Violações HIPAA: histórias, exemplos de locais de trabalho e empregadores, e Blog More | Zeguro
“mas, eu não sabia.não é desculpa. Quer tenhas cinco ou cinquenta e cinco anos, respondeste muitas vezes a uma acusação com esta sentença. Infelizmente, no mundo da protecção de dados, os reguladores não querem ouvir essa frase. Deves saber. Quando se trata de informações de saúde de funcionários ou clientes, acidentes podem falir uma empresa., Manter uma cultura corporativa de segurança – primeiro atendimento para criar uma força de trabalho consciente cibernético prepara e protege sua prática ou sua empresa de violações comuns de HIPAA associadas com ações de funcionários – quer você esteja no campo da saúde ou não.o que é o HIPAA?a Lei de portabilidade e responsabilidade do seguro de saúde de 1996 (HIPAA) exigiu que o Departamento de Saúde e Serviços Humanos (HHS), administrado através do Office of Civil Rights (OCR), adotasse normas nacionais para a informação eletrônica de saúde., Estendida ao longo dos anos, a HIPAA agora incorpora a regra de Privacidade, regra de segurança, regra de execução e Regra de notificação de infração.
um breve resumo HIPAA é que estas quatro regras estabelecem diretrizes estritas para o controle de Privacidade e segurança sobre informações de saúde protegidas (PHI). Definido como” informações de saúde individualmente identificáveis”, o PHI ou o Phi eletrônico (EFI) inclui qualquer informação demográfica, histórico médico, resultados de testes ou laboratórios, informações de saúde mental, informações de seguros ou outros dados que identifiquem um cliente., No entanto, para compreender não só o que é o HIPAA, mas como ele se relaciona com o seu negócio, você precisa de uma breve visão geral da regra de segurança e da regra de Privacidade.em resumo, a regra de segurança cria uma série de diretrizes para garantir que as organizações de saúde, outras entidades cobertas e os associados de negócios salvaguardem a confidencialidade, integridade e disponibilidade de ePHI criado, recebido, mantido ou transmitido. Em outras palavras, não deixe que alguém acidentalmente acessar a informação ou roubá-la, não importa o que é ou onde está., Como parte disso, você precisa identificar e proteger contra potenciais riscos que levam a utilizações não intencionais ou divulgações. Além disso, você precisa se certificar de que seus funcionários fazem o mesmo.
Um simples resumo da regra de privacidade HIPAA
embora de natureza semelhante, a regra de privacidade HIPAA centra-se no direito de uma pessoa de controlar o uso das suas informações. Enquanto você precisa protegê-lo, você também precisa ter certeza de que você não está deixando ninguém ter acesso acidental ou não autorizado a ele.,
Diferenças-Chave Entre a Segurança e as Regras de Privacidade
O HIPAA Regra de Privacidade e de Segurança HIPAA Regras podem parecer semelhantes, mas há duas diferenças importantes:
- Enquanto a Regra de Segurança se concentra em informações eletrônicas, a Regra de Privacidade também incorpora falado e informações em papel.
- A regra de Privacidade centra-se em “mantê-lo em silêncio”, enquanto a regra de segurança detalha passos específicos para a conformidade.quem deve cumprir o HIPAA?,o HIPAA aplica-se a si como “entidade coberta” se for um prestador de cuidados de saúde, um plano de saúde ou um centro de saúde. A definição HIPAA de” Entidades de negócio ” expande-se para incorporar terceiros que desempenham funções em nome de entidades Cobertas que usam, armazenam, processam ou divulgam informações de saúde para eles.
em outras palavras, se você está procurando expandir um software ou aplicação web para permitir qualquer uma das entidades Cobertas mencionadas acima, então você precisa estar em conformidade com as regras HIPAA.
o que constitui uma violação HIPAA?,
embora as violações HIPAA surgem de uma variedade de maneiras, todos eles incorporam “alguém que não deve saber algo que aprende sobre isso porque não havia proteções suficientes.”Esta definição inclui tudo, desde funcionários que têm muito acesso ao sistema, a um hacker que ganha entrada no seu sistema, a alguém que deixa um pedaço de papel em uma mesa ou uma tela aberta para ver.de acordo com a regra de execução, a OCR pode cobrar multas em qualquer lugar de US $100 por violação (não excedendo US $25.000 por ano) a US $50.000 por violação (não excedendo US $1,5 milhões por ano) por uma violação acidental., A pena mínima aumenta à medida que você age com mais vontade ao violar a lei. Na verdade, se suas ações são muito escandalosas, o Departamento de Justiça pode multá-lo em 250 mil dólares e sujeitá-lo a até dez anos de prisão por um compromisso de dados com a intenção de vender, transferir ou usar a informação para vantagem comercial, ganho pessoal, ou malicioso dano.,violação do empregador HIPAA: como proteger a informação dos empregados
mesmo que não seja um prestador de cuidados de saúde ou associado de negócios (informação de cuidados de saúde de terceiros em nome de um prestador de cuidados de saúde), pode ainda estar em risco. A lei HIPAA e os empregadores têm uma relação tensa. Embora os direitos de Privacidade médica dos funcionários, em sua maioria, cai sob a lei dos americanos com deficiência (Ada), alguns caem sob leis e regulamentos HIPAA. O que é importante é que existem algumas orientações HIPAA para os empregadores.,não ligues ao médico, faças o que fizeres, nunca ligues ao prestador de cuidados de saúde de um empregado. Não faças isso.se necessitar de exames médicos como parte de um programa de saúde dos empregados ou como requisito para uma oferta de emprego, mantenha a informação médica segregada dos registos tradicionais dos empregados. Isto pode ser segregação física ou segregação digital (como um servidor diferente).,se estiver a utilizar apenas um plano de Serviços Administrativos (ASO) no qual você, como empregador, paga prestações utilizando os fundos da sua própria empresa, então você precisa estar totalmente em conformidade com o HIPAA.se estiver a obter mais do que informações resumidas do plano de saúde do grupo, é abrangido pelo HIPAA e necessita de protecção., Certifique-se de rever a documentação enviada ao seu departamento de Recursos Humanos e criar novas práticas ou definir melhor quais as informações que o plano de saúde do grupo deve enviar.ambos podem ser classificados como entidades híbridas em que o provedor transmite informações para pagamento. Como tal, se você manter registros como estes, você precisa trancá-los para ser complacente.,nunca Anuncie algo (bom ou mau) classificado como uma condição médica. No entanto, a menos que o seu empregado lhe permita divulgar, fazer um anúncio para compartilhar esta informação com outros membros da equipe ou gerência pode ser uma violação HIPAA.
exemplos de violação de HIPAA
existem histórias de violação de HIPAA. Eles podem surgir de ofuscamento nas redes sociais e dispositivos perdidos ou roubados., Mesmo as empresas que já não operam não estão a salvo das consequências das violações do HIPAA.
exemplos de violações das redes sociais HIPAA
muitas violações HIPAA envolvendo redes sociais são acidentais. Por exemplo, comentários e posts de mídia social podem violar as normas HIPAA, mesmo que eles não mencionem um paciente pelo nome. Em alguns casos, os funcionários podem compartilhar fotos em mídias sociais sem perceber que a informação do paciente é visível em segundo plano., um exemplo recente envolve uma enfermeira que criou um vídeo em que entrevistou colegas de trabalho sobre os desafios que enfrentam ao longo da pandemia de COVID-19 em abril de 2020. Um colega de trabalho observou que se o hospital tinha os recursos que tinha solicitado, um paciente particular pode não ter morrido, referindo-se ao paciente pelo nome. Esta potencial violação está atualmente sob investigação no momento da escrita. em outro exemplo, um funcionário da Elite Dental Associates respondeu a uma revisão do paciente no Yelp, uma plataforma de mídia social para avaliação e revisão de negócios., A resposta incluiu informações sensíveis do paciente, incluindo o nome do paciente, detalhes do plano de tratamento, e informações sobre o custo do tratamento e do seguro do paciente. Durante a investigação da queixa, o Gabinete dos Direitos Civis (OCR) descobriu que as respostas dos associados dentários de Elite a outras análises de pacientes continham informações semelhantes. A Elite Dental Associates resolveu a queixa por 10 mil dólares.
exemplos de violações HIPAA resultantes de dispositivos roubados ou perdidos
dispositivos roubados também podem levar a violações HIPAA., Por exemplo, Católico Serviços de Cuidados de Saúde da Arquidiocese de Filadélfia (CSCS) liquidado potencial HIPAA e violações $650,000 em 2016 seguinte, com o roubo de um dispositivo móvel que continha PHI de centenas de residentes do lar de idosos.
em 2017, A expectativa de vida, o maior sistema hospitalar de Rhode Island, notificou 20.000 pacientes que seu PHI pode ter estado no laptop roubado de um empregado. Em ambos os exemplos, os dispositivos roubados foram encontrados para não ser criptografado e não protegido por senha.,
Exemplos de “Mínimo Necessário” HIPAA Violações
HIPAA requer que o PHI é partilhado apenas um “mínimo necessário” – isso é, as entidades abrangidas e parceiros de negócios devem fazer um esforço razoável para se assegurar de que apenas o mínimo de informações necessárias para completar uma tarefa ou executar um trabalho é acessado ou compartilhadas com pessoas autorizadas, e este é mais complicado requisito que pode levar a violações. Por exemplo, um enfermeiro que trabalhe numa unidade ou num piso só deve receber a informação necessária para cuidar dos pacientes pelos quais é responsável durante o seu turno., as violações do requisito mínimo necessário são comuns quando se trata de terceiros. Por exemplo, compartilhar mais informações do paciente do que o necessário para processar reclamações com um provedor de seguro de saúde pode constituir uma violação HIPAA. Um psicólogo de Nova Jersey enfrentou alegações de violações de HIPAA em 2017 após o gerente de faturamento da prática enviou cópias das contas dos pacientes, incluindo códigos que poderiam revelar diagnósticos e tratamentos para uma agência de coleções., A queixa alegava que a prática não tinha considerado fornecer apenas um registo de transacções ou alterar quaisquer detalhes sensíveis desnecessários do doente antes de enviar a informação para a agência de recolha de dados.,
as Melhores práticas para evitar estes tipos de potenciais HIPAA violações incluem o desenvolvimento de clara e abrangente escrito políticas de segurança, incluindo políticas de mídia social, a implementação de segurança cibernética do treinamento de conscientização para os funcionários, a implementação e o cumprimento robusto de políticas de gerenciamento de dispositivos, incluindo requisitos de apresentação de relatórios para dispositivos perdidos ou roubados e limpeza remota capacidades para proteger informações confidenciais.,
Proteger Sua Empresa De HIPAA Violações: Um Fazer/Não Fazer a Guia
Fonte: Zeguro a Transparência É a base de Conformidade com a HIPAA
HIPAA detalhado da lista de controle de risco e avaliação de requisitos de segurança-primeira abordagem difícil. Queremos ser transparentes, mas, por vezes, as regras impedem isso., Na Zeguro, valorizamos a transparência na forma como comunicamos com nossos clientes, o que também pode ser um guia para como você vê a transparência de dados médicos:
- honestidade: estamos na frente sobre como suas proteções se alinham com os requisitos da norma de segurança HIPAA.clareza: nossos modelos de política de linguagem simples e módulos de treinamento removem o legalese do processo para ajudá-lo a criar diretrizes HIPAA para os funcionários.simplicidade: simplificamos a conformidade da HIPAA com uma plataforma e pessoal de fácil navegação que podem responder às suas perguntas e aliviar o fardo do cumprimento.,
Nota: Zeguro não é capaz de comentar casos ou violações específicas HIPAA e só fornece conselhos gerais em seus blogs e artigos. Nós também não somos capazes de ajudar em questões pessoais HIPAA. Para a assistência com violações da HIPAA, recomendamos que contacte um advogado licenciado. Se você está buscando soluções que podem ajudá-lo a atender a conformidade HIPAA, oferecemos uma solução integrada de segurança cibernética e seguro cibernético que pode ajudar a proteger sua organização e proteger PHI/ePHI. Saiba mais aqui: https://www.zeguro.com/cybersecurity/compliance.