eltekintve a HIPAA adatvédelmi szabály, fedett szervezetek is szabályozza az Adatvédelmi Szabály, amely meghatározza szabványok védelmére PHI, és a biztonsági szabály, amely meghatározza biztosítékok védelme a titoktartás, integritás, és a rendelkezésre álló elektronikus védett egészségügyi információk (ePHI). A személyes egészségügyi adatok bármilyen megsértéséről értesíteni kell az Egyesült Államok Egészségügyi Minisztériumát & Human Services (HHS).

mely vállalatokat zárják ki?,

a legtöbb munkáltató “nem érintett” jogalanynak minősül, ezért nem tartoznak a HIPAA szabályai és szabályai hatálya alá. Még akkor is, ha a munkáltató egészségügyi ellátást nyújt munkatársainak, a biztosítótársaság feladata az adatbiztonság és a HIPAA megfelelőségének biztosítása.

példák olyan szervezetekre, amelyeknek nem kell megfelelniük a HIPAA adatvédelmi törvénynek, a következők:

• életbiztosítók
• a legtöbb munkáltató, kivéve azokat, akik hozzáférést kérnek a munkavállalók kártérítési igényeihez stb.,
• munkavállalók kompenzációs fuvarozók
• a legtöbb iskola és iskola kerületek
• sok állami szervek, mint a gyermekvédelmi szolgáltató ügynökségek
• legtöbb bűnüldöző szervek
• sok önkormányzati irodák

bár HIPAA nem vonatkozik a nem fedett szervezetek, ezek a vállalatok még mindig jogi kötelezettség, hogy megvédjék a bizalmas munkavállalói egészségügyi információk birtokában az amerikai adatvédelmi törvény 1974 és az amerikaiak a fogyatékkal élő törvény (ADA), valamint az állami szintű vonatkozó rendeletek az adatvédelemre., A California Consumer Privacy Act, például, biztosítja az egyének számára a jogot, hogy megtekinthesse, hozzáférés, illetve opt-out a személyes adatok feldolgozása a vállalkozások által bármikor. Massachusettsben a PATCH Act további intézkedéseket hajt végre a bizalmas egészségügyi információkhoz való hozzáférés védelme érdekében.

HIPAA a munkáltatók számára

HIPAA zavaró szabályozás lehet A munkáltatók számára. Fontos annak megállapítása, hogy vállalata fedett entitás-e vagy sem, hogy végrehajthassa az adatok védelméhez szükséges intézkedéseket., A legtöbb olyan munkáltató, amely egészségügyi és/vagy fogászati ellátáshoz egészségbiztosítási ellátásokat kínál, például az “egészségügyi tervek” kategóriába tartozik, bár a követelmények attól függnek, hogy a PHI-t hogyan tartják fenn, továbbítják és fogadják.

bár a munkavállalók egészségügyi információinak cseréje a HIPAA hatálya alá tartozó társasággal, például biztosítóval, nem feltétlenül jelenti azt, hogy a rendeletet végre kell hajtani, a törvény vonatkozik minden olyan társaságra, amely munkavállalói kártérítési igények vagy betegszabadsággal vagy egészségbiztosítással kapcsolatos munkavállalói orvosi nyilvántartásokat kap, kezel vagy tárol., Ez különösen fontos a közegészségügyi vészhelyzetek, például a jelenlegi COVID-19 világjárvány során.

a humánerőforrás-vezetőknek ezért tisztában kell lenniük a HIPAA által végrehajtott korlátozásokkal és ellenőrzésekkel annak biztosítása érdekében, hogy a munkavállalói adatok védelme érdekében megfelelő politikák és eljárások kerüljenek bevezetésre.,

HIPAA nem:

• hagyd Abba a munkáltató a kérelmező orvosi igazolást a távollét
• Megtiltja a munkáltató a tájékoztatást kérő kapcsolatos juttatási programok, fogyatékosság kompenzáció, wellness programok, vagy az egészségügyi lefedettség
• annak Megakadályozása, hogy egy munkáltató a foglalkoztatás fenntartására feljegyzések, az egészségügyi ellátást nyújtó szolgáltatók, biztosítók HIPAA-kompatibilis.,

Bár a HIPAA nem lehet alkalmazni, hogy a társaságot, mégis fontos, hogy megőrizzék az alkalmazottak adatai hosszan rendszeres képzéseket, hogy hozzon létre egy kultúra adatvédelem, adatbiztonság a szervezet.

mi a jogsértés?

a HIPAA megsértése a HIPAA biztonsági szabály előírásainak és rendelkezéseinek bármely aspektusának be nem tartása., Ez magában foglalhatja a jogosulatlan használata, illetve nyilvánosságra az egyén PHI; végrehajtásának elmulasztása adminisztratív, műszaki, mind fizikai védelmet biztosítja a bizalmas elektronikus PHI; késleltetett megsértése értesítések; a kudarc, hogy végezzen rendszeres kockázat elemzés. Ez magában foglalhatja azt is, hogy az egyének nem férnek hozzá PHI-jükhöz, vagy biztosítják, hogy a HIPAA-kompatibilis megállapodások üzleti partnerekkel történjenek.,

a HIPAA jogsértéseket általában háromféle módon fedezik fel:

• a Polgári Jogi Hivatal (OCR) vagy az államügyész által végzett adatsértés vizsgálata.
• vizsgálatot panasz a hatálya alá tartozó jogalanyok, az üzleti partnerek
• külső HIPAA compliance audit

fontos, Hogy a hatálya alá tartozó jogalanyok számára, hogy végezzen rendszeres belső HIPAA ellenőrzési észlelni megfelelő esetleges megsértése, mielőtt azok által azonosított szabályozók, valamint szankciók ki. Minél hosszabb a kérdés, annál nagyobb a büntetés.,

milyen következményekkel jár a jogsértés?

a HIPAA-szabályozást az Amerikai Egészségügyi és Emberi Szolgáltatások Minisztériuma (HHS) Polgári Jogi Hivatala (OCR) hajtja végre. A fedett szervezetek számos jogsértést észlelnek a rutin belső ellenőrzések során, vagy a munkavállalók belsőleg jelentik. Az egészségügyi dolgozók, a betegek és az egészségügyi terv tagjai által jelentett külső panaszokat az OCR vizsgálja.,

a törvény Által, az OCR csak akkor törvény, ha:

• A fellépés után került sor a HIPAA időpontja beiktatását (április 14, 2003)
• A panaszt nyújtottak be ellene egy gazdálkodó egység, amely a törvény által előírt megfelelnek a HIPAA-szabályozás (fedett egység)
• kifejezetten sérti a HIPAA rendeletek
• A panaszt nyújtottak be számított 180 napon belül a jogsértés észlelése

Vizsgálatok közé tartozik végző megfelelés értékelés teljesítő oktatási, tájékoztatási programok., Abban az esetben, ha nem tartják be, az OCR megkísérli megszerezni az önkéntes megfelelést, a korrekciós intézkedéseket és/vagy a szanálási megállapodást. A jogsértések polgári és büntetőjogi szankciókat is eredményezhetnek, ha a panaszt az Igazságügyi Minisztériumhoz továbbítják.

jogsértési bírságok

a HIPAA-szabályok megsértéséért kiszabott bírságokat és díjakat az Igazságügyi Minisztérium kezeli, és két kategóriába sorolja: ésszerű ok és szándékos elhanyagolás.

• bírságok “ésszerű ok” megsértése között mozog $100 hogy $50,000.,
• büntetések “szándékos elhanyagolása” megsértése terjedhet $ 10,000 hogy $50,000 vezethet büntetőjogi díjak.
• a csalással kapcsolatos bűncselekmények vádja 100 000 dolláros bírságot eredményezhet, legfeljebb 5 év börtönbüntetéssel.
• Bűncselekmények, amelyek tartalmazzák a szándékkal, eladni, átadni vagy használja egyedileg azonosítható egészségügyi információk a kereskedelmi előny, személyes nyereség vagy rosszindulatú kárt okozhat a bírság $250,000 fel, hogy 10 év börtön.
• a szándékos jogsértés maximális büntetése, amelyet a szükséges határidőn belül nem korrigálnak, évente 1, 5 millió dollár.,

hogyan kell panaszt benyújtani

abban az esetben, ha a HIPAA megsértését személyesen érinti vagy tanúja, azt jelenteni kell a Polgári Jogi Hivatalnak. Panaszokat lehet benyújtani az érintett szervezetek és üzleti partnereik ellen.

bárki bejelentheti az egészségügyi információbiztonság megsértését az OCR-vel. A panaszokat írásban, levélben, faxon, e-mailben vagy az OCR Panaszportálon keresztül kell benyújtani a jogsértés észlelésétől számított 180 napon belül, és meg kell határozni a nem megfelelő intézkedést., Ha a vizsgálat során jogsértést észlelnek, az érintett szervezetnek vagy üzlettársnak önként be kell tartania a HIPAA-szabályokat, korrekciós intézkedéseket kell tennie és/vagy megállapodnia kell a rendezésről. Ha a jogsértés nem oldódik meg, az OCR bírságot és büntetést szabhat ki.

HIPAA Security: legjobb gyakorlatok

Ha Ön fedett szervezet vagy egy fedett szervezet üzleti partnere, akkor tisztában kell lennie és meg kell felelnie a HIPAA szabványoknak. Be kell vezetnie egy sor bevált gyakorlatot is annak biztosítása érdekében, hogy a biztonsági magánélet és a védelem vállalati kultúrája létrejöjjön a szervezetében., Ez egy jó ötlet, hogy tartalmazza a HIPAA megfelelés ellenőrzőlista a politikák és eljárások.

íme néhány példa a common do ‘s and don’ ts-re:

do ‘ s

• rendszeres képzést biztosít az alkalmazottak számára, hogy tisztában legyenek a PHI használatára és közzétételére vonatkozó szabályokkal, valamint az általános munkahelyi titoktartási eljárásokkal.
• hozzon létre egy világos HIPAA-irányelveket és eljárásokat, és biztosítsa, hogy azok minden alkalmazott számára elérhetők legyenek
• hozzon létre egy adatvédelmi tisztviselőt az emberi erőforrások osztályán a panaszok feldolgozására és az Adatvédelmi eljárásokra vonatkozó információk megadására.,ent felismerni a potenciális megsértésének
• Végezzen rendszeres képzések biztosítása a munkavállalók tisztában vannak frissített HIPAA politikák, illetve követelményeket

Nem itt

• Nyilvánosságra jelszavak, bejelentkezési adatait, vagy ossza meg
• Ne hordozható eszközök vagy dokumentumok felügyelet nélkül
• Hozzáférési rekord kíváncsiságból
• – Hozzáférés a saját orvosi feljegyzések
• Dobja PHI általában hulladék megsemmisítés, vagy péppé vert
• Megosztás ePHI a közösségi média

HIPAA: GYIK

A végén ez a poszt, már össze néhány további Gyakori Kérdések., Ha bármilyen más kérdése van, amit nem vettünk fel, kérjük, hagyja őket az alábbi megjegyzés szakaszban, majd visszatérünk hozzád.

melyek a HIPAA jogsértések gyakori példái?,

Példa a közös HIPAA megsértése a következők:

• elmulasztásából kockázatelemzés
• Hiba, hogy azonnal engedje el az információ, hogy a betegek
• a Jogosulatlan hozzáférés, orvosi feljegyzések (bennfentes bepillantás)
• Hiányzó beteg aláírás
• információk Dokumentálása, hogy egy undesignated párt
• Terjesztése nem engedélyezett egészségügyi információk
• Elengedi a rossz beteg információk
• Használata biztonságos eszközök tárolására privát egészségügyi információk.,

híres esetek megsértése, hogy lehet, hogy hallott:

• A University of California Los Angeles Egészségügyi Rendszer bírságolták $ 865,000 amikor az OCR felfedezte, hogy egy orvos hozzáfért az orvosi feljegyzések hírességek és más betegek engedély nélkül. Az orvos lett az első egészségügyi alkalmazott, akit HIPAA megsértése miatt börtönbe zártak, és négy hónapos szövetségi börtönbüntetésre ítélték.
• több jogsértési jelentést nyújtottak be a Rochesteri Egyetem Orvosi Központja ellen, miután az ePHI-t tartalmazó hordozható eszközöket elvesztették / ellopták., Az ügyet 3 millió dollárért rendezték.
• Az OCR-az előírt 1,6 millió dollár büntetés a Texas Health and Human Services Bizottság (TX HHSC) többszörös megsértése beleértve a kockázatelemzés kudarc, egy hozzáférés-vezérlési hiba, információs rendszer monitoring tevékenység elmulasztása, valamint egy megengedhetetlen nyilvánosságra a beteg ePHI.

tud perelni a HIPAA megsértése?

a HIPAA-ban nincs magánügy, így az egyén nem perelhet a törvény feltételei szerint., Lehet azonban, hogy joga van az állami jog alapján perelni, ha a kárt a gondatlanság vagy a jogsértés közvetlen eredményeként okozták (bár ez drága lehet, és nincs garancia a sikerre).

beszél a beteg egy HIPAA megsértése?

az egészségügyi szolgáltatók megbeszélhetik a betegeket az ápolási csoport többi tagjával, de konkrét betegekről beszélnek, és egészségügyi információikat családtagjaiknak, barátaiknak & a kollégákat HIPAA jogsértésnek minősítenék., A szolgáltatóknak “ésszerűen meg kell védeniük” a PHI-t a nyilvánosságra hozatal korlátozása érdekében, például a beteg esetének nyilvános területen történő megvitatása nélkül.

kezelése a munkavállaló beteg levelek &egyéb dokumentumok biztonságosan & biztonságosan faktoriális.

írta: Cat Symonds