Articles

De Mest Almindelige Hipaa Krænkelser på Arbejdspladsen

Bortset fra det HIPAA privatliv regel, der er omfattet enheder, der er omfattet af Privacy Regel, der fastsætter standarder for beskyttelse af PHI og Den Sikkerhed, som Regel, som angiver garantier for beskyttelse af fortrolighed, integritet og tilgængelighed af elektronisk Beskyttet Information om Sundhed (ePHI). Ethvert brud på personlige sundhedsdata skal meddeles det amerikanske sundhedsministerium & Human Services (HHS).

hvilke virksomheder er udelukket?,

de fleste arbejdsgivere betragtes som “ikke-dækkede” enheder, og de er derfor ikke underlagt HIPAA-regler og-forskrifter. Selv hvis en arbejdsgiver yder sundhedsdækning til sit personale, er det forsikringsselskabets ansvar at sikre datasikkerhed og HIPAA-overholdelse.

eksempler på organisationer, der ikke behøver at overholde HIPAA privacy act omfatter:

  • livsforsikringsselskaber
  • de fleste arbejdsgivere, undtagen dem, der anmoder om adgang til lægejournaler for arbejdstagernes erstatningskrav mv.,
  • Arbejdstagere kompensation luftfartsselskaber
  • de Fleste skoler og skoledistrikter
  • Mange statslige organer som barn beskyttende service-organer
  • de Fleste retshåndhævende myndigheder
  • der Mange kommunale kontorer

Selv om HIPAA ikke anvendelse på ikke-dækket enheder, disse virksomheder stadig har en retlig forpligtelse til at beskytte fortroligheden af medarbejdernes sundhed oplysninger i deres besiddelse i henhold til det AMERIKANSKE Privacy Act of 1974, og Amerikanerne med Disabilities Act (ADA) samt de statslige regler vedrørende beskyttelse af personoplysninger., California Consumer Privacy Act giver for eksempel enkeltpersoner ret til at se, få adgang til og fravælge virksomhedernes behandling af deres personlige data til enhver tid. Og i Massachusetts håndhæver PATCH Act yderligere foranstaltninger for at beskytte adgangen til fortrolige sundhedsoplysninger.

HIPAA for arbejdsgivere

HIPAA kan være en forvirrende regulering for arbejdsgivere. Det er vigtigt at fastslå, om din virksomhed er en overdækket enhed, så du kan gennemføre de nødvendige foranstaltninger for at beskytte dine data., De fleste arbejdsgivere, der tilbyder sundhedsforsikringsydelser til medicinsk og/eller tandpleje, falder for eksempel i kategorien “sundhedsplaner”, selvom kravene afhænger af, hvordan PHI opretholdes, overføres og modtages.

Selv om udveksling af medarbejder medicinske oplysninger med en virksomhed, der er omfattet af HIPAA, som et forsikringsselskab, betyder ikke nødvendigvis, at den forordning, skal fuldbyrdes, loven gælder for enhver virksomhed, der modtager, behandler, håndtag, eller gemmer medarbejder medicinske registreringer, med henblik på medarbejder erstatningskrav eller i forbindelse med sygefravær eller sygesikring., Dette er især relevant i nødsituationer inden for Folkesundhed, såsom den nuværende COVID-19-pandemi.menneskelige ressourceforvaltere skal derfor være bekendt med de begrænsninger og kontroller, der gennemføres af HIPAA for at sikre, at de nødvendige politikker og procedurer indføres for at beskytte medarbejderdata.,

HIPAA ikke:

  • Stop en arbejdsgiver fra at anmode om en lægeerklæring for en mangel
  • forbud mod, at en arbejdsgiver, der anmoder om oplysninger i relation til fordel programmer, handicap kompensation, wellness-programmer eller sundhedspleje dækning
  • Forhindre en arbejdsgiver i at opretholde beskæftigelse registre, der leverer sundhedsydelser udbydere og forsikringsselskaberne er HIPAA-kompatibel.,selvom HIPAA muligvis ikke gælder for din virksomhed, er det stadig vigtigt at beskytte medarbejdernes poster og afholde periodiske træningssessioner for at skabe en kultur for privatliv og datasikkerhed i din organisation.

    Hvad er en overtrædelse?

    en HIPAA-overtrædelse er en manglende overholdelse af ethvert aspekt af standarderne og bestemmelserne i HIPAA-sikkerhedsreglen., Dette kan omfatte uautoriseret brug og videregivelse af en persons PHI; manglende gennemførelse af administrative, tekniske og fysiske sikkerhedsforanstaltninger for at sikre fortroligheden af elektroniske PHI; forsinkede underretninger om brud; og manglende gennemførelse af regelmæssige risikoanalyser. Det kan også omfatte en manglende evne til at give enkeltpersoner adgang til deres PHI eller for at sikre, at HIPAA-kompatible aftaler indgås med forretningsforbindelser.,

    HIPAA-overtrædelser opdages normalt på en af tre måder:

    • undersøgelser af et dataovertrædelse foretaget af Office for Civil Rights (OCR) eller af statsadvokaten.
    • Undersøgelser af klager over dækket enheder og forretningsforbindelser
    • En ekstern HIPAA overholdelse revision

    Det er vigtigt, at dækket enheder til at foretage en regelmæssig intern HIPAA revisionen med henblik på at opdage og korrigere eventuelle overtrædelser, før de er identificeret som lovgivere og sanktioner er udstedt. Jo længere et problem eksisterer, jo højere er straffen.,

    Hvad er konsekvenserne af en overtrædelse?

    HIPAA-regler håndhæves af US Department of Health and Human Services’ (HHS) Office For Civil Rights (OCR). Mange overtrædelser opdages af dækkede enheder under rutinemæssige interne revisioner eller rapporteres internt af medarbejdere. Eventuelle eksterne klager rapporteret af sundhedsarbejdere, patienter og sundhedsplanmedlemmer undersøges af OCR.,

    Ved lov, OCR kan kun fungere, hvis:

    • handlingen fandt sted efter HIPAA datoen for vedtagelsen (April 14, 2003)
    • klagen er blevet indgivet mod en virksomhed, der er forpligtet ved lov til at overholde HIPAA forordninger (en, der er omfattet enhed)
    • Det specielt er i strid HIPAA forordninger
    • klagen er indgivet inden for 180 dage for den krænkelse at blive opdaget

    Undersøgelser omfatter udførelse af overholdelse af anmeldelser og udføre undervisning og opsøgende programmer., I tilfælde af, at der opdages en manglende overholdelse, vil OCR forsøge at opnå frivillig overholdelse, korrigerende handlinger og/eller en afviklingsaftale. Overtrædelser kan også resultere i civile og strafferetlige sanktioner, hvis klagen henvises til Justitsministeriet.

    Brudbøder

    Brudbøder og gebyrer for overtrædelse af HIPAA-regler håndteres af Justitsministeriet og opdeles i to kategorier: rimelig årsag og forsætlig forsømmelse.

    • bøder for “rimelig årsag” overtrædelser spænder fra $100 til $50.000.,
    • sanktioner for” forsætlig forsømmelse ” overtrædelser kan variere fra $10,000 til $50,000 og kan resultere i kriminelle anklager.
    • afgifter for lovovertrædelser, der involverer svig, kan resultere i en bøde på $100,000 med op til 5 års fængsel.lovovertrædelser, der inkluderer intentionen om at sælge, overføre eller bruge individuelt identificerbare sundhedsoplysninger til kommerciel fordel, personlig gevinst eller ondsindet skade, kan resultere i bøder på $250.000 og op til 10 års fængsel.
    • den maksimale straf for en forsætlig overtrædelse, der ikke korrigeres inden for den krævede tidsperiode, er fastsat til $1, 5 millioner om året.,

    Hvordan til at indgive en Klage

    I tilfælde af at du er personligt berørt af eller være vidne til en HIPAA brud, skal det indberettes til Kontoret for Borgerlige Rettigheder. Klager kan indgives mod dækkede enheder og deres forretningsforbindelser.

    alle kan rapportere et brud på sundhedsinformationssikkerheden med OCR. Klager skal indgives skriftligt via mail, fa., e-mail eller via OCR-klageportalen inden for 180 dage efter, at en overtrædelse er observeret, og skal angive den ikke-kompatible handling., Hvis der opdages en overtrædelse under undersøgelsen, skal den dækkede enhed eller forretningsforbindelse frivilligt overholde HIPAA-reglerne, træffe korrigerende foranstaltninger og / eller acceptere en afvikling. Hvis overtrædelsen ikke er løst, kan OCR pålægge bøder og sanktioner.

    HIPAA-sikkerhed: bedste praksis

    Hvis du er en dækket enhed eller forretningsforbindelse til en dækket enhed, skal du være opmærksom på og overholde HIPAA-standarder. Du bør også indføre en række bedste praksis for at sikre en virksomhedskultur af sikkerhed privatliv og beskyttelse er skabt i din organisation., Det er en god ide at medtage en HIPAA-overholdelsesliste i dine politikker og procedurer.

    Her er et par eksempler på fælles do ‘s og don’ ts:

    skal

    • Give regelmæssige kurser til medarbejderne, så de er opmærksomme på reglerne om PHI brug og offentliggørelse og generelt arbejdspladsen fortrolighed procedurer.
    • Opret et klart sæt HIPAA-politikker og-procedurer, og sørg for, at de er tilgængelige for alle ansatte
    • Opret en Privatlivsansvarlig i din personaleafdeling for at behandle klager og give oplysninger om procedurer for databeskyttelse.,ent for at afsløre potentielle overtrædelser
    • Foretage regelmæssige kurser for at sikre, at medarbejdere er bevidste om opdateret HIPAA politikker og krav

    Dont ‘ s

    • Afsløre adgangskoder eller dele loginoplysninger
    • Forlade bærbare enheder eller dokumenter uden opsyn
    • få Adgang til patientjournaler ud af nysgerrighed
    • få Adgang til dine egne journaler
    • Disponere over PHI i almindeligt affald ved makulering eller pulverisering
    • Del ePHI på sociale medier

    HIPAA: FAQ

    for At afslutte dette indlæg, har vi sammensat et par ekstra Ofte Stillede Spørgsmål., Hvis du har andre spørgsmål, som vi ikke har inkluderet, er du velkommen til at forlade dem i kommentarfeltet nedenfor, så vender vi tilbage til dig.

    Hvad er almindelige eksempler på HIPAA-overtrædelser?,

    Eksempler på fælles HIPAA krænkelser omfatter følgende:

    • Manglende udføre en risikoanalyse
    • Manglende omgående frigivelse af information til patienter
    • Uautoriseret adgang til patientjournaler (insider snooping)
    • Manglende patient signaturer
    • Afgive oplysninger til en ikke-tildelt fest
    • Distribuere uautoriserede information om sundhed
    • Frigive den forkerte patient information
    • Brug af usikrede enheder til opbevaring af privat information om sundhed.,

    Berømte tilfælde af overtrædelser, som du måske har hørt om:

    • University of California Los Angeles Health System blev idømt en bøde $865,000, når OCR-opdagede, at en læge havde adgang til de medicinske optegnelser af berømtheder og andre patienter uden tilladelse. Lægen blev den første sundhedsmedarbejder, der blev fængslet for en HIPAA-overtrædelse, og han blev dømt til fire måneder i føderalt fængsel.
    • flere brudrapporter blev indgivet mod University of Rochester Medical Center, efter at bærbare enheder indeholdende ePHI blev bekræftet som tabt/stjålet., Sagen blev afgjort for $ 3 Millioner.
    • OCR pålagt en $1,6 millioner straf på Texas Health and Human Services Commission (TX HHSC) til flere krænkelser, herunder en risikoanalyse, en fiasko, en adgangskontrol fiasko, et informationssystem aktivitet overvågning fiasko, og en ulovlig offentliggørelse af patienten ePHI.

    kan du sagsøge for en HIPAA overtrædelse?

    Der er ingen privat årsag til handling i HIPAA, så det er ikke muligt for en person at sagsøge i henhold til loven., Du kan dog have ret til at sagsøge baseret på statslovgivning, hvis der er forårsaget skade som et direkte resultat af uagtsomhed eller en overtrædelse (selvom dette kan være dyrt, og der ikke er nogen garanti for succes).

    taler om en Patient en HIPAA brud?

    udbydere af Sundhedsydelser er tilladt at diskutere patienter med andre medlemmer af pleje-hold, men tale om konkrete patienter og videregive deres sundhed, familie, venner & kolleger ville blive klassificeret som en HIPAA overtrædelse., Udbydere skal også “med rimelighed beskytte” PHI for at begrænse videregivelse, såsom ikke at diskutere en patients sag i et offentligt område.

    Administrer dine medarbejders syge blade& andre dokumenter sikkert& sikkert med Factorial.

    skrevet af Cat Symonds