Violations HIPAA: histoires, exemples de Lieu de travail et D’employeur, et plus | Zeguro Blog
« Mais, je ne savais pas.”
C’est pas une excuse. Que vous ayez cinq ou cinquante-cinq ans, vous avez souvent répondu à une accusation par cette phrase. Malheureusement, dans le monde de la protection des données, les régulateurs ne veulent pas entendre cette phrase. Vous devez connaître. En ce qui concerne les informations sur les soins de santé des employés ou des clients, les accidents peuvent mettre une entreprise en faillite., Maintenir une culture d’entreprise de conformité axée sur la sécurité pour créer un effectif cyber – conscient prépare et protège votre cabinet ou votre entreprise contre les violations HIPAA courantes associées aux actions des employés, que vous soyez dans le domaine de la santé ou non.
QU’est-ce que le HIPAA?
Le Healthcare Insurance Portability and Accountability Act de 1996 (HIPAA) obligeait le Ministère de la santé et des Services sociaux (HHS), administré par L’intermédiaire du Bureau des droits civils (OCR), à adopter des normes nationales pour les informations électroniques sur les soins de santé., Étendu au fil des ans, HIPAA intègre désormais la règle de confidentialité, La règle de sécurité, la règle D’application et la règle de Notification des violations.
un bref résumé HIPAA est que ces quatre règles établissent des lignes directrices strictes pour les contrôles de confidentialité et de sécurité sur les informations de santé protégées (PHI). Défini comme « information sur la santé identifiable individuellement », le PHI ou le Phi électronique (ePHI) comprend toute information démographique, historique médical, résultats de test ou de laboratoire, information sur la santé mentale, information sur l’assurance ou autres données permettant d’identifier un client., Cependant, pour bien comprendre non seulement ce QU’est HIPAA, mais comment il se rapporte à votre entreprise, vous avez besoin d’un bref aperçu de la règle de sécurité et de la règle de confidentialité.
un simple résumé des règles de sécurité HIPAA
en bref, la règle de sécurité crée une série de directives pour s’assurer que les organisations de soins de santé, les autres entités couvertes et les associés commerciaux protègent la confidentialité, l’intégrité et la disponibilité des ePHI créés, reçus, maintenus ou transmis. En d’autres termes, ne laissez pas quelqu’un Accéder accidentellement à l’information ou la voler, peu importe ce qu’elle est ou où elle se trouve., Dans ce cadre, vous devez identifier et protéger contre les risques potentiels qui mènent à des utilisations ou des divulgations non intentionnelles. De plus, vous devez vous assurer que vos employés font de même.
une règle de confidentialité HIPAA simple résumé
bien que de nature similaire, la règle de confidentialité HIPAA se concentre sur le droit d’une personne à contrôler l’utilisation de ses informations. Bien que vous ayez besoin de le sécuriser, vous devez également vous assurer que vous ne laissez personne y avoir un accès accidentel ou non autorisé.,
principales différences entre les règles de sécurité et de confidentialité
La règle de confidentialité HIPAA et les règles de sécurité HIPAA peuvent sembler similaires, mais il y a deux distinctions importantes:
- bien que la règle de sécurité se concentre sur les informations électroniques, la règle de confidentialité intègre également des informations orales
- La règle de Confidentialité se concentre sur le « maintien du silence” tandis que la règle de sécurité détaille les étapes spécifiques de la conformité.
qui doit se conformer à HIPAA?,
HIPAA s’applique à vous en tant qu ‘ « entité couverte” si vous êtes un fournisseur de soins de santé, un régime de santé ou un centre d’échange de soins de santé. La définition HIPAA des « entités commerciales » élargit cette notion pour inclure des tiers qui exercent des fonctions pour le compte d’entités couvertes qui utilisent, stockent, traitent ou divulguent des informations de santé pour elles.
en d’autres termes, si vous souhaitez développer un logiciel ou une application web pour activer l’une des entités couvertes mentionnées ci-dessus, vous devez être conforme aux règles HIPAA.
Qu’est-ce qui constitue une Violation HIPAA?,
bien que les violations HIPAA surviennent de diverses manières, elles intègrent toutes « quelqu’un qui ne devrait pas savoir quelque chose qui apprend à ce sujet parce qu’il n’y avait pas assez de protections. »Cette définition inclut tout, des employés ayant un accès trop important au système, à un pirate informatique qui accède à votre système, à quelqu’un qui laisse un morceau de papier sur un bureau ou un écran ouvert.
en vertu de la règle D’application, OCR peut imposer des amendes allant de 100 per par violation (ne dépassant pas 25 000 annually par année) à 50 000 per par violation (ne dépassant pas 1,5 million de dollars par année) pour une violation accidentelle., Les peines minimales augmentent à mesure que vous agissez de manière plus volontaire lorsque vous violez la loi. En fait, si vos actions sont trop flagrantes, le Ministère de la Justice peut vous infliger une amende de 250 000 $et vous infliger jusqu’à dix ans de prison pour un compromis de données dans l’intention de vendre, de transférer ou d’utiliser les informations à des fins commerciales, personnelles ou malveillantes.,
Violations HIPAA de L’employeur: Comment protéger les informations des employés
même si vous n’êtes pas un fournisseur de soins de santé ou un associé d’affaires (un tiers traitant les informations de soins de santé pour le compte d’un fournisseur de soins de santé), vous pouvez toujours être à risque. La loi HIPAA et les employeurs entretiennent des relations tendues. Bien que les droits à la vie privée médicale des employés relèvent principalement de L’American with Disabilities Act (ADA), certains relèvent des lois et Règlements HIPAA. Fait important, quelques lignes directrices HIPAA pour les employeurs existent.,
N’appelez pas le médecin
quoi que vous fassiez, n’appelez jamais le fournisseur de services de santé d’un employé. Il suffit de ne pas le faire.
séparer les documents médicaux
Si vous avez besoin d’examens médicaux dans le cadre d’un programme de santé des employés ou comme exigence pour une offre d’emploi, gardez les renseignements médicaux séparés des dossiers traditionnels des employés. Il peut s’agir d’une ségrégation physique ou numérique (par exemple, un serveur différent).,
Protégez l’ePHI dans les régimes de soins de santé auto-assurés
Si vous utilisez un régime de services administratifs uniquement (ASO) dans lequel vous, en tant qu’employeur, payez des prestations en utilisant les fonds de votre entreprise, vous devez être entièrement conforme à la HIPAA.
établir des pratiques de traitement des données pour les renseignements sur les régimes de santé de groupe
Si vous obtenez plus que des renseignements sommaires du régime de santé de groupe, il est couvert par HIPAA et a besoin de protection., Assurez-vous d’examiner la documentation envoyée à votre service des Ressources Humaines et de créer de nouvelles pratiques ou de mieux définir les informations que le plan de santé de groupe devrait vous envoyer.
examiner les cliniques de santé de L’entreprise et les programmes d’aide aux employés
Ces deux entités peuvent être classées comme des entités hybrides dans lesquelles le fournisseur transmet des informations pour paiement. En tant que tel, si vous conservez des enregistrements comme ceux-ci, vous devez les verrouiller pour être conforme.,
Ne jamais annoncer quelque chose (bon ou mauvais) classé comme une Condition médicale
Vous pouvez être sur la Lune que votre employée est enceinte ou dévastée par le diagnostic de cancer d’un employé. Cependant, à moins que votre employé vous autorise à divulguer, faire une annonce pour partager ces informations avec d’autres membres du personnel ou la direction peut être une violation HIPAA.
exemples de Violation HIPAA
Les histoires de violation HIPAA abondent. Ils peuvent résulter d’un partage excessif sur les médias sociaux et d’appareils perdus ou volés., Même les entreprises qui ne fonctionnent plus ne sont pas à l’abri des conséquences des violations HIPAA.
exemples de Violations HIPAA des médias sociaux
de nombreuses violations HIPAA impliquant des médias sociaux sont accidentelles. Par exemple, les commentaires et les publications sur les réseaux sociaux peuvent enfreindre les règlements HIPAA même s’ils ne mentionnent pas un patient par son nom. Dans certains cas, les employés peuvent partager des photos sur les médias sociaux sans se rendre compte que les informations sur les patients sont visibles en arrière-plan.,
un exemple récent concerne une infirmière qui a créé une vidéo dans laquelle elle a interviewé des collègues sur les défis auxquels ils sont confrontés au travail tout au long de la pandémie de COVID-19 en avril 2020. Un collègue a noté que si l’hôpital avait les ressources qu’il avait demandées, un patient en particulier pourrait ne pas être décédé, se référant au patient par son nom. Cette violation potentielle fait actuellement l’objet d’une enquête au moment de la rédaction du présent rapport.
dans un autre exemple, un employé D’Elite Dental Associates a répondu à l’avis d’un patient sur Yelp, une plate-forme de médias sociaux pour évaluer et examiner les entreprises., La réponse comprenait des informations sensibles sur le patient, y compris le nom du patient, les détails du plan de traitement et des informations sur le coût du traitement et l’assurance du patient. Au cours de son enquête sur la plainte, le Bureau des droits civils (OCR) a constaté que les réponses D’Elite Dental Associates à d’autres examens de patients contenaient des informations similaires. Elite Dental Associates a réglé la plainte pour 10 000$.
exemples de Violations HIPAA résultant d’appareils perdus ou volés
Les appareils volés peuvent également conduire à des violations HIPAA., Par exemple, les services de soins de santé catholiques de l’Archidiocèse de Philadelphie (CHCS) ont réglé des violations potentielles de la HIPAA pour 650 000 following en 2016 à la suite du vol d’un appareil mobile contenant des PHI de centaines de résidents de maisons de retraite.
en 2017, Lifespan, le plus grand système hospitalier du Rhode Island, a informé 20 000 patients que leur PHI se trouvait peut-être sur l’ordinateur portable volé d’un employé. Dans ces deux exemples, les appareils volés étaient non cryptés et non protégés par mot de passe.,
exemples de Violations HIPAA « Minimum nécessaire”
HIPAA exige que PHI ne soit partagé que sur une base « minimum nécessaire” – c’est-à-dire que les entités couvertes et les associés commerciaux doivent faire un effort raisonnable pour s’assurer que seules les informations minimales nécessaires pour effectuer une tâche ou effectuer une tâche sont accessibles par ou partagées avec des personnes autorisées, et c’est une autre exigence délicate qui peut conduire à des violations. Par exemple, une infirmière travaillant dans une unité ou à un étage ne devrait recevoir que les informations nécessaires pour prendre soin des patients dont elle a la responsabilité pendant son quart de travail.,
Les Violations de l’exigence minimale nécessaire sont courantes lorsqu’elles traitent avec des tiers. Par exemple, partager plus d’informations sur les patients que nécessaire pour traiter les réclamations avec un fournisseur d’assurance maladie peut constituer une violation de la HIPAA. Un psychologue du New Jersey a fait face à des allégations de violations de la HIPAA en 2017 après que le responsable de la facturation de la pratique a envoyé des copies des factures des patients, y compris des codes qui pourraient révéler des diagnostics et des traitements à une agence de recouvrement., La plainte alléguait que la pratique n’avait pas envisagé de fournir uniquement un grand livre des transactions ou d’expurger les détails sensibles inutiles des patients avant d’envoyer les renseignements à l’agence de recouvrement.,
Les meilleures pratiques pour éviter ces types de violations HIPAA potentielles comprennent l’élaboration de politiques de sécurité écrites claires et complètes, y compris les politiques de médias sociaux, la mise en œuvre d’une formation de sensibilisation à la cybersécurité pour les employés, et la mise en œuvre et l’application de politiques de gestion des appareils robustes, ,
Protégez votre entreprise contre les Violations HIPAA: un Guide Do/Don »t Do
transparence est le fondement de la conformité HIPAA
la liste de contrôle détaillée et les exigences D’évaluation des risques de HIPAA rendent votre approche axée sur la sécurité difficile. Vous voulez être transparent, mais les règles l’empêchent parfois., Chez Zeguro, nous apprécions la transparence dans la façon dont nous communiquons avec nos clients, ce qui peut également être un guide sur la façon dont vous voyez la transparence des données médicales:
- honnêteté: nous sommes à l’avant-garde sur la façon dont vos protections sont alignées avec les exigences des règles de sécurité HIPAA.
- clarté: nos modèles de politique en langage clair et nos modules de formation éliminent le jargon juridique du processus pour vous aider à créer des lignes directrices HIPAA pour les employés.
- simplicité: nous simplifions la conformité HIPAA avec une plate-forme facile à naviguer et un personnel qui peut répondre à vos questions et alléger le fardeau de la conformité.,
Remarque: Zeguro n’est pas en mesure de commenter des cas ou violations HIPAA spécifiques et ne fournit que des conseils généraux dans ses blogs et articles. Nous ne sommes pas non plus en mesure de répondre à des questions HIPAA personnelles. Pour obtenir de l’aide en cas de violation de la loi HIPAA, nous vous recommandons de contacter un conseiller juridique agréé. Si vous cherchez des solutions qui peuvent vous aider à respecter la conformité HIPAA, nous offrons une solution intégrée de cybersécurité et de cyberassurance qui peut aider à sécuriser votre organisation et à protéger PHI/ePHI. En savoir plus ici: https://www.zeguro.com/cybersecurity/compliance.