Abgesehen von der HIPAA-Datenschutzregel unterliegen alle Unternehmen auch der Datenschutzregel, die Standards für den Schutz von PHI festlegt, und der Sicherheitsregel, die Schutzmaßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit elektronischer geschützter Gesundheitsinformationen (ePHI) festlegt. Jede Verletzung personenbezogener Gesundheitsdaten muss dem US-Gesundheitsministerium gemeldet werden & Human Services (HHS).

Welche Unternehmen sind ausgeschlossen?,

die Meisten Arbeitgeber werden als „nicht gedeckt“ werden Personen und sind daher nicht unter die HIPAA-Regeln und Vorschriften. Selbst wenn ein Arbeitgeber seinen Mitarbeitern eine Gesundheitsversorgung bietet, liegt es in der Verantwortung der Versicherungsgesellschaft, die Datensicherheit und die HIPAA-Konformität zu gewährleisten.

Beispiele für Organisationen, die das HIPAA Privacy Act nicht einhalten müssen, sind:

• Lebensversicherer
• Die meisten Arbeitgeber, mit Ausnahme derjenigen, die Zugang zu Krankenakten für Entschädigungsansprüche von Arbeitnehmern usw. beantragen.,
• Workers compensation carrier
• Most schools and school districts
• Many state agencies like child protective service agencies
• Most law enforcement agencies

Obwohl HIPAA nicht für nicht abgedeckte Unternehmen gilt, sind diese Unternehmen nach wie vor gesetzlich verpflichtet, die Vertraulichkeit von Gesundheitsinformationen ihrer Mitarbeiter gemäß dem US Privacy Act von 1974 und dem Americans with Disabilities Act (ADA) sowie staatlichen Vorschriften zum Datenschutz zu schützen.., Das California Consumer Privacy Act zum Beispiel bietet Einzelpersonen das Recht, die Verarbeitung ihrer personenbezogenen Daten durch Unternehmen jederzeit einzusehen, darauf zuzugreifen und sie abzulehnen. Und in Massachusetts, das PATCH Act erzwingt zusätzliche Maßnahmen zum Schutz des Zugangs zu vertraulichen Gesundheitsinformationen.

HIPAA für Arbeitgeber

HIPAA kann eine verwirrende Regelung für Arbeitgeber sein. Es ist wichtig festzustellen, ob Ihr Unternehmen eine gedeckte Einheit ist oder nicht, damit Sie die erforderlichen Maßnahmen zum Schutz Ihrer Daten ergreifen können., Die meisten Arbeitgeber, die beispielsweise Krankenversicherungsleistungen für die medizinische und/oder zahnärztliche Versorgung anbieten, fallen in die Kategorie „Gesundheitspläne“, obwohl die Anforderungen davon abhängen, wie PHI aufrechterhalten, übertragen und empfangen wird.

Obwohl der Austausch medizinischer Mitarbeiterinformationen mit einem von der HIPAA abgedeckten Unternehmen wie einem Versicherer nicht unbedingt bedeutet, dass die Verordnung durchgesetzt werden muss, gilt das Gesetz für jedes Unternehmen, das Krankenakten von Mitarbeitern zum Zwecke von Arbeitnehmerentschädigungsansprüchen oder in Bezug auf Krankenstand oder Krankenversicherung erhält, verarbeitet, behandelt oder speichert., Dies ist besonders relevant bei Notfällen im öffentlichen Gesundheitswesen wie der aktuellen COVID-19-Pandemie.

Personalmanager müssen daher mit den Einschränkungen und Kontrollen vertraut sein, die von der HIPAA implementiert werden, um sicherzustellen, dass die erforderlichen Richtlinien und Verfahren zum Schutz der Mitarbeiterdaten eingeführt werden.,

HIPAA nicht:

• Hindern Sie einen Arbeitgeber daran, eine ärztliche Notiz für eine Abwesenheit anzufordern
• Verbieten Sie einem Arbeitgeber, Informationen in Bezug auf Leistungsprogramme, Invaliditätsentschädigungen, Wellness-Programme oder Krankenversicherung anzufordern
• Verhindern Sie, dass ein Arbeitgeber Arbeitsunterlagen führt, sofern Gesundheitsdienstleister und Versicherer HIPAA-konform sind.,

Obwohl HIPAA möglicherweise nicht für Ihr Unternehmen gilt, ist es dennoch wichtig, die Mitarbeiterdaten zu schützen und regelmäßige Schulungen durchzuführen, um eine Kultur des Datenschutzes und der Datensicherheit in Ihrem Unternehmen zu schaffen.

Was ist ein Verstoß?

Eine HIPAA-Verletzung ist eine Nichteinhaltung der Aspekt der Normen und Bestimmungen des HIPAA security rule., Dies kann die unbefugte Nutzung und Offenlegung der PHI einer Person umfassen; Nichtumsetzung administrativer, technischer und physischer Schutzmaßnahmen zur Gewährleistung der Vertraulichkeit elektronischer PHI; verzögerte Benachrichtigungen über Verstöße; und Nicht Durchführung regelmäßiger Risikoanalysen. Dies kann auch das Versäumnis einschließen, Einzelpersonen Zugang zu ihrem PHI zu gewähren oder sicherzustellen, dass HIPAA-konforme Vereinbarungen mit Geschäftspartnern getroffen werden.,

HIPAA-Verstöße werden in der Regel auf drei Arten entdeckt:

• Untersuchungen zu einer Datenschutzverletzung, die vom Amt für Bürgerrechte (OCR) oder vom Generalstaatsanwalt durchgeführt werden.
• Untersuchungen zu Beschwerden über abgedeckte Unternehmen und Geschäftspartner
• Ein externes HIPAA-Compliance-Audit

Es ist wichtig, dass abgedeckte Unternehmen ein regelmäßiges internes HIPAA-Audit durchführen, um potenzielle Verstöße zu erkennen und zu korrigieren, bevor sie von den Aufsichtsbehörden identifiziert und Sanktionen verhängt werden. Je länger ein Problem besteht, desto höher ist die Strafe.,

Was sind die Folgen eines Verstoßes?

HIPAA-Vorschriften durchgesetzt werden, wie durch das US Department of Health and Human Services‘ (HHS) Office for Civil Rights (OCR). Viele Verstöße werden von gedeckten Stellen bei routinemäßigen internen Audits festgestellt oder intern von Mitarbeitern gemeldet. Alle externen Beschwerden, die von Mitarbeitern des Gesundheitswesens, Patienten und Mitgliedern des Gesundheitsplans gemeldet werden, werden von der OCR untersucht.,

Nach dem Gesetz kann der OCR nur dann tätig werden, wenn:

• Die Klage nach dem HIPAA-Erlassdatum (14.April 2003)
• Die Beschwerde wurde gegen ein Unternehmen eingereicht, das gesetzlich verpflichtet ist, die HIPAA-Vorschriften einzuhalten (ein abgedecktes Unternehmen)
• Sie verstößt insbesondere gegen die HIPAA-Vorschriften
• Die Beschwerde wurde innerhalb von 180 Tagen nach Feststellung des Verstoßes eingereicht

Untersuchungen umfassen die Durchführung compliance-Überprüfungen und Durchführung von Bildungs-und Outreach-Programmen., Falls eine Nichteinhaltung festgestellt wird, versucht die OCR, freiwillige Compliance -, Korrekturmaßnahmen und/oder eine Abwicklungsvereinbarung zu erhalten. Verstöße können auch zu zivil-und strafrechtlichen Sanktionen führen, wenn die Beschwerde an das Justizministerium verwiesen wird.

Verstöße gegen Bußgelder

Verstöße gegen Bußgelder und Gebühren für Verstöße gegen HIPAA-Vorschriften werden vom Justizministerium behandelt und in zwei Kategorien unterteilt: angemessene Ursache und vorsätzliche Vernachlässigung.

• Bußgelder für Verstöße aus“ angemessener Ursache “ liegen zwischen 100 und 50,000 US-Dollar.,
• Die Strafen für Verstöße gegen „vorsätzliche Vernachlässigung“ können zwischen 10.000 und 50.000 US-Dollar liegen und zu Strafanzeigen führen.
• Anklagen wegen Betrugsdelikten können zu einer Geldstrafe von 100.000 US-Dollar und bis zu 5 Jahren Gefängnis führen.
• Straftaten, die die Absicht beinhalten, individuell identifizierbare Gesundheitsinformationen zum kommerziellen Vorteil, zum persönlichen Vorteil oder zum böswilligen Schaden zu verkaufen, zu übertragen oder zu verwenden, können zu Geldstrafen von 250.000 US-Dollar und bis zu 10 Jahren Gefängnis führen.
• Die Höchststrafe für einen vorsätzlichen Verstoß, der nicht innerhalb des erforderlichen Zeitraums korrigiert wird, wird auf 1,5 Millionen US-Dollar pro Jahr festgelegt.,

So reichen Sie eine Beschwerde ein

Falls Sie persönlich von einem HIPAA-Verstoß betroffen sind oder Zeuge davon werden, muss dies dem Amt für Bürgerrechte gemeldet werden. Beschwerden können gegen gedeckte Unternehmen und ihre Geschäftspartner eingereicht werden.

Jeder kann eine Verletzung der Gesundheitsinformationssicherheit mit der OCR melden. Beschwerden müssen schriftlich per Post, Fax, E-Mail oder über das OCR-Beschwerdeportal innerhalb von 180 Tagen nach Einhaltung eines Verstoßes eingereicht werden und müssen die nicht konforme Aktion angeben., Wenn während der Untersuchung ein Verstoß festgestellt wird, muss das betroffene Unternehmen oder Geschäftspartner freiwillig die HIPAA-Regeln einhalten, Korrekturmaßnahmen ergreifen und/oder einem Vergleich zustimmen. Wenn der Verstoß nicht behoben wird, kann der OCR Bußgelder und Strafen verhängen.

HIPAA-Sicherheit: Best Practices

Wenn Sie eine abgedeckte Entität oder der Geschäftspartner einer abgedeckten Entität sind, müssen Sie die HIPAA-Standards kennen und einhalten. Sie sollten auch eine Reihe von Best Practices einführen, um sicherzustellen, dass in Ihrem Unternehmen eine Unternehmenskultur für Sicherheit, Datenschutz und Schutz geschaffen wird., Es ist eine gute Idee, eine HIPAA-Compliance-Checkliste in Ihre Richtlinien und Verfahren aufzunehmen.

Hier sind einige Beispiele für gängige Do ’s und don‘ ts:

Do ‚ s

• Bieten regelmäßige Schulungen für Mitarbeiter an, damit sie sich der Vorschriften zur Verwendung und Offenlegung von PHI sowie der allgemeinen Vertraulichkeitsverfahren am Arbeitsplatz bewusst sind.
• Erstellen Sie einen klaren Satz von HIPAA-Richtlinien und-Verfahren und stellen Sie sicher, dass sie allen Mitarbeitern zur Verfügung stehen
• Richten Sie einen Datenschutzbeauftragten in Ihrer Personalabteilung ein, um Beschwerden zu bearbeiten und Informationen zu Datenschutzverfahren bereitzustellen.,
• Führen Sie regelmäßige Schulungen durch, um sicherzustellen, dass die Mitarbeiter über aktualisierte HIPAA-Richtlinien und-Anforderungen informiert sind

Dont ‚ s

• Passwörter offenlegen oder Anmeldedaten freigeben
• Lassen Sie tragbare Geräte oder Dokumente unbeaufsichtigt
• Greifen Sie aus Neugier auf Patientenakten zu
• Greifen Sie auf Ihre eigenen Krankenakten zu
• Entsorgen Sie PHI im allgemeinen Abfall durch Zerkleinern oder Pulverisieren
• ePHI in den sozialen Medien

HIPAA: FAQ

Um diesen Beitrag zu beenden, haben wir einige weitere häufig gestellte Fragen zusammengestellt., Wenn Sie weitere Fragen haben, die wir nicht aufgenommen haben, hinterlassen Sie diese bitte im Kommentarbereich unten und wir werden uns an Sie wenden.

Was sind häufige Beispiele für HIPAA-Verstöße?,

Beispiele für häufige HIPAA-Verstöße sind folgende:

• Fehler bei der Durchführung einer Risikoanalyse
• Fehler bei der sofortigen Freigabe von Informationen an Patienten
• Unbefugter Zugriff auf Krankenakten (Insider-Snooping)
• Fehlende Patientensignaturen
• Freigabe von Informationen an eine unerwünschte Partei
• Verteilung nicht autorisierter Gesundheitsinformationen
• Freigabe der Informationen des falschen Patienten
• Verwendung ungesicherter geräte zum Speichern privater Gesundheitsinformationen.,

Berühmte Fälle von Verstößen, von denen Sie vielleicht gehört haben:

• Das Gesundheitssystem der Universität von Kalifornien in Los Angeles wurde mit einer Geldstrafe von 865.000 US-Dollar belegt, als die OCR feststellte, dass ein Arzt ohne Genehmigung auf die Krankenakten von Prominenten und anderen Patienten zugegriffen hatte. Der Arzt war der erste Angestellte im Gesundheitswesen, der wegen eines HIPAA-Verstoßes inhaftiert wurde, und er wurde zu vier Monaten Bundesgefängnis verurteilt.
• Mehrere Verletzungsberichte wurden gegen das Medical Center der University of Rochester eingereicht, nachdem tragbare Geräte, die ePHI enthielten, als verloren/gestohlen bestätigt wurden., Der Fall wurde für 3 Millionen Dollar beigelegt.
• Die OCR verhängte eine Strafe in Höhe von 1,6 Millionen US-Dollar gegen die Texas Health and Human Services Commission (TX HHSC) wegen mehrerer Verstöße, einschließlich eines Fehlers bei der Risikoanalyse, eines Fehlers bei der Zugangskontrolle, eines Fehlers bei der Überwachung von Informationssystemen und einer unzulässigen Offenlegung von Patienten-ePHI.

Können Sie eine HIPAA-Verletzung verklagen?

Es gibt keine private Ursache des Handelns in HIPAA, so ist es nicht möglich, einer Person zu verklagen, die unter den Bedingungen des Gesetzes., Sie können jedoch ein Recht haben, aufgrund staatlicher Gesetze zu klagen, wenn ein Schaden durch Fahrlässigkeit oder einen Verstoß verursacht wurde (obwohl dies teuer sein kann und keine Erfolgsgarantie besteht).

Handelt es sich bei einem Patienten um einen HIPAA-Bruch?

medizinische Dienstleister dürfen, diskutieren Sie mit Patienten, die andere Mitglieder des care team aber reden über Patienten, und die Offenlegung Ihrer Gesundheit Informationen zu Familie, Freunden & Kollegen würde eingestuft werden als ein HIPAA Verletzung., Anbieter müssen PHI auch „angemessen schützen“, um die Offenlegung einzuschränken, z. B. um den Fall eines Patienten nicht in einem öffentlichen Bereich zu diskutieren.

Verwalten sie ihre mitarbeiter krank blätter & andere dokumente sicher & sicher mit Factorial.

Geschrieben von Cat Symonds