Knapt en dag går uten en nyhetsrapport om sykehus, helseplan eller helsepersonell som bryter HIPAA, men hva er et HIPAA-brudd og hva skjer når et brudd oppstår?
Hva er en HIPAA-overtredelse?
Health Insurance Portability and Accountability Act of 1996 er et landemerke lovverk som ble innført for å forenkle administrasjonen av helsevesenet, eliminere svinn, forhindre svindel i helsetjenester og sikre at ansatte kan opprettholde helsetjenester dekning mellom jobbene.
Det har vært bemerkelsesverdige oppdateringer av HIPAA for å forbedre personvernet for pasienter og medlemmer av helseplanen gjennom årene som bidrar til å sikre helsedata og pasienters personvern. er beskyttet. Disse oppdateringene inkluderer HIPAA Privacy Rule, HIPAA Security Rule, HIPAA Omnibus Rule og HIPAA Breach Notification Rule.
Et HIPAA-brudd er en manglende overholdelse av noen aspekter av HIPAA-standarder og bestemmelser beskrevet detaljert i 45 CFR-deler 160, 162 og 164.
Den kombinerte teksten til alle HIPAA-forskrifter publisert av Department of Health and Human Services Office for Civil Rights går til 115 sider og inneholder mange bestemmelser. Det er hundrevis av måter HIPAA-reglene kan brytes på, selv om de vanligste HIPAA-bruddene er:
- Tillatelig avsløring av beskyttet helseinformasjon (PHI)
- Uautorisert tilgang til PHI
- Feil avhending av PHI
- Manglende gjennomføring av en risikoanalyse
- Manglende håndtering av risiko for PHIs konfidensialitet, integritet og tilgjengelighet
- Manglende gjennomføring av garantier for å sikre konfidensialitet, integritet og tilgjengelighet av PHI
- Unnlatelse av å opprettholde og overvåke PHI-tilgangslogger
- Unnlatelse av å inngå en HIPAA-kompatibel forretningsavtale med leverandører før de gir tilgang til PHI
- Unnlatelse av å gi pasienter kopier av PHI på forespørsel
- Unnlatelse av å implementere tilgangskontroller for å begrense hvem som kan se PHI
- Manglende avslutning av tilgangsrettigheter til PHI når det ikke lenger kreves
- Avsløringen mer PHI enn det som er nødvendig for at en bestemt oppgave skal utføres
- Fai lokke til å gi HIPAA opplæring og opplæring i sikkerhetsbevissthet
- Tyveri av pasientjournaler
- Uautorisert frigjøring av PHI til personer som ikke er autorisert til å motta informasjonen
- Deling av PHI online eller via sosiale medier uten tillatelse
- Feilhåndtering og misforståelse av PHI
- Teksting av PHI
- Manglende kryptering av PHI eller bruk av et alternativ, tilsvarende tiltak for å forhindre uautorisert tilgang / avsløring
- Unnlatelse av å varsle en person (eller kontoret for sivile rettigheter) om en sikkerhetshendelse som involverer PHI innen 60 dager etter oppdagelsen av et brudd
- Manglende dokumentasjon av overholdelsesarbeid
Hvordan blir HIPAA-brudd avdekket?
Mange HIPAA-brudd blir oppdaget av HIPAA-dekkede enheter gjennom interne revisjoner. Veiledere kan identifisere ansatte som har brutt HIPAA-reglene, og ansatte rapporterer ofte selv HIPAA-brudd og potensielle brudd fra medarbeidere.
HHS Office for Civil Rights er hovedhåndheveren av HIPAA-reglene og etterforsker klager over HIPAA-brudd rapportert av helsepersonell, pasienter og medlemmer av helseplanen. OCR undersøker også alle omfattede enheter som rapporterer om brudd på mer enn 500 poster og gjennomfører undersøkelser av visse mindre brudd. OCR utfører også periodiske tilsyn med HIPAA-omfattede enheter og forretningsforbindelser.
Statlige advokater har også makten til å undersøke brudd og undersøkelser blir ofte utført på grunn av klager på potensielle HIPAA-brudd og når rapporter om brudd på pasientjournaler. mottas.
Hva er straffen for brudd på HIPAA-reglene?
Straffene for brudd på HIPAA-reglene kan være alvorlige. Statsadvokater kan utstede bøter opp til maksimalt $ 25 000 per kategori for brudd, per kalenderår. OCR kan utstede bøter på opptil $ 1,5 millioner per bruddskategori, per år. Bøter på flere millioner dollar kan bli utstedt – og har blitt utstedt.
Mens helsepersonell, helseplaner og forretningsforbindelser til dekket enheter kan bli bøtelagt, er det også potensielle bøter for personer som bryter HIPAA-reglene og strafferettslige straffer kan være hensiktsmessige. En fengselsstraff for brudd på HIPAA er en mulighet, med noen overtredelser som medfører en straff på opptil 10 år i fengsel.
Du kan finne ut mer om straffene for HIPAA-brudd på denne siden.
Nylige HIPAA-overtredelsesstraffer og HIPAA-straffestrukturen er beskrevet i infografikken nedenfor.
HIPAA overtredelsesstraffer
Vanlige spørsmål
Hvordan kan du vite om en organisasjon bryter HIPAA?
Omfattede enheter og forretningsforbindelser er pålagt av HIPAA å gjennomføre risikoanalyser med jevne mellomrom. Risikoanalysene bør identifisere områder med manglende samsvar som indikerer at organisasjonen er i strid med HIPAA. Mangelen på å gjennomføre og dokumentere en risikoanalyse er et brudd på HIPAA i seg selv, i likhet med å ikke løse problemer som er identifisert av en risikoanalyse.,
Hva er forskjellen mellom en risikovurdering og en risikoanalyse? / h3>
Mens de fleste enhetene anser en risikovurdering for å være en undersøkelse av mulige trusler, og en risikoanalyse for å beregne hvor sannsynlig disse truslene er, er det mangel på klarhet i HIPAA. For eksempel, under risikoanalyseseksjonen i sikkerhetsregelen, må administrative sikkerhetsforanstaltninger (45 CFR § 164.308 (a)) dekket enhet eller forretningsforbindelse: «Gjøre en nøyaktig og grundig vurdering av potensielle risikoer og sårbarheter for konfidensialitet, integritet og tilgjengeligheten av elektronisk beskyttet helseinformasjon som dekkende enhet eller forretningsforbund har. ”,
Hva skjer deretter når potensielle risikoer og sårbarheter identifiseres?
Også under 45 CFR § 164.308 ( a), dekkede enheter og tilknyttede selskaper er pålagt å iverksette sikkerhetstiltak som er tilstrekkelig for å redusere risiko og sårbarhet til et rimelig og passende nivå. For å bestemme hva som utgjør et «rimelig og passende nivå», bør organisasjoner ta hensyn til (per 45 CFR § 164.306 (b)):
- Organisasjonens størrelse, kompleksitet og evner
- Organisasjonens tekniske infrastruktur, maskinvare og programvaresikkerhetsmuligheter es
- Kostnadene ved rimelige og hensiktsmessige sikkerhetstiltak
- Sannsynligheten og kritikken for potensielle risikoer for integriteten til ePHI ”
Hva gjør «kritikk av potensielle risikoer» betyr?
Uttrykket kritikk av potensielle risikoer refererer til omfanget av skade som kan være forårsaket av et HIPAA-brudd. For eksempel har et skylagringsvolum – som inneholder betalingsdetaljer og personnummer for tusenvis av pasienter – som er åpent for det offentlige Internett, potensialet til å forårsake mer skade enn to sykepleiere som diskuterer behandlingsalternativene for pasient A innenfor høyreskudd fra pasient B.