FORSKRIFTER Brudd: Historier, Arbeidsplass & Arbeidsgiver Eksempler, og Mer | Zeguro Blogg

januar 24, 2021 admin 0 Comments

«Men, det visste jeg ikke.»

Det er ingen unnskyldning. Om dere er fem eller femti-fem, har du ofte reagert på en anklage med denne setningen. Dessverre, i verden av data protection, myndigheter ikke ønsker å høre dette uttrykket. Du må vite. Når det kommer til ansatt eller kunde helseinformasjon, ulykker kan konkurs i et selskap., Å opprettholde en bedriftskultur som av sikkerhets-første garanti for å skape en cyber klar arbeidsstyrken forbereder og beskytter din praksis eller din bedrift fra felles FORSKRIFTER brudd assosiert med de ansattes handlinger – enten du er i helse-feltet eller ikke.

Hva er INTERESSERT?

Helse Insurance Portability and Accountability Act av 1996 (FORSKRIFTER) som kreves Department of Health and Human Services (HHS), som administreres gjennom Office of Civil Rights (OCR) til å vedta nasjonale standarder for elektronisk helseinformasjon., Utvidet gjennom årene, FORSKRIFTER omfatter nå Privacy Rule, Sikkerhet Regelen, Håndheving Regelen, og Brudd Varsling Regelen.

En kort og FORSKRIFTER oppsummering er at disse fire regler etablere strenge retningslinjer for personvern og sikkerhet-kontrollene over beskyttet helseinformasjon (PHI). Definert som «individuelt identifiserbare helseopplysninger,» PHI eller elektronisk PHI (ePHI) omfatter alle demografisk informasjon, medisinsk historie, test-eller lab-resultater, mental helse informasjon, forsikring informasjon eller andre data som identifiserer en klient., Imidlertid, for å fullt ut forstå ikke bare hva og FORSKRIFTER er, men hvordan den forholder seg til din bedrift, trenger du en kort oversikt over Sikkerhet Regel og Personvern Regelen.

En Enkel og FORSKRIFTER Sikkerhets-Regelen Oppsummering

kort sagt, Sikkerhet Regel skaper en rekke retningslinjer for å sørge for at helse-organisasjoner, andre dekket enheter og forretningsforbindelser ivareta konfidensialitet, integritet og tilgjengelighet av ePHI opprettet, mottatt, vedlikeholdes eller overføres. Med andre ord, ikke la noen uhell få tilgang til informasjon eller stjele det ingen rolle hva det er, eller hvor det er., Som en del av dette, trenger du for å identifisere og beskytte mot potensielle farer som fører til utilsiktede bruker eller avsløringer. Videre må du sørge for at dine medarbeidere gjøre det samme.

En Enkel og FORSKRIFTER Personvern Regel Oppsummering

Selv om lignende i naturen, FORSKRIFTER Personvern Regel fokuserer på en persons rett til å kontrollere bruken av deres informasjon. Mens du trenger for å sikre det, du må også sørge for at du ikke la noen ha utilsiktet eller uautorisert tilgang til den.,

– Tasten Forskjeller Mellom Sikkerhet og Personvern Regler

FORSKRIFTER Privacy Rule og FORSKRIFTER Sikkerhets-Regler kan høres like ut, men det er to viktige forskjeller:

  1. Mens Security Regel fokuserer på elektronisk informasjon, Personvern Regelen omfatter også muntlig og informasjon på papir.
  2. Personvern Regel som fokuserer på å «holde det stille» mens Security Regel detaljer særskilte tiltak for å compliance.

Som Må være i Samsvar med FORSKRIFTER?,

FORSKRIFTER gjelder for deg som en «dekket enhet» hvis du er helsepersonell, helse i plan, eller helsetjenester clearinghouse. Den FORSKRIFTER definisjon av «foretak» utvider at å innlemme tredjeparter som utfører oppgaver på vegne av dekket enheter som bruker, lagre, behandle, eller utlevere helseopplysninger for dem.

med andre ord, hvis du er ute etter å utvide en programvare eller web-programmet for å aktivere noen av dekket enheter som er nevnt ovenfor, så du trenger ikke å være i tråd med regler og FORSKRIFTER.

Hva som Utgjør en FORSKRIFTER Brudd?,

Selv om FORSKRIFTER brudd fremkomme i en rekke måter, de alle innlemme «noen som ikke vet noe som får vite om det, fordi det ikke var nok beskyttelse.»Denne definisjonen omfatter alt fra de ansatte å ha for mye tilgang til systemet, til en hacker å få adgang til systemet, til noen forlater et stykke papir på et skrivebord eller en skjerm åpne for å vise.

Under Håndheving Regelen, OCR kan ilegge bøter hvor som helst fra $100 per brudd (som ikke overstiger $25,000 årlig) til $50 000 per brudd (ikke overstiger kr 1,5 mill. årlig) for en utilsiktet brudd., Straffen minimumskrav øke som du handle mer bevisst når du bryter loven. Faktisk, hvis handlinger er for grove, Justisdepartementet kan fint du $250.000 og du blir underlagt opp til ti år i fengsel for et data kompromiss med en intensjon om å selge, overføre eller bruke informasjonen for kommersiell fordel, personlig vinning, eller ondsinnet skade.,

Arbeidsgiver og FORSKRIFTER Brudd: Hvordan Beskytte Ansattes Informasjon

Selv om du ikke er helsepersonell eller business associate (tredjepart for håndtering av helseinformasjon på vegne av helsepersonell), kan du fortsatt være i fare. FORSKRIFTER til lov og arbeidsgivere har et anspent forhold. Selv om ansatte medisinsk personvern rettigheter for det meste faller inn under Americans with Disabilities Act (ADA), noen faller inn under FORSKRIFTER lover og forskrifter. Viktigst, noen FORSKRIFTER retningslinjer for arbeidsgivere som finnes.,

ikke Ringe Legen

Uansett hva du gjør, aldri ringe en ansatt ‘ s health care tjenesteleverandøren. Bare ikke gjør det.

Skiller Medisinsk Dokumentasjon

Hvis du trenger medisinsk eksamen som en del av en ansatt i helse-programmet eller som et behov for et tilbud om jobb, holde medisinsk informasjon atskilt fra tradisjonelle ansatte. Dette kan være fysiske segregering eller digital segregering (for eksempel en annen server).,

Beskytte ePHI innenfor står som selvassurandør Healthcare Planer

Hvis du bruker et Administrative Tjenester (ASO) plan der du som arbeidsgiver betaler fordelene ved å bruke din egen selskapets midler, så du trenger ikke å være helt FORSKRIFTER kompatibel.

Etablere Praksis for Håndtering av Data for Gruppen helseplan Informasjon

Hvis du får mer enn sammendrag informasjon fra gruppen helse-plan, det er dekket av FORSKRIFTER og behov for beskyttelse., Sørg for at du lese dokumentasjonen som sendes til personalavdelingen og enten opprette ny praksis eller bedre definere hva slags informasjon som gruppen helseplan skal sende deg.

se gjennom Selskapet helseklinikker og Employee Assistance program

Begge disse kan bli klassifisert som hybrid enheter hvor leverandøren overfører informasjon for betaling. Som sådan, hvis du vil opprettholde poster som dette, du trenger for å låse dem ned for å være kompatible.,

Aldri Kunngjøre Noe (Gode eller Dårlige) Klassifisert som en Medisinsk Tilstand

Du kan være over månen at arbeidstaker er gravid eller ødelagt av en ansatt er kreft diagnose. Imidlertid, med mindre arbeidstaker gir deg mulighet til å avsløre, noe som gjør en kunngjøring til å dele denne informasjonen med andre ansatte eller ledelsen kan være en FORSKRIFTER brudd.

FORSKRIFTER Brudd Eksempler

FORSKRIFTER brudd historier florerer. De kan oppstå fra altfor selvutleverende på sosiale medier og tapte eller stjålne enheter., Selv virksomheter som ikke lenger er i drift er ikke trygg fra konsekvensene av FORSKRIFTER brudd.

Eksempler på Sosiale Medier og FORSKRIFTER Brudd

Mange FORSKRIFTER brudd involverer sosiale medier er tilfeldig. For eksempel, sosiale medier kommentarer og innlegg kan medføre brudd på FORSKRIFTER forskrifter, selv om de ikke nevne en pasient ved navn. I noen tilfeller kan ansatte dele bilder på sosiale medier uten å innse at informasjon om pasienten er synlig i bakgrunnen.,

Et nylig eksempel innebærer en sykepleier som laget en video der hun har intervjuet medarbeidere på de utfordringer de står overfor arbeider gjennom hele COVID-19 pandemi i April 2020. En kollega bemerket at hvis sykehuset hadde ressurser det hadde bedt om, en bestemt pasient ikke har dødd, med henvisning til pasienten ved navn. Denne potensielle brudd er for tiden under etterforskning i skrivende stund.

et annet eksempel, en ansatt fra Elite Dental Medarbeidere svarte til pasientens gjennomgang på Yelp, en sosial media plattform for vurdering bedrifter., Responsen inkludert sensitiv informasjon om pasienten blant annet pasientens navn, behandling plan, detaljer og informasjon om kostnadene ved behandlingen og pasientens forsikring. I sin undersøkelse av klagen, Office of Civil Rights (OCR) fant at Elite Dental Associates’ svar til andre pasienten vurderinger som finnes lignende informasjon. Elite Dental Tilknyttede selskaper avgjort klagen for $10 000.

Eksempler på FORSKRIFTER Brudd som følge av Tapte eller Stjålne Enheter

Stjålne enheter kan også føre til FORSKRIFTER brudd., For eksempel, Katolske Helse-og omsorgstjenester av Erkebispedømmet Philadelphia (CHCS) avgjort potensielle FORSKRIFTER brudd for $650,000 i 2016 følgende tyveri av en mobil enhet som inneholdt PHI av hundrevis av sykepleieskole hjem beboere.

I 2017, Levetid, Rhode Island største sykehus-systemet, varslet 20,000 pasienter som deres PHI kan ha vært på en ansatt er stjålet laptop. I begge disse eksemplene, de stjålne enheter ble funnet å være kryptert og ikke passordbeskyttet.,

Eksempler på «Minste Nødvendige» FORSKRIFTER Brudd

FORSKRIFTER krever at PHI er bare deles på et «minste nødvendige» basis – som er dekket enheter og forretningsforbindelser må gjøre en rimelig innsats for å sikre at bare minimum av nødvendig informasjon for å fullføre en oppgave eller utføre en jobb er tilgjengelig med eller delt med autoriserte personer, og dette er en annen vanskelig kravet som kan føre til brudd. For eksempel, en sykepleier som arbeider i en enhet, eller på et gulv bør kun gis den informasjon som er nødvendig for å ta vare på pasientene de har ansvar for i løpet av sine skift.,

Brudd på minimum krav er vanlig når du arbeider med tredjeparter. For eksempel, å dele mer informasjon om pasienten enn det som er nødvendig for å behandle klager med en helse-forsikring leverandøren kan utgjøre en FORSKRIFTER brudd. New Jersey psykolog møtt påstander om FORSKRIFTER brudd i 2017 etter praksis er billing manager sendte kopier av pasientenes regninger inkludert koder som kunne avsløre diagnoser og behandlinger til et inkassobyrå., Klagen anført at praksis ikke klarte å vurdere å gi bare en transaksjon ledger eller skjule unødvendige sensitive pasienten informasjon før du sender informasjon til inkassobyrå.,

Beste praksis for å unngå disse typer av potensielle FORSKRIFTER brudd inkluderer å utvikle klare og omfattende skriftlige retningslinjer for sikkerhet, inkludert sosiale medier, politikk, implementering cybersecurity bevissthet trening for de ansatte, og å implementere og håndheve robust enhet retningslinjer for risikostyring, herunder krav til rapportering for tapte eller stjålne enheter og ekstern sletting evner til å beskytte sensitiv informasjon.,

Beskytte Selskapet Fra og FORSKRIFTER Brudd: En Gjøre/Don»t Trenger Guide

Kilde: Zeguro

Åpenhet Er Grunnlaget for FORSKRIFTER Samsvar

FORSKRIFTER er detaljert kontroll listen og risikovurdering krav lage din sikkerhet-første tilnærming vanskelig. Du ønsker å være gjennomsiktig, men reglene noen ganger forhindre det., På Zeguro, vi verdsetter åpenhet i måten vi kommuniserer med våre kunder, som kan også være en guide for hvordan du viser medisinske data åpenhet:

  • Ærlighet: Vi opp foran om hvor godt beskyttelse på linje med FORSKRIFTER Sikkerhets-Regelen ‘ s krav.
  • Klarhet: Vår plain language policy maler og opplæringsmoduler fjerne legalese fra prosessen for å hjelpe deg med å lage FORSKRIFTER retningslinjer for ansatte.
  • Enkelhet: Vi forenkle og FORSKRIFTER samsvar med en lett-å-navigere-plattformen og ansatte som kan svare på dine spørsmål og lette byrden av samsvar.,

Merk: Zeguro er ikke i stand til å kommentere spesifikke FORSKRIFTER saker eller brudd, og gir kun generelle råd i sine blogger og artikler. Vi er heller ikke i stand til å bistå i personlige og FORSKRIFTER spørsmål. For å få hjelp med FORSKRIFTER brudd, anbefaler vi at du tar kontakt med lisensiert advokat. Hvis du er på utkikk etter løsninger som kan hjelpe deg å møte FORSKRIFTER samsvar, vi tilbyr en integrert cybersecurity og cyber forsikring løsning som kan bidra til å sikre organisasjonen og beskytte PHI/ePHI. Les mer her: https://www.zeguro.com/cybersecurity/compliance.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *