by 0 comments on "Co to jest naruszenie HIPAA?"

Co to jest naruszenie HIPAA?

Ledwie dzień mija bez doniesień o szpitalu, planie opieki zdrowotnej lub pracownikach służby zdrowia naruszających ustawę HIPAA, ale co to jest naruszenie ustawy HIPAA i co się dzieje, gdy dochodzi do naruszenia?

Co to jest naruszenie ustawy HIPAA?

Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych z 1996 r. jest przełomowym aktem prawnym wprowadzonym w celu uproszczenia zarządzania opieką zdrowotną, wyeliminowania marnotrawstwa, zapobiegania oszustwom zdrowotnym i zapewnienia że pracownicy mogą utrzymywać ubezpieczenie zdrowotne między pracą.

Na przestrzeni lat wprowadzono znaczące aktualizacje ustawy HIPAA w celu poprawy ochrony prywatności pacjentów i członków planu zdrowotnego, co pomaga zapewnić ochronę danych dotyczących opieki zdrowotnej i prywatności pacjentów jest chroniony. Aktualizacje te obejmują zasadę prywatności HIPAA, regułę bezpieczeństwa HIPAA, regułę zbiorczą HIPAA i zasadę powiadamiania o naruszeniu ustawy HIPAA.

Naruszenie ustawy HIPAA to nieprzestrzeganie któregokolwiek aspektu standardów i przepisów HIPAA szczegółowo opisanych w 45 CFR części 160, 162 i 164.

Łączny tekst wszystkich przepisów HIPAA opublikowanych przez Departament Biuro Praw Obywatelskich ds. Zdrowia i Opieki Społecznej ma 115 stron i zawiera wiele przepisów. Istnieją setki sposobów naruszania zasad HIPAA, chociaż najczęstsze naruszenia HIPAA to:

  • Niedopuszczalne ujawnianie chronionych informacji zdrowotnych (PHI)
  • Nieautoryzowany dostęp do PHI
  • Niewłaściwa utylizacja PHI
  • Brak analizy ryzyka
  • Brak zarządzania ryzykiem dla poufności, integralności i dostępności PHI
  • Brak wdrożenia zabezpieczeń zapewniających poufność, integralność i dostępność PHI
  • Brak prowadzenia i monitorowania dzienników dostępu PHI
  • Brak zawarcia umowy z partnerem biznesowym zgodnej z HIPAA z dostawcami przed udzieleniem dostępu do PHI
  • Niedostarczenie pacjentom kopii ich PHI na żądanie
  • Brak wdrożenia kontroli dostępu w celu ograniczenia osób, które mogą przeglądać PHI
  • Brak odebrania praw dostępu do PHI, gdy nie są już potrzebne
  • Ujawnienie większej liczby PHI niż jest to konieczne do wykonania określonego zadania
  • Fai zachęcenie do zapewnienia szkolenia HIPAA i szkolenia uświadamiającego w zakresie bezpieczeństwa
  • Kradzież dokumentacji pacjenta
  • Nieuprawnione udostępnienie ChIZ osobom nieupoważnionym do otrzymywania informacji
  • Udostępnianie ChIZ online lub za pośrednictwem mediów społecznościowych bez pozwolenia
  • Nieprawidłowe obchodzenie się z PHI i błędne jego użycie
  • Wysyłanie SMS-ów PHI
  • Brak zaszyfrowania PHI lub użycie alternatywnego, równoważnego środka zapobiegającego nieautoryzowanemu dostępowi / ujawnieniu
  • Brak powiadomienia osoby fizycznej (lub Urzędu Praw Obywatelskich) o incydencie związanym z bezpieczeństwem z udziałem PHI w ciągu 60 dni od wykrycia naruszenia
  • Brak udokumentowania działań w zakresie zgodności

W jaki sposób ujawnia się naruszenia HIPAA?

Wiele naruszeń HIPAA jest wykrywanych przez podmioty objęte ustawą HIPAA podczas audytów wewnętrznych. Przełożeni mogą identyfikować pracowników, którzy naruszyli zasady HIPAA, a pracownicy często sami zgłaszają naruszenia HIPAA i potencjalne naruszenia przez współpracowników.

Biuro Praw Obywatelskich HHS jest głównym organem egzekwującym zasady HIPAA i bada skargi dotyczące Naruszenia HIPAA zgłoszone przez pracowników służby zdrowia, pacjentów i członków planu zdrowotnego. OCR bada również wszystkie objęte podmioty, które zgłaszają naruszenia ponad 500 zapisów i prowadzi dochodzenia w sprawie niektórych mniejszych naruszeń. OCR prowadzi również okresowe audyty podmiotów i współpracowników objętych ustawą HIPAA.

Stanowi prokuratorzy generalni mają również uprawnienia do badania naruszeń, a dochodzenia są często prowadzone z powodu skarg dotyczących potencjalnych naruszeń ustawy HIPAA oraz w przypadku zgłoszeń naruszeń dokumentacji pacjentów są odbierane.

Jakie są kary za naruszenie zasad HIPAA?

Kary za naruszenie zasad HIPAA mogą być surowe. Prokuratorzy generalni stanowi mogą nakładać grzywny do maksymalnej wysokości 25 000 USD za kategorię naruszenia w roku kalendarzowym. OCR może nakładać grzywny w wysokości do 1,5 mln USD za kategorię naruszenia rocznie. Mogą zostać nałożone wielomilionowe kary pieniężne – i już zostały – nałożone.

Podczas gdy świadczeniodawcy, plany zdrowotne i wspólnicy biznesowi podmiotów objętych ubezpieczeniem mogą podlegać karom, istnieją również potencjalne grzywny dla osób, które naruszają przepisy HIPAA odpowiednie mogą być sankcje karne. Możliwa jest kara więzienia za naruszenie ustawy HIPAA, a niektóre naruszenia grożą karą do 10 lat więzienia.

Więcej informacji na temat kar za naruszenia ustawy HIPAA można znaleźć na tej stronie.

Najnowsze kary za naruszenie ustawy HIPAA i strukturę kar HIPAA są szczegółowo opisane na poniższej infografice.

Kary za naruszenie ustawy HIPAA

Często zadawane pytania

Po czym poznać, że organizacja narusza HIPAA?

Podmioty objęte i współpracownicy biznesowi są zobowiązani przez HIPAA do przeprowadzania regularnych analiz ryzyka. Analizy ryzyka powinny identyfikować wszelkie obszary niezgodności, które wskazują, że organizacja narusza HIPAA. Brak przeprowadzenia i nie udokumentowania analizy ryzyka stanowi naruszenie samej ustawy HIPAA, podobnie jak zaniechanie rozwiązania problemów zidentyfikowanych w analizie ryzyka.

Jaka jest różnica między oceną ryzyka a analizą ryzyka?

Chociaż większość podmiotów uznałaby ocenę ryzyka za badanie możliwych zagrożeń, a analizę ryzyka za obliczenie prawdopodobieństwa wystąpienia tych zagrożeń, w ustawie HIPAA brakuje jasności. Na przykład, w części poświęconej analizie ryzyka w przepisach dotyczących zabezpieczeń administracyjnych (45 CFR § 164.308 (a)) podmiot lub partner biznesowy objęty ubezpieczeniem musi: „Przeprowadzić dokładną i dokładną ocenę potencjalnych zagrożeń i słabych punktów w zakresie poufności, integralności i dostępność chronionych elektronicznie informacji zdrowotnych przechowywanych przez podmiot objęty ubezpieczeniem lub partnera biznesowego. ”,

Co dzieje się dalej, gdy zidentyfikowane zostaną potencjalne zagrożenia i słabości?

Również w ramach 45 CFR § 164.308 ( a) podmioty objęte ubezpieczeniem i wspólnicy biznesowi są zobowiązani do wdrożenia środków bezpieczeństwa wystarczających do ograniczenia zagrożeń i słabych punktów do rozsądnego i odpowiedniego poziomu. Aby określić, co stanowi „rozsądny i odpowiedni poziom”, organizacje powinny wziąć pod uwagę (zgodnie z 45 CFR § 164.306 (b)):

  • Rozmiar, złożoność i możliwości organizacji
  • Możliwości organizacji w zakresie infrastruktury technicznej, sprzętu i oprogramowania es
  • Koszt rozsądnych i odpowiednich środków bezpieczeństwa
  • Prawdopodobieństwo i krytyczność potencjalnych zagrożeń dla integralności ePHI ”

Co oznacza „krytyczność potencjalnych zagrożeń” oznacza?

Termin krytyczność potencjalnych zagrożeń odnosi się do skali obrażeń, które mogą być spowodowane naruszeniem ustawy HIPAA. Na przykład wolumen przechowywania w chmurze – zawierający szczegóły płatności i numery ubezpieczenia społecznego tysięcy pacjentów – pozostawiony publicznie w Internecie może spowodować więcej obrażeń niż dwie pielęgniarki omawiające opcje leczenia pacjenta A w zasięgu słuchu pacjenta B.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *