병원, 건강 보험 또는 의료 전문가가 HIPAA를 위반했다는 뉴스 보도 없이는 하루도 지나지 않습니다. 그러나 HIPAA 위반이란 무엇이며 위반이 발생하면 어떻게 되나요?
HIPAA 위반이란 무엇입니까?
1996 년 건강 보험 이동성 및 책임법은 의료 관리를 단순화하고, 낭비를 제거하고, 의료 사기를 방지하고, 직원들이 직장 사이에 의료 보험을 유지할 수 있다는 점을 알립니다.
HIPAA에 대한 주목할만한 업데이트가 수년 동안 환자와 건강 보험 가입자의 개인 정보 보호를 개선하여 의료 데이터를 안전하게 보호하고 환자의 개인 정보를 보호하는 데 도움이되었습니다. 보호됩니다. 이러한 업데이트에는 HIPAA 개인 정보 보호 규칙, HIPAA 보안 규칙, HIPAA Omnibus 규칙 및 HIPAA 위반 알림 규칙이 포함됩니다.
HIPAA 위반은 다음에 자세히 설명 된 HIPAA 표준 및 조항을 준수하지 않는 것입니다. 45 CFR Parts 160, 162 및 164.
미국 국무부가 발행 한 모든 HIPAA 규정의 결합 된 텍스트 시민권을위한 보건 복지국은 115 페이지로 구성되며 많은 조항이 포함되어 있습니다. HIPAA 규칙을 위반할 수있는 방법에는 수백 가지가 있지만 가장 일반적인 HIPAA 위반은 다음과 같습니다.
- 보호 된 건강 정보 (PHI)의 허용되지 않는 공개
- PHI의 무단 액세스
- PHI의 부적절한 폐기
- 위험 분석 수행 실패
- PHI의 기밀성, 무결성 및 가용성에 대한 위험 관리 실패
- PHI의 기밀성, 무결성 및 가용성을 보장하기위한 보호 장치 구현 실패
- PHI 액세스 로그 유지 및 모니터링 실패
- HIPAA 준수 비즈니스 제휴 계약 체결 실패 PHI에 대한 액세스 권한을 부여하기 전에 공급 업체와 협의
- 요청시 환자에게 PHI 사본을 제공하지 않음
- PHI를 볼 수있는 사람을 제한하기위한 액세스 제어 구현 실패
- 더 이상 필요하지 않은 경우 PHI에 대한 액세스 권한을 종료하지 못함
- 특정 작업을 수행하는 데 필요한 것보다 더 많은 PHI를 공개
- Fai HIPAA 교육 및 보안 인식 교육을 제공하도록 유혹
- 환자 기록 도용
- 정보를받을 권한이없는 개인에게 PHI 무단 공개
- 온라인으로 PHI 공유 또는 허가없이 소셜 미디어를 통해
- PHI를 잘못 취급 및 잘못 발송
- PHI에 문자 보내기
- PHI를 암호화하지 못하거나 무단 액세스 / 공개를 방지하기위한 동등한 대체 수단을 사용하지 않음
- 위반 발견 후 60 일 이내에 PHI와 관련된 보안 사고를 개인 (또는 민권 사무소)에 알리지 않음
- 준수 노력 문서화 실패
HIPAA 위반은 어떻게 밝혀 지나요?
많은 HIPAA 위반은 내부 감사를 통해 HIPAA 적용 대상에 의해 발견됩니다. 감독자는 HIPAA 규칙을 위반 한 직원을 식별 할 수 있으며 직원은 종종 HIPAA 위반 및 동료에 의한 잠재적 위반을 스스로보고합니다.
HHS의 시민권 사무소는 HIPAA 규칙의 주요 집행자이며 불만 사항을 조사합니다. 의료 종사자, 환자 및 건강 보험 가입자가보고 한 HIPAA 위반. OCR은 또한 500 개가 넘는 기록의 위반을보고하는 모든 적용 대상을 조사하고 특정 소규모 위반에 대한 조사를 수행합니다. OCR은 또한 HIPAA가 적용되는 법인 및 비즈니스 동료에 대한 정기적 인 감사를 실시합니다.
주 법무 장관은 또한 위반을 조사 할 권한이 있으며 잠재적 HIPAA 위반에 대한 불만 및 환자 기록 위반보고시 종종 조사가 수행됩니다.
HIPAA 규칙 위반에 대한 처벌은 무엇입니까?
HIPAA 규칙 위반에 대한 처벌은 심각 할 수 있습니다. 주 법무 장관은 위반 범주 당 연간 최대 $ 25,000의 벌금을 부과 할 수 있습니다. OCR은 위반 범주 당 연간 최대 150 만 달러의 벌금을 부과 할 수 있습니다. 수백만 달러의 벌금이 부과 될 수 있으며 이미 발행되었습니다.
의료 서비스 제공자, 건강 보험 및 보험 적용 대상의 비즈니스 동료에게 벌금이 부과 될 수 있지만 HIPAA 규칙을 위반하는 개인에게는 벌금이 부과 될 수 있습니다. 형사 처벌이 적절할 수 있습니다. HIPAA 위반에 대한 징역형이있을 수 있으며, 일부 위반은 최대 10 년의 징역형을 수반합니다.
이 페이지에서 HIPAA 위반에 대한 처벌에 대해 자세히 알아볼 수 있습니다.
최근 HIPAA 위반 벌금 및 HIPAA 벌금 구조는 아래 인포 그래픽에 자세히 설명되어 있습니다.
HIPAA 위반 벌금
FAQ
조직이 HIPAA를 위반하고 있는지 어떻게 알 수 있습니까?
해당 법인 및 사업 관계자는 HIPAA에서 정기적으로 위험 분석을 수행해야합니다. 위험 분석은 조직이 HIPAA를 위반하고 있음을 나타내는 비준수 영역을 식별해야합니다. 위험 분석을 수행하고 문서화하지 않는 것은 위험 분석으로 식별 된 문제를 해결하지 못하는 것과 마찬가지로 HIPAA 자체를 위반하는 것입니다.
위험 평가와 위험 분석의 차이점은 무엇입니까?
대부분의 개체는 위험 평가를 가능한 위협에 대한 조사로 간주하고 위험 분석을 이러한 위협이 발생할 가능성에 대한 계산으로 간주하지만 HIPAA에는 명확성이 부족합니다. 예를 들어, 보안 규칙 관리 보호 장치 (45 CFR § 164.308 (a))의 위험 분석 섹션에 따라 해당 법인 또는 비즈니스 직원은 다음과 같이해야합니다. “기밀성, 무결성 및 해당 대상 또는 비즈니스 동료가 보유한 전자 보호 건강 정보의 가용성.”,
잠재적 인 위험 및 취약성이 확인되면 다음에 어떻게됩니까?
또한 45 CFR § 164.308 ( a) 해당 대상 및 비즈니스 직원은 위험과 취약성을 합리적이고 적절한 수준으로 줄이기에 충분한 보안 조치를 구현해야합니다. “합리적이고 적절한 수준”을 구성하는 요소를 결정하기 위해 조직은 고려해야합니다 (45 CFR 기준). § 164.306 (b)) :
- 조직의 규모, 복잡성 및 기능
- 조직의 기술 인프라, 하드웨어 및 소프트웨어 보안 기능 es
- 합리적이고 적절한 보안 조치의 비용
- ePHI의 무결성에 대한 잠재적 위험의 가능성과 중요도”
“잠재적 위험의 임계성”은 무엇을 의미합니까?
잠재적 위험의 중요도라는 용어는 HIPAA 위반으로 인해 발생할 수있는 부상의 규모를 나타냅니다. 예를 들어, 지불 세부 정보와 수천 명의 환자의 사회 보장 번호를 포함하는 클라우드 스토리지 볼륨이 공개 인터넷에 공개 된 상태에서 두 명의 간호사가 환자 B의 귓속말 내에서 환자 A에 대한 치료 옵션을 논의하는 것보다 더 많은 부상을 입힐 가능성이 있습니다.