Passa appena un giorno senza una notizia di un ospedale, un piano sanitario o un operatore sanitario che violi lHIPAA, ma cosè una violazione HIPAA e cosa succede quando si verifica una violazione?
Che cosè una violazione HIPAA?
LHealth Insurance Portability and Accountability Act del 1996 è un atto legislativo fondamentale introdotto per semplificare lamministrazione dellassistenza sanitaria, eliminare gli sprechi, prevenire le frodi sanitarie e garantire che i dipendenti possano mantenere la copertura sanitaria tra un lavoro e laltro.
Ci sono stati importanti aggiornamenti allHIPAA per migliorare la protezione della privacy per i pazienti e i membri del piano sanitario nel corso degli anni che aiutano a garantire che i dati sanitari siano salvaguardati e la privacy dei pazienti è protetto. Tali aggiornamenti includono la regola sulla privacy HIPAA, la regola di sicurezza HIPAA, la regola omnibus HIPAA e la regola di notifica delle violazioni HIPAA.
Una violazione HIPAA è un mancato rispetto di qualsiasi aspetto degli standard e delle disposizioni HIPAA dettagliate in dettaglio in 45 CFR Parti 160, 162 e 164.
Il testo combinato di tutti i regolamenti HIPAA pubblicato dal Dipartimento di LUfficio per la salute e i servizi umani per i diritti civili arriva a 115 pagine e contiene molte disposizioni. Esistono centinaia di modi in cui le regole HIPAA possono essere violate, sebbene le violazioni HIPAA più comuni siano:
- Divulgazione non consentita di informazioni sanitarie protette (PHI)
- Accesso non autorizzato di PHI
- Smaltimento improprio di PHI
- Mancata conduzione di unanalisi dei rischi
- Mancata gestione dei rischi per la riservatezza, lintegrità e la disponibilità di PHI
- Mancata implementazione di misure di salvaguardia per garantire la riservatezza, lintegrità e la disponibilità di PHI
- Mancata conservazione e monitoraggio dei log di accesso PHI
- Mancata stipula di un contratto di società in affari conforme a HIPAA con i fornitori prima di concedere laccesso alle PHI
- Mancata fornitura ai pazienti di copie delle loro PHI su richiesta
- Mancata implementazione dei controlli di accesso per limitare chi può visualizzare PHI
- Mancata revoca dei diritti di accesso a PHI quando non più necessari
- La divulgazione di più PHI di quanto sia necessario per eseguire una determinata attività
- Fai tentare di fornire formazione HIPAA e formazione sulla consapevolezza della sicurezza
- Furto di cartelle cliniche dei pazienti
- Rilascio non autorizzato di PHI a persone non autorizzate a ricevere le informazioni
- Condivisione di PHI online o tramite social media senza autorizzazione
- Cattiva gestione e invio errato di PHI
- Invio di messaggi di testo PHI
- Mancata crittografia di PHI o utilizzo di una misura alternativa equivalente per impedire laccesso / divulgazione non autorizzati
- Mancata notifica a un individuo (o allOffice for Civil Rights) di un incidente di sicurezza che coinvolge PHI entro 60 giorni dalla scoperta di una violazione
- Mancata documentazione degli sforzi di conformità
Come vengono scoperte le violazioni HIPAA?
Molte violazioni HIPAA vengono scoperte da entità coperte da HIPAA tramite audit interni. I supervisori possono identificare i dipendenti che hanno violato le regole HIPAA e i dipendenti spesso segnalano da soli le violazioni HIPAA e le potenziali violazioni da parte dei colleghi.
LHHS Office for Civil Rights è il principale garante delle regole HIPAA e indaga sui reclami di Violazioni HIPAA segnalate da dipendenti sanitari, pazienti e membri del piano sanitario. OCR indaga anche su tutte le entità coperte che segnalano violazioni di oltre 500 record e conduce indagini su alcune violazioni minori. LOCR conduce anche audit periodici delle entità coperte dallHIPAA e dei soci in affari.
I procuratori generali dello stato hanno anche il potere di indagare sulle violazioni e le indagini sono spesso condotte a causa di reclami su potenziali violazioni dellHIPAA e quando vengono segnalate violazioni dei record dei pazienti vengono ricevuti.
Quali sono le sanzioni per le violazioni delle regole HIPAA?
Le sanzioni per le violazioni delle regole HIPAA possono essere gravi. I procuratori generali dello Stato possono emettere multe fino a un massimo di $ 25.000 per categoria di violazione, per anno civile. LOCR può emettere multe fino a $ 1,5 milioni per categoria di violazione allanno. Possono essere inflitte multe di svariati milioni di dollari.
Sebbene gli operatori sanitari, i piani sanitari e i soci in affari delle entità coperte possano essere multati, ci sono anche potenziali multe per le persone che violano le norme HIPAA e sanzioni penali possono essere appropriate. Una pena detentiva per violazione dellHIPAA è una possibilità, con alcune violazioni che comportano una pena fino a 10 anni di carcere.
Puoi trovare ulteriori informazioni sulle sanzioni per le violazioni HIPAA su questa pagina.
Le recenti sanzioni per violazione HIPAA e la struttura delle sanzioni HIPAA sono descritte in dettaglio nellinfografica sottostante.
Penalità per violazione HIPAA
Domande frequenti
Come puoi sapere se unorganizzazione sta violando lHIPAA?
LHIPAA richiede alle entità coperte e ai soci in affari di condurre analisi dei rischi su base regolare. Le analisi dei rischi dovrebbero identificare eventuali aree di non conformità che indicano che lorganizzazione sta violando lHIPAA. La mancata conduzione e documentazione di unanalisi del rischio è una violazione della stessa HIPAA, così come la mancata risoluzione dei problemi identificati da unanalisi del rischio.,
Qual è la differenza tra una valutazione del rischio e unanalisi del rischio?
Sebbene la maggior parte delle entità considererebbe una valutazione del rischio unindagine su possibili minacce e unanalisi del rischio un calcolo della probabilità che tali minacce si verifichino, vi è una mancanza di chiarezza nellHIPAA. Ad esempio, nella sezione relativa allanalisi dei rischi delle Salvaguardie amministrative della regola di sicurezza (45 CFR § 164.308 (a)) lente o il socio in affari coperti deve: “Condurre una valutazione accurata e approfondita dei potenziali rischi e vulnerabilità per la riservatezza, lintegrità e disponibilità di informazioni sanitarie protette elettroniche detenute dallentità coperta o dal socio in affari. “,
Quando vengono identificati potenziali rischi e vulnerabilità, cosa succede dopo?
Anche ai sensi del 45 CFR § 164.308 ( a), le entità coperte e gli associati aziendali sono tenuti a implementare misure di sicurezza sufficienti a ridurre i rischi e le vulnerabilità a un livello ragionevole e appropriato. Al fine di determinare cosa costituisce un “livello ragionevole e appropriato”, le organizzazioni dovrebbero prendere in considerazione (per 45 CFR § 164.306 (b)):
- Le dimensioni, la complessità e le capacità dellorganizzazione
- Le capacità di sicurezza dellinfrastruttura tecnica, dellhardware e del software dellorganizzazione es
- Il costo di misure di sicurezza ragionevoli e appropriate
- La probabilità e la criticità di potenziali rischi per lintegrità delleFI “
Che cosa fa “criticità dei potenziali rischi” significa?
Il termine criticità dei potenziali rischi si riferisce allentità del danno che potrebbe essere causato da una violazione HIPAA. Ad esempio, un volume di archiviazione cloud, contenente i dettagli del pagamento e i numeri di previdenza sociale di migliaia di pazienti, lasciato aperto alla rete Internet pubblica può potenzialmente causare più lesioni rispetto a due infermieri che discutono le opzioni di trattamento per il paziente A a portata dorecchio del paziente B.