Næppe en dag går uden en nyhedsrapport om et hospital, en sundhedsplan eller sundhedsperson, der overtræder HIPAA, men hvad er en HIPAA-overtrædelse, og hvad sker der, når en overtrædelse opstår?
Hvad er en HIPAA-overtrædelse?
Health Insurance Portability and Accountability Act fra 1996 er en milepæl med lovgivning, der blev indført for at forenkle administrationen af sundhedsvæsenet, eliminere spild, forhindre svindel i sundhedsvæsenet og sikre at medarbejdere kunne opretholde sundhedsdækning, når de er mellem job.
Der har været bemærkelsesværdige opdateringer til HIPAA for at forbedre beskyttelse af privatlivets fred for patienter og sundhedsplanmedlemmer gennem årene, som hjælper med at sikre sundhedsdata og beskyttelse af patienters privatliv. er beskyttet. Disse opdateringer inkluderer HIPAA Privacy Rule, HIPAA Security Rule, HIPAA Omnibus Rule og HIPAA Breach Notification Rule.
En HIPAA-overtrædelse er en manglende overholdelse af ethvert aspekt af HIPAA-standarder og -bestemmelser, der er detaljeret beskrevet i 45 CFR-dele 160, 162 og 164.
Den kombinerede tekst til alle HIPAA-regler offentliggjort af Department of Health and Human Services Office for Civil Rights løber til 115 sider og indeholder mange bestemmelser. Der er hundreder af måder, hvorpå HIPAA-regler kan overtrædes, selvom de mest almindelige HIPAA-overtrædelser er:
- Tilladelig afsløring af beskyttet sundhedsinformation (PHI)
- Uautoriseret adgang til PHI
- Forkert bortskaffelse af PHI
- Manglende gennemførelse af en risikoanalyse
- Manglende håndtering af risici for PHIs fortrolighed, integritet og tilgængelighed
- Manglende gennemførelse af beskyttelsesforanstaltninger for at sikre fortrolighed, integritet og tilgængelighed af PHI
- Manglende vedligeholdelse og overvågning af PHI-adgangslogger
- Manglende indgåelse af en HIPAA-kompatibel forretningsaftale med leverandører, inden de giver adgang til PHI
- Manglende levering af patienter med kopier af deres PHI efter anmodning
- Manglende implementering af adgangskontrol for at begrænse, hvem der kan se PHI
- Manglende opsigelse af adgangsrettigheder til PHI, når det ikke længere kræves
- Oplysningen mere PHI end nødvendigt for, at en bestemt opgave udføres
- Fai lokke til at levere HIPAA-træning og sikkerhedskendskabstræning
- Tyveri af patientjournaler
- Uautoriseret frigivelse af PHI til personer, der ikke er autoriserede til at modtage informationen
- Deling af PHI online eller via sociale medier uden tilladelse
- Fejlhåndtering og misforståelse af PHI
- SMS til PHI
- Manglende kryptering af PHI eller brug af en alternativ, tilsvarende foranstaltning for at forhindre uautoriseret adgang / afsløring
- Manglende meddelelse til en enkeltperson (eller Kontoret for Borgerrettigheder) om en sikkerhedshændelse, der involverer PHI inden for 60 dage efter opdagelsen af en overtrædelse
- Manglende dokumentation af overholdelsesindsats
Hvordan afdækkes HIPAA-overtrædelser?
Mange HIPAA-overtrædelser opdages af HIPAA-dækkede enheder gennem interne revisioner. Vejledere kan identificere medarbejdere, der har overtrådt HIPAA-reglerne, og medarbejdere rapporterer ofte selv HIPAA-overtrædelser og potentielle overtrædelser fra kolleger.
HHS kontor for borgerrettigheder er den vigtigste håndhæver af HIPAA-reglerne og undersøger klager over HIPAA-overtrædelser rapporteret af sundhedsmedarbejdere, patienter og medlemmer af sundhedsplanen. OCR undersøger også alle omfattede enheder, der rapporterer overtrædelser af mere end 500 poster og gennemfører undersøgelser af visse mindre overtrædelser. OCR udfører også periodiske revisioner af HIPAA-omfattede enheder og forretningsforbindelser.
Statsadvokater har også beføjelse til at undersøge overtrædelser, og undersøgelser foretages ofte på grund af klager over potentielle HIPAA-overtrædelser, og når rapporter om overtrædelser af patientjournaler modtages.
Hvad er sanktionerne for overtrædelser af HIPAA-reglerne?
Sanktionerne for overtrædelser af HIPAA-reglerne kan være alvorlige. Statsadvokater generelt kan udstede bøder op til maksimalt $ 25.000 pr. Overtrædelseskategori pr. Kalenderår. OCR kan udstede bøder på op til $ 1,5 millioner pr. Overtrædelseskategori pr. År. Bøder på flere millioner dollars kan udstedes – og er blevet udstedt.
Mens sundhedsudbydere, sundhedsplaner og forretningsforbindelser til dækkede enheder kan blive bødet, er der også potentielle bøder for enkeltpersoner, der overtræder HIPAA-reglerne og strafferetlige sanktioner kan være passende. En fængselsstraf for overtrædelse af HIPAA er en mulighed, hvor nogle overtrædelser medfører en straf på op til 10 år i fængsel.
Du kan finde ud af mere om sanktionerne for HIPAA-overtrædelser på denne side.
Nylige HIPAA-overtrædelsesstraffe og HIPAA-straffestrukturen er beskrevet i nedenstående infografik.
HIPAA Overtrædelsesstraffe
Ofte stillede spørgsmål
Hvordan kan du vide, om en organisation er i strid med HIPAA?
Dækkede enheder og forretningsforbindelser kræves af HIPAA at foretage risikoanalyser regelmæssigt. Risikoanalyserne bør identificere områder med manglende overholdelse, der indikerer, at organisationen er i strid med HIPAA. Manglen på at gennemføre og dokumentere en risikoanalyse er en krænkelse af HIPAA i sig selv, ligesom det ikke er at løse problemer identificeret ved en risikoanalyse.,
Hvad er forskellen mellem en risikovurdering og en risikoanalyse?
Mens de fleste enheder vil betragte en risikovurdering som en undersøgelse af mulige trusler, og en risikoanalyse til beregning af, hvor sandsynligt disse trusler er, er der mangel på klarhed i HIPAA. F.eks. Skal under risikoanalyseafsnittet i sikkerhedsreglen administrative sikkerhedsforanstaltninger (45 CFR § 164.308 (a)) omfattet enhed eller forretningsforbindelse: “foretage en nøjagtig og grundig vurdering af de potentielle risici og sårbarheder over for fortrolighed, integritet og tilgængelighed af elektronisk beskyttede sundhedsoplysninger, der ligger hos den omfattede enhed eller forretningsforbindelse. ”,
Når potentielle risici og sårbarheder identificeres, hvad sker der derefter?
Også under 45 CFR § 164.308 ( a), er omfattede enheder og forretningsforbindelser forpligtet til at gennemføre sikkerhedsforanstaltninger, der er tilstrækkelige til at reducere risici og sårbarheder til et rimeligt og passende niveau. For at bestemme, hvad der udgør et “rimeligt og passende niveau”, bør organisationer tage højde for (pr. 45 CFR § 164.306 (b)):
- Organisationens størrelse, kompleksitet og kapacitet
- Organisationens tekniske infrastruktur, hardware og softwaresikkerhedsfunktioner es
- Omkostningerne ved rimelige og passende sikkerhedsforanstaltninger
- Sandsynligheden og kritikken af potentielle risici for integriteten af ePHI ”