HIPAA: historie, przykłady pracy i pracodawcy i nie tylko/Blog Zeguro

0 Comments

„ale, nie wiedziałem.”

to żadna wymówka. Niezależnie od tego, czy masz pięć czy pięćdziesiąt pięć lat, często odpowiadałeś na oskarżenie tym wyrokiem. Niestety, w świecie ochrony danych, organy regulacyjne nie chcą słyszeć tego zwrotu. Musisz wiedzieć. Jeśli chodzi o informacje dotyczące opieki zdrowotnej pracowników lub klientów, wypadki mogą doprowadzić do bankructwa firmy., Utrzymanie korporacyjnej kultury bezpieczeństwa – najpierw zgodność z przepisami, aby stworzyć cyberprzestępczą siłę roboczą, przygotowuje i chroni twoją praktykę lub przedsiębiorstwo przed typowymi naruszeniami HIPAA związanymi z działaniami pracowników – niezależnie od tego, czy pracujesz w opiece zdrowotnej, czy nie.

czym jest HIPAA?

Ustawa o przenośności i odpowiedzialności ubezpieczeń zdrowotnych z 1996 r. (HIPAA) wymagała od Departamentu Zdrowia i usług ludzkich (HHS), administrowanego przez Urząd Praw Obywatelskich (OCR), przyjęcia krajowych standardów elektronicznych informacji zdrowotnych., Rozszerzony na lata, HIPAA zawiera teraz zasadę Prywatności, zasadę bezpieczeństwa, zasadę egzekwowania i zasadę powiadamiania o naruszeniach.

krótkie podsumowanie HIPAA jest to, że te cztery zasady ustanawiają ścisłe wytyczne dotyczące ochrony prywatności i bezpieczeństwa informacji zdrowotnych (PHI). Definiowane jako „indywidualnie identyfikowalne informacje zdrowotne”, PHI lub elektroniczne PHI (ePHI) obejmują wszelkie informacje demograficzne, historię choroby, wyniki testów lub badań laboratoryjnych, informacje o zdrowiu psychicznym, informacje ubezpieczeniowe lub inne dane identyfikujące klienta., Aby jednak w pełni zrozumieć nie tylko to, czym jest HIPAA, ale także jak odnosi się do Twojej firmy, potrzebujesz krótkiego przeglądu zasady bezpieczeństwa i zasady prywatności.

a Simple HIPAA Security Rule Summary

W skrócie, reguła bezpieczeństwa tworzy szereg wytycznych dla zapewnienia, że organizacje opieki zdrowotnej, inne podmioty objęte ochroną i współpracownicy biznesowi chronią poufność, integralność i dostępność ephi utworzone, otrzymane, utrzymywane lub przekazywane. Innymi słowy, nie pozwól komuś przypadkowo uzyskać dostępu do informacji lub ukraść ich bez względu na to, co to jest i gdzie jest., W ramach tego musisz zidentyfikować i chronić przed potencjalnym ryzykiem, które prowadzi do niezamierzonych zastosowań lub ujawnień. Co więcej, musisz upewnić się, że Twoi pracownicy robią to samo.

a Simple HIPAA Privacy Rule Summary

chociaż zasada prywatności HIPAA ma podobny charakter, skupia się na prawie osoby do kontrolowania wykorzystania jej informacji. Chociaż musisz ją zabezpieczyć, musisz również upewnić się, że nie pozwalasz nikomu na przypadkowy lub nieautoryzowany dostęp do niej.,

kluczowe różnice między zasadami bezpieczeństwa i prywatności

reguła prywatności HIPAA i zasady bezpieczeństwa HIPAA mogą brzmieć podobnie, ale istnieją dwa ważne wyróżnienia:

  1. chociaż reguła bezpieczeństwa koncentruje się na informacjach elektronicznych, reguła Prywatności zawiera również informacje mówione i papierowe.
  2. reguła Prywatności skupia się na „zachowaniu ciszy”, podczas gdy reguła bezpieczeństwa określa konkretne kroki w celu zapewnienia zgodności.

kto musi przestrzegać przepisów HIPAA?,

HIPAA odnosi się do Ciebie jako” podmiotu objętego ubezpieczeniem”, jeśli jesteś świadczeniodawcą, planem zdrowia lub przychodnią zdrowia. Definicja HIPAA „podmiotów gospodarczych” rozszerza się o strony trzecie, które pełnią funkcje w imieniu podmiotów objętych ochroną, które wykorzystują, przechowują, przetwarzają lub ujawniają informacje zdrowotne dla nich.

innymi słowy, jeśli chcesz rozszerzyć oprogramowanie lub aplikację internetową, aby umożliwić którykolwiek z wymienionych powyżej podmiotów, musisz być zgodny z zasadami HIPAA.

co stanowi naruszenie HIPAA?,

chociaż naruszenia HIPAA pojawiają się na różne sposoby, wszystkie zawierają „kogoś, kto nie powinien wiedzieć czegoś, kto dowiaduje się o tym, ponieważ nie było wystarczającej ochrony.”Definicja ta obejmuje wszystko, od pracowników mających zbyt duży dostęp do systemu, przez hakera uzyskującego dostęp do systemu, po kogoś, kto zostawia kartkę papieru na biurku lub otwartym ekranie.

zgodnie z zasadą egzekwowania OCR może nakładać grzywny w dowolnym miejscu od $100 za naruszenie (nie przekraczające $25,000 rocznie) do $50,000 za naruszenie (nie przekraczające $1,5 mln rocznie) za przypadkowe naruszenie., Minimalne kary zwiększają się, gdy działasz bardziej świadomie, naruszając prawo. W rzeczywistości, jeśli Twoje działania są zbyt skandaliczne, Departament Sprawiedliwości może nałożyć na ciebie grzywnę w wysokości 250 000 USD i skazać Cię na do dziesięciu lat więzienia za naruszenie danych z zamiarem sprzedaży, przekazania lub wykorzystania informacji w celach komercyjnych, osobistych korzyści lub złośliwej szkody.,

naruszenie przepisów przez pracodawcę HIPAA: jak chronić informacje o pracownikach

nawet jeśli nie jesteś świadczeniodawcą lub współpracownikiem biznesowym (osoba trzecia przetwarzająca informacje zdrowotne w imieniu świadczeniodawcy), nadal możesz być zagrożony. Prawo HIPAA i pracodawcy mają napięte relacje. Chociaż prawa pracowników do prywatności medycznej w większości podlegają amerykańskiej ustawie o niepełnosprawności (ADA), niektóre podlegają przepisom i regulacjom HIPAA. Co ważne, istnieje kilka wytycznych HIPAA dla pracodawców.,

nie dzwoń do lekarza

cokolwiek robisz, nigdy nie dzwoń do pracownika służby zdrowia. Po prostu tego nie rób.

segreguj dokumentację medyczną

Jeśli wymagasz badań lekarskich w ramach programu zdrowia pracownika lub jako wymóg oferty pracy, zachowaj informacje medyczne oddzielone od tradycyjnej dokumentacji pracowniczej. Może to być segregacja fizyczna lub cyfrowa (np. inny serwer).,

Chroń ePHI w ramach Samoubezpieczonych planów opieki zdrowotnej

Jeśli korzystasz z planu tylko z Usług Administracyjnych (ASO), w którym jako pracodawca wypłacasz świadczenia z funduszy własnej firmy, musisz być całkowicie zgodny z HIPAA.

ustal praktyki przetwarzania danych dla informacji o grupowym planie zdrowia

Jeśli otrzymujesz więcej niż podsumowanie informacji z grupowego planu zdrowia, jest on objęty HIPAA i wymaga ochrony., Upewnij się, że przejrzysz dokumentację przesłaną do działu zasobów ludzkich i albo stworzysz nowe praktyki, albo lepiej zdefiniujesz, jakie informacje powinien ci wysłać Grupowy plan zdrowia.

przegląd firm przychodnie zdrowia i programy pomocy pracowniczej

oba te mogą być klasyfikowane jako podmioty hybrydowe, w których dostawca przekazuje informacje do zapłaty. W związku z tym, jeśli przechowujesz takie zapisy, musisz je zablokować, aby były zgodne.,

nigdy nie ogłaszaj czegoś (dobrego lub złego) Zaklasyfikowanego jako stan chorobowy

możesz mieć pewność, że Twoja pracownica jest w ciąży lub zdruzgotana diagnozą nowotworową pracownika. Jednak o ile twój pracownik nie pozwoli Ci na ujawnienie, złożenie oświadczenia o udostępnieniu tych informacji innym członkom personelu lub kierownictwu może być naruszeniem HIPAA.

przykłady naruszeń HIPAA

historie naruszeń HIPAA obfitują. Mogą one wynikać z nadmiernego udostępniania w mediach społecznościowych oraz zgubienia lub kradzieży urządzeń., Nawet firmy, które już nie działają, nie są bezpieczne przed konsekwencjami naruszeń HIPAA.

przykłady naruszeń HIPAA w mediach społecznościowych

wiele naruszeń HIPAA dotyczących mediów społecznościowych jest przypadkowych. Na przykład komentarze i posty w mediach społecznościowych mogą naruszać przepisy HIPAA, nawet jeśli nie wymieniają pacjenta z nazwiska. W niektórych przypadkach pracownicy mogą udostępniać zdjęcia w mediach społecznościowych, nie zdając sobie sprawy, że informacje o pacjencie są widoczne w tle.,

jeden z ostatnich przykładów dotyczy pielęgniarki, która stworzyła film, w którym przeprowadziła wywiady ze współpracownikami na temat wyzwań, przed którymi stoją pracując podczas pandemii COVID – 19 w kwietniu 2020. Jeden ze współpracowników zauważył, że jeśli szpital miał środki, o które prosił, konkretny pacjent mógł nie umrzeć, odnosząc się do pacjenta po imieniu. To potencjalne naruszenie jest obecnie przedmiotem dochodzenia w momencie pisania tego tekstu.

w innym przykładzie pracownik Elite Dental Associates odpowiedział na recenzję pacjenta na Yelp, platformie społecznościowej do oceniania i recenzowania firm., Odpowiedź zawierała wrażliwe informacje o pacjencie, w tym imię i nazwisko pacjenta, szczegóły planu leczenia oraz informacje o kosztach leczenia i ubezpieczeniu pacjenta. Podczas dochodzenia w sprawie skargi Biuro Praw Obywatelskich (OCR) stwierdziło, że odpowiedzi Elite Dental Associates na inne recenzje pacjentów zawierały podobne informacje. Elite Dental Associates rozliczyło skargę na $10,000.

przykłady naruszeń HIPAA wynikających z utraconych lub skradzionych urządzeń

skradzionych urządzeń mogą również prowadzić do naruszeń HIPAA., Na przykład Katolickie służby zdrowia Archidiecezji Filadelfijskiej (CHCS) uregulowały potencjalne naruszenia HIPAA za 650 000 USD w 2016 po kradzieży urządzenia mobilnego, które zawierało PHI setek mieszkańców domów opieki.

w 2017 roku Lifespan, największy system szpitalny w Rhode Island, powiadomił 20 tysięcy pacjentów, że ich PHI mogło znajdować się na skradzionym laptopie pracownika. W obu tych przykładach skradzione urządzenia okazały się niezaszyfrowane i nie chronione hasłem.,

przykłady „minimalnych niezbędnych” naruszeń HIPAA

HIPAA wymaga, aby Phi był udostępniany tylko na zasadzie „minimum niezbędnego” – to znaczy, podmioty objęte ochroną i współpracownicy biznesowi muszą dołożyć uzasadnionych starań, aby zapewnić, że tylko minimalne informacje niezbędne do wykonania zadania lub wykonania zadania są dostępne dla upoważnionych osób lub udostępniane im, i jest to kolejny trudny wymóg, który może prowadzić do naruszeń. Na przykład Pielęgniarka pracująca w oddziale lub na piętrze powinna otrzymywać tylko informacje niezbędne do opieki nad pacjentami, za których są odpowiedzialni podczas swojej zmiany.,

Na przykład udostępnienie większej ilości informacji o pacjencie niż jest to konieczne do rozpatrzenia roszczeń u dostawcy ubezpieczenia zdrowotnego może stanowić naruszenie przepisów HIPAA. Psycholog z New Jersey stanął przed zarzutami naruszeń HIPAA w 2017 po tym, jak menedżer rozliczeniowy praktyki wysłał kopie rachunków pacjentów, w tym kody, które mogłyby ujawnić diagnozy i zabiegi do agencji windykacyjnej., W skardze zarzucono, że praktyka nie rozważała dostarczenia jedynie księgi transakcji lub usunięcia zbędnych wrażliwych danych pacjenta przed wysłaniem informacji do agencji windykacyjnej.,

najlepsze praktyki zapobiegania tego typu potencjalnym naruszeniom HIPAA obejmują opracowanie jasnych i kompleksowych pisemnych zasad bezpieczeństwa, w tym zasad dotyczących mediów społecznościowych, wdrożenie szkoleń w zakresie cyberbezpieczeństwa dla pracowników oraz wdrożenie i egzekwowanie solidnych zasad zarządzania urządzeniami, w tym wymogów dotyczących zgłaszania zaginionych lub skradzionych urządzeń oraz możliwości zdalnego usuwania w celu ochrony poufnych informacji.,

Chroń swoją firmę przed naruszeniami HIPAA: a Do/Don”t do Guide

źródło: Zeguro

przejrzystość jest podstawą zgodności z przepisami HIPAA

szczegółowa lista kontrolna HIPAA i wymagania dotyczące oceny ryzyka sprawiają, że Twoje podejście do bezpieczeństwa jest trudne. Chcesz być transparentny, ale reguły czasami temu uniemożliwiają., W Zeguro cenimy przejrzystość w sposobie komunikacji z naszymi klientami, co może być również przewodnikiem po tym, jak przeglądasz przejrzystość danych medycznych:

  • uczciwość: jesteśmy z góry poinformowani o tym, jak twoje zabezpieczenia są zgodne z wymaganiami zasady bezpieczeństwa HIPAA.
  • przejrzystość: nasze szablony polityki w języku prostym i moduły szkoleniowe usuwają legalese z procesu, aby pomóc Ci stworzyć wytyczne HIPAA dla pracowników.
  • prostota: upraszczamy zgodność z przepisami HIPAA dzięki łatwej w nawigacji platformie i personelowi, który może odpowiedzieć na twoje pytania i zmniejszyć ciężar zgodności.,

Uwaga: Zeguro nie jest w stanie komentować konkretnych przypadków lub naruszeń HIPAA, a jedynie udziela ogólnych porad na swoich blogach i artykułach. Nie jesteśmy również w stanie pomóc w osobistych pytaniach HIPAA. Aby uzyskać pomoc w przypadku naruszeń HIPAA, zalecamy skontaktowanie się z licencjonowanym radcą prawnym. Jeśli szukasz rozwiązań, które pomogą Ci spełnić wymagania HIPAA, oferujemy zintegrowane rozwiązanie w zakresie cyberbezpieczeństwa i cyberbezpieczeństwa, które może pomóc zabezpieczyć twoją organizację i chronić PHI / ePHI. Dowiedz się więcej tutaj: https://www.zeguro.com/cybersecurity/compliance.


Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *