HIPAA Violations: Stories, Workplace & Employer Examples, and More/Zeguro Blog
”men jag visste inte.”
det är ingen ursäkt. Oavsett om du är fem eller femtiofem, har du ofta svarat på en anklagelse med denna mening. Tyvärr, i en värld av dataskydd, tillsynsmyndigheter vill inte höra den frasen. Du måste veta. När det gäller anställd eller kund sjukvård information, olyckor kan konkurs ett företag., Att upprätthålla en företagskultur av säkerhet-första överensstämmelse för att skapa en cybermedveten arbetskraft förbereder och skyddar din praxis eller ditt företag från vanliga HIPAA kränkningar i samband med anställdas åtgärder – oavsett om du är inom hälso-och sjukvårdsområdet eller inte.
Vad är HIPAA?
hälso-och Sjukvårdsförsäkringslagen Portability and Accountability Act från 1996 (HIPAA) krävde att Department of Health and Human Services (HHS), som administrerades via Civil Rights Office (OCR), skulle anta nationella standarder för elektronisk hälso-och sjukvårdsinformation., HIPAA har förlängts genom åren och innehåller nu Integritetsregeln, säkerhetsregeln, Verkställighetsregeln och Överträdelseanmälningsregeln.
en kort HIPAA-sammanfattning är att dessa fyra regler fastställer strikta riktlinjer för integritets-och säkerhetskontroller över skyddad hälsoinformation (PHI). Definierad som ”individuellt identifierbar hälsoinformation”, PHI eller elektronisk PHI (ePHI) inkluderar demografisk information, medicinsk historia, test-eller laboratorieresultat, mental hälsoinformation, försäkringsinformation eller annan data som identifierar en klient., Men för att fullt ut förstå inte bara vad HIPAA är utan hur det relaterar till ditt företag behöver du en kort översikt över säkerhetsregeln och sekretessregeln.
en enkel HIPAA säkerhetsregel sammanfattning
kort sagt, skapar säkerhetsregeln en rad riktlinjer för att se till att hälso-och sjukvårdsorganisationer, andra täckta enheter, och affärspartners skydda sekretess, integritet och tillgänglighet av ePHI skapas, tas emot, underhålls eller överförs. Med andra ord, låt inte någon av misstag komma åt informationen eller stjäla det oavsett vad det är eller var det är., Som en del av detta måste du identifiera och skydda mot potentiella risker som leder till oavsiktliga användningar eller upplysningar. Dessutom måste du se till att dina anställda gör detsamma.
a Simple HIPAA Privacy Rule Summary
även om HIPAA Privacy Rule är liknande, fokuserar på en persons rätt att kontrollera användningen av deras information. Medan du behöver säkra det, måste du också se till att du inte låter någon ha oavsiktlig eller obehörig åtkomst till den.,
viktiga skillnader mellan säkerhets-och Integritetsreglerna
HIPAA: s Integritetsregel och HIPAA: s säkerhetsregler kan låta liknande, men det finns två viktiga skillnader:
- säkerhetsregeln fokuserar på elektronisk information, men Integritetsregeln innehåller också talad och pappersinformation.
- sekretessregeln fokuserar på att ”hålla det tyst” medan säkerhetsregeln beskriver specifika steg för efterlevnad.
vem måste följa HIPAA?,
HIPAA gäller dig som en ”täckt enhet” Om du är en vårdgivare, hälsoplan eller vård clearinghouse. HIPAA-definitionen av ”affärsenheter” utökar den för att införliva tredje parter som utför funktioner på uppdrag av täckta enheter som använder, lagrar, bearbetar eller lämnar ut hälsoinformation för dem.
med andra ord, om du vill expandera en programvara eller webbapplikation för att aktivera någon av de täckta enheterna som nämns ovan, måste du följa HIPAA-reglerna.
vad utgör en HIPAA-överträdelse?,
även om HIPAA-överträdelser uppstår på olika sätt, innehåller de alla ”någon som inte borde veta något som lär sig om det eftersom det inte fanns tillräckligt med skydd.”Denna definition innehåller allt från anställda som har för mycket systemåtkomst, till en hackare som får tillträde till ditt system, till någon som lämnar ett papper på ett skrivbord eller en skärm öppen för visning.
enligt Verkställighetsregeln kan OCR ta ut böter var som helst från $100 per överträdelse (högst $25,000 årligen) till $50,000 per överträdelse (högst $1.5 miljoner årligen) för en oavsiktlig överträdelse., Straffminimum ökar när du agerar mer villigt när du bryter mot lagen. I själva verket, om dina handlingar är alltför flagranta, justitiedepartementet kan bötfälla dig $ 250.000 och utsätta dig för upp till tio års fängelse för en datakompromiss med avsikt att sälja, överföra eller använda informationen för kommersiell fördel, personlig vinning, eller skadlig skada.,
arbetsgivarens HIPAA-överträdelser: Hur skyddar du personalinformation
även om du inte är en vårdgivare eller affärspartner (tredje part som hanterar hälso-och sjukvårdsinformation på uppdrag av en vårdgivare) kan du fortfarande vara i fara. HIPAA lag och arbetsgivare har ett spänt förhållande. Även om anställdas medicinska integritetsrättigheter mestadels faller under American with Disabilities Act (Ada), faller vissa Under HIPAA lagar och förordningar. Viktigt är att det finns några HIPAA-riktlinjer för arbetsgivare.,
ring inte till läkaren
vad du än gör, Ring aldrig en anställds vårdleverantör. Gör det inte.
segregera Medicinsk dokumentation
om du behöver läkarundersökningar som en del av ett anställdas hälsoprogram eller som ett krav på ett jobberbjudande, håll medicinsk information åtskild från traditionella anställdas register. Detta kan vara fysisk segregation eller digital segregation (till exempel en annan server).,
skydda ePHI inom självförsäkrade hälso-och sjukvårdsplaner
om du bara använder en administrativ tjänst (Aso) plan där du som arbetsgivare betalar förmåner med hjälp av ditt eget företag medel, måste du vara helt HIPAA kompatibel.
upprätta Datahanteringspraxis för information om grupphälsoplan
om du får mer än sammanfattande information från grupphälsoplanen omfattas den av HIPAA och behöver skydd., Se till att du granskar dokumentationen som skickas till din personalavdelning och antingen skapa nya metoder eller bättre definiera vilken information grupphälsoplanen ska skicka dig.
granska Företagshälskliniker och Personalhjälpsprogram
båda dessa kan klassificeras som hybridenheter där leverantören överför information för betalning. Som sådan, om du behåller poster som dessa, måste du låsa dem för att vara kompatibla.,
meddela aldrig något (bra eller dåligt) klassificerat som ett medicinskt tillstånd
Du kan vara över månen att din anställd är gravid eller förkrossad av en anställds cancerdiagnos. Men om inte din anställd tillåter dig att avslöja, kan ett meddelande om att dela denna information med andra anställda eller ledning vara en HIPAA-överträdelse.
HIPAA Violation Examples
HIPAA violation stories överflöd. De kan uppstå från överskridande på sociala medier och förlorade eller stulna enheter., Även företag som inte längre är verksamma är inte säkra från konsekvenserna av HIPAA-överträdelser.
exempel på sociala medier HIPAA kränkningar
många HIPAA kränkningar som involverar sociala medier är oavsiktliga. Sociala medier kommentarer och inlägg kan till exempel bryta mot HIPAA-reglerna även om de inte nämner en patient med namn. I vissa fall kan anställda dela bilder på sociala medier utan att inse att patientinformation är synlig i bakgrunden.,
ett nytt exempel gäller en sjuksköterska som skapade en video där hon intervjuade medarbetare om de utmaningar de står inför att arbeta under covid-19 pandemin i April 2020. En medarbetare noterade att om sjukhuset hade de resurser som det hade begärt, kan en viss patient inte ha dött, med hänvisning till patienten med namn. Denna potentiella överträdelse är för närvarande under utredning vid skrivningstillfället.
i ett annat exempel svarade en anställd från Elite Dental Associates på en patients recension på Yelp, en social medieplattform för betyg och granskning av företag., Svaret inkluderade känslig patientinformation inklusive patientens namn, behandlingsplanuppgifter och information om kostnaden för behandlingen och patientens försäkring. Under sin undersökning av klagomålet fann Civil Rights Office (OCR) att Elite Dental Associates svar på andra patientrecensioner innehöll liknande information. Elite Dental Associates avgjorde klagomålet för $ 10,000.
exempel på HIPAA-överträdelser till följd av förlorade eller stulna enheter
stulna enheter kan också leda till HIPAA-överträdelser., Till exempel bosatte sig Katolska hälsovårdstjänster från ärkestiftet i Philadelphia (CHCS) potentiella HIPAA-överträdelser för $650,000 i 2016 efter stöld av en mobil enhet som innehöll PHI av hundratals vårdhemboende.
i 2017 meddelade Lifespan, Rhode Islands största sjukhussystem, 20 000 patienter att deras PHI kan ha varit på en anställds stulna bärbara dator. I båda dessa exempel befanns de stulna enheterna vara okrypterade och inte lösenordsskyddade.,
exempel på ”minimum Necessary” HIPAA Violations
HIPAA kräver att PHI delas endast på en ”minimum necessary” basis-det vill säga täckta enheter och affärsbekanta måste göra en rimlig ansträngning för att säkerställa att endast den minsta information som krävs för att slutföra en uppgift eller utföra ett jobb nås av eller delas med auktoriserade personer, och detta är ett annat knepigt krav som kan leda till överträdelser. Till exempel bör en sjuksköterska som arbetar i en enhet eller på ett golv endast ges den information som behövs för att ta hand om de patienter som de ansvarar för under sitt skift.,
överträdelser av det minsta nödvändiga kravet är vanliga vid hantering av tredje part. Att till exempel dela mer patientinformation än nödvändigt för att behandla fordringar med en sjukförsäkringsleverantör kan utgöra en HIPAA-överträdelse. En New Jersey psykolog inför anklagelser om HIPAA kränkningar i 2017 efter praxis fakturering manager skickade kopior av patienternas räkningar inklusive koder som kan avslöja diagnoser och behandlingar till en samlingsbyrå., Klagomålet hävdade att praktiken inte kunde överväga att endast tillhandahålla en transaktionsledare eller ändra onödiga känsliga patientuppgifter innan informationen skickades till samlingsbyrån.,
bästa praxis för att undvika dessa typer av potentiella HIPAA-överträdelser är att utveckla tydliga och omfattande skriftliga säkerhetspolicyer, inklusive sociala medier, genomföra utbildning om IT-säkerhet för anställda och genomföra och genomdriva robusta policyer för enhetshantering, inklusive rapporteringskrav för förlorade eller stulna enheter och fjärrtorkningskapacitet för att skydda känslig information.,
skydda ditt företag mot HIPAA-överträdelser: a do/Don”t do Guide
öppenhet är grunden för HIPAA-överensstämmelse
hipaas detaljerade kontrolllista och riskbedömningskrav gör din säkerhet-första metoden svår. Du vill vara öppen, men reglerna förhindrar ibland det., På Zeguro värdesätter vi transparens på det sätt vi kommunicerar med våra kunder, vilket också kan vara en guide till hur du ser på medicinsk datatransparens:
- ärlighet: vi är på framsidan om hur väl dina skydd stämmer överens med HIPAA Säkerhetsregelens krav.
- klarhet: våra vanliga språkpolicy mallar och utbildningsmoduler tar bort legalese från processen för att hjälpa dig att skapa HIPAA riktlinjer för anställda.
- enkelhet: vi förenklar HIPAA överensstämmelse med en enkel att navigera plattform och personal som kan svara på dina frågor och lindra bördan av efterlevnad.,
Obs: Zeguro kan inte kommentera specifika HIPAA-fall eller överträdelser och ger endast allmänna råd i sina bloggar och artiklar. Vi kan inte heller hjälpa till med personliga HIPAA-frågor. För hjälp med HIPAA-överträdelser rekommenderar vi att du kontaktar licensierad juridisk rådgivning. Om du söker lösningar som kan hjälpa dig att möta HIPAA efterlevnad, erbjuder vi en integrerad cybersäkerhet och cyber försäkring lösning som kan hjälpa till att säkra din organisation och skydda PHI/ePHI. Läs mer här: https://www.zeguro.com/cybersecurity/compliance.