職場における最も一般的なHipaa違反
HIPAAプライバシールールとは別に、対象となるエンティティは、PHIを保護するための基準を設定するプライバシールールと、電子保護健康情報(ePHI)の機密性、完全性、および可用性を保護するためのセーフガードを指定するセキュリティルールによって管理されます。 個人の健康データの違反は、米国保健省&ヒューマンサービス(HHS)に通知する必要があります。
どの企業が除外されていますか?,
ほとんどの雇用者は”非被覆”事業体とみなされ、したがってHIPAA規則および規制の対象とはなりません。 雇用者がスタッフに医療保険を提供したとしても、データセキュリティとHIPAAコンプライアンスを確保するのは保険会社の責任です。
HIPAAプライバシー法を遵守する必要がない組織の例には、次のものがあります。
- 生命保険会社
- 労働者補償請求などの医療記録へのアクセスを要求,HIPAAは非被覆団体には適用されませんが、これらの企業は1974年の米国のプライバシー法および障害を持つアメリカ人法(ADA)およびデータ保護に関する州レベルの規制に基づいて、所有している従業員の健康情報の機密性を保護する法的義務を負っています。—–, たとえば、カリフォルニア州消費者プライバシー法は、個人に対して、企業による個人データの処理をいつでも閲覧、アクセス、およびオプトアウトする権利 そして、マサチューセッツ州では、パッチ法は、機密の医療情報へのアクセスを保護するための追加の措置を
雇用者向けHIPAA
HIPAAは雇用者にとって混乱する規制になる可能性があります。 データを保護するために必要な措置を実施できるように、会社が対象となる事業体であるかどうかを確立することが重要です。, たとえば、医療および/または歯科ケアのために健康保険の給付を提供するほとんどの雇用者は、PHIがどのように維持され、伝達され、受け取られるかによって要件が異なるが、”健康計画”カテゴリに分類される。
従業員医療情報を保険会社などHIPAAの対象となる会社と交換することは、必ずしも規制が施行されなければならないことを意味するものではありませんが、従業員補償請求または病気休暇または健康保険に関連する目的で従業員の医療記録を受け取り、処理し、処理し、または保管する企業には法律が適用されます。, これは、現在のCOVID-19パンデミックなどの公衆衛生上の緊急事態に特に関連しています。したがって、人事マネージャーは、従業員データを保護するために必要なポリシーと手順が確実に実施されるように、HIPAAによって実装される制限と制御に精通,
HIPAAはしません。
- 雇用者が不在のために医師のメモを要求するのを止める
- 雇用者が給付プログラム、障害補償、ウェルネスプログラムまたは医療保険に関する情報を要求することを禁止する
- 雇用者が雇用記録を維持することを防ぎ、医療サービスプロバイダーおよび保険会社がHIPAAに準拠していることを提供する。,
HIPAAはあなたの会社には適用されないかもしれませんが、従業員の記録を保護し、定期的なトレーニングセッションを開催して、組織のプライバシーとデータセキュリティの文化を作り出すことは依然として重要です。
違反とは何ですか?
HIPAA侵害とは、HIPAAセキュリティルールの基準および規定のいかなる側面にも準拠しないことです。, これには、個人のPHIの不正使用および開示、電子PHIの機密性を確保するための管理上、技術的、および物理的な保護措置の実施の失敗、違反通知の遅れ、および定期的なリスク分析の実施の失敗などが含まれる可能性があります。 また、個人にPHIへのアクセス権を提供したり、HIPAA準拠の契約がビジネスアソシエイトと確実に行われなかったりすることも含まれます。,
HIPAAの侵害は、通常、三つの方法のいずれかで発見されます:
- 公民権庁(OCR)または州検事総長によって行われたデータ侵害に対する調査。
- 対象事業体およびビジネスアソシエイトに関する苦情に関する調査
- 外部HIPAAコンプライアンス監査
対象事業体が規制当局によって特定され、罰則が発行される前に、潜在的な違反を検出および修正するために、定期的な内部HIPAA監査を実施することが重要です。 問題が長くなればなるほど、ペナルティは高くなります。,
違反の結果は何ですか?
HIPAA規制は、米国保健福祉省(HHS)公民権庁(OCR)によって施行されています。 多くの違反は、定期的な内部監査の間に対象企業によって検出されたり、従業員によって内部的に報告されます。 医療従事者、患者、および健康計画のメンバーによって報告された外部の苦情は、OCRによって調査されます。,
法律により、OCRは以下の場合にのみ行動することができます。
- HIPAA制定日(April14,2003)の後に行われた
- HIPAA規制に準拠するよう法律で義務付けられている法人(対象法人)
- 特にHIPAA規制に違反している
- 苦情は、違反が検出されてから180日以内に提出されています
調査には、コンプライアンスレビューの実施が含まれます。教育やアウトリーチプログラムを行っています, 違反が検出された場合、OCRは自主的なコンプライアンス、是正措置、および/または解決合意の取得を試みます。 苦情が司法省に照会された場合、違反は民事罰および刑事罰につながる可能性もあります。
違反罰金
HIPAA規制違反に対する違反罰金および料金は、法務省によって処理され、合理的な原因と故意の怠慢の二つのカテゴリーに分かれます。
- “合理的な原因”違反に対する罰金は、$100から$50,000の範囲です。,
- “故意の怠慢”違反に対する罰則は、$10,000から$50,000の範囲であり、刑事告発につながる可能性があります。
- 詐欺を含む犯罪に対する料金は、100,000ドルの罰金になり、最大5年の懲役刑が科せられる可能性があります。
- 商業的利点、個人的な利益または悪意のある害のために個別に識別可能な健康情報を販売、移転または使用する意図を含む犯罪は、$250,000の罰金と10年
- 必要な期間内に修正されていない故意の違反に対する最大ペナルティは、年間$1.5百万に設定されています。,
苦情を申し立てる方法
あなたが個人的にHIPAA違反の影響を受けたり、HIPAA違反を目撃した場合は、公民権庁に報告する必要があります。 苦情の申請対象者やその事業する機会にもなりました。
誰でもOCRを使用して健康情報セキュリティ違反を報告できます。 苦情は、違反が観察されてから180日以内に郵便、ファックス、電子メール、またはOCR苦情ポータルを介して書面で提出されなければならず、準拠していないアクションを指定する必要があります。, 調査中に違反が検出された場合、対象となる事業体またはビジネスアソシエイトは、HIPAAルールを自発的に遵守し、是正措置を講じ、および/または和解に同意しなければなりません。 違反が解決されない場合、OCRは罰金および罰則を課すことがあります。
HIPAAセキュリティ:ベストプラクティス
対象事業体または対象事業体のビジネスアソシエイトである場合は、HIPAA基準を認識し、遵守する必要があり また、一連のベストプラクティスを導入して、セキュリティのプライバシーと保護の企業文化を組織内で確実に作成する必要があります。, ポリシーと手順にHIPAA準拠チェックリストを含めることをお勧めします。
一般的なdoといけないことのいくつかの例を次に示します。
Do
- 従業員に対して、PHIの使用と開示に関する規制、および職場の一般的な秘密保持手続きを認識するための定期的なトレーニングを提供します。
- HIPAAポリシーと手順の明確なセットを作成し、すべての従業員が利用できるようにします
- 人事部門にプライバシーオフィサーを設置して、苦情を処理し、データプライバシー手順に関する情報を提供します。,潜在的な違反を検出するためにent
- 従業員が最新のHIPAAポリシーと要件を認識していることを確認するために、定期的なトレーニングセッションを実施
Dontの
- パスワードを開示したり、ログイン資格情報を共有したり
- ポータブルデバイスやドキュメントを無人のままにする
- 好奇心から患者記録にアクセスする
- あなた自身の医療記録にアクセスする
- シュレッダーまたは粉砕することにより、一般的な廃棄物にPHIを処分する
- 社会的にePHIを共有する
- media
Hipaa:faq
この記事を終了するには、いくつかの追加のよくある質問をまとめました。, あなたは私たちが含まれていない他の質問がある場合は、以下のコメント欄にそれらを残すこと自由に感じ、私たちはあなたに戻って取得しますし
HIPAA違反の一般的な例は何ですか?,
一般的なHIPAA違反の例には、次のものがあります。
- リスク分析の実行の失敗
- 患者に情報を速やかに公開しない
- 医療記録への不正アクセス(インサイダースヌーピング)
- 患者の署名の欠落
- 指定されていない当事者に情報を公開する
- 不正な健康情報の配布
- 間違った患者の情報を公開する
- 間違った患者の情報を公開するためのセキュリティで保護されていないデバイスの使用プライベート健康情報を格納する。,
あなたが聞いたことがあるかもしれない違反の有名なケース:
- カリフォルニア大学ロサンゼルス保健システムは、OCRが医師が許可なしに有名人や他の患者の医療記録にアクセスしたことを発見したときに$865,000罰金を科されました。 医師はHIPAA違反のために投獄された最初の医療従事者となり、彼は連邦刑務所で四ヶ月を宣告されました。
- ePHIを含むポータブルデバイスが紛失/盗難として確認された後、ロチェスター大学医療センターに対して複数の違反報告が提出されました。, この事件は3万ドルで解決された。
- OCRは、リスク分析の失敗、アクセス制御の失敗、情報システム活動監視の失敗、および患者ePHIの許されない開示を含む複数の違反に対して、テキサス州保健福祉委員会(TX HHSC)に1.6百万ドルのペナルティを課した。li>
あなたはHIPAA違反のために訴えることができますか?
HIPAAには私的訴訟原因はないため、個人が同法の条件の下で訴えることはできません。, ただし、過失または違反の直接の結果として害が引き起こされた場合、州法に基づいて訴える権利があります(ただし、これは高価であり、成功の保証
患者について話しているHIPAA違反ですか?
医療提供者は、ケアチームの他のメンバーと患者について話し合うことができますが、特定の患者について話し合い、家族、友人に健康情報を開示する&同僚はHIPAA違反として分類されます。, 提供者はまた、公共エリアで患者のケースを議論しないなど、開示を制限するためにPHIを”合理的に保護”しなければなりません。
あなたの従業員の病気の葉を管理します&安全に他のドキュメント&階乗で安全に。
Cat Symondsによって書かれた