Violaciones de HIPAA: historias, ejemplos de lugares de trabajo y empleadores, y más | Zeguro Blog
» pero, no lo sabía.»
no es excusa. Ya sea que tenga cinco o cincuenta y cinco años, a menudo ha respondido a una acusación con esta sentencia. Desafortunadamente, en el mundo de la protección de datos, los reguladores no quieren escuchar esa frase. Debes saberlo. Cuando se trata de información de atención médica de empleados o clientes, los accidentes pueden llevar a la quiebra a una empresa., Mantener una cultura corporativa de seguridad: primero el cumplimiento para crear una fuerza de trabajo con conocimiento cibernético prepara y protege su práctica o su empresa de violaciones comunes de HIPAA asociadas con las acciones de los empleados, ya sea que esté en el campo de la atención médica o no.
¿qué es HIPAA?
la Ley de portabilidad y responsabilidad del seguro de salud de 1996 (HIPAA) requirió que el Departamento de Salud y Servicios Humanos (HHS), administrado a través de la Oficina de Derechos Civiles (OCR), adoptara estándares nacionales para la información electrónica del cuidado de la salud., Extendida a lo largo de los años, HIPAA ahora incorpora la regla de Privacidad, La regla de seguridad, la regla de cumplimiento y la regla de notificación de incumplimiento.
un breve resumen de HIPAA es que estas cuatro reglas establecen pautas estrictas para los controles de privacidad y seguridad sobre la información de salud protegida (PHI). Definida como «información de salud identificable individualmente», la PHI o la PHI electrónica (ePHI) incluye cualquier información demográfica, historial médico, resultados de pruebas o de laboratorio, información de salud mental, información de seguros u otros datos que identifiquen a un cliente., Sin embargo, para comprender completamente no solo qué es HIPAA, sino cómo se relaciona con su negocio, necesita una breve descripción de la regla de seguridad y la regla de privacidad.
un simple resumen de la regla de seguridad de HIPAA
En resumen, la regla de seguridad crea una serie de pautas para asegurarse de que las organizaciones de atención médica, otras entidades cubiertas y socios comerciales salvaguarden la confidencialidad, integridad y disponibilidad de ePHI creado, recibido, mantenido o transmitido. En otras palabras, no permita que alguien acceda accidentalmente a la información o la robe sin importar qué es o dónde está., Como parte de esto, debe identificar y proteger contra los riesgos potenciales que conducen a usos o divulgaciones no intencionales. Además, debe asegurarse de que sus empleados hagan lo mismo.
un simple resumen de la regla de Privacidad de la HIPAA
aunque de naturaleza similar, la regla de Privacidad de la HIPAA se centra en el derecho de una persona a controlar el uso de su información. Si bien necesita asegurarlo, también debe asegurarse de no permitir que nadie tenga acceso accidental o no autorizado a él.,
diferencias clave entre las reglas de seguridad y Privacidad
La regla de privacidad HIPAA y las reglas de seguridad HIPAA pueden sonar similares, pero hay dos distinciones importantes:
- mientras que la regla de seguridad se centra en la información electrónica, la regla de privacidad también incorpora información hablada y en papel.
- La regla de privacidad se centra en» mantenerlo en secreto», mientras que la regla de seguridad detalla los pasos específicos para el cumplimiento.
¿quién debe cumplir con HIPAA?,
HIPAA se aplica a usted como una» entidad cubierta » si usted es un proveedor de atención médica, plan de salud o centro de intercambio de información de atención médica. La definición de la HIPAA de» entidades comerciales » lo amplía para incorporar a terceros que realizan funciones en nombre de entidades cubiertas que usan, almacenan, procesan o divulgan información médica para ellas.
En otras palabras, si está buscando expandir un software o aplicación web para habilitar cualquiera de las entidades cubiertas mencionadas anteriormente, debe cumplir con las reglas de HIPAA.
¿qué constituye una violación de HIPAA?,
aunque las violaciones de HIPAA surgen de una variedad de maneras, todas incorporan «alguien que no debería saber algo que aprende sobre ello porque no había suficientes protecciones.»Esta definición incluye todo, desde empleados que tienen demasiado acceso al sistema, hasta un hacker que entra en su sistema, o alguien que deja un pedazo de papel en un escritorio o una pantalla abierta para ver.
bajo la regla de ejecución, la OCR puede imponer multas desde 1 100 por violación (no superior a 2 25,000 anualmente) hasta $50,000 por violación (no superior a $1.5 millones anualmente) por una violación accidental., Los mínimos de penalización aumentan a medida que usted actúa más intencionalmente al violar la ley. De hecho, si sus acciones son demasiado atroces, el Departamento de Justicia puede multarlo con 2 250,000 y exponerlo a hasta diez años de cárcel por un compromiso de datos con la intención de vender, transferir o usar la información para una ventaja comercial, beneficio personal o daño malicioso.,
violaciones de la HIPAA por parte del empleador: cómo proteger la información de los empleados
incluso si no es un proveedor de atención médica o un socio comercial (un tercero que maneja la información de atención médica en nombre de un proveedor de atención médica), aún puede estar en riesgo. La ley HIPAA y los empleadores tienen una relación tensa. Aunque los derechos de privacidad médica de los empleados en su mayoría caen bajo la Ley de estadounidenses con discapacidades (ADA), algunos caen bajo las leyes y regulaciones de HIPAA. Es importante destacar que existen algunas pautas de HIPAA para los empleadores.,
No Llame al médico
Haga lo que haga, nunca llame al proveedor de servicios de atención médica de un empleado. No lo hagas.
segregar documentación médica
Si requiere exámenes médicos como parte de un programa de salud de empleados o como requisito para una oferta de trabajo, Mantenga la información médica segregada de los registros tradicionales de los empleados. Esto puede ser segregación física o segregación digital (como un servidor diferente).,
Proteja ePHI dentro de los planes de salud autoasegurados
si está utilizando un plan de Servicios Administrativos solamente (Aso) en el que usted, como empleador, paga beneficios utilizando los fondos de su propia compañía, entonces debe cumplir completamente con la HIPAA.
establecer prácticas de manejo de datos para la información del Plan de salud grupal
si está recibiendo más que información resumida del plan de salud grupal, está cubierto por HIPAA y necesita protección., Asegúrese de revisar la documentación enviada a su departamento de Recursos Humanos y crear nuevas prácticas o definir mejor qué información debe enviarle el plan de salud grupal.
revise las clínicas de salud de la compañía y los programas de Asistencia al empleado
ambos pueden clasificarse como entidades híbridas en las que el proveedor transmite información para el pago. Como tal, si mantiene registros como estos, debe bloquearlos para cumplir con las normas.,
nunca anuncie algo (bueno o malo) Clasificado como una condición médica
usted puede estar sobre la Luna que su empleado está embarazada o devastado por el diagnóstico de cáncer de un empleado. Sin embargo, a menos que su empleado le permita divulgar, hacer un anuncio para compartir esta información con otros miembros del personal o la administración puede ser una violación de HIPAA.
ejemplos de violación de HIPAA
abundan las historias de violación de HIPAA. Pueden surgir de compartir en exceso en las redes sociales y dispositivos perdidos o robados., Incluso las empresas que ya no están operando no están a salvo de las consecuencias de las violaciones de HIPAA.
ejemplos de violaciones de la HIPAA en las redes sociales
muchas violaciones de la HIPAA que involucran a las redes sociales son accidentales. Por ejemplo, los comentarios y publicaciones en redes sociales pueden violar las regulaciones de HIPAA incluso si no mencionan a un paciente por su nombre. En algunos casos, los empleados pueden compartir fotos en las redes sociales sin darse cuenta de que la información del paciente es visible en el fondo.,
un ejemplo reciente involucra a una enfermera que creó un video en el que entrevistó a compañeros de trabajo sobre los desafíos que enfrentan al trabajar durante la pandemia de COVID-19 en abril de 2020. Un compañero de trabajo señaló que si el hospital tenía los recursos que había solicitado, un paciente en particular podría no haber muerto, refiriéndose al paciente por su nombre. This potential violation is currently under investigation at the time of writing.
en otro ejemplo, un empleado de Elite Dental Associates respondió a la opinión de un paciente en Yelp, una plataforma de redes sociales para calificar y revisar negocios., La respuesta incluyó información sensible del paciente, incluido el nombre del paciente, detalles del plan de tratamiento e información sobre el costo del tratamiento y el seguro del paciente. Durante su investigación de la queja, la Oficina de Derechos Civiles (OCR) encontró que las respuestas de Elite Dental Associates a otras revisiones de pacientes contenían información similar. Elite Dental Associates resolvió la queja por 1 10,000.
los ejemplos de violaciones de la HIPAA resultantes de dispositivos perdidos o robados
Los dispositivos robados también pueden dar lugar a violaciones de la HIPAA., Por ejemplo, Catholic Health Care Services de la Arquidiócesis de Filadelfia (CHCS) resolvió posibles violaciones de HIPAA por 6 650,000 en 2016 después del robo de un dispositivo móvil que contenía PHI de cientos de residentes de hogares de ancianos.
en 2017, Lifespan, el sistema hospitalario más grande de Rhode Island, notificó a 20,000 pacientes que su PHI podría haber estado en la computadora portátil robada de un empleado. En ambos ejemplos, se encontró que los dispositivos robados no estaban cifrados y no estaban protegidos con contraseña.,
ejemplos de violaciones» mínimas necesarias «de la HIPAA
la HIPAA requiere que la PHI se comparta solo sobre una base» mínima necesaria», es decir, las entidades cubiertas y los socios comerciales deben hacer un esfuerzo razonable para garantizar que solo las personas autorizadas accedan o compartan la información mínima necesaria para completar una tarea o realizar un trabajo, y este es otro requisito complicado que puede conducir a violaciones. Por ejemplo, Una enfermera que trabaja en una unidad o en un piso solo debe recibir la información necesaria para atender a los pacientes de los que es responsable durante su turno.,
Las violaciones del requisito mínimo necesario son comunes cuando se trata con terceros. Por ejemplo, compartir más información del paciente de la necesaria para procesar reclamaciones con un proveedor de seguro médico puede constituir una violación de HIPAA. Un psicólogo de Nueva Jersey enfrentó acusaciones de violaciones de HIPAA en 2017 después de que el gerente de facturación del consultorio enviara copias de las facturas de los pacientes, incluidos códigos que podrían revelar diagnósticos y tratamientos a una agencia de cobranzas., La queja alegó que la práctica no consideró proporcionar solo un libro mayor de transacciones o eliminar cualquier información sensible innecesaria del paciente antes de enviar la información a la agencia de cobros.,
Las mejores prácticas para evitar este tipo de posibles violaciones de la HIPAA incluyen el desarrollo de políticas de seguridad escritas claras y completas, incluidas las políticas de redes sociales, la implementación de capacitación de Concientización sobre ciberseguridad para empleados y la implementación y aplicación de políticas sólidas de administración de dispositivos, incluidos los requisitos de informes para dispositivos perdidos o robados y las capacidades de limpieza remota para proteger la información confidencial.,