las violaciones más comunes de Hipaa en el lugar de trabajo
Además de la regla de privacidad de HIPAA, las entidades cubiertas también se rigen por la regla de privacidad, que establece estándares para proteger la PHI, y la regla de seguridad, que especifica salvaguardias para proteger la confidencialidad, integridad y disponibilidad de la información médica protegida electrónica (ePHI). Cualquier violación de los datos personales de salud debe notificarse al Departamento de salud de los Estados Unidos & Servicios Humanos (HHS).
¿qué empresas están excluidas?,
La mayoría de los empleadores se consideran entidades «no cubiertas» y, por lo tanto, no están sujetos a las reglas y regulaciones de HIPAA. Incluso si un empleador proporciona cobertura médica a su personal, es responsabilidad de la compañía de seguros garantizar la seguridad de los datos y el cumplimiento de la HIPAA.
ejemplos de organizaciones que no tienen que cumplir con la Ley de privacidad HIPAA incluyen:
- aseguradoras de vida
- La mayoría de los empleadores, excepto aquellos que solicitan acceso a registros médicos para reclamos de compensación de trabajadores, etc.,
- transportistas de compensación de trabajadores
- La mayoría de las escuelas y distritos escolares
- muchas agencias estatales como las agencias de servicios de protección infantil
- La mayoría de las agencias de aplicación de la ley
- muchas oficinas municipales
aunque HIPAA no se aplica a las entidades no cubiertas, estas compañías todavía tienen la obligación legal de proteger la confidencialidad de la información de salud de los empleados en su posesión bajo la Ley de Privacidad de protección de datos., La Ley de privacidad del consumidor de California, por ejemplo, brinda a las personas el derecho a ver, acceder y rechazar el procesamiento de sus datos personales por parte de las empresas en cualquier momento. Y en Massachusetts, LA LEY DE PARCHES impone medidas adicionales para proteger el acceso a la información confidencial de atención médica.
HIPAA for Employers
HIPAA puede ser una regulación confusa para los empleadores. Es importante establecer si su empresa es o no una entidad cubierta para que pueda implementar las medidas necesarias para proteger sus datos., La mayoría de los empleadores que ofrecen beneficios de seguro médico para atención médica y/o dental, por ejemplo, entran en la categoría de «planes de salud», aunque los requisitos dependen de cómo se mantiene, transmite y recibe la PHI.
aunque el intercambio de información médica de los empleados con una compañía cubierta por HIPAA, como una aseguradora, no significa necesariamente que la regulación deba aplicarse, la ley se aplica a cualquier compañía que reciba, procese, maneje o almacene registros médicos de los empleados con el propósito de Reclamos de compensación de empleados o relacionados con licencias por enfermedad o seguros de salud., Esto es especialmente relevante durante emergencias de salud pública como la actual pandemia de COVID-19.
Los gerentes de recursos humanos deben, por lo tanto, estar familiarizados con las restricciones y controles implementados por la HIPAA para garantizar que se implementen las políticas y procedimientos necesarios para salvaguardar los datos de los empleados.,
HIPAA no:
- impide que un empleador solicite una nota del médico por una ausencia
- prohíbe que un empleador solicite información relacionada con programas de beneficios, compensación por discapacidad, programas de bienestar o cobertura de atención médica
- impide que un empleador mantenga registros de empleo, proporcione proveedores de servicios de atención médica y aseguradoras que cumplan con HIPAA.,
aunque es posible que la HIPAA no se aplique a su empresa, sigue siendo importante proteger los registros de los empleados y realizar sesiones de capacitación periódicas para crear una cultura de privacidad y seguridad de datos en su organización.
¿Qué es una Violación?
una infracción de la HIPAA es el incumplimiento de cualquier aspecto de las normas y disposiciones de la regla de seguridad de la HIPAA., Esto puede incluir el uso no autorizado y la divulgación de la PHI de un individuo; la falta de implementación de salvaguardas administrativas, técnicas y físicas para garantizar la confidencialidad de la PHI electrónica; notificaciones de incumplimiento demoradas; y la falta de realizar análisis de riesgo regulares. También puede incluir el hecho de no proporcionar a las personas acceso a su PHI o garantizar que se realicen acuerdos que cumplan con HIPAA con socios comerciales.,
Las infracciones de HIPAA generalmente se descubren de una de tres maneras:
- investigaciones sobre una violación de datos realizadas por la Oficina de Derechos Civiles (OCR) o por el Fiscal General del estado.
- investigaciones de quejas sobre entidades cubiertas y socios comerciales
- Una auditoría externa de cumplimiento de HIPAA
Es importante que las entidades cubiertas realicen una auditoría interna periódica de HIPAA para detectar y corregir cualquier violación potencial antes de que los reguladores las identifiquen y se emitan sanciones. Cuanto más tiempo exista un problema, mayor será la penalización.,
¿Cuáles son las consecuencias de una violación?
las regulaciones de HIPAA son aplicadas por la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS). Muchas violaciones son detectadas por las entidades cubiertas durante auditorías internas rutinarias o reportadas internamente por los empleados. Cualquier queja externa reportada por trabajadores de la salud, pacientes y miembros del plan de salud es investigada por la OCR.,
por ley, la OCR solo puede actuar si:
- La acción tuvo lugar después de la fecha de promulgación de la HIPAA (14 de abril de 2003)
- la queja se ha presentado contra una entidad que está obligada por ley a cumplir con las regulaciones de la HIPAA (una entidad cubierta)
- viola específicamente las regulaciones de la HIPAA
- La queja se ha presentado dentro de los 180 días posteriores a la detección de la violación
las investigaciones incluyen la realización de revisiones de cumplimiento y la realización de programas de educación y divulgación., En el caso de que se detecte un incumplimiento, la OCR intentará obtener cumplimiento voluntario, acciones correctivas y/o un acuerdo de resolución. Las violaciones también pueden dar lugar a sanciones civiles y penales si la denuncia se remite al Departamento de Justicia.
multas por incumplimiento
las multas por incumplimiento y los cargos por violar las regulaciones de HIPAA son manejados por el Departamento de Justicia y se dividen en dos categorías: causa razonable y negligencia intencional.
- Las multas por violaciones de «causa razonable» oscilan entre $100 y 5 50,000.,
- Las sanciones por violaciones de «negligencia intencional» pueden variar de 1 10,000 a 5 50,000 y pueden resultar en cargos penales.
- Los cargos por delitos relacionados con fraude pueden resultar en una multa de $100,000, con hasta 5 años de prisión.
- Las ofensas que incluyen la intención de vender, transferir o usar información de salud identificable individualmente para ventaja comercial, beneficio personal o daño malicioso pueden resultar en multas de 2 250,000 y hasta 10 años de prisión.
- la pena máxima por una violación intencional que no se corrige dentro del período de tiempo requerido se establece en $1.5 millones por año.,
cómo presentar una queja
en el caso de que usted se vea personalmente afectado o sea testigo de una violación de HIPAA, debe ser reportado a la Oficina de Derechos Civiles. Se pueden presentar quejas contra las entidades cubiertas y sus socios comerciales.
cualquier persona puede denunciar una violación de la seguridad de la información de salud con el OCR. Las quejas deben presentarse por escrito por correo, fax, correo electrónico o a través del portal de Quejas de OCR dentro de los 180 días posteriores a la observación de una violación y deben especificar la acción no conforme., Si se detecta una violación durante la investigación, la entidad cubierta o el Socio comercial deben cumplir voluntariamente con las reglas de HIPAA, tomar medidas correctivas y/o aceptar un acuerdo. Si el incumplimiento no se resuelve, la OCR puede imponer multas y sanciones.
HIPAA Security: Best Practices
Si usted es una entidad cubierta o el Socio comercial de una entidad cubierta, debe conocer y cumplir con los estándares HIPAA. También debe introducir una serie de prácticas recomendadas para garantizar que se cree una cultura corporativa de seguridad, privacidad y protección en su organización., Es una buena idea incluir una lista de verificación de cumplimiento de HIPAA en sus políticas y procedimientos.
Aquí hay algunos ejemplos de lo que se debe y no se debe hacer:
lo que se debe hacer
- Proporcionar capacitación regular a los empleados para que estén al tanto de las regulaciones sobre el uso y divulgación de la PHI y los procedimientos generales de Confidencialidad en el lugar de trabajo.
- cree un conjunto claro de políticas y procedimientos de HIPAA y asegúrese de que estén disponibles para todos los empleados
- establezca un oficial de Privacidad en su departamento de Recursos Humanos para procesar quejas y proporcionar información sobre los procedimientos de privacidad de datos.,ENT para detectar posibles violaciones
- realizar sesiones de capacitación regulares para garantizar que los empleados estén al tanto de las políticas y requisitos actualizados de HIPAA
Dont’s
- revelar contraseñas o compartir credenciales de inicio de sesión
- dejar dispositivos portátiles o documentos desatendidos
- acceder a los registros de los pacientes por curiosidad
- acceder a sus propios registros médicos
- desechar la información médica en ephi en las redes sociales
HIPAA: FAQ
para finalizar este post, hemos reunido algunas preguntas frecuentes adicionales., Si tiene alguna otra pregunta que no hayamos incluido, no dude en dejarlas en la sección de comentarios a continuación y nos pondremos en contacto con usted.
¿Cuáles son ejemplos comunes de infracciones de HIPAA?,
ejemplos de violaciones comunes de HIPAA incluyen los siguientes:
- No realizar un análisis de riesgo
- No divulgar rápidamente información a los pacientes
- acceso no autorizado a los registros médicos (Espionaje interno)
- firmas de pacientes faltantes
- divulgación de información a una parte no designada
- Distribución de información de salud no autorizada
- divulgación de información del paciente incorrecta
- Uso de dispositivos no seguros para almacenar información de salud privada.,
casos famosos de violaciones de los que puede haber oído hablar:
- El sistema de salud de la Universidad de California en Los Ángeles fue multado con 8 865,000 cuando la OCR descubrió que un médico había accedido a los registros médicos de celebridades y otros pacientes sin autorización. El médico se convirtió en el primer empleado de la salud en ser encarcelado por una violación de HIPAA y fue sentenciado a cuatro meses en una prisión federal.
- se presentaron múltiples informes de violación contra el Centro Médico de la Universidad de Rochester después de que los dispositivos portátiles que contenían ePHI se confirmaron como perdidos / robados., El caso fue resuelto por $3 millones.
- La OCR impuso una multa de 1 1.6 millones a la Comisión de Salud y Servicios Humanos de Texas (TX HHSC) por múltiples violaciones, incluyendo una falla en el análisis de Riesgos, una falla en el control de acceso, una falla en el monitoreo de la actividad del sistema de información y una divulgación no permitida de la ePHI del paciente.
¿puede demandar por una violación de HIPAA?
no hay causa de acción privada en HIPAA, por lo que no es posible que un individuo para demandar bajo los Términos de la ley., Sin embargo, usted puede tener derecho a demandar basado en la ley estatal si el daño ha sido causado como resultado directo de negligencia o una violación (aunque esto puede ser costoso y no hay garantía de éxito).
¿hablar de un paciente es una violación de HIPAA?
los proveedores de atención médica pueden hablar de los pacientes con otros miembros del equipo de atención, pero hablar de pacientes específicos y divulgar su información de salud a familiares, amigos & los colegas se clasificarían como una violación de HIPAA., Los proveedores también deben «proteger razonablemente» la PHI para limitar la divulgación, como no discutir el caso de un paciente en un área pública.
Administre sus bajas por enfermedad de los empleados & otros documentos de forma segura & de forma segura con Factorial.
escrito por Cat Symonds