Tuskin päivä kuluu ilman uutisraporttia sairaalasta, terveydenhoitosuunnitelmasta tai terveydenhuollon ammattilaisesta, joka rikkoo HIPAA: ta, mutta mikä on HIPAA-rikkomus ja mitä tapahtuu, kun rikkomus tapahtuu?
Mikä on HIPAA-rikkomus?
Vuoden 1996 sairausvakuutuksen siirrettävyyttä ja vastuullisuutta koskeva laki on merkittävä lainsäädäntö, joka otettiin käyttöön terveydenhuollon hallinnon yksinkertaistamiseksi, tuhlauksen poistamiseksi, terveydenhuollon petosten estämiseksi ja varmistamiseksi. että työntekijät voisivat ylläpitää terveydenhuollon kattavuutta työpaikkojen välillä.
HIPAA: han on tehty merkittäviä päivityksiä potilaiden ja terveydenhoitosuunnitelman jäsenten yksityisyyden suojan parantamiseksi vuosien varrella, mikä auttaa varmistamaan terveystietojen suojaamisen ja potilaiden yksityisyyden. on suojattu. Nämä päivitykset sisältävät HIPAA-tietosuojasäännön, HIPAA-tietoturvasäännön, HIPAA-yleissäännön ja HIPAA-rikkomusilmoitussäännön.
HIPAA-rikkomus on HIPAA-standardien ja -säännösten minkään näkökohdan noudattamatta jättäminen. 45 CFR-osaa 160, 162 ja 164.
Kaikkien HIPAA-säädösten yhdistetty teksti Kansalaisoikeuksien terveys- ja henkilöstötoimisto on 115 sivua ja sisältää monia säännöksiä. HIPAA-sääntöjä voidaan rikkoa satoja tapoja, vaikka yleisimmät HIPAA-rikkomukset ovat:
- Suojattujen terveystietojen (PHI) luvattomat paljastukset
- PHI: n luvaton käyttö
- PHI: n väärä hävittäminen
- Riskianalyysin suorittamatta jättäminen
- PHI: n luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvien riskien hallitsematta jättäminen
- Suojatoimien laiminlyönti PHI: n luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi
- PHI-pääsylokien ylläpito ja valvonta epäonnistuminen
- HIPAA-yhteensopivan liikekumppanuussopimuksen tekemättä jättäminen toimittajien kanssa ennen pääsyä PHI: lle
- Potilaiden PHI-kopioiden toimittamatta jättäminen
- Käyttöoikeuksien valvonnan käyttöönoton epäonnistuminen PHI: n katselun rajoittamiseksi
- PHI: n käyttöoikeuksien päättämättä jättäminen, kun sitä ei enää tarvita
- Paljastetaan enemmän PHI: tä kuin tarvitaan tietyn tehtävän suorittamiseen
- Fai houkutella tarjoamaan HIPAA-koulutusta ja turvallisuustietoisuuteen liittyvää koulutusta
- potilastietojen varastaminen
- PHI: n luvaton luovuttaminen henkilöille, joilla ei ole lupaa saada tietoja
- PHI: n jakaminen verkossa tai sosiaalisen median kautta ilman lupaa
- PHI: n väärinkäsittely ja väärinkäyttö
- PHI: n lähettäminen tekstiviestiin
- PHI: n salauksen laiminlyönti tai muun, vastaavan toimenpiteen käyttäminen luvattoman pääsyn / paljastamisen estämiseksi
- Henkilölle (tai kansalaisoikeuksien toimistolle) ilmoittamatta jättäminen PHI: tä koskevasta tietoturvatapahtumasta 60 päivän kuluessa rikkomuksen havaitsemisesta
- Vaatimustenmukaisuuden noudattamista koskevien toimien dokumentoimatta jättäminen
Kuinka HIPAA-rikkomukset paljastetaan?
HIPAA-piiriin kuuluvat yksiköt havaitsevat monia HIPAA-rikkomuksia sisäisten tarkastusten avulla. Esimiehet voivat tunnistaa työntekijät, jotka ovat rikkoneet HIPAA-sääntöjä, ja työntekijät ilmoittavat usein itse HIPAA-rikkomuksista ja mahdollisten kollegoiden rikkomuksista.
HHS: n kansalaisoikeuksien toimisto on HIPAA-sääntöjen tärkein valvoja ja tutkii Terveydenhuollon työntekijöiden, potilaiden ja terveydenhoitosuunnitelman jäsenten ilmoittamat HIPAA-rikkomukset. OCR tutkii myös kaikki katetut yhteisöt, jotka ilmoittavat yli 500 tietueen rikkomisesta, ja tutkii tiettyjä pienempiä rikkomuksia. OCR suorittaa myös säännöllisiä tarkastuksia HIPAA: n piiriin kuuluvista yhteisöistä ja liikekumppaneista.
Valtion oikeusministerillä on myös valta tutkia rikkomuksia, ja tutkimuksia tehdään usein mahdollisten HIPAA-rikkomusten vuoksi tehtyjen valitusten vuoksi ja kun ilmoitetaan potilastietojen rikkomisesta. vastaanotetaan.
Mitkä ovat HIPAA-sääntöjen rikkomisen seuraamukset?
HIPAA-sääntöjen rikkomuksista määrättävät rangaistukset voivat olla ankaria. Valtion oikeusministerit voivat määrätä sakkoja enintään 25 000 dollaria rikkomusluokkaa kohti kalenterivuodessa. OCR voi määrätä sakkoja enintään 1,5 miljoonaa dollaria rikkomusluokkaa kohti vuodessa. Usean miljoonan dollarin sakkoja voidaan määrätä – ja ne onkin määrätty -.
Vaikka terveydenhuollon tarjoajille, terveydenhoitosuunnitelmille ja katettujen yksiköiden liikekumppaneille voidaan määrätä sakkoja, HIPAA-sääntöjä rikkoville henkilöille voidaan määrätä myös sakkoja. ja rikosoikeudelliset seuraamukset voivat olla aiheellisia. Vankeusrangaistus HIPAA: n rikkomisesta on mahdollista, ja joillekin rikkomuksille voidaan määrätä jopa 10 vuoden vankeusrangaistus.
Täältä löydät lisätietoja HIPAA: n rikkomuksista määrättävistä rangaistuksista.
Viimeaikaiset HIPAA-rikkomusrangaistukset ja HIPAA-rangaistusrakenne on kuvattu alla olevassa infografiassa.
HIPAA-rikkomusrangaistukset
UKK
Kuinka voit selvittää, onko organisaatio rikkonut HIPAA: ta?
HIPAA velvoittaa kattavat yhteisöt ja liikekumppanit suorittamaan riskianalyysit säännöllisesti. Riskianalyyseissä tulisi tunnistaa kaikki noudattamatta jättämisen alueet, jotka osoittavat, että organisaatio rikkoo HIPAA: ta. Riskianalyysin tekemättä jättäminen ja dokumentoiminen on itse HIPAA: n vastaista, samoin kuin riskianalyysin tunnistamien ongelmien puuttuminen.
Mikä on ero riskinarvioinnin ja riskianalyysin välillä?
Vaikka useimmat yhteisöt pitävät riskinarviointia mahdollisten uhkien tutkimisena ja riskianalyysin avulla lasketaan, kuinka todennäköisesti nämä uhat tapahtuvat, HIPAA: ssa ei ole selkeyttä. Esimerkiksi turvallisuussäännön riskianalyysiosassa hallinnolliset turvatoimet (45 CFR § 164.308 (a)) katetun yhteisön tai liikekumppanin on: ”Suoritettava tarkka ja perusteellinen arvio luottamuksellisuuden, eheyden ja suojatun yksikön tai liikekumppanin hallussa olevien sähköisten suojattujen terveystietojen saatavuus. ”,
Kun mahdolliset riskit ja haavoittuvuudet tunnistetaan, mitä seuraavaksi tapahtuu?
Myös CFR: n 45 §: n 164,308 ( a) kattamien yhteisöjen ja osakkuusyritysten on pantava täytäntöön riittävät turvatoimenpiteet riskien ja haavoittuvuuksien vähentämiseksi kohtuulliselle ja tarkoituksenmukaiselle tasolle. Organisaatioiden tulisi ottaa huomioon (45 CFR: n määrittelemiseksi, mikä on ”kohtuullinen ja asianmukainen taso”). § 164.306 (b)):
- Organisaation koko, monimutkaisuus ja ominaisuudet
- Organisaation tekninen infrastruktuuri, laitteisto ja ohjelmistojen tietoturvaominaisuudet es
- kohtuullisten ja asianmukaisten turvatoimien kustannukset
- ePHI: n eheydelle mahdollisesti aiheutuvien riskien todennäköisyys ja kriittisyys ”
Mitä ”mahdollisten riskien kriittisyys” tarkoittaa?
Termi mahdollisten riskien kriittisyys viittaa vahinkojen laajuuteen, jotka HIPAA-rikkomukset saattavat aiheuttaa. Esimerkiksi julkiselle Internetille jätetty pilvitallennustila – joka sisältää tuhansien potilaiden maksutiedot ja sosiaaliturvatunnukset – voi aiheuttaa enemmän vammoja kuin kaksi sairaanhoitajaa, jotka keskustelevat potilaan A hoitovaihtoehdoista potilaan B etäisyydellä.