Alig telik el egy nap anélkül, hogy a HIPAA-t megsértő kórház, egészségügyi terv vagy egészségügyi szakember beszámolna arról, de mi a HIPAA-sértés, és mi történik, ha megsértik?
Mi a HIPAA megsértése?
Az egészségbiztosítás hordozhatóságáról és az elszámoltathatóságról szóló 1996. évi törvény olyan mérföldkőnek számító jogszabály, amelyet az egészségügyi adminisztráció egyszerűsítése, a pazarlás kiküszöbölése, az egészségügyi csalások megakadályozása és az hogy a munkavállalók fenntarthatják az egészségügyi ellátást a munkahelyek között.
A HIPAA figyelemre méltó frissítéseket tett a betegek és az egészségügyi terv tagjai adatvédelmének javítása érdekében az évek során, amelyek hozzájárulnak az egészségügyi adatok és a betegek magánéletének védelméhez. védett. Ezek a frissítések tartalmazzák a HIPAA adatvédelmi szabályt, a HIPAA biztonsági szabályt, a HIPAA összesített szabályt és a HIPAA szabálysértési értesítési szabályt.
A HIPAA megsértése a HIPAA szabványok és rendelkezések bármely részletének be nem tartása. 45 CFR 160, 162 és 164. rész.
Az összes HIPAA-szabályzat összesített szövege, amelyet a Department of Az Állampolgári Jogi Egészségügyi és Humán Szolgáltatási Hivatal 115 oldalas, és számos rendelkezést tartalmaz. Több száz módon lehet megsérteni a HIPAA szabályokat, bár a HIPAA leggyakoribb megsértése a következő:
- A védett egészségügyi információk (PHI) megengedhetetlen közzététele
- A PHI engedély nélküli elérése
- A PHI nem megfelelő megsemmisítése
- A kockázatelemzés elmulasztása
- A PHI titkosságát, integritását és elérhetőségét érintő kockázatok kezelésének elmulasztása
- A PHI titkosságának, integritásának és elérhetőségének biztosításához szükséges biztosítékok be nem tartása
- A PHI hozzáférési naplók karbantartásának és felügyeletének elmulasztása
- HIPAA-kompatibilis üzleti társult szerződés megkötésének elmulasztása a PHI-hez való hozzáférés megadása előtt a szállítókkal
- A betegeknek kérésre nem nyújtanak be PHI-példányokat
- A PHI megtekintését korlátozó hozzáférés-ellenőrzések bevezetésének elmulasztása
- A PHI hozzáférési jogainak megszüntetésének elmulasztása, amikor már nincs rá szükség
- Több PHI nyilvánosságra hozatala, mint amennyire egy adott feladat elvégzéséhez szükség van
- Fai csábít HIPAA képzésre és biztonságtudatossági képzésre
- Betegnyilvántartások lopása
- PHI engedély nélküli kiadása az információk fogadására nem jogosult személyek számára
- PHI megosztása online vagy a közösségi médián keresztül engedély nélkül
- A PHI helytelen kezelése és téves felírása
- A PHI sms küldése
- A PHI titkosításának elmulasztása vagy alternatív, azzal egyenértékű intézkedés használata az illetéktelen hozzáférés / nyilvánosságra hozatal megakadályozása érdekében
- Nem értesítik az egyént (vagy az Állampolgári Jogok Hivatalát) a PHI-t érintő biztonsági eseményről a jogsértés felfedezésétől számított 60 napon belül.
- A megfelelőségi erőfeszítések dokumentálásának elmulasztása
Hogyan fedhetők fel a HIPAA jogsértések?
A HIPAA által lefedett entitások belső auditokon keresztül számos HIPAA szabálysértést fedeznek fel. A felügyelők azonosíthatják azokat az alkalmazottakat, akik megsértették a HIPAA szabályait, és az alkalmazottak gyakran maguk jelentik be a HIPAA és a munkatársak esetleges megsértéseit.
A HHS Polgári Jogi Hivatala a HIPAA szabályok legfőbb érvényesítője, és kivizsgálja a HIPAA szabályait. Az egészségügyi dolgozók, a betegek és az egészségügyi terv tagjai által jelentett HIPAA megsértések. Az OCR emellett kivizsgál minden érintett jogalanyot, akik több mint 500 nyilvántartás megsértéséről számolnak be, és vizsgálatot folytatnak egyes kisebb jogsértésekkel kapcsolatban. Az OCR időszakos ellenőrzéseket is végez a HIPAA hatálya alá tartozó jogalanyok és üzleti partnerek körében.
Az államügyészek is hatáskörrel rendelkeznek a jogsértések kivizsgálására, és a vizsgálatokat gyakran a HIPAA esetleges megsértésével kapcsolatos panaszok miatt és a betegnyilvántartás megsértéséről szóló jelentések miatt folytatják
Milyen büntetések vannak a HIPAA szabályok megsértéséért?
A HIPAA szabályok megsértése esetén a büntetések súlyosak lehetnek. Az államügyészek legfőbb bírságot szabhatnak ki jogsértési kategóriánként, naptári évenként legfeljebb 25 000 dollárig. Az OCR évente legfeljebb 1,5 millió dollár bírságot szabhat ki jogsértési kategóriánként. Többmillió dolláros bírságok szabhatók ki – és bocsáthatók ki.
Míg az egészségügyi szolgáltatókra, az egészségügyi tervekre és a fedezett szervezetek üzleti partnereire pénzbírságot szabhatnak ki, a HIPAA szabályait megszegő egyénekre is számíthatnak bírságok és büntetőjogi szankciók lehetnek megfelelőek. A HIPAA megsértésének börtönbüntetése lehetséges, egyes szabálysértések esetén a büntetés akár 10 évig terjedhet.
A HIPAA megsértése esetén kiszabott büntetésekről ezen az oldalon tudhat meg többet.
A legutóbbi HIPAA szabálysértési büntetéseket és a HIPAA büntetési struktúráját az alábbi infografika részletezi.
HIPAA szabálysértési büntetések
GYIK
Hogyan állapíthatja meg, hogy egy szervezet megsérti-e a HIPAA-t?
A lefedett szervezetekre és üzleti partnerekre a HIPAA köteles rendszeresen elvégezni a kockázatelemzéseket. A kockázatelemzéseknek azonosítaniuk kell a meg nem felelés azon területeit, amelyek arra utalnak, hogy a szervezet megsérti a HIPAA-t. A kockázatelemzés elkészítésének és dokumentálásának elmulasztása maga a HIPAA megsértése, valamint a kockázatelemzés által azonosított problémák kezelése.
Mi a különbség a kockázatértékelés és a kockázatelemzés között?
Noha a legtöbb szervezet a kockázatértékelést a lehetséges fenyegetések kivizsgálásának tekintené, és kockázatelemzéssel számolják, hogy ezek a fenyegetések mekkora valószínűséggel fordulnak elő, a HIPAA nem egyértelmű. Például a Biztonsági szabály kockázatelemzési szakaszában az adminisztratív biztosítékok (45 CFR 164.308 (a) bekezdés) a fedezett szervezetnek vagy üzleti társultnak: “Pontosan és alaposan értékelnie kell a titoktartás, integritás és a titoktartás lehetséges kockázatait és sérülékenységeit. a fedett szervezet vagy üzleti munkatárs birtokában lévő elektronikus védett egészségügyi információk rendelkezésre állása. ”,
Ha lehetséges kockázatokat és sebezhetőségeket azonosítunk, mi történik ezután?
Szintén a CFR 45. § 164.308 ( a), a fedezett szervezeteknek és a társult vállalkozásoknak olyan biztonsági intézkedéseket kell végrehajtaniuk, amelyek elegendőek ahhoz, hogy a kockázatokat és a sebezhetőségeket ésszerű és megfelelő szintre csökkentsék. Annak megállapításához, hogy mi minősül “ésszerű és megfelelő szintnek”, a szervezeteknek figyelembe kell venniük (45 CFR szerint) 164.306 (b) bek.):
- A szervezet mérete, összetettsége és képességei
- A szervezet műszaki infrastruktúrája, hardver- és szoftverbiztonsági képességei es
- Az ésszerű és megfelelő biztonsági intézkedések költségei
- Az ePHI integritását potenciálisan veszélyeztető kockázatok valószínűsége és kritikussága ”
Mit jelent a “a lehetséges kockázatok kritikussága” azt jelenti?
A potenciális kockázatok kritikussága kifejezés a HIPAA megsértése által okozott sérülések mértékére utal. Például egy felhőalapú tárolási mennyiség – amely tartalmazza a betegek ezreinek fizetési adatait és társadalombiztosítási számait – nyitva hagyva a nyilvános internet számára, több sérülést okozhat, mint két ápoló, akik a B beteg hallótávolságán belül vitatják meg az A beteg kezelési lehetőségeit.