HIPAA schendingen: verhalen, werkplek & werkgever voorbeelden | en meer/Zeguro Blog

0 Comments

” maar, ik wist het niet.”

Het is geen excuus. Of je nu vijf of vijfenvijftig bent, je hebt vaak gereageerd op een beschuldiging met deze zin. Helaas willen toezichthouders in de wereld van gegevensbescherming die zin niet horen. Je moet het weten. Als het gaat om werknemer of klant gezondheidszorg informatie, ongevallen kunnen failliet een bedrijf., Het handhaven van een bedrijfscultuur van beveiliging-eerst compliance om een cyber aware workforce te creëren bereidt en beschermt uw praktijk of uw onderneming tegen veelvoorkomende HIPAA schendingen in verband met acties van werknemers – of u nu in de gezondheidszorg of niet.

Wat is HIPAA?

De Healthcare Insurance Portability and Accountability Act van 1996 (HIPAA) verplicht het Department of Health and Human Services (HHS), beheerd door het Office of Civil Rights (OCR), om nationale normen voor elektronische gezondheidsinformatie vast te stellen., HIPAA is in de loop der jaren uitgebreid en bevat nu de privacyregel, beveiligingsregel, Handhavingsregel en regel voor het melden van inbreuken.

een korte samenvatting van de HIPAA is dat deze vier regels strenge richtlijnen vaststellen voor privacy-en beveiligingscontroles met betrekking tot beschermde gezondheidsinformatie (Phi). Gedefinieerd als “individueel identificeerbare gezondheidsinformatie”, PHI of elektronische PHI (ePHI) omvat demografische informatie, medische geschiedenis, test-of labresultaten, informatie over geestelijke gezondheid, verzekeringsinformatie of andere gegevens die een cliënt identificeren., Om echter niet alleen volledig te begrijpen wat HIPAA is, maar ook hoe het zich verhoudt tot uw bedrijf, hebt u een kort overzicht nodig van de beveiligingsregel en de privacyregel.

een eenvoudige samenvatting van de HIPAA-beveiligingsregel

kortom, de beveiligingsregel creëert een reeks richtlijnen om ervoor te zorgen dat gezondheidszorgorganisaties, andere gedekte entiteiten en zakenpartners de vertrouwelijkheid, integriteit en beschikbaarheid van de gecreëerde, ontvangen, onderhouden of verzonden ePHI beschermen. Met andere woorden, laat niet iemand per ongeluk toegang tot de informatie of stelen het maakt niet uit wat het is of waar het is., Als onderdeel hiervan moet u potentiële risico ‘ s identificeren en beschermen die leiden tot onbedoeld gebruik of openbaarmaking. Bovendien moet u ervoor zorgen dat uw medewerkers hetzelfde doen.

een eenvoudige samenvatting van de HIPAA-privacyregel

hoewel de HIPAA-privacyregel vergelijkbaar is, richt de HIPAA-privacyregel zich op het recht van een persoon om het gebruik van zijn informatie te controleren. Terwijl je nodig hebt om het te beveiligen, je moet ook om ervoor te zorgen dat je niet toestaan dat iemand per ongeluk of onbevoegde toegang tot het.,

belangrijke verschillen tussen de veiligheids-en privacyregels

de HIPAA-privacyregel en de HIPAA-beveiligingsregels lijken misschien op elkaar, maar er zijn twee belangrijke verschillen:

  1. terwijl de beveiligingsregel zich richt op elektronische informatie, bevat de privacyregel ook gesproken en papieren informatie.
  2. de privacyregel richt zich op “het stil houden”, terwijl de beveiligingsregel specifieke stappen naar compliance beschrijft.

wie moet voldoen aan HIPAA?,

HIPAA is van toepassing op u als een” gedekte entiteit ” als u een zorgverlener, zorgplan, of zorg clearinghouse. De HIPAA-definitie van” zakelijke entiteiten ” breidt die uit om derden op te nemen die functies uitvoeren namens de gedekte entiteiten die gezondheidsinformatie voor hen gebruiken, opslaan, verwerken of openbaar maken.

met andere woorden, als u een software of webtoepassing wilt uitbreiden om een van de hierboven genoemde gedekte entiteiten in te schakelen, dan moet u voldoen aan de HIPAA-regels.

Wat is een HIPAA-overtreding?,

hoewel HIPAA schendingen zich op verschillende manieren voordoen, bevatten ze allemaal ” iemand die iets niet zou moeten weten die er over leert omdat er niet genoeg bescherming was.”Deze definitie omvat alles van werknemers die te veel toegang tot het systeem hebben, tot een hacker die toegang krijgt tot uw systeem, tot iemand die een stuk papier op een bureau of een scherm openlaat om te bekijken.

onder de Handhavingsregel kan OCR boetes opleggen van $ 100 per overtreding (niet meer dan $25.000 per jaar) tot $50.000 per overtreding (niet meer dan $1,5 miljoen per jaar) voor een accidentele overtreding., De straf minima verhogen als je meer opzettelijk handelen bij het overtreden van de wet. In feite, als uw acties zijn te flagrante, het Ministerie van Justitie kan u een boete van $250.000 en u onderwerpen aan maximaal tien jaar in de gevangenis voor een data compromis met de bedoeling om te verkopen, overdracht of gebruik van de informatie voor commercieel voordeel, persoonlijk gewin, of kwaadwillige schade.,

werkgever HIPAA schendingen: hoe werknemersinformatie te beschermen

zelfs als u geen zorgverlener of zakenpartner bent (derde partij die zorginformatie behandelt namens een zorgverlener), kunt u nog steeds een risico lopen. HIPAA recht en werkgevers hebben een gespannen relatie. Hoewel werknemers medische privacy rechten vallen meestal onder de Americans with Disabilities Act (ADA), sommige vallen onder HIPAA wet-en regelgeving. Belangrijk is dat er een paar HIPAA richtlijnen voor werkgevers bestaan.,

bel de arts niet

wat u ook doet, bel nooit de zorgverlener van een werknemer. Doe het gewoon niet.

scheid Medische Documentatie

Als u medische onderzoeken nodig hebt als onderdeel van een gezondheidsprogramma voor werknemers of als een vereiste voor een baanaanbieding, houd medische informatie gescheiden van traditionele personeelsdossiers. Dit kan fysieke segregatie of digitale segregatie zijn (zoals een andere server).,

bescherm ePHI binnen zelfverzekerde zorgplannen

Als u gebruik maakt van een Administrative Services Only (ASO) – plan waarin u als werkgever uitkeringen betaalt met behulp van uw eigen bedrijfsmiddelen, dan moet u volledig HIPAA-compliant zijn.

stel praktijken voor gegevensverwerking vast voor informatie over het groepsgezondheidsplan

als u meer dan beknopte informatie uit het groepsgezondheidsplan krijgt, wordt het gedekt door HIPAA en heeft het bescherming nodig., Zorg ervoor dat u de documentatie bekijkt die naar uw Human Resources-afdeling is verzonden en nieuwe praktijken maakt of beter definieert welke informatie het gezondheidsplan van de groep u moet sturen.

beoordeling Bedrijfsgezondheidsklinieken en programma ‘ s voor bijstand aan werknemers

beide kunnen worden geclassificeerd als hybride entiteiten waarbij de aanbieder informatie voor betaling doorzendt. Als zodanig, als je records als deze te onderhouden, je nodig hebt om ze te vergrendelen om compliant te zijn.,

kondig nooit iets aan (goed of slecht) dat geclassificeerd is als een medische aandoening

Het kan zijn dat u blij bent dat uw werknemer zwanger is of er kapot van is door de kankerdiagnose van een werknemer. Echter, tenzij uw werknemer u toestaat om bekend te maken, het maken van een aankondiging om deze informatie te delen met andere medewerkers of het management kan een HIPAA overtreding.

HIPAA schending voorbeelden

HIPAA schending verhalen in overvloed. Ze kunnen ontstaan door oversharing op sociale media en verloren of gestolen apparaten., Zelfs bedrijven die niet langer actief zijn, zijn niet veilig voor de gevolgen van HIPAA-schendingen.

voorbeelden van HIPAA-schendingen op sociale Media

veel HIPAA-schendingen met betrekking tot sociale media zijn per ongeluk. Bijvoorbeeld, social media opmerkingen en berichten kunnen HIPAA regelgeving overtreden, zelfs als ze niet een patiënt bij naam noemen. In sommige gevallen kunnen werknemers foto ‘ s delen op sociale media zonder zich te realiseren dat patiëntinformatie zichtbaar is op de achtergrond.,

een recent voorbeeld betreft een verpleegkundige die een video heeft gemaakt waarin ze collega ‘ s interviewde over de uitdagingen waar ze voor staan tijdens de covid-19-pandemie in April 2020. Een collega merkte op dat als het ziekenhuis de middelen had die het had gevraagd, een bepaalde patiënt misschien niet is overleden, verwijzend naar de patiënt bij naam. Deze mogelijke schending wordt momenteel onderzocht op het moment van schrijven.

in een ander voorbeeld reageerde een werknemer van Elite Dental Associates op de beoordeling van een patiënt op Yelp, een social media platform voor het beoordelen en beoordelen van bedrijven., De respons omvatte gevoelige patiëntinformatie, waaronder de naam van de patiënt, details van het behandelplan en informatie over de kosten van de behandeling en de verzekering van de patiënt. Tijdens het onderzoek van de klacht, het Office of Civil Rights (OCR) vond dat Elite Dental Associates’ reacties op andere patiëntbeoordelingen bevatte soortgelijke informatie. Elite Dental Associates schikte de klacht voor $10.000.

voorbeelden van HIPAA schendingen als gevolg van verloren of gestolen apparaten

gestolen apparaten kunnen ook leiden tot HIPAA schendingen., Bijvoorbeeld, Katholieke gezondheidszorg diensten van het aartsbisdom van Philadelphia (CHCS) geregeld potentiële HIPAA schendingen voor $650.000 in 2016 na de diefstal van een mobiel apparaat dat PHI van honderden verpleeghuis bewoners bevatte. in 2017 informeerde Lifespan, het grootste ziekenhuis van Rhode Island, 20.000 patiënten dat hun PHI mogelijk op de gestolen laptop van een werknemer stond. In beide voorbeelden bleken de gestolen apparaten niet-versleuteld te zijn en niet beveiligd met een wachtwoord.,

voorbeelden van” minimaal noodzakelijke “HIPAA – schendingen

HIPAA vereist dat PHI alleen wordt gedeeld op een” minimaal noodzakelijke ” basis-dat wil zeggen, gedekte entiteiten en zakenpartners moeten een redelijke inspanning leveren om ervoor te zorgen dat alleen de minimale informatie die nodig is om een taak te voltooien of een taak uit te voeren toegankelijk is voor of gedeeld wordt met bevoegde personen, en dit is een andere lastige vereiste die kan leiden tot schendingen. Bijvoorbeeld, een verpleegkundige die in een eenheid of op een verdieping werkt, mag alleen de informatie krijgen die nodig is om de patiënten te verzorgen waarvoor ze verantwoordelijk zijn tijdens hun dienst.,

schendingen van de minimaal noodzakelijke eis zijn gebruikelijk bij het omgaan met derden. Het delen van meer patiëntinformatie dan nodig is om claims te verwerken met een zorgverzekeraar kan bijvoorbeeld een HIPAA-overtreding vormen. Een psycholoog uit New Jersey werd in 2017 geconfronteerd met beschuldigingen van HIPAA-schendingen nadat de factureringsmanager van de praktijk kopieën van de rekeningen van patiënten stuurde, waaronder codes die diagnoses en behandelingen aan een incassobureau konden onthullen., In de klacht werd aangevoerd dat de praktijk niet had overwogen om alleen een transactieregister te verstrekken of onnodige gevoelige patiëntgegevens te bewerken alvorens de informatie naar het incassobureau te sturen.,

beste praktijken om dit soort potentiële HIPAA-schendingen te voorkomen, zijn onder meer het ontwikkelen van een duidelijk en uitgebreid schriftelijk beveiligingsbeleid, waaronder beleid voor sociale media, het implementeren van bewustmakingstrainingen over cyberbeveiliging voor werknemers, en het implementeren en handhaven van robuust beleid voor apparaatbeheer, inclusief rapportagevereisten voor verloren of gestolen apparaten en het op afstand wissen van mogelijkheden om gevoelige informatie te beschermen.,

Bescherm uw bedrijf tegen HIPAA-schendingen: a do/Don”t Do Guide

bron: Zeguro

transparantie Is de basis van HIPAA compliance

HIPAA ‘ s gedetailleerde Control List en risicobeoordeling eisen maken uw Security-First aanpak moeilijk. Je wilt transparant zijn, maar de regels verhinderen dat soms., Bij Zeguro waarderen we transparantie in de manier waarop we communiceren met onze klanten, wat ook een leidraad kan zijn voor hoe u medische gegevens bekijkt transparantie:

  • Eerlijkheid: We zijn eerlijk over hoe goed uw beveiliging overeenkomt met de vereisten van de HIPAA-beveiligingsregel.
  • duidelijkheid: onze beleidssjablonen en trainingsmodules voor eenvoudige taal verwijderen legalese uit het proces om u te helpen HIPAA-richtlijnen voor werknemers te maken.
  • eenvoud: we vereenvoudigen HIPAA compliance met een eenvoudig te navigeren platform en medewerkers die uw vragen kunnen beantwoorden en de last van compliance verlichten.,

opmerking: Zeguro kan geen commentaar geven op specifieke HIPAA-gevallen of schendingen en geeft alleen algemeen advies in zijn blogs en artikelen. We zijn ook niet in staat om te helpen bij persoonlijke HIPAA vragen. Voor hulp bij HIPAA overtredingen raden wij u aan contact op te nemen met gelicentieerde juridisch adviseur. Als u op zoek bent naar oplossingen die u kunnen helpen voldoen aan de HIPAA-compliance, bieden wij een geïntegreerde cybersecurity-en cyber insurance-oplossing die u kan helpen uw organisatie te beveiligen en PHI/ePHI te beschermen. Meer informatie hier: https://www.zeguro.com/cybersecurity/compliance.


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *