nejčastější Porušení Hipaa na Pracovišti
Kromě HIPAA soukromí pravidlo, na něž subjekty jsou také řídí zásadami ochrany Osobních Pravidlo, které stanoví normy pro ochranu PHI, a Bezpečnostní Pravidla, která stanoví bezpečnostní opatření pro ochranu důvěrnosti, integrity, a dostupnosti elektronických Chráněných Informací o Zdravotním stavu (ePHI). Jakékoli porušení osobních zdravotních údajů musí být oznámeno americkému ministerstvu zdravotnictví & Human Services (HHS).
které společnosti jsou vyloučeny?,
většina zaměstnavatelů je považována za“ nekryté “ subjekty, a proto nepodléhají pravidlům a předpisům HIPAA. I když zaměstnavatel poskytuje zdravotní péči svým zaměstnancům, je odpovědností pojišťovny zajistit bezpečnost dat a dodržování předpisů HIPAA.
Příklady organizací, které nemusí být v souladu s HIPAA privacy act patří:
- Životní pojišťovny
- Většina zaměstnavatelů, s výjimkou těch, které žádají o přístup k lékařské záznamy pro náhradu pracovníků, nároky, atd.,
- Zaměstnanci náhrady nosičů
- Většina škol a školních okresů
- Mnoho státních agentur jako dítě ochranné služby agentury
- Většina donucovacích orgánů
- Mnoho obecních úřadů
i když HIPAA se nevztahuje na non-zahrnuté subjekty, tyto společnosti mají stále právní povinnost chránit důvěrnost zdraví zaměstnanců informace v jejich držení za americký Zákon na ochranu Soukromí z roku 1974 a Američané se zdravotním Postižením Zákona (ADA), stejně jako na úrovni státu právní předpisy týkající se ochrany údajů., Kalifornský zákon o ochraně soukromí spotřebitelů například poskytuje jednotlivcům právo kdykoli prohlížet, přistupovat a odhlašovat zpracování svých osobních údajů podniky. A v Massachusetts, PATCH Act vynucuje další opatření k ochraně přístupu k důvěrným informacím o zdravotní péči.
HIPAA pro zaměstnavatele
HIPAA může být matoucí nařízení pro zaměstnavatele. Je důležité zjistit, zda je vaše společnost krytým subjektem, abyste mohli implementovat nezbytná opatření k ochraně vašich dat., Většina zaměstnavatelů, kteří nabízejí výhody zdravotního pojištění pro lékařskou a/nebo zubní péči, například spadají do kategorie „zdravotní plány“, i když požadavky závisí na tom, jak je PHI udržována, přenášena a přijímána.
i když výměnu zaměstnanec lékařské informace s firmou, na které se vztahuje HIPAA, jako pojistitel, nemusí to nutně znamenat, že nařízení musí být vykonáno, zákon se vztahuje na každý podnik, který přijímá, zpracovává, zpracovává nebo ukládá zaměstnanec lékařské záznamy pro účely zaměstnance, nároky na náhradu škody nebo vztahující se k nemocenské nebo zdravotní pojištění., To je zvláště důležité při mimořádných událostech v oblasti veřejného zdraví, jako je současná pandemie COVID-19.
Lidské zdroje manažeři proto musí být obeznámen s omezeními a kontrol prováděných HIPAA k zajištění nezbytných politik a postupů pro ochranu údajů zaměstnanců.,
HIPAA není:
- Zastavit zaměstnavatel požadovat lékařské potvrzení o nepřítomnosti
- Zakázat zaměstnavatel před žádostí o informace týkajících se prospěchu programy, kompenzace postižení, wellness programy či zdravotní pojištění
- Zabránit zaměstnavatel zachovaly záznamy o zaměstnání, poskytování zdravotní péče, poskytovatelé služeb a pojišťovny jsou HIPAA kompatibilní.,
i když HIPAA nemusí vztahovat na vaši společnost, je to stále důležité pro ochranu záznamy zaměstnanců a držet pravidelné školení vytvořit kulturu soukromí a zabezpečení dat ve vaší organizaci.
co je to porušení?
porušení HIPAA je nedodržení jakéhokoli aspektu norem a ustanovení bezpečnostního pravidla HIPAA., To může zahrnovat neoprávněnému použití a zveřejnění jedince PHI; neschopnost realizovat administrativní, technická a fyzická bezpečnostní opatření k zajištění důvěrnosti elektronické PHI; opožděné oznámení o narušení bezpečnosti; a neschopnost provádět pravidelné analýzy rizik. Může také zahrnovat neposkytnutí přístupu jednotlivcům k jejich PHI nebo zajištění dohod kompatibilních s HIPAA s obchodními partnery.,
HIPAA porušení jsou obvykle objeveny v jednom ze tří způsobů:
- Vyšetřování narušení bezpečnosti údajů provádí Úřad pro Občanská Práva (OCR) nebo státní zástupce.
- Šetření stížností, o něž se subjekty a obchodní partneři
- externí HIPAA compliance audit
je důležité, aby zahrnuté subjekty provádět pravidelné interní HIPAA audit odhalit a opravit jakékoli potenciální porušení, než jsou identifikovány regulátory a sankce jsou vydávány. Čím déle problém existuje, tím vyšší je trest.,
jaké jsou důsledky porušení?
předpisy HIPAA jsou vynucovány Úřadem amerického ministerstva zdravotnictví a lidských služeb (HHS) pro občanská práva (OCR). Mnoho porušení jsou zjištěny kryté subjekty během rutinních interních auditů nebo hlášeny interně zaměstnanci. Jakékoli externí stížnosti hlášené zdravotnickými pracovníky, pacienty a členy zdravotního plánu jsou vyšetřovány OCR.,
Podle zákona, OCR může jednat pouze tehdy, pokud:
- akce Se konala po HIPAA datum přijetí (14. dubna 2003)
- byla podána stížnost na subjekt, který je ze zákona povinen v souladu s předpisy HIPAA (zahrnuté subjekty)
- To konkrétně porušuje předpisy HIPAA
- stížnost byla podána ve lhůtě 180 dnů od porušení odhalení
Vyšetřování zahrnovat provádění hodnocení shody a provádění vzdělávacích a informačních programů., V případě zjištění nesouladu se OCR pokusí získat dobrovolnou shodu, nápravná opatření a/nebo dohodu o řešení krize. Porušení může také vést k občanským a trestním sankcím, pokud je stížnost postoupena Ministerstvu spravedlnosti.
pokuty za porušení
pokuty za porušení a poplatky za porušení předpisů HIPAA jsou řešeny ministerstvem spravedlnosti a rozděleny do dvou kategorií: přiměřená příčina a úmyslné zanedbání.
- pokuty za porušení „rozumné příčiny“ se pohybují od $100 do $50,000.,
- sankce za porušení“ úmyslného zanedbávání “ se mohou pohybovat od $10,000 do $50,000 a mohou vést k trestnímu stíhání.
- poplatky za trestné činy spojené s podvodem mohou mít za následek pokutu 100 000$, až 5 let vězení.
- trestné Činy, které zahrnují záměr prodávat, převádět, nebo použít jednotlivě identifikovatelné zdravotnických informací pro obchodní výhodu, osobní zisk nebo škodlivým poškození může vyústit v pokuty ve výši 250 000 dolarů a až 10 let vězení.
- maximální pokuta za úmyslné porušení, které není opraveno v požadovaném časovém období, je stanovena na 1,5 milionu dolarů ročně.,
Jak podat Stížnost
V případě, že jste osobně postiženým nebo svědkem porušení PŘÍSAHY, musí být oznámeno Úřadu pro Občanská Práva. Stížnosti lze podat proti krytým subjektům a jejich obchodním partnerům.
kdokoli může nahlásit porušení bezpečnosti zdravotních informací pomocí OCR. Stížnosti musí být podány písemně poštou, faxem, e-mailem nebo prostřednictvím reklamačního portálu OCR do 180 dnů od porušení a musí specifikovat nevyhovující akci., Pokud je během vyšetřování zjištěno porušení, musí krytý subjekt nebo obchodní partner dobrovolně dodržovat pravidla HIPAA, přijmout nápravná opatření a/nebo souhlasit s vypořádáním. Není-li porušení vyřešeno, může OCR uložit pokuty a sankce.
HIPAA Security: Best Practices
Pokud jste krytý subjekt nebo obchodní společník krytého subjektu, musíte si být vědomi a dodržovat standardy HIPAA. Měli byste také zavést řadu osvědčených postupů, abyste zajistili, že ve vaší organizaci bude vytvořena firemní kultura ochrany soukromí a ochrany., Je dobré zahrnout kontrolní seznam shody HIPAA do svých zásad a postupů.
Zde je několik příkladů společného, co dělat a nedělat:
- Poskytovat pravidelné školení zaměstnanců tak, že jsou si vědomi předpisy na PHI použití a zveřejnění, a obecné pracovišti postupy pro zachování důvěrnosti.
- Vytvořit jasný soubor HIPAA politik a postupů, a zajistit, že jsou k dispozici všem zaměstnancům
- Vytvořit Soukromí ve vašem oddělení lidských zdrojů na proces vyřizování stížností a poskytování informací o ochraně osobních údajů postupy.,orl odhalit potenciální porušení
- Provádět pravidelné školení zajistit, že zaměstnanci jsou si vědomi aktualizované zásady PŘÍSAHY a požadavky
nechci
- Sdělit hesla nebo sdílet přihlašovací údaje
- Nechte přenosných zařízení nebo dokumenty bez dozoru
- Přístup záznamy pacienta ze zvědavosti
- Přístup k vlastní zdravotní záznamy
- Zlikvidujte PHI v obecné odpadů, drcení nebo rozmělňování
- Sdílet ePHI na sociálních médiích
HIPAA: FAQ
Na konci tohoto příspěvku, jsme dali dohromady pár další Často Kladené Otázky., Máte-li jakékoli další otázky, které jsme nezahrnovali, neváhejte je nechat v sekci komentářů níže a my se k vám vrátíme.
jaké jsou běžné příklady přestupků HIPAA?,
Příklady běžných HIPAA porušení zahrnují následující:
- Neschopnost provést analýzu rizik
- Neschopnost rychle uvolnit informace pro pacienty
- Neoprávněný přístup k lékařské záznamy (insider snooping)
- Chybějící podpisy pacienta
- Uvolnění informací motivovaný strany
- Distribuce neoprávněným zdraví informace
- Uvolnění špatnou pacienta, informace
- Použití nezajištěné zařízení pro ukládání soukromých informací o zdraví.,
Slavný případech porušení, které jste možná slyšeli:
- University of California Los Angeles Zdravotní Systém byl pokutován $865,000, kdy OCR zjistil, že lékař měl přístup k lékařské záznamy, celebrit a dalších pacientů bez povolení. Lékař se stal prvním zdravotnickým zaměstnancem, který byl uvězněn za porušení HIPAA, a byl odsouzen ke čtyřem měsícům ve federálním vězení.
- několik zpráv o porušení bylo podáno proti University of Rochester Medical Center poté, co byla přenosná zařízení obsahující ePHI potvrzena jako ztracená / ukradená., Případ byl vyřešen za 3 miliony dolarů.
- OCR uložena $1,6 milionu dolarů pokuty na Texas Zdraví a Lidské Služby Komise (TX HHSC) pro opakovaná porušení, včetně analýzy rizik selhání, kontroly přístupu, selhání, informační systém monitorování aktivity selhání, a nepřípustným zveřejnění pacienta ePHI.
můžete žalovat za porušení HIPAA?
v HIPAA neexistuje žádná soukromá příčina akce, takže není možné, aby jednotlivec žaloval podle podmínek zákona., Nicméně, můžete mít právo žalovat na základě práva státu, pokud újma byla způsobena jako přímý důsledek nedbalosti nebo porušení (i když to může být drahé, a neexistuje žádná záruka úspěchu).
mluví o pacientovi porušení HIPAA?
poskytovatelé Zdravotní péče jsou povoleny diskutovat o pacienty s ostatními členy týmu péče ale mluvit o konkrétních pacientů a zveřejňování jejich informace o zdraví, rodinu, přátele & kolegové by mohlo být klasifikováno jako porušení HIPAA., Poskytovatelé musí také“ rozumně chránit “ PHI, aby omezili zveřejňování, například nemluvili o případu pacienta ve veřejném prostoru.
Spravujte své zaměstnance nemocné listy & ostatní dokumenty bezpečně & bezpečně pomocí faktoriálu.
napsal Cat Symonds