Violazioni HIPAA: storie, esempi di lavoro e datore di lavoro e altro / Zeguro Blog

0 Comments

“Ma, non lo sapevo.”

Non è una scusa. Che tu abbia cinque o cinquantacinque anni, hai spesso risposto a un’accusa con questa frase. Sfortunatamente, nel mondo della protezione dei dati, i regolatori non vogliono sentire quella frase. Devi saperlo. Quando si tratta di informazioni sanitarie dei dipendenti o dei clienti, gli incidenti possono mandare in bancarotta un’azienda., Mantenere una cultura aziendale di conformità basata sulla sicurezza per creare una forza lavoro cyber consapevole prepara e protegge la tua pratica o la tua azienda dalle comuni violazioni HIPAA associate alle azioni dei dipendenti, indipendentemente dal fatto che tu sia nel settore sanitario o meno.

Che cos’è HIPAA?

L’Healthcare Insurance Portability and Accountability Act del 1996 (HIPAA) richiedeva al Dipartimento della salute e dei servizi umani (HHS), amministrato attraverso l’Office of Civil Rights (OCR), di adottare standard nazionali per le informazioni sanitarie elettroniche., Esteso nel corso degli anni, HIPAA ora incorpora la regola sulla privacy, la regola di sicurezza, la regola di applicazione e la regola di notifica delle violazioni.

Un breve riassunto HIPAA è che queste quattro regole stabiliscono linee guida rigorose per la privacy e i controlli di sicurezza sulle informazioni sanitarie protette (PHI). Definiti come “informazioni sanitarie identificabili individualmente”, PHI o PHI elettronico (ePHI) include qualsiasi informazione demografica, anamnesi, risultati di test o di laboratorio, informazioni sulla salute mentale, informazioni assicurative o altri dati che identificano un cliente., Tuttavia, per comprendere appieno non solo cos’è HIPAA ma come si riferisce alla tua attività, hai bisogno di una breve panoramica della regola di sicurezza e della regola di privacy.

Un semplice riepilogo delle regole di sicurezza HIPAA

In breve, la regola di sicurezza crea una serie di linee guida per assicurarsi che le organizzazioni sanitarie, le altre entità coperte e i soci in affari salvaguardino la riservatezza, l’integrità e la disponibilità di EPHI creati, ricevuti, mantenuti o trasmessi. In altre parole, non lasciare che qualcuno acceda accidentalmente alle informazioni o le rubi, indipendentemente da cosa sia o dove sia., Come parte di questo, è necessario identificare e proteggere da potenziali rischi che portano a usi o divulgazioni non intenzionali. Inoltre, è necessario assicurarsi che i dipendenti fanno lo stesso.

A Simple HIPAA Privacy Rule Summary

Sebbene di natura simile, la HIPAA Privacy Rule si concentra sul diritto di una persona di controllare l’uso delle proprie informazioni. Mentre è necessario proteggerlo, è inoltre necessario assicurarsi che non si sta permettendo a nessuno di avere accesso accidentale o non autorizzato ad esso.,

Differenze chiave tra le regole di sicurezza e privacy

La regola di privacy HIPAA e le regole di sicurezza HIPAA possono sembrare simili, ma ci sono due importanti distinzioni:

  1. Mentre la regola di sicurezza si concentra sulle informazioni elettroniche, la regola di privacy incorpora anche informazioni parlate e cartacee.
  2. La regola sulla privacy si concentra sul “mantenerlo silenzioso” mentre la regola di sicurezza descrive i passaggi specifici per la conformità.

Chi deve rispettare HIPAA?,

HIPAA si applica a te come “entità coperta” se sei un operatore sanitario, un piano sanitario o una stanza di compensazione per l’assistenza sanitaria. La definizione HIPAA di” entità aziendali ” si espande per incorporare terze parti che svolgono funzioni per conto di entità coperte che utilizzano, memorizzano, elaborano o divulgano informazioni sanitarie per loro.

In altre parole, se stai cercando di espandere un software o un’applicazione Web per abilitare una qualsiasi delle entità coperte sopra menzionate, devi essere conforme alle regole HIPAA.

Che cosa costituisce una violazione HIPAA?,

Anche se le violazioni HIPAA sorgono in una varietà di modi, tutti incorporano “qualcuno che non dovrebbe sapere qualcosa che impara a riguardo perché non c’erano abbastanza protezioni.”Questa definizione include tutto, dai dipendenti che hanno troppo accesso al sistema, a un hacker che guadagna l’ingresso al tuo sistema, a qualcuno che lascia un pezzo di carta su una scrivania o uno schermo aperto per la visualizzazione.

In base alla regola di esecuzione, OCR può imporre multe ovunque da $100 per violazione (non superiore a annually 25.000 all’anno) a $50.000 per violazione (non superiore a million 1,5 milioni all’anno) per una violazione accidentale., I minimi di pena aumentano quando si agisce più volontariamente quando si viola la legge. In effetti, se le tue azioni sono troppo eclatanti, il Dipartimento di Giustizia può multarti 2 250.000 e sottoporti a fino a dieci anni di carcere per un compromesso sui dati con l’intento di vendere, trasferire o utilizzare le informazioni per vantaggio commerciale, guadagno personale o danno dannoso.,

Violazioni HIPAA del datore di lavoro: come proteggere le informazioni sui dipendenti

Anche se non sei un operatore sanitario o un socio in affari (terze parti che gestiscono le informazioni sanitarie per conto di un operatore sanitario), potresti comunque essere a rischio. HIPAA legge e datori di lavoro hanno un rapporto teso. Sebbene i diritti di privacy medici dei dipendenti ricadano principalmente sotto l’Americans with Disabilities Act (ADA), alcuni rientrano nelle leggi e nei regolamenti HIPAA. È importante sottolineare che esistono alcune linee guida HIPAA per i datori di lavoro.,

Non chiamare il medico

Qualunque cosa tu faccia, non chiamare mai il fornitore di servizi sanitari di un dipendente. Ma non farlo.

Segregare la documentazione medica

Se si richiedono esami medici come parte di un programma di salute dei dipendenti o come requisito per un’offerta di lavoro, mantenere le informazioni mediche segregate dai registri dei dipendenti tradizionali. Questo può essere segregazione fisica o segregazione digitale (come un server diverso).,

Proteggi l’ePHI all’interno dei piani di assistenza sanitaria autoassicurati

Se stai utilizzando un piano ASO (Administrative Services Only) in cui tu, come datore di lavoro, paghi i benefici utilizzando i fondi della tua azienda, devi essere interamente conforme a HIPAA.

Stabilire pratiche di gestione dei dati per le informazioni sul piano sanitario di gruppo

Se stai ricevendo più di informazioni di riepilogo dal piano sanitario di gruppo, è coperto da HIPAA e ha bisogno di protezione., Assicurati di rivedere la documentazione inviata al tuo reparto Risorse umane e creare nuove pratiche o definire meglio le informazioni che il piano sanitario del gruppo dovrebbe inviarti.

Rivedere cliniche aziendali e programmi di assistenza dei dipendenti

Entrambi questi possono essere classificati come entità ibride in cui il fornitore trasmette informazioni per il pagamento. In quanto tale, se si mantengono record come questi, è necessario bloccarli per essere conformi.,

Non annunciare mai qualcosa (buono o cattivo) classificato come una condizione medica

Potresti essere al settimo cielo che il tuo dipendente è incinta o devastato dalla diagnosi di cancro di un dipendente. Tuttavia, a meno che il tuo dipendente non ti consenta di divulgare, fare un annuncio per condividere queste informazioni con altri membri dello staff o con la direzione può essere una violazione HIPAA.

Esempi di violazione HIPAA

Le storie di violazione HIPAA abbondano. Possono derivare da oversharing sui social media e dispositivi persi o rubati., Anche le aziende che non operano più non sono al sicuro dalle conseguenze delle violazioni HIPAA.

Esempi di violazioni HIPAA dei social media

Molte violazioni HIPAA che coinvolgono i social media sono accidentali. Ad esempio, i commenti e i post sui social media possono violare i regolamenti HIPAA anche se non menzionano un paziente per nome. In alcuni casi, i dipendenti possono condividere le foto sui social media senza rendersi conto che le informazioni sui pazienti sono visibili in background.,

Un esempio recente riguarda un’infermiera che ha creato un video in cui ha intervistato i colleghi sulle sfide che devono affrontare lavorando durante la pandemia di COVID-19 nell’aprile 2020. Un collega ha notato che se l’ospedale aveva le risorse che aveva richiesto, un particolare paziente potrebbe non essere morto, riferendosi al paziente per nome. Questa potenziale violazione è attualmente sotto inchiesta al momento della scrittura.

In un altro esempio, un dipendente di Elite Dental Associates ha risposto alla recensione di un paziente su Yelp, una piattaforma di social media per valutare e rivedere le aziende., La risposta includeva informazioni sensibili sul paziente, tra cui il nome del paziente, i dettagli del piano di trattamento e le informazioni sul costo del trattamento e sull’assicurazione del paziente. Durante la sua indagine sulla denuncia, l’Office of Civil Rights (OCR) ha rilevato che le risposte di Elite Dental Associates ad altre revisioni dei pazienti contenevano informazioni simili. Elite Dental Associates risolto il reclamo per $10.000.

Esempi di violazioni HIPAA derivanti da dispositivi smarriti o rubati

I dispositivi rubati possono anche portare a violazioni HIPAA., Ad esempio, i servizi sanitari cattolici dell’Arcidiocesi di Filadelfia (CHCS) hanno risolto potenziali violazioni HIPAA per $650,000 in 2016 in seguito al furto di un dispositivo mobile che conteneva PHI di centinaia di residenti di case di cura.

In 2017, Lifespan, il più grande sistema ospedaliero del Rhode Island, ha notificato a 20,000 pazienti che il loro PHI potrebbe essere stato sul laptop rubato di un dipendente. In entrambi questi esempi, i dispositivi rubati sono risultati non crittografati e non protetti da password.,

Esempi di “Minimo Necessario” Violazioni HIPAA

HIPAA richiede che il PHI è condivisa solo su un “minimo necessario” base – che è coperto entità e colleghi di lavoro deve fare un ragionevole sforzo per garantire che solo le informazioni minime necessarie per completare un compito o di eseguire un lavoro utilizzati o condivisi con persone autorizzate, e questo è un altro difficile requisito che può portare a violazioni. Ad esempio, un’infermiera che lavora in un’unità o su un piano dovrebbe ricevere solo le informazioni necessarie per prendersi cura dei pazienti di cui è responsabile durante il turno.,

Le violazioni del requisito minimo necessario sono comuni quando si tratta di terze parti. Ad esempio, la condivisione di più informazioni sui pazienti del necessario per elaborare i reclami con un fornitore di assicurazione sanitaria può costituire una violazione HIPAA. Uno psicologo del New Jersey ha affrontato accuse di violazioni HIPAA in 2017 dopo che il responsabile della fatturazione della pratica ha inviato copie delle fatture dei pazienti, inclusi codici che potrebbero rivelare diagnosi e trattamenti a un’agenzia di collezioni., La denuncia ha affermato che la pratica non ha preso in considerazione la fornitura solo di un registro delle transazioni o la redazione di eventuali dettagli sensibili del paziente non necessari prima di inviare le informazioni all’agenzia delle collezioni.,

Le best practice per evitare questo tipo di potenziali violazioni HIPAA includono lo sviluppo di politiche di sicurezza scritte chiare e complete, comprese le politiche sui social media, l’implementazione di corsi di sensibilizzazione sulla sicurezza informatica per i dipendenti e l’implementazione e l’applicazione di politiche di gestione dei dispositivi robuste, inclusi i requisiti di segnalazione per dispositivi persi o rubati,

Proteggere la Vostra Azienda Da HIPAA Violazioni: A Fare/Non Fare Guida

Fonte: Zeguro

Trasparenza È il Fondamento di Conformità HIPAA

HIPAA dettagliato elenco di controllo e di valutazione del rischio requisiti di rendere la vostra sicurezza-primo approccio difficile. Vuoi essere trasparente, ma le regole a volte lo impediscono., A Zeguro, apprezziamo la trasparenza nel modo in cui comunichiamo con i nostri clienti, che può anche essere una guida per come visualizzare i dati medici trasparenza:

  • Onestà: Siamo in anticipo su quanto bene le protezioni si allineano con i requisiti della regola di sicurezza HIPAA.
  • Chiarezza: i nostri modelli di politica di linguaggio semplice e moduli di formazione rimuovono legalese dal processo per aiutarti a creare linee guida HIPAA per i dipendenti.
  • Semplicità: semplifichiamo la conformità HIPAA con una piattaforma facile da navigare e personale in grado di rispondere alle tue domande e alleviare l’onere della conformità.,

Nota: Zeguro non è in grado di commentare casi specifici HIPAA o violazioni e fornisce solo consigli generali nei suoi blog e articoli. Inoltre, non siamo in grado di assistere in domande HIPAA personali. Per assistenza con violazioni HIPAA, ti consigliamo di contattare un consulente legale autorizzato. Se stai cercando soluzioni che possano aiutarti a soddisfare la conformità HIPAA, offriamo una soluzione integrata di sicurezza informatica e cyber insurance che può aiutare a proteggere la tua organizzazione e proteggere PHI/ePHI. Per saperne di più qui: https://www.zeguro.com/cybersecurity/compliance.


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *