by 0 comments on "Co je porušení HIPAA?"

Co je porušení HIPAA?

Sotva uplyne den bez zprávy o tom, že nemocnice, zdravotní plán nebo zdravotnický pracovník porušují HIPAA, ale co je to porušení HIPAA a co se stane, když k porušení dojde?

Co je to porušení zákona HIPAA?

Zákon o přenositelnosti a odpovědnosti zdravotního pojištění z roku 1996 je mezníkem v legislativě, která byla zavedena s cílem zjednodušit správu zdravotní péče, eliminovat plýtvání, předcházet podvodům ve zdravotní péči a zajistit že zaměstnanci by mohli udržovat zdravotní péči, když jsou mezi pracovními místy.

V průběhu let došlo k významným aktualizacím HIPAA s cílem zlepšit ochranu soukromí pacientů a členů zdravotního plánu, což pomáhá zajistit ochranu údajů o zdravotní péči a soukromí pacientů je chráněn. Mezi tyto aktualizace patří pravidlo ochrany osobních údajů HIPAA, pravidlo zabezpečení HIPAA, pravidlo HIPAA Omnibus a pravidlo oznámení porušení HIPAA.

Porušení protokolu HIPAA je nedodržení kteréhokoli aspektu standardů a ustanovení HIPAA podrobně popsaných v 45 CFR Part 160, 162, and 164.

Kombinovaný text všech předpisů HIPAA publikovaných ministerstvem Úřad pro zdraví a lidské služby pro občanská práva má 115 stránek a obsahuje mnoho ustanovení. Existují stovky způsobů, jak lze pravidla HIPAA porušit, i když nejčastějšími porušeními pravidla HIPAA jsou:

  • Nepovolené zveřejnění chráněných zdravotních informací (PHI)
  • Neoprávněný přístup k PHI
  • Nesprávná likvidace PHI
  • Neprovedení analýzy rizik
  • Neschopnost řídit rizika týkající se důvěrnosti, integrity a dostupnosti PHI
  • Nesplnění záruk k zajištění důvěrnosti, integrity a dostupnosti PHI
  • Nedodržení a monitorování protokolů přístupu PHI
  • Neschopnost uzavřít dohodu o přidružení k podnikání v souladu s HIPAA s prodejci před poskytnutím přístupu k PHI
  • neposkytnutí pacientů kopií jejich PHI na vyžádání
  • selhání implementace řízení přístupu k omezení toho, kdo může prohlížet PHI
  • Neschopnost ukončit přístupová práva k PHI, pokud již není požadována.
  • Zveřejnění více PHI, než je nutné pro provedení konkrétního úkolu,
  • Fai láká poskytovat školení HIPAA a školení o povědomí o bezpečnosti
  • Krádež záznamů o pacientech
  • Neoprávněné uvolňování PHI osobám, které nejsou oprávněny přijímat informace
  • Sdílení PHI online nebo prostřednictvím sociálních médií bez svolení
  • Nesprávná manipulace a nesprávné nastavení PHI
  • SMS zpráv SMS
  • Nezašifrování PHI nebo použití alternativního, rovnocenného opatření k zabránění neoprávněnému přístupu / vyzrazení
  • Neoznámení jednotlivci (nebo Úřadu pro občanská práva) o bezpečnostním incidentu zahrnujícím PHI do 60 dnů od zjištění porušení
  • Nedokumentování snahy o dodržování předpisů

Jak jsou odhalena porušení HIPAA?

Mnoho porušení HIPAA odhalují subjekty pokryté HIPAA prostřednictvím interních auditů. Vedoucí mohou identifikovat zaměstnance, kteří porušili pravidla HIPAA, a zaměstnanci často sami hlásí porušení HIPAA a potenciální porušení ze strany spolupracovníků.

Úřad HHS pro občanská práva je hlavním vymahačem pravidel HIPAA a vyšetřuje stížnosti Porušení zákona HIPAA hlášené zdravotnickými zaměstnanci, pacienty a členy plánu zdraví. OCR také vyšetřuje všechny kryté subjekty, které hlásí porušení více než 500 záznamů, a provádí vyšetřování určitých menších porušení. OCR také provádí pravidelné audity subjektů a obchodních partnerů, na které se vztahuje HIPAA.

Generální státní zástupci mají také pravomoc vyšetřovat porušení a vyšetřování se často provádí kvůli stížnostem na potenciální porušení HIPAA a při hlášeních o porušení záznamů o pacientech jsou přijaty.

Jaké jsou sankce za porušení pravidel HIPAA?

Tresty za porušení pravidel HIPAA mohou být přísné. Generální státní zástupci mohou udělovat pokuty až do výše 25 000 USD za kategorii porušení předpisů za kalendářní rok. OCR může vydávat pokuty až do výše 1,5 milionu USD za kategorii porušení ročně. Mohou být – a byly – uděleny pokuty za několik milionů dolarů.

Zatímco poskytovatelé zdravotní péče, zdravotní plány a obchodní partneři krytých subjektů mohou být pokutováni, existují i potenciální pokuty pro jednotlivce, kteří porušují pravidla HIPAA a mohou být vhodné trestní sankce. Možnost vězení za porušení zákona HIPAA je možná, přičemž za některá porušení hrozí trest odnětí svobody až 10 let.

Více informací o sankcích za porušení zákona HIPAA naleznete na této stránce.

Nedávné sankce za porušení HIPAA a struktura pokut HIPAA jsou podrobně popsány v níže uvedené infografice.

Tresty za porušení HIPAA

Časté dotazy

Jak zjistíte, zda organizace porušuje HIPAA?

Kryté subjekty a obchodní partneři jsou povinni HIPAA pravidelně provádět analýzy rizik. Analýzy rizik by měly identifikovat všechny oblasti nesouladu, které naznačují, že organizace porušuje HIPAA. Neprovedení a dokumentace analýzy rizik je porušením samotné HIPAA, stejně jako neřešení problémů identifikovaných analýzou rizik.

Jaký je rozdíl mezi posouzením rizika a analýzou rizika?

Zatímco většina subjektů by považovala posouzení rizik za vyšetřování možných hrozeb a analýzu rizik za výpočet pravděpodobnosti výskytu těchto hrozeb, v HIPAA chybí jasnost. Například v oddíle Analýza rizik v části Pravidla zabezpečení Administrativní záruky (45 CFR § 164.308 (a)) musí krytý subjekt nebo obchodní partner: „Provést přesné a důkladné posouzení potenciálních rizik a slabých míst v souvislosti s důvěrností, integritou a dostupnost elektronických chráněných zdravotních informací uchovávaných krytým subjektem nebo obchodním partnerem. “,

Pokud jsou identifikována potenciální rizika a zranitelná místa, co se stane dál?

Také podle 45 CFR § 164,308 ( a), kryté subjekty a obchodní partneři jsou povinni zavést bezpečnostní opatření dostatečná ke snížení rizik a slabých míst na rozumnou a vhodnou úroveň. Aby bylo možné určit, co představuje „rozumnou a vhodnou úroveň“, měly by organizace brát v úvahu (na 45 CFR § 164 306 (b)):

  • Velikost, složitost a schopnosti organizace
  • Schopnosti technické infrastruktury, hardwaru a softwaru organizace es
  • Náklady na přiměřená a vhodná bezpečnostní opatření
  • Pravděpodobnost a kritičnost potenciálních rizik pro integritu ePHI ”

Co dělá „kritičnost potenciálních rizik“ znamená?

Termín kritičnost potenciálních rizik označuje rozsah poranění, které by mohlo být způsobeno porušením zákona HIPAA. Například objem cloudového úložiště – obsahující platební údaje a čísla sociálního zabezpečení tisíců pacientů – ponechaný otevřený pro veřejný internet má potenciál způsobit více zranění než dvě zdravotní sestry diskutující o možnostech léčby pacienta A v doslechu pacienta B.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *