HIPAA 위반:이야기,직장 및 고용주 예 등/제구로 블로그
“하지만,나는 몰랐다.”
그것은 변명의 여지가 없습니다. 당신이 5 살이든 오십 살이든,당신은 종종이 문장으로 고발에 응했습니다. 불행히도 데이터 보호의 세계에서 규제 당국은 그 문구를 듣고 싶지 않습니다. 당신은 알고 있어야합니다. 직원 또는 고객 의료 정보에 관해서,사고 회사를 파산 수 있습니다., 을 유지하는 기업 문화의 보안 첫 번째 규정 준수를 만들 사이버 알고 있는 인력을 준비하고를 보호하고 연습 또는 당신의 기업에서 일반적인 HIPAA 위반과 관련된 직원 행동을-당신은에서 의료 분야 또는하지 않습니다.
HIPAA 란 무엇입니까?
의료보험 이동성 및 책임 행동의 1996(HIPAA)필요 Department of Health and Human Services(HHS),를 통해 관리 사무실의 민권(OCR),를 채택하는 국가 표준에 대한 전자 건강 관리 정보입니다., 수년에 걸쳐 확장 된 HIPAA 는 이제 개인 정보 보호 규칙,보안 규칙,시행 규칙 및 위반 알림 규칙을 통합합니다.
단 HIPAA 요약은 이러한 네 가지 규칙을 확립하는 엄격한 지침에 대한 개인정보 보호 및 보안 컨트롤을 통해 보호되는 건강 정보(PHI). 으로 정의”개인적으로 증명할 수 있는 건강 정보,”피 또는 전자 PHI(ePHI)포함한 인구 통계 학적 정보,의학의 역사,시험 또는 검사 결과,정신건강정보,보험,정보 또는 다른 데이터를 식별하는 클라이언트입니다., 그러나,완전히 이해하지만 무엇 HIPAA 이나 방법에 관한 귀하의 비즈니스에,당신은 필요 간략의 보안 규칙 및 개인 정보 보호 규칙이 있습니다.
간단한 HIPAA 보안 규칙을 요약
에 짧고,보안에 규칙의 시리즈를 만듭 확인하기 위한 지침을 의료 기관,기타 엔터티 및 비즈니스 파트너를 보호 기밀성,무결성 및 가용성 ePHI 생성,수신,유지,또는 전송됩니다. 즉,누군가가 실수로 정보에 액세스하거나 그것이 무엇인지 또는 어디에 있든 상관없이 도용하지 않도록하십시오., 이 일환으로 의도하지 않은 사용이나 공개로 이어질 잠재적 인 위험으로부터 식별하고 보호해야합니다. 또한 직원이 동일한 작업을 수행하는지 확인해야합니다.
간단한 HIPAA 개인 정보 보호 규칙을 요약
지만 비슷한 자연 속에서,HIPAA 개인 정보 보호 규칙에 초점을 맞추고 사람의 권리의 사용을 제어하는 자신의 정보입니다. 하는 동안 당신은 필요합을 확보하기 위해,당신은 또한 필요가 있는지 확인을 시키지 않는 사람이 우발적 또는 무단에 액세스 할 수 있습니다.,
주요 차이점은 보안 및 개인정보보호 규칙
HIPAA 개인 정보 보호 원칙 및 HIPAA 보안 경우도 있습니다 비슷한 소리 있지만,중요한 두 가지로 구분합니다.
- 보안에 규칙에 초점을 맞추고 전자적 정보를 개인정보 보호정 규칙 통합 음성 및 종이는 정보입니다.
- 개인 정보 보호 규정에 초점을 맞추고”그것을 유지하는 조용한”보안에 규칙 정보 특정 단계를 준수합니다.
누가 HIPAA 를 준수해야합니까?,
hipaa 는 귀하가 의료 제공자,건강 보험 또는 건강 관리 정보 센터 인 경우 귀하에게”보장 대상 단체”로 적용됩니다. HIPAA 의 정의”기업체”가 확장되는 것을 통합하는 제삼자들이 반드시 기능을 수행하를 대신하여 덮은 엔터티를 사용하는,저장,처리,또는 건강 정보 제공한다.
에서 다른 말로 하면,당신은 확대를 찾고 있는 소프트웨어 또는 웹 응용 프로그램을 사용하도록 설정하려면 해당하는 주체 위에서 언급한,당신은 필요한 규정을 준수하는 HIPAA 규칙이 있습니다.
무엇이 HIPAA 위반을 구성합니까?,
지만 HIPAA 위반이 발생할 다양한 방법으로,그들은 모두 통합”사람이 없을 알고 무언가에 대해 배웁니다 그것은 없었기 때문에 충분히 보호.”이 정의에서 모든 것을 포함 직원들이 너무 많이 시스템,액세스를웨 입구 시스템,누군가를 떠나 종이에는 책상이나 화면 오픈합니다.
에서 시행규칙,OCR 할 수 있는 벌금 부과 어디에서$100per 위반(초과하지 않는다$25,000 매년)$50,000per 위반(초과하지 않는$1.5 백만을 매년)실수로 위반이 발생합니다., 법을 위반할 때 더 고의적으로 행동함에 따라 벌칙 최소치가 증가합니다. 사실,당신의 행동은 너무 심한 부서의 정의할 수 있는 좋은 당신이$250,000 고 있는 주제를 위하여 십 년을 감옥에서 데이터와 타협 의도를 판매,양도 또는 사용을 위한 정보를 상업적 활용,개인적 이익이거나 악의적인 해입니다.,
고용주 HIPAA 위반다:어떻게 보호하는 직원의 정보
하지 않은 경우에도 건강 관리 공급자 또는 사업 연관(제삼자 처리 건강에 대한 정보를 대신하여 의료서비스 제공자)할 수 있습니다 위험에 노출될 수 있습니다. HIPAA 법과 고용주는 긴장 관계가 있습니다. 직원 의료 개인 정보 보호 권리는 대부분 Ada(Americans with Disabilities Act)에 해당하지만 일부는 HIPAA 법률 및 규정에 해당합니다. 중요한 것은 고용주를위한 몇 가지 HIPAA 지침이 존재한다는 것입니다.,의사에게 전화하지 마십시오.
무엇을 하든지 직원의 건강 관리 서비스 제공자에게 전화하지 마십시오. 그냥하지 마십시오.
분리 의료 문서
이 필요한 경우 의료 시험 한 부분으로 직원의 건강이나 프로그램에 대한 요구 사항으로 일자리를 제공,유지 의학 정보를 분리에서 전통적인 직원을 기록합니다. 물리적 분리 또는 디지털 분리(예:다른 서버)일 수 있습니다.,
보호 ePHI 내에서 각자 보험 의료 계획
를 사용하는 경우 관리 서비스만(ASO)계획에서는 고용주로 지불하는 혜택을 사용하여 당신의 자신의 회사 자금,당신은 완전히 HIPAA 준수합니다.
설정 데이터 처리 관행을 위해 그룹 건강 계획 정보
경우에 당신은 점점 더 요약 정보를 그룹에서 건강을 계획,그것에 의해 덮여 HIPAA 과 요구를 보호합니다., 는지 확인을 검토한 문서를 전송하는 인적 자원부와를 만들거나 새로운 방법이나 더 나은 정보를 정의합 그룹 건강 계획에 보내야 한다.
검토는 회사의 건강 클리닉과 직원의 지원 프로그램
이들 모두으로 분류될 수 있으며 하이브리드 엔티티는 점에서 공급자 정보를 전송합니다. 이와 같은 기록을 유지하는 경우 준수하도록 잠글 필요가 있습니다.,
지 뭔가를 발표(좋거나 나쁜)으로 분류된 의학적 상태
할 수 있습 달에 있는 당신의 직원이 임신을 방해하는 직원의 암 진단을 받습니다. 그러나 직원이 공개를 허용하지 않는 한,이 정보를 다른 직원이나 경영진과 공유하도록 발표하는 것은 HIPAA 위반 일 수 있습니다.
HIPAA 위반 사례
HIPAA 위반 이야기가 풍부합니다. 소셜 미디어 및 분실 또는 도난당한 장치에서 오버 쉐어링으로 인해 발생할 수 있습니다., 더 이상 운영되지 않는 기업조차도 HIPAA 위반의 결과로부터 안전하지 않습니다.
소셜 미디어 HIPAA 위반의 예
소셜 미디어와 관련된 많은 HIPAA 위반은 우발적입니다. 예를 들어,소셜 미디어 의견 할 수 있습니 HIPAA 규정을 위반하는 경우에도 언급하지 않는 환자에 의한 이름입니다. 경우에 따라 직원은 환자 정보가 백그라운드에서 표시된다는 사실을 깨닫지 않고 소셜 미디어에서 사진을 공유 할 수 있습니다.,
최근의 예를 포함한 간호사가 만든 동영상에서는 그녀는 인터뷰를 동료에서 그들이 직면하는 도전을 통해 작업 COVID-19 일 유행성 월에 2020. 한 동료는 병원이 요청한 자원을 가지고 있다면 특정 환자가 환자를 이름으로 언급하면서 사망하지 않았을 수 있다고 지적했습니다. 이 잠재적 인 위반은 현재 글을 쓰는 시점에서 조사 중입니다.
또 다른 예에서 Elite Dental Associates 의 직원은 기업 평가 및 검토를위한 소셜 미디어 플랫폼 인 Yelp 에 대한 환자의 리뷰에 응답했습니다., 응답에 포함되어 있는 민감한 환자 정보를 포함하여 환자의 이름,치료 계획을 세부 정보,그리고 정보의 비용에 대한 치료와 환자의 보험이 있습니다. 불만 사항을 조사하는 동안 OCR(Office Of Civil Rights)은 다른 환자 리뷰에 대한 Elite Dental Associates 의 응답에 유사한 정보가 포함되어 있음을 발견했습니다. Elite Dental Associates 는 10,000 달러에 불만 사항을 해결했습니다.
분실 또는 도난 장치로 인한 HIPAA 위반의 예
도난당한 장치는 또한 HIPAA 위반으로 이어질 수 있습니다., 예를 들어,가톨릭 의료 서비스의 교구의 필라델피아(CHCS)잠재적인 정착 HIPAA 위반에 대한$650,000 2016 년을 다음과 도난의 모바일 장치를 포함하는 피피의 수백 명의 간호 거주자.
에서 2017 년 수명,로드아일랜드의 가장 큰 병원 시스템,통 20,000 명의 환자들이 피되었을 수도 있기에 직원의 도난 노트북입니다. 이 두 가지 예에서 도난당한 장치는 암호화되지 않고 암호로 보호되지 않은 것으로 나타났습니다.,
의 예로”필요한 최소한”HIPAA 위반
HIPAA 필요로 하는 피은 공유에서만”필요한 최소한”–기초이,커버 단체 및 비즈니스 연야 합리적인 노력을 하기 위해 필요한 최소한의 정보를 완료하는 작업이 수행하거나,일에 액세스하거나 공유하는 권한이있는 사람,그리고 이것은 또 다른 까다로운 요구 사항으로 이어질 수 있는 위반이 있습니다. 예를 들어,간호사에서 작업하는 장치 또는 바닥에만 주어져야 한다는 데 필요한 정보를 돌보는 환자들이 책임있는 동안 그들의 이동합니다.,
제 3 자를 상대 할 때 필요한 최소 요구 사항을 위반하는 것이 일반적입니다. 예를 들면,공유 더 많은 환자보다 정보를 처리하기 위해 필요한 클레임으로 건강보험 공급자로 간주할 수 있 환. 뉴저지 심리학자에 직면 주장의 HIPAA 위반 2017 년 후에는 연습의 결제 관리자의 사본을 보내 환자의 청구서를 포함하여 코드를 공개할 수있는 진단 및 치료하는 컬렉션은 기관입니다., 불만을 주장하는 연습은 생각하지 못했지만 제공하는 트랜잭션 레저 또는 들어 불필요한 민감한 환자 상세정보를 보내기 전에 정보 컬렉션 기관입니다.,
에 대한 모범 사례를 피하고 이러한 유형의 잠재적인 HIPAA 위반을 포함한 개발을 분명하고 포괄적인 서면 보안 정책을 포함하여 소셜 미디어 정책을 구현,사이버 보안 인식 직원을 위한 교육,그리고 구현하고 적용하는 강력한 장치의 관리 정책을 포함하여 보고 요구 사항에 대한 분실 또는 도난당한 장치 및 원격을 닦는 기능을 민감한 개인 정보를 보호하십시오.,
회사를 보호하기 위해서 HIPAA 위반:Do/Don”t 행 가이드
투명성은 재단의 HIPAA 규정 준수
HIPAA 의 상세한 제어 목록 및 위험 평가 요구사항의 보안 첫 번째 방법이 어렵습니다. 당신은 투명하기를 원하지만 규칙은 때때로 그것을 방지합니다., 에 Zeguro,우리는 값에서 투명한 방법으로 우리는 고객과 소통하는할 수도 있는 가이드를 어떻게 보면 의 데이터의 투명성:
- 정직 우리 앞까지에 대해 얼마나 잘 보호 정렬 HIPAA 보안칙의 요구 사항입니다.
- 선명도:우리의 일반 언어 정책 템플릿과 훈련 모듈을 제거한 법률 용어는 과정에서 도움을 만들기 HIPAA 지침에 대한 직원이다.
- 단순:우리를 단순화하 HIPAA 준수를 쉽게 탐색 할 수있는 플랫폼과 직원할 수 있는 사람 당신의 질문에 대답하고 부담을 완화의 준수입니다.,
참고:Zeguro 할 수 없에 대한 의견을 특정 HIPAA 경우 또는 위반 및 단지 일반적인 조언을 제공합에 그 블로그 기사입니다. 우리는 또한 개인 HIPAA 질문에 도움을 할 수 없습니다. HIPAA 위반에 대한 도움이 필요하면 면허가있는 법률 고문에게 문의하는 것이 좋습니다. 만약 당신이 추구하는 솔루션을 충족하는 데 도움을 줄 수 있습니 HIPAA 준수,우리는 통합된 사이버 보안 및 사이버 보험 솔루션을 보호하는 데 도움이 되는 조직과 조직을 보호하피/ePHI. 여기서 자세히 알아보십시오:https://www.zeguro.com/cybersecurity/compliance.