HIPAA jogsértések: történetek, munkahelyi & munkáltatói példák, és még több / Zeguro Blog

0 Comments

” de nem tudtam.”

Ez nem mentség. Akár öt, akár ötvenöt éves, gyakran reagált a vádakra ezzel a mondattal. Sajnos az adatvédelem világában a szabályozók nem akarják hallani ezt a kifejezést. Tudnia kell. Amikor a munkavállaló vagy az ügyfél egészségügyi információk, balesetek csődbe Egy cég., Fenntartása vállalati kultúra biztonsági első megfelelés, hogy hozzon létre egy cyber tisztában munkaerő készíti, valamint védi a gyakorlatban, vagy a vállalkozás a közös HIPAA megsértése kapcsolódó alkalmazott intézkedések – e, vagy az egészségügyi ellátás területén, vagy nem.

mi az a HIPAA?

Az 1996.évi egészségbiztosítási hordozhatóságról és elszámoltathatóságról szóló törvény (HIPAA) előírta az egészségügyi és Emberi Szolgáltatások Minisztériumának (HHS), amelyet a Polgári Jogi Hivatal (OCR) vezet be, hogy fogadja el az elektronikus egészségügyi információkra vonatkozó nemzeti szabványokat., Az évek során meghosszabbított HIPAA magában foglalja az adatvédelmi szabályt, a biztonsági szabályt, a végrehajtási szabályt, valamint a jogsértési értesítési szabályt.

egy rövid HIPAA-összefoglaló szerint ez a négy szabály szigorú irányelveket állapít meg a védett egészségügyi információkra (PHI) vonatkozó adatvédelmi és biztonsági ellenőrzésekre vonatkozóan. Az “egyedileg azonosítható egészségügyi információként” definiált PHI vagy elektronikus PHI (ePHI) magában foglal minden demográfiai információt, kórtörténetet, teszt-vagy laboratóriumi eredményt, mentális egészségügyi információkat, biztosítási információkat vagy egyéb adatokat, amelyek azonosítják az ügyfelet., Ahhoz azonban, hogy teljes mértékben megértsük, mi a HIPAA, de hogyan kapcsolódik az Ön vállalkozásához, rövid áttekintésre van szüksége a biztonsági szabályról és az Adatvédelmi szabályról.

egy egyszerű HIPAA biztonsági szabály összefoglaló

röviden, A biztonsági szabály egy sor iránymutatást hoz létre annak biztosítására, hogy az egészségügyi szervezetek, más érintett szervezetek és üzleti partnerek megvédjék az ePHI által létrehozott, fogadott, karbantartott vagy továbbított titoktartást, integritást és elérhetőségét. Más szavakkal, ne hagyja, hogy valaki véletlenül hozzáférjen az információhoz, vagy ellopja, függetlenül attól, hogy mi az, vagy hol van., Ennek részeként meg kell határoznia és védenie kell azokat a lehetséges kockázatokat, amelyek nem szándékos felhasználásokhoz vagy közzétételekhez vezetnek. Ezenkívül meg kell győződnie arról, hogy alkalmazottai ugyanezt teszik.

egy egyszerű HIPAA adatvédelmi szabály összefoglaló

bár hasonló jellegű, a HIPAA adatvédelmi szabály az egyén azon jogára összpontosít, hogy ellenőrizze információik használatát. Miközben meg kell, hogy biztosítsa azt, akkor is meg kell győződnie arról, hogy te nem hagyja, hogy bárki véletlen vagy jogosulatlan hozzáférést hozzá.,

A biztonsági és adatvédelmi szabályok közötti legfontosabb különbségek

a HIPAA Adatvédelmi szabálya és a HIPAA biztonsági szabályai hasonlónak tűnhetnek, de két fontos különbség van:

  1. míg a biztonsági szabály az elektronikus információkra összpontosít, az Adatvédelmi Szabály magában foglalja a beszélt és papír információkat is.
  2. az Adatvédelmi Szabály a “hallgatásra” összpontosít, míg a biztonsági szabály a megfelelés konkrét lépéseit részletezi.

kinek kell megfelelnie a HIPAA-nak?,

HIPAA vonatkozik rád, mint egy “fedett entitás”, ha egy egészségügyi szolgáltató, egészségügyi terv, vagy egészségügyi clearinghouse. A HIPAA meghatározása a “gazdálkodó szervezetek” kitágul, hogy bele harmadik fél, aki végre funkciók nevében hatálya alá tartozó jogalanyok felhasználni, tárolni, feldolgozni, vagy nyilvánosságra egészségügyi információk őket.

más szóval, ha egy szoftvert vagy webes alkalmazást szeretne kibővíteni a fent említett fedett entitások bármelyikének engedélyezéséhez, akkor meg kell felelnie a HIPAA szabályoknak.

mit jelent a HIPAA megsértése?,

bár a HIPAA megsértése sokféle módon merül fel, mindegyik magában foglalja “valakit, akinek nem kellene tudnia valamit, aki megtudja róla, mert nem volt elég védelem.”Ez a meghatározás mindent magában foglal, a túl sok rendszer-hozzáféréssel rendelkező alkalmazottaktól kezdve a hackerekig, akik belépnek a rendszerbe, valakihez, aki egy darab papírt hagy az asztalon vagy egy megtekinthető képernyőn.

a végrehajtási szabály szerint az OCR szabálysértésenként (évente legfeljebb 25 000 dollár) 100 dollártól 50 000 dollárig bírságot szabhat ki (évente legfeljebb 1, 5 millió dollár) A véletlen jogsértés miatt., A büntetési minimumok növekednek, amikor szándékosan cselekszel, amikor megsérted a törvényt. Sőt, ha a tevékenységek túl hallatlan, az Igazságügyi Minisztérium is jól $250,000 függően, hogy akár tíz év börtönt data kompromisszum szándékkal, hogy eladja, átadása, vagy az információkat a kereskedelmi előny, személyes nyereség, vagy rosszindulatú kárt.,

munkáltatói HIPAA jogsértések: hogyan lehet megvédeni a munkavállalói információkat

még akkor is, ha nem egészségügyi szolgáltató vagy üzleti partner (harmadik fél kezeli az egészségügyi információkat az egészségügyi szolgáltató nevében), továbbra is veszélyben lehet. A HIPAA-törvény és a munkaadók között feszült a viszony. Bár a munkavállalói egészségügyi adatvédelmi jogok többnyire az amerikai fogyatékossággal élő törvény (ADA) hatálya alá tartoznak, egyesek a HIPAA törvények és rendeletek hatálya alá tartoznak. Fontos, hogy néhány HIPAA iránymutatás létezik a munkáltatók számára.,

ne hívja az orvost

bármit is csinál, soha ne hívja a munkavállaló egészségügyi szolgáltatóját. Csak ne csináld.

Szegregálja az orvosi dokumentációt

ha orvosi vizsgákra van szüksége egy munkavállalói egészségügyi program részeként vagy egy állásajánlat követelményeként, tartsa az orvosi információkat a hagyományos munkavállalói nyilvántartásokból elkülönítve. Ez lehet fizikai szegregáció vagy digitális szegregáció (például egy másik szerver).,

védje az ePHI – t az Önbiztosított egészségügyi terveken belül

Ha csak adminisztratív szolgáltatásokat (ASO) használ, amelyben Ön, mint munkáltató, a saját vállalati források felhasználásával fizet előnyöket, akkor teljes mértékben HIPAA-nak kell lennie.

Létre adatkezelési Gyakorlat Csoportos egészségbiztosítás Információk

Ha egyre több mint összefoglaló információk a csoport egészségügyi terv hatálya alá tartozó HIPAA, illetve védelemre van szüksége., Győződjön meg róla, hogy felülvizsgálja a humánerőforrás-osztálynak küldött dokumentációt, vagy új gyakorlatokat hoz létre, vagy jobban meghatározza, hogy a csoport egészségügyi tervének milyen információkat kell küldenie Önnek.

Review Company Health Clinics and Employee Assistance Programs

mindkettő hibrid entitásoknak minősíthető, ahol a szolgáltató fizetési információkat továbbít. Mint ilyen, ha ilyen rekordokat tart fenn, le kell zárnia őket, hogy megfeleljenek.,

soha ne jelentsen be valamit (jó vagy rossz), amely orvosi állapotnak minősül

lehet, hogy a hold felett van, hogy alkalmazottja terhes vagy elpusztult a munkavállaló rákdiagnózisa miatt. Azonban, kivéve, ha a munkavállaló lehetővé teszi, hogy hozzák nyilvánosságra, hogy egy bejelentést, hogy megosszák ezt az információt a személyzet többi tagja vagy a menedzsment lehet egy HIPAA megsértése.

HIPAA megsértése példák

HIPAA megsértése történetek bővelkedik. Ezek felmerülhetnek a közösségi média túllépéséből, valamint az elveszett vagy ellopott eszközökből., Még azok a vállalkozások is, amelyek már nem működnek, nem biztonságosak a HIPAA megsértésének következményeitől.

példák a közösségi média HIPAA megsértésére

a közösségi médiát érintő HIPAA jogsértések véletlenek. Például a közösségi média kommentjei és posztjai sérthetik a HIPAA szabályozását, még akkor is, ha név szerint nem említik a beteget. Bizonyos esetekben az alkalmazottak megoszthatják a fényképeket a közösségi médiában anélkül, hogy észrevennék, hogy a beteginformációk a háttérben láthatók.,

egy közelmúltbeli példa egy nővérre vonatkozik, aki készített egy videót, amelyben interjút készített munkatársaival a COVID-19 világjárvány során 2020 áprilisában felmerülő kihívásokról. Az egyik munkatárs megjegyezte, hogy ha a kórház rendelkezik a kért erőforrásokkal, előfordulhat, hogy egy adott beteg nem halt meg, név szerint hivatkozva a betegre. Ezt a lehetséges jogsértést jelenleg az írás idején vizsgálják.

egy másik példában az Elite Dental Associates egyik alkalmazottja reagált a Yelp-ről, a közösségi média platformjáról a vállalkozások minősítésére és felülvizsgálatára., A válasz érzékeny beteginformációkat tartalmazott, beleértve a beteg nevét, a kezelési terv részleteit, valamint a kezelés költségeiről és a beteg biztosításáról szóló információkat. A panasz kivizsgálása során a Polgári Jogok Hivatala (OCR) megállapította, hogy az Elite Dental Associates más betegvizsgálatokra adott válaszai hasonló információkat tartalmaztak. Az Elite Dental Associates 10 000 dollárért rendezte a panaszt.

példák az elveszett vagy ellopott eszközökből eredő HIPAA jogsértésekre

Az ellopott eszközök HIPAA jogsértésekhez is vezethetnek., Például a Philadelphiai Érsekség (CHCS) katolikus egészségügyi szolgálatai 2016-ban 650 000 dollárért rendezték meg a potenciális HIPAA jogsértéseket, miután elloptak egy mobil eszközt, amely több száz ápolási otthoni lakos PHI-jét tartalmazta.

2017-ben Rhode Island legnagyobb kórházi rendszere 20 000 beteget jelentett be arról, hogy PHI-jük egy alkalmazott lopott laptopján lehetett. Mindkét példában az ellopott eszközöket titkosítatlannak találták, nem pedig jelszóval védettnek.,

Példa a “Szükséges Minimumot” HIPAA Megsértése

HIPAA megköveteli, hogy a PHI megosztott csak a “szükséges minimumot” alapon–, hogy az,, hatálya alá tartozó ajánlatkérők, az üzleti partnerek kell, hogy egy ésszerű erőfeszítést annak érdekében, hogy csak a minimálisan szükséges információk egy feladat elvégzésére, vagy elvégezni a munkát elérhető, vagy megosztott a hivatalos személyek, a másik trükkös követelmény, hogy oda vezethet, hogy a megsértése. Például egy egy egységben vagy a padlón dolgozó nővérnek csak a műszakban felelős betegek ellátásához szükséges információkat kell megadnia.,

a minimális szükséges követelmény megsértése gyakori harmadik felekkel való foglalkozás során. Például az egészségbiztosítási szolgáltatónál a követelések feldolgozásához szükségesnél több beteginformáció megosztása HIPAA-megsértésnek minősülhet. Egy New Jersey-i pszichológus szembe állítások a HIPAA megsértése 2017-ben, miután a gyakorlatban számlázási manager másolatot küldött betegek számlákat is beleértve kódok, amely felfedi diagnózis, valamint kezelési egy behajtó iroda., A panasz azt állította, hogy a gyakorlat nem vette figyelembe, hogy csak egy tranzakciós főkönyvet szolgáltasson, vagy bármilyen szükségtelen érzékeny beteg adatait kijavítsa, mielőtt az információkat elküldené a gyűjteményi Ügynökségnek.,

a Legjobb gyakorlatok elkerüli az ilyen típusú potenciális HIPAA jogsértések közé fejlődő világos, átfogó írásbeli biztonsági szabályzatokat, ideértve a szociális média, politika, végrehajtási számítógépes biztonság tudatosság munkatársak képzésére, valamint a végrehajtási, illetve érvényesítése robusztus készülék irányítási politikák, beleértve az adatszolgáltatási követelményeknek az elveszett vagy ellopott eszközök távoli törlés képességeit, hogy bizalmas adatok védelme.,

Védi A Cég A HIPAA Megsértése: A Do/Don”t Csinálni Útmutató

Forrás: Zeguro

az Átláthatóság az Alapítvány a HIPAA Megfelelés

HIPAA részletes ellenőrzési listát, valamint a kockázatértékelés követelmények a biztonsági első megközelítés nehéz. Átláthatónak akarsz lenni, de a szabályok ezt néha megakadályozzák., A Zeguro, mi érték átlátható módon kommunikáljunk ügyfeleinkkel, amely szintén egy útmutató, hogy hogyan megtekintése orvosi adatok átláthatóság:

  • Őszinteség: Megyünk előre, hogy milyen jó a védelem összehangolása, a HIPAA Biztonsági Szabály követelményeinek.
  • Clarity: A sima nyelv politika sablonok és képzési modulok eltávolítani legalese a folyamat, hogy segítsen létrehozni HIPAA iránymutatások alkalmazottak.
  • egyszerűség: egyszerűsítjük a HIPAA megfelelést egy könnyen navigálható platformmal, valamint olyan személyzettel, akik képesek válaszolni a kérdéseire, és megkönnyítik a megfelelés terheit.,

Megjegyzés: A Zeguro nem tud konkrét HIPAA-eseteket vagy jogsértéseket kommentálni, és csak általános tanácsokat ad blogjaiban és cikkeiben. Nem vagyunk képesek segíteni a személyes HIPAA kérdésekben. A HIPAA megsértésével kapcsolatos segítségért javasoljuk, hogy vegye fel a kapcsolatot az engedéllyel rendelkező jogi tanácsadóval. Ha olyan megoldásokat keres, amelyek segítenek megfelelni a HIPAA megfelelőségének, integrált kiberbiztonsági és kiberbiztonsági megoldást kínálunk, amely segíthet a szervezet biztonságában és a PHI/ePHI védelmében. További információ itt: https://www.zeguro.com/cybersecurity/compliance.


Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük