Det går knappt en dag utan en nyhetsrapport om ett sjukhus, hälsoplan eller vårdpersonal som bryter mot HIPAA, men vad är ett HIPAA-brott och vad händer när ett brott inträffar?
Vad är en HIPAA-överträdelse?
Health Insurance Portability and Accountability Act från 1996 är en milstolpe lagstiftning som infördes för att förenkla vårdadministrationen, eliminera slöseri, förhindra bedrägerier och säkerställa att anställda kan upprätthålla vårdtäckningen när de är mellan jobb.
Det har gjorts anmärkningsvärda uppdateringar av HIPAA för att förbättra integritetsskyddet för patienter och hälsoplanmedlemmar genom åren som hjälper till att säkerställa att vårddata skyddas och integriteten för patienter är skyddad. Dessa uppdateringar inkluderar HIPAA Privacy Rule, HIPAA Security Rule, HIPAA Omnibus Rule och HIPAA Breach Notification Rule.
En HIPAA-överträdelse är ett misslyckande med att följa någon aspekt av HIPAA-standarder och bestämmelser som beskrivs detaljerat i 45 CFR-delar 160, 162 och 164.
Den kombinerade texten till alla HIPAA-förordningar publicerade av Department of Hälso- och mänskliga tjänster Kontoret för medborgerliga rättigheter går till 115 sidor och innehåller många bestämmelser. Det finns hundratals sätt att HIPAA-regler kan brytas, även om de vanligaste HIPAA-överträdelserna är:
- Otillåtna avslöjanden av skyddad hälsoinformation (PHI)
- Obehörig tillgång till PHI
- Felaktigt avfallshantering av PHI
- Underlåtenhet att genomföra en riskanalys
- Underlåtenhet att hantera risker för PHI: s konfidentialitet, integritet och tillgänglighet
- Underlåtenhet att genomföra skyddsåtgärder för att säkerställa konfidentialitet, integritet och tillgänglighet för PHI
- Misslyckande med att underhålla och övervaka PHI-åtkomstloggar
- Misslyckande med att ingå ett HIPAA-kompatibelt affärsavtal med leverantörer innan de ger tillgång till PHI
- Underlåtenhet att förse patienter med kopior av sin PHI på begäran
- Underlåtenhet att genomföra åtkomstkontroller för att begränsa vem som kan se PHI
- Misslyckande med att avsluta åtkomsträttigheter till PHI när det inte längre krävs
- Upplysningen mer PHI än vad som är nödvändigt för att en viss uppgift ska utföras
- Fai locka att tillhandahålla HIPAA-utbildning och säkerhetsmedvetenhetsträning
- Stöld av patientjournaler
- Obehörig frisättning av PHI till personer som inte är behöriga att ta emot informationen
- Dela PHI online eller via sociala medier utan tillstånd
- Felaktig hantering och felaktig PHI
- SMS till PHI
- Misslyckande med att kryptera PHI eller använda en alternativ, likvärdig åtgärd för att förhindra obehörig åtkomst / avslöjande
- Underlåtenhet att meddela en enskild person (eller Byrån för medborgerliga rättigheter) om en säkerhetsincident som involverar PHI inom 60 dagar efter upptäckten av ett intrång
- Underlåtenhet att dokumentera efterlevnadsåtgärder
Hur upptäcks HIPAA-överträdelser?
Många HIPAA-överträdelser upptäcks av HIPAA-täckta enheter genom interna revisioner. Handledare kan identifiera anställda som har överträtt HIPAA-reglerna och anställda rapporterar ofta HIPAA-överträdelser och potentiella överträdelser av medarbetare.
HHS-byrån för medborgerliga rättigheter är den viktigaste verkställaren av HIPAA-reglerna och undersöker klagomål om HIPAA-överträdelser rapporterade av vårdpersonal, patienter och hälsoplanmedlemmar. OCR undersöker också alla täckta enheter som rapporterar överträdelser av mer än 500 poster och genomför utredningar av vissa mindre överträdelser. OCR utför också periodiska granskningar av HIPAA-täckta enheter och affärsföretag.
Statliga advokater har också befogenhet att undersöka överträdelser och utredningar görs ofta på grund av klagomål om potentiella HIPAA-överträdelser och när rapporter om överträdelser av patientjournaler tas emot.
Vilka är påföljderna för brott mot HIPAA-reglerna?
Påföljderna för brott mot HIPAA-reglerna kan vara svåra. Statliga advokater kan utfärda böter upp till högst 25 000 dollar per överträdelsekategori per kalenderår. OCR kan utfärda böter på upp till 1,5 miljoner dollar per överträdelsekategori per år. Böter på flera miljoner dollar kan – och har utfärdats – utfärdas.
Även om vårdgivare, hälsoplaner och affärsföretag till täckta enheter kan åläggas böter finns det också potentiella böter för personer som bryter mot HIPAA-reglerna och straffrättsliga påföljder kan vara lämpliga. En fängelse för att bryta mot HIPAA är en möjlighet, med vissa överträdelser med ett straff på upp till tio år i fängelse.
Du kan ta reda på mer om påföljder för HIPAA-överträdelser på den här sidan.
Senaste HIPAA-överträdelsestraff och HIPAA-straffstrukturen beskrivs i infografiken nedan.
HIPAA-överträdelsestraff
Vanliga frågor
Hur kan du se om en organisation bryter mot HIPAA?
Täckta enheter och affärsföretag är skyldiga av HIPAA att regelbundet genomföra riskanalyser. Riskanalyserna bör identifiera alla områden där bristande efterlevnad visar att organisationen bryter mot HIPAA. Misslyckandet med att genomföra och dokumentera en riskanalys är ett brott mot HIPAA i sig, liksom att inte ta itu med problem som identifierats av en riskanalys.
Vad är skillnaden mellan en riskbedömning och en riskanalys?
Även om de flesta enheter skulle betrakta en riskbedömning som en undersökning av möjliga hot, och en riskanalys för att beräkna hur troligt dessa hot kommer att inträffa, finns det ingen brist på tydlighet i HIPAA. Till exempel, under riskanalysavsnittet i säkerhetsregeln, måste administrativa skyddsåtgärder (45 CFR § 164.308 (a)) omfattas av enhet eller affärsföretag: ”Genomföra en korrekt och grundlig bedömning av de potentiella riskerna och sårbarheterna för konfidentialitet, integritet tillgänglighet av elektronisk skyddad hälsoinformation som innehas av den täckta enheten eller affärsföretaget. ”,
När potentiella risker och sårbarheter identifieras, vad händer därefter?
Även under 45 CFR § 164.308 ( a), täckta enheter och näringsidkare är skyldiga att genomföra säkerhetsåtgärder som är tillräckliga för att minska risker och sårbarheter till en rimlig och lämplig nivå. För att fastställa vad som utgör en ”rimlig och lämplig nivå” bör organisationer ta hänsyn till (per 45 CFR) § 164.306 (b)):
- Organisationens storlek, komplexitet och kapacitet
- Organisationens tekniska infrastruktur, hårdvara och mjukvarusäkerhet es
- Kostnaden för rimliga och lämpliga säkerhetsåtgärder
- Sannolikheten och kritiken för potentiella risker för ePHI: s integritet ”
Vad gör ”kritik av potentiella risker” betyder?
Termen kritik av potentiella risker avser omfattningen av skadan som kan orsakas av en HIPAA-överträdelse. Till exempel har en molnlagringsvolym – som innehåller betalningsuppgifter och socialförsäkringsnummer för tusentals patienter – som lämnas öppen för allmänheten Internet att det kan orsaka mer skada än två sjuksköterskor som diskuterar behandlingsalternativen för patient A inom patientens hörsel.