Abia trece o zi fără un raport de știri despre un spital, un plan de sănătate sau un profesionist din domeniul sănătății care încalcă HIPAA, dar ce este o încălcare HIPAA și ce se întâmplă atunci când apare o încălcare?
Ce este o încălcare a HIPAA?
Legea portabilității și responsabilității asigurărilor de sănătate din 1996 este o lege importantă care a fost introdusă pentru a simplifica administrarea asistenței medicale, a elimina risipa, a preveni frauda în domeniul sănătății și a asigura că angajații ar putea menține acoperirea asistenței medicale între locuri de muncă.
Au existat actualizări notabile la HIPAA pentru a îmbunătăți protecția confidențialității pacienților și a membrilor planului de sănătate de-a lungul anilor, care ajută la asigurarea protejării datelor de sănătate și a confidențialității pacienților este protejat. Aceste actualizări includ Regula de confidențialitate HIPAA, Regula de securitate HIPAA, Regula omnibus HIPAA și Regula de notificare a încălcării HIPAA.
O încălcare a HIPAA este nerespectarea oricărui aspect al standardelor și dispozițiilor HIPAA detaliate în detaliu în 45 CFR părțile 160, 162 și 164.
Textul combinat al tuturor reglementărilor HIPAA publicat de Departamentul de Biroul pentru Sănătate și Servicii Umane pentru Drepturi Civile este de 115 pagini și conține multe prevederi. Există sute de moduri în care regulile HIPAA pot fi încălcate, deși cele mai frecvente încălcări HIPAA sunt:
- Divulgarea nepermisă a informațiilor de sănătate protejate (PHI)
- Accesarea neautorizată a PHI
- Eliminarea necorespunzătoare a PHI
- Eșecul efectuării unei analize a riscurilor
- Eșecul gestionării riscurilor pentru confidențialitatea, integritatea și disponibilitatea PHI
- Eșecul implementării măsurilor de protecție pentru a asigura confidențialitatea, integritatea și disponibilitatea PHI
- Eșecul menținerii și monitorizării jurnalelor de acces PHI
- Eșecul încheierii unui acord de asociere de afaceri conform HIPAA cu furnizorii înainte de a da acces la PHI
- Eșecul de a furniza pacienților copii ale PHI-ului la cerere
- Eșecul implementării controalelor de acces pentru a limita cine poate vedea PHI
- Eșecul încetării drepturilor de acces la PHI atunci când nu mai este necesar
- Divulgarea mai multor PHI decât este necesar pentru a fi efectuată o anumită sarcină
- Fai ademeniți să oferiți instruire HIPAA și instruire de conștientizare a securității
- Furtul dosarelor pacientului
- Eliberarea neautorizată a PHI către persoanele neautorizate să primească informațiile
- Distribuirea online a PHI sau prin intermediul rețelelor de socializare fără permisiune
- Manipularea greșită și incorecta PHI
- Trimiterea de mesaje PHI
- Eșecul criptării PHI sau utilizarea unei alternative, măsură echivalentă pentru a preveni accesul / divulgarea neautorizată
- Eșecul notificării unei persoane (sau a Oficiului pentru Drepturi Civile) cu privire la un incident de securitate care implică PHI în termen de 60 de zile de la descoperirea unei încălcări
- Eșecul documentării eforturilor de conformitate
Cum sunt descoperite încălcările HIPAA?
Multe încălcări HIPAA sunt descoperite de entitățile acoperite de HIPAA prin intermediul auditurilor interne. Supraveghetorii pot identifica angajații care au încălcat regulile HIPAA, iar angajații adesea se autoreportează încălcările HIPAA și încălcările potențiale ale colegilor de muncă.
Oficiul HHS pentru Drepturi Civile este principalul executor al Regulilor HIPAA și investighează plângerile Încălcările HIPAA raportate de angajații din domeniul sănătății, pacienți și membrii planului de sănătate. OCR investighează, de asemenea, toate entitățile acoperite care raportează încălcări de peste 500 de înregistrări și efectuează investigații cu privire la anumite încălcări mai mici. OCR efectuează, de asemenea, audituri periodice ale entităților acoperite de HIPAA și ale asociaților de afaceri.
Procurorii generali ai statului au, de asemenea, puterea de a investiga încălcările, iar anchetele sunt deseori efectuate din cauza reclamațiilor cu privire la potențiale încălcări ale HIPAA și atunci când se raportează încălcări ale evidenței pacienților sunt primite.
Care sunt sancțiunile pentru încălcarea regulilor HIPAA?
Sancțiunile pentru încălcarea regulilor HIPAA pot fi severe. Procurorii generali ai statului pot emite amenzi de până la maximum 25.000 USD pe categorie de încălcare, pe an calendaristic. OCR poate emite amenzi de până la 1,5 milioane USD pe categorie de încălcare, pe an. Amenzi de milioane de dolari pot fi – și au fost – emise.
În timp ce furnizorii de asistență medicală, planurile de sănătate și asociații de afaceri ai entităților acoperite pot fi amendați, există și amenzi potențiale pentru persoanele care încalcă regulile HIPAA iar sancțiunile penale pot fi adecvate. Este posibilă o pedeapsă cu închisoarea pentru încălcarea HIPAA, unele încălcări aplicând o pedeapsă de până la 10 ani de închisoare.
Puteți afla mai multe despre sancțiunile pentru încălcările HIPAA pe această pagină.
Sancțiunile recente pentru încălcarea HIPAA și structura sancțiunilor HIPAA sunt detaliate în infografia de mai jos.
Sancțiuni împotriva încălcării HIPAA
Întrebări frecvente
Cum vă puteți da seama dacă o organizație încalcă HIPAA?
Entitățile acoperite și asociații de afaceri sunt obligați de HIPAA să efectueze analize de risc în mod regulat. Analizele de risc ar trebui să identifice orice domenii de neconformitate care indică faptul că organizația încalcă HIPAA. Eșecul de a efectua și documenta o analiză a riscului este o încălcare a HIPAA în sine, la fel cum nu se abordează problemele identificate printr-o analiză a riscurilor.
Care este diferența dintre o evaluare a riscului și o analiză a riscului?
În timp ce majoritatea entităților consideră că o evaluare a riscurilor este o investigație a posibilelor amenințări și o analiză a riscurilor un calcul al probabilității apariției acestor amenințări, există o lipsă de claritate în HIPAA. De exemplu, în secțiunea de analiză a riscurilor din Regula de securitate Garanții administrative (45 CFR § 164.308 (a)) entitatea acoperită sau asociatul de afaceri trebuie: „să efectueze o evaluare exactă și aprofundată a riscurilor potențiale și a vulnerabilităților la confidențialitate, integritate și disponibilitatea informațiilor electronice de sănătate protejate deținute de entitatea acoperită sau de un asociat comercial. ”,
Când sunt identificate riscurile și vulnerabilitățile potențiale, ce se va întâmpla în continuare?
Tot sub 45 CFR § 164.308 ( a), entitățile acoperite și asociații de afaceri sunt obligați să pună în aplicare măsuri de securitate suficiente pentru a reduce riscurile și vulnerabilitățile la un nivel rezonabil și adecvat. Pentru a determina ce constituie un „nivel rezonabil și adecvat”, organizațiile ar trebui să ia în considerare (per 45 CFR § 164.306 (b)):
- Dimensiunea, complexitatea și capacitățile organizației
- Infrastructura tehnică, hardware-ul și capacitatea de securitate a software-ului organizației es
- Costul măsurilor de securitate rezonabile și adecvate
- Probabilitatea și criticitatea riscurilor potențiale pentru integritatea ePHI ”
Ce înseamnă „criticitate a riscurilor potențiale” înseamnă?
Termenul de criticitate a riscurilor potențiale se referă la amploarea prejudiciului care ar putea fi cauzată de o încălcare a HIPAA. De exemplu, un volum de stocare în cloud – care conține detaliile de plată și numerele de securitate socială a mii de pacienți – lăsat deschis publicului pe Internet are potențialul de a provoca mai multe leziuni decât două asistente care discută despre opțiunile de tratament pentru pacientul A la îndemâna pacientului B.