Le violazioni Hipaa più comuni sul posto di lavoro
Oltre alla regola sulla privacy HIPAA, le entità coperte sono disciplinate anche dalla regola sulla privacy, che stabilisce gli standard per la protezione del PHI, e dalla regola sulla sicurezza, che specifica le garanzie per proteggere la riservatezza, Qualsiasi violazione dei dati sanitari personali deve essere notificata al Dipartimento della Salute degli Stati Uniti& Human Services (HHS).
Quali aziende sono escluse?,
La maggior parte dei datori di lavoro sono considerati entità “non coperte” e pertanto non sono soggetti alle norme e ai regolamenti HIPAA. Anche se un datore di lavoro fornisce una copertura sanitaria al proprio personale, è responsabilità della compagnia assicurativa garantire la sicurezza dei dati e la conformità HIPAA.
Esempi di organizzazioni che non devono rispettare la legge sulla privacy HIPAA includono:
- Assicurazioni sulla vita
- La maggior parte dei datori di lavoro, ad eccezione di quelli che richiedono l’accesso alle cartelle cliniche per richieste di risarcimento dei lavoratori, ecc.,
- i Lavoratori di compensazione vettori
- la Maggior parte delle scuole e distretti scolastici
- Molti stati, come le agenzie per la protezione dell’infanzia agenzie di servizio
- la Maggior parte delle agenzie di applicazione di legge
- Molti uffici comunali
anche se HIPAA non si applica ai non coperte entità, queste aziende hanno ancora un obbligo legale di proteggere la riservatezza della salute delle informazioni in loro possesso, ai sensi dell’US Privacy Act del 1974 e l’Americans with Disabilities Act (ADA), come pure a livello di stato dei regolamenti in materia di protezione dei dati., Il California Consumer Privacy Act, ad esempio, fornisce agli individui il diritto di visualizzare, accedere e rinunciare al trattamento dei propri dati personali da parte delle aziende in qualsiasi momento. E in Massachusetts, il PATCH Act impone ulteriori misure per proteggere l’accesso alle informazioni sanitarie riservate.
HIPAA per i datori di lavoro
HIPAA può essere un regolamento confuso per i datori di lavoro. È importante stabilire se la tua azienda è un’entità coperta o meno in modo da poter implementare le misure necessarie per proteggere i tuoi dati., La maggior parte dei datori di lavoro che offrono prestazioni di assicurazione sanitaria per cure mediche e/o dentistiche, ad esempio, rientrano nella categoria “Piani sanitari”, sebbene i requisiti dipendano da come il PHI viene mantenuto, trasmesso e ricevuto.
Sebbene lo scambio di informazioni mediche dei dipendenti con una società coperta da HIPAA, come un assicuratore, non significa necessariamente che il regolamento debba essere applicato, la legge si applica a qualsiasi azienda che riceve, elabora, gestisce o archivia le cartelle cliniche dei dipendenti ai fini di richieste di risarcimento dei dipendenti o relative a assenze per malattia o assicurazione sanitaria., Ciò è particolarmente rilevante durante le emergenze sanitarie pubbliche come l’attuale pandemia di COVID-19.
I responsabili delle risorse umane devono pertanto avere familiarità con le restrizioni e i controlli implementati dall’HIPAA per garantire che le politiche e le procedure necessarie siano messe in atto per salvaguardare i dati dei dipendenti.,
HIPAA non:
- Impedire a un datore di lavoro di richiedere una nota del medico per un’assenza
- Vietare a un datore di lavoro di richiedere informazioni relative a programmi di prestazioni, indennità di invalidità, programmi di benessere o copertura sanitaria
- Impedire a un datore di lavoro di mantenere i record di occupazione, fornendo,
Anche se HIPAA potrebbe non applicarsi alla tua azienda, è comunque importante salvaguardare i record dei dipendenti e tenere sessioni di formazione periodiche per creare una cultura della privacy e della sicurezza dei dati nella tua organizzazione.
Che cos’è una violazione?
Una violazione HIPAA è un mancato rispetto di qualsiasi aspetto degli standard e delle disposizioni della regola di sicurezza HIPAA., Ciò può includere l’uso e la divulgazione non autorizzati del PHI di un individuo; la mancata attuazione di garanzie amministrative, tecniche e fisiche per garantire la riservatezza del PHI elettronico; notifiche di violazione ritardate; e la mancata conduzione di analisi regolari dei rischi. Può anche includere una mancata fornitura di individui con accesso al loro PHI o per garantire accordi HIPAA-compliant sono fatti con i soci in affari.,
Le violazioni HIPAA vengono solitamente scoperte in tre modi:
- Indagini su una violazione dei dati condotte dall’Ufficio per i diritti civili (OCR) o dal procuratore generale dello Stato.
- Indagini sui reclami relativi alle entità coperte e ai soci in affari
- Un audit di conformità HIPAA esterno
È importante che le entità coperte conducano un audit HIPAA interno regolare per rilevare e correggere eventuali violazioni prima che vengano identificate dalle autorità di regolamentazione e vengano emesse sanzioni. Più a lungo esiste un problema, maggiore è la pena.,
Quali sono le conseguenze di una violazione?
I regolamenti HIPAA sono applicati dall’Ufficio per i diritti civili (OCR) del Dipartimento della Salute e dei servizi umani (HHS) degli Stati Uniti. Molte violazioni vengono rilevate dalle entità coperte durante gli audit interni di routine o segnalate internamente dai dipendenti. Eventuali reclami esterni segnalati da operatori sanitari, pazienti e membri del piano sanitario sono indagati dall’OCR.,
Dalla legge, il riconoscimento può agire solo se:
- L’azione ha avuto luogo dopo il HIPAA data dell’entrata in vigore (14 aprile 2003)
- Il reclamo è stato presentato contro un soggetto che è tenuto per legge a rispettare i regolamenti HIPAA (coperto entità)
- specificamente viola i regolamenti HIPAA
- La denuncia è stata presentata entro 180 giorni dalla violazione rilevata
le Indagini comprendono la conduzione di conformità e le recensioni e l’esecuzione di istruzione e programmi di sensibilizzazione., Nel caso in cui venga rilevata una non conformità, l’OCR tenterà di ottenere conformità volontaria, azioni correttive e/o un accordo di risoluzione. Le violazioni possono anche comportare sanzioni civili e penali se la denuncia viene inoltrata al Dipartimento di Giustizia.
Multe per violazione
Multe per violazione e spese per violazione dei regolamenti HIPAA sono gestiti dal Dipartimento di Giustizia e suddivisi in due categorie: causa ragionevole e negligenza intenzionale.
- Le multe per violazioni di “causa ragionevole” vanno da $100 a $50.000.,
- Le sanzioni per le violazioni di “negligenza volontaria” possono variare da $10.000 a $50.000 e possono comportare accuse penali.
- Le accuse per reati che comportano frodi possono comportare una multa di $100.000, con un massimo di 5 anni di carcere.
- I reati che includono l’intento di vendere, trasferire o utilizzare informazioni sanitarie identificabili individualmente per vantaggio commerciale, guadagno personale o danno dannoso possono comportare multe di $250.000 e fino a 10 anni di carcere.
- La penalità massima per una violazione intenzionale che non viene corretta entro il periodo di tempo richiesto è fissata a $1,5 milioni all’anno.,
Come presentare un reclamo
Nel caso in cui tu sia personalmente interessato o testimone di una violazione HIPAA, deve essere segnalato all’Ufficio per i Diritti civili. I reclami possono essere presentati contro le entità coperte e i loro soci in affari.
Chiunque può segnalare una violazione della sicurezza delle informazioni sanitarie con l’OCR. I reclami devono essere presentati per iscritto per posta, fax, e-mail o tramite il portale dei reclami OCR entro 180 giorni dal verificarsi di una violazione e devono specificare l’azione non conforme., Se viene rilevata una violazione durante l’indagine, l’entità coperta o il socio in affari devono rispettare volontariamente le regole HIPAA, intraprendere azioni correttive e/o accettare un regolamento. Se la violazione non viene risolta l’OCR può imporre multe e sanzioni.
HIPAA Security: Best practice
Se sei un’entità coperta o il socio in affari di un’entità coperta devi essere consapevole e rispettare gli standard HIPAA. Si dovrebbe anche introdurre una serie di best practice per garantire una cultura aziendale di sicurezza privacy e protezione viene creato nella vostra organizzazione., È consigliabile includere una lista di controllo di conformità HIPAA nelle politiche e nelle procedure.
Ecco alcuni esempi di cose da fare e da non fare comuni:
Le cose da fare
- Forniscono una formazione regolare ai dipendenti in modo che siano a conoscenza delle normative sull’uso e la divulgazione dei PHI e delle procedure generali di riservatezza sul posto di lavoro.
- Creare un chiaro insieme di politiche e procedure HIPAA e garantire che siano disponibili per tutti i dipendenti
- Istituire un responsabile della privacy nel reparto risorse umane per elaborare i reclami e fornire informazioni sulle procedure di privacy dei dati.,ent per rilevare eventuali violazioni
- effettuare regolari sessioni di formazione per garantire che i dipendenti siano a conoscenza di aggiornamento HIPAA criteri e requisiti
Non
- Rivelare le password o condividere le credenziali di accesso
- Lasciare i dispositivi portatili o documenti automatica
- Accesso del paziente record per curiosità
- Accedere alla propria documentazione medica
- Smaltire PHI, in generale, i rifiuti da triturazione o polverizzazione
- Condividi ePHI sui social media
HIPAA: FAQ
alla fine Di questo post, abbiamo messo insieme un paio di ulteriori Domande Frequenti., Se hai altre domande che non abbiamo incluso, non esitare a lasciarle nella sezione commenti qui sotto e ti risponderemo.
Quali sono esempi comuni di infrazioni HIPAA?,
Esempi di violazioni HIPAA sono i seguenti:
- la Mancata esecuzione di una analisi di rischio
- la Mancata tempestiva rilascio di informazioni per i pazienti
- accesso non autorizzato medical record (insider snooping)
- Mancanti paziente firme
- il Rilascio di informazioni per un non specif party
- la Distribuzione non autorizzata di informazioni di salute
- Rilasciare il paziente sbagliato dell’informazione;
- Uso di dispositivi non protetti per la conservazione privata delle informazioni di salute.,
Casi famosi di violazioni di cui potresti aver sentito parlare:
- Il sistema sanitario dell’Università della California di Los Angeles è stato multato di 8 865.000 quando l’OCR ha scoperto che un medico aveva accesso alle cartelle cliniche di celebrità e altri pazienti senza autorizzazione. Il medico è diventato il primo dipendente sanitario ad essere incarcerato per una violazione HIPAA ed è stato condannato a quattro mesi di carcere federale.
- Sono state presentate più segnalazioni di violazioni contro il Centro medico dell’Università di Rochester dopo che i dispositivi portatili contenenti ePHI sono stati confermati come smarriti / rubati., Il caso è stato risolto per $3 milioni.
- L’OCR ha imposto una sanzione di Texas 1.6 milioni alla Texas Health and Human Services Commission (TX HHSC) per molteplici violazioni tra cui un errore di analisi del rischio, un errore di controllo degli accessi, un errore di monitoraggio delle attività del sistema informativo e una divulgazione inammissibile di ePHI paziente.
Si può citare in giudizio per una violazione HIPAA?
Non esiste una causa privata di azione in HIPAA, quindi non è possibile per un individuo citare in giudizio secondo i termini della legge., Tuttavia, potresti avere il diritto di citare in giudizio in base alla legge statale se il danno è stato causato come risultato diretto di negligenza o violazione (anche se questo può essere costoso e non vi è alcuna garanzia di successo).
Sta parlando di un paziente una violazione HIPAA?
Gli operatori sanitari sono autorizzati a discutere i pazienti con altri membri del team di assistenza, ma parlare di pazienti specifici e divulgare le loro informazioni sanitarie a familiari, amici& i colleghi sarebbero classificati come una violazione HIPAA., I fornitori devono anche “ragionevolmente proteggere” PHI per limitare la divulgazione, ad esempio non discutere il caso di un paziente in un’area pubblica.
Gestisci le tue assenze per malattia dei dipendenti& altri documenti in modo sicuro& in modo sicuro con Fattoriale.
Scritto da Cat Symonds