang zu Ihrem System erhält, bis hin zu jemandem, der ein Blatt Papier auf einem Schreibtisch oder einem Bildschirm offen lässt.
Nach der Durchsetzungsregel kann OCR Geldstrafen zwischen 100 USD pro Verstoß (höchstens 25.000 USD pro Jahr) und 50,000 USD pro Verstoß (höchstens 1,5 Millionen USD pro Jahr) für einen versehentlichen Verstoß verhängen., Die Strafmindestwerte erhöhen sich, wenn Sie bei Gesetzesverstößen vorsätzlicher handeln. Wenn Ihre Handlungen zu ungeheuerlich sind, kann das Justizministerium Sie mit einer Geldstrafe von 250.000 US-Dollar belegen und Sie für einen Datenkompromiss mit der Absicht, die Informationen zu verkaufen, zu übertragen oder zu nutzen, bis zu zehn Jahre im Gefängnis verbringen kommerzieller Vorteil, persönlicher Gewinn oder böswilliger Schaden.,
HIPAA-Verstöße gegen Arbeitgeber: So schützen Sie Mitarbeiterinformationen
Auch wenn Sie kein Gesundheitsdienstleister oder Geschäftspartner sind (Drittanbieter, die Gesundheitsinformationen im Namen eines Gesundheitsdienstleisters verarbeiten), sind Sie möglicherweise weiterhin gefährdet. HIPAA Gesetz und Arbeitgeber haben eine angespannte Beziehung. Obwohl die medizinischen Datenschutzrechte der Mitarbeiter größtenteils unter das American with Disabilities Act (ADA) fallen, fallen einige unter HIPAA-Gesetze und-Vorschriften. Wichtig ist, dass es einige HIPAA-Richtlinien für Arbeitgeber gibt.,
Rufen Sie den Arzt nicht an
Was auch immer Sie tun, rufen Sie niemals den Gesundheitsdienstleister eines Mitarbeiters an. Tu es einfach nicht.
Medizinische Dokumentation trennen
Wenn Sie medizinische Untersuchungen im Rahmen eines Mitarbeitergesundheitsprogramms oder als Voraussetzung für ein Stellenangebot benötigen, halten Sie medizinische Informationen von herkömmlichen Mitarbeiterakten getrennt. Dies kann physische Trennung oder digitale Trennung sein (z. B. ein anderer Server).,
Protect ePHI in Selbst Versichert Vorsorgepläne
Wenn Sie eine Administrative Services Only (ASO) plan, in dem Sie als Arbeitgeber Vorteile durch den Einsatz Ihrer eigenen Mittel des Unternehmens, dann müssen Sie vollständig HIPAA-konform.
Datenschutzpraktiken für Informationen zum Gruppengesundheitsplan festlegen
Wenn Sie mehr als zusammenfassende Informationen aus dem Gruppengesundheitsplan erhalten, wird dieser von HIPAA abgedeckt und muss geschützt werden., Stellen Sie sicher, dass Sie die an Ihre Personalabteilung gesendeten Unterlagen überprüfen und entweder neue Praktiken erstellen oder besser definieren, welche Informationen Ihnen der Gruppengesundheitsplan senden soll.
Unternehmenskliniken und Mitarbeiterhilfeprogramme überprüfen
Beide können als hybride Einheiten klassifiziert werden, bei denen der Anbieter Informationen zur Zahlung übermittelt. Wenn Sie Datensätze wie diese verwalten, müssen Sie sie daher sperren, um konform zu sein.,
Geben Sie niemals etwas (Gutes oder Schlechtes) bekannt, das als Erkrankung eingestuft ist
Möglicherweise sind Sie über dem Mond, dass Ihre Mitarbeiterin schwanger ist oder durch die Krebsdiagnose eines Mitarbeiters am Boden zerstört ist. Es sei denn, Ihr Mitarbeiter erlaubt Ihnen die Offenlegung, Eine Ankündigung zur Weitergabe dieser Informationen an andere Mitarbeiter oder das Management kann jedoch eine HIPAA-Verletzung darstellen.
HIPAA Verletzung Beispiele
HIPAA Verletzung Geschichten gibt es zuhauf. Sie können durch Überschatten in sozialen Medien und verlorenen oder gestohlenen Geräten entstehen., Selbst Unternehmen, die nicht mehr tätig sind, sind vor den Folgen von HIPAA-Verstößen nicht sicher.
Beispiele für Social Media HIPAA Verletzungen
Viele HIPAA Verletzungen mit Social Media sind zufällig. Zum Beispiel können Kommentare und Beiträge in sozialen Medien gegen die HIPAA-Vorschriften verstoßen, auch wenn sie einen Patienten nicht namentlich erwähnen. In einigen Fällen können Mitarbeiter Fotos in sozialen Medien freigeben, ohne zu bemerken, dass Patienteninformationen im Hintergrund sichtbar sind.,
Ein aktuelles Beispiel ist eine Krankenschwester, die ein Video erstellt hat, in dem sie Mitarbeiter zu den Herausforderungen interviewt hat, denen sie während der gesamten COVID-19-Pandemie im April 2020 gegenüberstehen. Ein Mitarbeiter stellte fest, dass, wenn das Krankenhaus über die von ihm angeforderten Ressourcen verfügte, ein bestimmter Patient möglicherweise nicht gestorben ist und sich namentlich auf den Patienten bezieht. Dieser mögliche Verstoß wird derzeit zum Zeitpunkt des Schreibens untersucht.
In einem anderen Beispiel antwortete ein Mitarbeiter von Elite Dental Associates auf die Bewertung eines Patienten auf Yelp, einer Social-Media-Plattform zur Bewertung und Überprüfung von Unternehmen., Die Antwort enthielt sensible Patienteninformationen, einschließlich des Namens des Patienten, der Details des Behandlungsplans und Informationen zu den Kosten der Behandlung und der Versicherung des Patienten. Während seiner Untersuchung der Beschwerde stellte das Office of Civil Rights (OCR) fest, dass die Antworten von Elite Dental Associates auf andere Patientenbewertungen ähnliche Informationen enthielten. Elite Dental Associates hat die Beschwerde für 10.000 Dollar beigelegt.
Beispiele für HIPAA-Verstöße aufgrund verlorener oder gestohlener Geräte
Gestohlene Geräte können ebenfalls zu HIPAA-Verstößen führen., Zum Beispiel haben die katholischen Gesundheitsdienste der Erzdiözese Philadelphia (CHCS) potenzielle HIPAA-Verstöße für 650.000 US-Dollar im Jahr 2016 nach dem Diebstahl eines mobilen Geräts, in dem Hunderte von Bewohnern von Pflegeheimen untergebracht waren, beigelegt.
Im Jahr 2017 teilte Life, das größte Krankenhaussystem von Rhode Island, 20.000 Patienten mit, dass sich ihr PHI möglicherweise auf dem gestohlenen Laptop eines Mitarbeiters befunden habe. In beiden Beispielen wurde festgestellt, dass die gestohlenen Geräte unverschlüsselt und nicht kennwortgeschützt sind.,
Beispiele für“ minimal notwendige “ HIPAA-Verstöße
HIPAA verlangt, dass PHI nur auf einer „minimal notwendigen“ Basis geteilt wird – das heißt, juristische Personen und Geschäftspartner müssen angemessene Anstrengungen unternehmen, um sicherzustellen, dass nur die minimalen Informationen, die zum Ausführen einer Aufgabe oder zur Ausführung einer Aufgabe erforderlich sind, von autorisierten Personen abgerufen oder mit diesen geteilt werden, und dies ist eine weitere knifflige Anforderung, die zu Verstößen führen kann. Beispielsweise sollte eine Krankenschwester, die in einer Einheit oder auf einer Etage arbeitet, nur die Informationen erhalten, die für die Betreuung der Patienten erforderlich sind, für die sie während ihrer Schicht verantwortlich sind.,
Verstöße gegen die Mindestanforderung sind im Umgang mit Dritten üblich. Beispielsweise kann die Weitergabe von mehr Patienteninformationen als zur Bearbeitung von Ansprüchen an einen Krankenversicherer erforderlich ist, eine HIPAA-Verletzung darstellen. Ein Psychologe aus New Jersey wurde 2017 mit Vorwürfen von HIPAA-Verstößen konfrontiert, nachdem der Abrechnungsmanager der Praxis Kopien der Patientenrechnungen einschließlich Codes, die Diagnosen und Behandlungen aufdecken könnten, an ein Inkassobüro geschickt hatte., In der Beschwerde wurde behauptet, dass die Praxis nicht in Betracht gezogen habe, nur ein Transaktionsbuch bereitzustellen oder unnötige sensible Patientendaten zu korrigieren, bevor die Informationen an das Inkassobüro gesendet wurden.,
Best Practices zur Vermeidung dieser Art von potenziellen HIPAA-Verstößen umfassen die Entwicklung klarer und umfassender schriftlicher Sicherheitsrichtlinien, einschließlich Social-Media-Richtlinien, die Implementierung von Cybersicherheitsbewusstseinstrainings für Mitarbeiter sowie die Implementierung und Durchsetzung robuster Geräteverwaltungsrichtlinien, einschließlich Berichtsanforderungen für verlorene oder gestohlene Geräte und Remote-Wischfunktionen zum Schutz vertraulicher Informationen.,
Schützen Sie Ihr Unternehmen vor HIPAA-Verstößen: A Do/Don“t Do Guide
Transparenz ist die Grundlage der HIPAA-Compliance
HIPAAS detaillierte Kontrolle listen-und Risikobewertungsanforderungen erschweren Ihren Security-First-Ansatz. Sie möchten transparent sein, aber die Regeln verhindern das manchmal., Bei Zeguro legen wir Wert auf Transparenz in der Art und Weise, wie wir mit unseren Kunden kommunizieren, was auch ein Leitfaden für Ihre Sicht auf die Transparenz medizinischer Daten sein kann:
- Ehrlichkeit: Wir sind ganz vorne dabei, wie gut Ihr Schutz den Anforderungen der HIPAA-Sicherheitsregel entspricht.
- Klarheit: Unsere einfachen Richtlinienvorlagen und Schulungsmodule entfernen Legalese aus dem Prozess, um Ihnen bei der Erstellung von HIPAA-Richtlinien für Mitarbeiter zu helfen.
- Einfachheit: Wir vereinfachen die Einhaltung von HIPAA mit einer einfach zu navigierenden Plattform und Mitarbeitern, die Ihre Fragen beantworten und die Einhaltung erleichtern können.,
Hinweis: Zeguro kann keine spezifischen HIPAA-Fälle oder-Verstöße kommentieren und gibt nur allgemeine Ratschläge in seinen Blogs und Artikeln. Wir sind auch nicht in der Lage, bei persönlichen HIPAA-Fragen zu helfen. Für Unterstützung bei HIPAA-Verstößen empfehlen wir Ihnen, sich an einen lizenzierten Rechtsberater zu wenden. Wenn Sie nach Lösungen suchen, mit denen Sie die HIPAA-Compliance erfüllen können, bieten wir eine integrierte Cybersicherheits-und Cyberversicherungslösung an, mit der Sie Ihr Unternehmen sichern und PHI/ePHI schützen können. Erfahren Sie hier mehr: https://www.zeguro.com/cybersecurity/compliance.