de meest voorkomende HIPAA-schendingen op de werkplek
naast de HIPAA-privacyregel vallen de onder de richtlijn vallende entiteiten ook onder de privacyregel, die normen stelt voor de bescherming van PHI, en de beveiligingsregel, die waarborgen specificeert voor de bescherming van de vertrouwelijkheid, integriteit en beschikbaarheid van electronic Protected Health Information (ePHI). Elke inbreuk op persoonlijke gezondheidsgegevens moet worden gemeld aan het Amerikaanse Ministerie van Volksgezondheid & Human Services (HHS).
welke ondernemingen zijn uitgesloten?,
De meeste werkgevers worden beschouwd als” niet-gedekte ” entiteiten en zijn daarom niet onderworpen aan HIPAA-regels en-voorschriften. Zelfs als een werkgever zorgdekking biedt aan zijn personeel, is het de verantwoordelijkheid van de verzekeringsmaatschappij om de gegevensbeveiliging en HIPAA compliance te waarborgen.
voorbeelden van organisaties die niet hoeven te voldoen aan de HIPAA privacy act zijn:
- levensverzekeraars
- de meeste werkgevers, behalve degenen die toegang vragen tot medische dossiers voor schadeclaims van werknemers, enz.,
- de Werknemers compensatie carriers
- de Meeste scholen en schooldistricten
- Veel van de overheid als kind beschermende instellingen
- de Meeste agentschappen van de wetshandhaving
- Veel gemeentelijke kantoren
Hoewel HIPAA is niet van toepassing op niet-gewaarborgde entiteiten, deze bedrijven hebben nog steeds een wettelijke verplichting om de vertrouwelijkheid van de gezondheid van de werknemers de informatie in hun bezit onder ONS Privacy Act van 1974 en de Americans with Disabilities Act (ADA) evenals state-niveau van de regelgeving met betrekking tot gegevensbescherming., De California Consumer Privacy Act, bijvoorbeeld, biedt individuen het recht om te allen tijde de verwerking van hun persoonlijke gegevens door bedrijven te bekijken, te openen en af te melden. En in Massachusetts dwingt de PATCH Act extra maatregelen af om de toegang tot vertrouwelijke gezondheidsinformatie te beschermen.
HIPAA voor werkgevers
HIPAA kan een verwarrende verordening voor werkgevers zijn. Het is belangrijk om vast te stellen of uw bedrijf een covered entity is, zodat u de nodige maatregelen kunt nemen om uw gegevens te beschermen., De meeste werkgevers die ziektekostenverzekeringen aanbieden voor bijvoorbeeld medische en/of tandheelkundige zorg, vallen onder de categorie “gezondheidsplannen”, hoewel de eisen afhankelijk zijn van hoe PHI wordt gehandhaafd, overgedragen en ontvangen.
hoewel de uitwisseling van medische informatie van werknemers met een bedrijf dat onder HIPAA valt, zoals een verzekeraar, niet noodzakelijkerwijs betekent dat de verordening moet worden gehandhaafd, is de wet wel van toepassing op elk bedrijf dat medische dossiers van werknemers ontvangt, verwerkt, behandelt of opslaat met het oog op schadeclaims van werknemers of in verband met ziekteverlof of ziekteverzekering., Dit is met name relevant in noodsituaties op het gebied van de volksgezondheid, zoals de huidige covid-19-pandemie.
personeelsmanagers moeten daarom vertrouwd zijn met de beperkingen en controles die door de HIPAA worden uitgevoerd om ervoor te zorgen dat het nodige beleid en procedures worden ingevoerd om de gegevens van werknemers te beschermen.,
HIPAA houdt niet:
- een werkgever tegen om een doktersverklaring voor afwezigheid te vragen
- een werkgever verbiedt om informatie te vragen met betrekking tot uitkeringsprogramma ‘s, invaliditeitscompensatie, wellnessprogramma’ s of zorgdekking
- een werkgever belet om een arbeidsregistratie bij te houden, op voorwaarde dat zorgverleners en verzekeraars HIPAA-conform zijn.,
hoewel HIPAA mogelijk niet van toepassing is op uw bedrijf, is het nog steeds belangrijk om werknemersgegevens te beschermen en periodieke trainingen te houden om een cultuur van privacy en gegevensbeveiliging in uw organisatie te creëren.
Wat is een overtreding?
een HIPAA-inbreuk is een niet-naleving van enig aspect van de normen en bepalingen van de HIPAA-beveiligingsregel., Dit kan het ongeautoriseerde gebruik en de openbaarmaking van iemands PHI omvatten; het niet implementeren van administratieve, technische en fysieke beveiligingen om de vertrouwelijkheid van elektronische PHI te waarborgen; vertraagde meldingen van inbreuken; en het niet uitvoeren van regelmatige risicoanalyses. Het kan ook een verzuim om individuen te voorzien van toegang tot hun PHI of om ervoor te zorgen HIPAA-compliant overeenkomsten worden gemaakt met zakenpartners.,
HIPAA-inbreuken worden meestal op een van de drie manieren ontdekt:
- onderzoeken naar een datalek uitgevoerd door het Office for Civil Rights (OCR) of door de officier van Justitie.
- onderzoeken naar klachten over onder de richtlijn vallende entiteiten en zakenpartners
- een externe HIPAA-nalevingsaudit
Het is belangrijk dat onder de richtlijn vallende entiteiten een regelmatige interne HIPAA-audit uitvoeren om mogelijke schendingen op te sporen en te corrigeren voordat deze door toezichthouders worden vastgesteld en sancties worden opgelegd. Hoe langer een probleem bestaat, hoe hoger de straf.,
Wat zijn de gevolgen van een overtreding?
HIPAA regelgeving wordt gehandhaafd door het U. S. Department of Health and Human Services’ (HHS) Office for Civil Rights (OCR). Veel overtredingen worden gedetecteerd door de gedekte entiteiten tijdens routinematige interne audits of intern gerapporteerd door werknemers. Alle externe klachten die worden gemeld door gezondheidswerkers, patiënten en leden van het zorgplan worden onderzocht door het OCR.,
bij wet kan de OCR alleen handelen als:
- de actie heeft plaatsgevonden na de HIPAA-Datum van inwerkingtreding (14 April 2003)
- de klacht is ingediend tegen een entiteit die wettelijk verplicht is te voldoen aan de HIPAA-voorschriften (een gedekte entiteit)
- Het schendt specifiek de HIPAA-voorschriften
- de klacht is ingediend binnen 180 dagen nadat de overtreding is ontdekt
onderzoeken omvatten het uitvoeren van compliance reviews en het uitvoeren van onderwijs en outreach programma ‘ s., Indien een niet-naleving wordt vastgesteld, zal de OCR trachten vrijwillige naleving, corrigerende maatregelen en/of een resolutieovereenkomst te verkrijgen. Overtredingen kunnen ook resulteren in civiele en strafrechtelijke sancties als de klacht wordt doorverwezen naar het Ministerie van Justitie.
Inbreukboetes
Inbreukboetes en kosten voor het overtreden van de HIPAA-regelgeving worden behandeld door het Ministerie van Justitie en opgesplitst in twee categorieën: redelijke oorzaak en opzettelijke verwaarlozing.
- boetes voor” redelijke oorzaak ” overtredingen variëren van $ 100 tot $ 50.000.,
- straffen voor” opzettelijke verwaarlozing ” overtredingen kunnen variëren van $10.000 tot $50.000 en kunnen resulteren in strafrechtelijke vervolging.
- aanklachten voor overtredingen met betrekking tot fraude kunnen resulteren in een boete van $100.000, met maximaal 5 jaar gevangenisstraf.overtredingen die de intentie omvatten om individueel identificeerbare gezondheidsinformatie te verkopen, over te dragen of te gebruiken voor commercieel voordeel, persoonlijk gewin of kwaadwillige schade, kunnen leiden tot boetes van $250.000 en tot 10 jaar gevangenisstraf.
- de maximale boete voor een opzettelijke overtreding die niet binnen de vereiste termijn wordt gecorrigeerd, is vastgesteld op 1,5 miljoen dollar per jaar.,
hoe een klacht in te dienen
In het geval u persoonlijk wordt getroffen door of getuige bent van een HIPAA-inbreuk, moet dit worden gemeld aan het Bureau voor burgerrechten. Klachten kunnen worden ingediend tegen onder de richtlijn vallende entiteiten en hun zakenpartners.
Iedereen kan een inbreuk op de beveiliging van statusinformatie melden met de OCR. Klachten moeten schriftelijk worden ingediend per post, fax, e-mail of via het OCR-Klachtenportaal binnen 180 dagen nadat een overtreding is geconstateerd en moeten de niet-conforme actie vermelden., Als tijdens het onderzoek een inbreuk wordt ontdekt, moet de gedekte entiteit of zakenpartner vrijwillig voldoen aan de HIPAA-regels, corrigerende maatregelen nemen en/of akkoord gaan met een schikking. Als de inbreuk niet wordt opgelost, kan de OCR boetes en sancties opleggen.
HIPAA-beveiliging: Best Practices
Als u een gedekte entiteit of de zakenpartner van een gedekte entiteit bent, moet u op de hoogte zijn van en voldoen aan de HIPAA-normen. U moet ook een reeks van best practices te introduceren om ervoor te zorgen dat een bedrijfscultuur van veiligheid privacy en bescherming is gemaakt in uw organisatie., Het is een goed idee om een HIPAA compliance checklist op te nemen in uw beleid en procedures.
Hier zijn een paar voorbeelden van gemeenschappelijke do ’s en don’ ts:
Do ‘ s
- zorgen voor regelmatige opleiding van werknemers, zodat zij op de hoogte zijn van de voorschriften inzake PHI-gebruik en openbaarmaking en algemene procedures voor vertrouwelijkheid op de werkplek.
- Maak een duidelijke set van HIPAA beleid en procedures en zorg ervoor dat ze beschikbaar zijn voor alle werknemers
- Stel een Privacy Officer op in uw personeelsafdeling om klachten te verwerken en informatie te verstrekken over procedures voor gegevensbescherming.,ent om het detecteren van potentiële schendingen
- Voeren regelmatig trainingen om te verzekeren dat werknemers zich bewust zijn van de bijgewerkte HIPAA beleid en de vereisten
Dont ‘ s
- Vrijgeven van wachtwoorden of delen inloggegevens
- Laat draagbare apparaten of documenten zonder toezicht
- Toegang tot patiëntendossiers uit nieuwsgierigheid
- Toegang tot uw eigen medische gegevens
- Vervreemden van PHI in het algemeen afval door verkleining of het verpulveren
- Delen efa op social media
HIPAA: FAQ
Aan het einde van deze post, we hebben samen een paar extra veelgestelde Vragen., Als u nog andere vragen die we niet hebben opgenomen, aarzel dan niet om ze te verlaten in de commentaren hieronder en we nemen contact met u op.
Wat zijn veelvoorkomende voorbeelden van HIPAA-overtredingen?,
voorbeelden van veelvoorkomende HIPAA-schendingen zijn:
- niet uitvoeren van een risicoanalyse
- niet onmiddellijk vrijgeven van informatie aan patiënten
- ongeoorloofde toegang tot medische dossiers (Insider snooping)
- ontbrekende patiënthandtekeningen
- vrijgeven van informatie aan een ongewenste partij
- verspreiden van ongeoorloofde gezondheidsinformatie
- vrijgeven van de verkeerde patiëntinformatie
- gebruik van onbeveiligde apparaten voor het opslaan van persoonlijke gezondheidsinformatie.,bekende gevallen van schendingen waarvan u misschien gehoord heeft: het gezondheidssysteem van de Universiteit van Californië in Los Angeles kreeg een boete van $865.000 toen de OCR ontdekte dat een arts zonder toestemming toegang had gehad tot de medische dossiers van beroemdheden en andere patiënten. De arts werd de eerste zorgmedewerker die gevangen werd gezet voor een HIPAA overtreding en hij werd veroordeeld tot vier maanden in de federale gevangenis.meerdere meldingen van inbreuken werden ingediend tegen het University Of Rochester Medical Center nadat draagbare apparaten met ePHI werden bevestigd als verloren / gestolen., De zaak werd beslecht voor $ 3 miljoen.de OCR legde een boete van 1,6 miljoen dollar op aan de Texas Health and Human Services Commission (TX HHSC) voor meerdere overtredingen, waaronder een risicoanalyse, een toegangscontrole, een storing in het Informatie Systeem en een ontoelaatbare openbaarmaking van patiënt ePHI.
kunt u aanklagen voor een HIPAA overtreding?
Er is geen privézaak in HIPAA, dus het is niet mogelijk voor een individu om een rechtszaak aan te spannen onder de voorwaarden van de wet., U kunt echter het recht hebben om een klacht in te dienen op basis van de staatswetgeving als schade is veroorzaakt als een direct gevolg van nalatigheid of een schending (hoewel dit duur kan zijn en er geen garantie is voor succes).
is het over een patiënt een HIPAA inbreuk?
zorgverleners mogen patiënten bespreken met andere leden van het zorgteam, maar praten over specifieke patiënten en het bekendmaken van hun gezondheidsinformatie aan familie, vrienden & collega ‘ s zou worden geclassificeerd als een HIPAA-overtreding., Zorgverleners moeten ook de PHI “redelijk beschermen” om openbaarmaking te beperken, zoals het niet bespreken van de zaak van een patiënt in een openbare ruimte.
Beheer uw ziekteverlof & andere documenten veilig & veilig met Factorial.
geschreven door Cat Symonds