oprócz zasady prywatności HIPAA, objęte podmioty są również regulowane przez regułę Prywatności, która określa standardy ochrony PHI, oraz regułę bezpieczeństwa, która określa zabezpieczenia ochrony poufności, integralności i dostępności chronionych elektronicznych informacji zdrowotnych (Ephi). Wszelkie naruszenia danych osobowych należy zgłaszać do Departamentu Zdrowia USA & Human Services (HHS).

które firmy są wyłączone?,

większość pracodawców jest uważana za podmioty „nieobjęte ubezpieczeniem” i dlatego nie podlegają Zasadom i regulacjom HIPAA. Nawet jeśli pracodawca zapewnia swoim pracownikom ochronę zdrowotną, firma ubezpieczeniowa jest odpowiedzialna za zapewnienie bezpieczeństwa danych i zgodności z HIPAA.

przykładami organizacji, które nie muszą przestrzegać Ustawy o ochronie prywatności HIPAA są:

• ubezpieczyciele na życie
• większość pracodawców, z wyjątkiem tych, którzy żądają dostępu do dokumentacji medycznej w przypadku roszczeń odszkodowawczych pracowników itp.,
• przewoźnicy odszkodowawczy pracowników
• większość szkół i okręgów szkolnych
• wiele agencji państwowych, takich jak agencje ochrony dzieci
• większość organów ścigania
• wiele urzędów miejskich

chociaż HIPAA nie ma zastosowania do podmiotów nieobjętych ubezpieczeniem, firmy te nadal mają prawny obowiązek ochrony poufności informacji dotyczących zdrowia pracowników będących w ich posiadaniu zgodnie z amerykańską ustawą o prywatności z 1974 r.i amerykańską ustawą o niepełnosprawności (ADA), a także regulacjami w zakresie ochrony danych., Na przykład Kalifornijska Ustawa o ochronie prywatności konsumentów zapewnia osobom fizycznym prawo do wglądu, dostępu i rezygnacji z przetwarzania ich danych osobowych przez firmy w dowolnym momencie. A w Massachusetts, PATCH Act wymusza dodatkowe środki w celu ochrony dostępu do poufnych informacji medycznych.

HIPAA dla pracodawców

HIPAA może być mylącą regulacją dla pracodawców. Ważne jest, aby ustalić, czy Twoja firma jest podmiotem objętym ubezpieczeniem, aby móc wdrożyć niezbędne środki ochrony danych., Większość pracodawców oferujących na przykład świadczenia z ubezpieczenia zdrowotnego w zakresie opieki medycznej i/lub stomatologicznej należy do kategorii „plany zdrowotne”, chociaż wymagania zależą od tego, jak PHI jest utrzymywane, przekazywane i odbierane.

chociaż wymiana informacji medycznych pracowników z firmą objętą HIPAA, taką jak ubezpieczyciel, nie musi oznaczać, że rozporządzenie musi być egzekwowane, prawo ma zastosowanie do każdej firmy, która otrzymuje, przetwarza, obsługuje lub przechowuje dokumentację medyczną pracowników w celu dochodzenia roszczeń o odszkodowanie dla pracowników lub związanych z zwolnieniem chorobowym lub ubezpieczeniem zdrowotnym., Jest to szczególnie istotne w sytuacjach zagrożenia zdrowia publicznego, takich jak obecna pandemia COVID-19.

menedżerowie zasobów ludzkich muszą zatem znać ograniczenia i kontrole wdrażane przez HIPAA w celu zapewnienia wprowadzenia niezbędnych polityk i procedur w celu ochrony danych pracowników.,

HIPAA nie:

• nie powstrzymuje pracodawcy przed żądaniem zaświadczenia lekarskiego za nieobecność
• nie zakazuje pracodawcy żądania informacji dotyczących programów świadczeń, odszkodowań z tytułu niepełnosprawności, programów odnowy biologicznej lub ochrony zdrowia
• nie uniemożliwia pracodawcy prowadzenia dokumentacji Zatrudnienia, pod warunkiem, że dostawcy usług medycznych i ubezpieczyciele są zgodni z HIPAA.,

chociaż HIPAA może nie dotyczyć Twojej firmy, nadal ważne jest, aby chronić dane pracowników i przeprowadzać okresowe szkolenia w celu stworzenia kultury Prywatności i bezpieczeństwa danych w Twojej organizacji.

Co To jest naruszenie?

naruszenie przepisów HIPAA to nieprzestrzeganie jakiegokolwiek aspektu norm i przepisów reguły bezpieczeństwa HIPAA., Może to obejmować nieautoryzowane użycie i ujawnienie PHI danej osoby; brak wdrożenia administracyjnych, technicznych i fizycznych zabezpieczeń zapewniających poufność elektronicznych PHI; opóźnione powiadomienia o naruszeniach; oraz brak regularnej analizy ryzyka. Może to również obejmować brak zapewnienia osobom fizycznym dostępu do ich PHI lub zapewnienie zawierania umów zgodnych z HIPAA ze współpracownikami biznesowymi.,

naruszenia HIPAA są zwykle wykrywane na jeden z trzech sposobów:

• dochodzenia w sprawie naruszenia danych prowadzone przez Urząd Praw Obywatelskich (OCR) lub przez prokuratora generalnego.
• dochodzenia w sprawie skarg dotyczących podmiotów objętych ochroną i współpracowników biznesowych
• zewnętrzny audyt zgodności z przepisami HIPAA

ważne jest, aby podmioty objęte ochroną przeprowadzały regularny wewnętrzny audyt HIPAA w celu wykrycia i skorygowania ewentualnych naruszeń, zanim zostaną one zidentyfikowane przez organy regulacyjne i wydane kary. Im dłużej problem istnieje, tym wyższa kara.,

jakie są konsekwencje naruszenia?

przepisy HIPAA są egzekwowane przez Biuro Praw Obywatelskich (OCR) Departamentu Zdrowia i usług ludzkich (HHS). Wiele naruszeń jest wykrywanych przez objęte ochroną podmioty podczas rutynowych audytów wewnętrznych lub zgłaszanych wewnętrznie przez pracowników. Wszelkie zewnętrzne skargi zgłaszane przez pracowników służby zdrowia, pacjentów i członków planu zdrowotnego są badane przez OCR.,

zgodnie z prawem OCR może działać tylko wtedy, gdy:

• działanie miało miejsce po dacie uchwalenia ustawy HIPAA (14 kwietnia 2003)
• skarga została złożona przeciwko podmiotowi, który jest zobowiązany przez prawo do przestrzegania przepisów HIPAA (podmiot objęty)
• w szczególności narusza przepisy HIPAA
• skarga została złożona w ciągu 180 dni od wykrycia naruszenia

ul>

badania obejmują przeprowadzanie przeglądów zgodności i wykonywanie programów edukacyjnych i informacyjnych., W przypadku wykrycia niezgodności OCR podejmie próbę uzyskania dobrowolnej zgodności, działań naprawczych i / lub porozumienia w sprawie restrukturyzacji i uporządkowanej likwidacji. Naruszenie może również skutkować sankcjami cywilnymi i karnymi, jeśli skarga zostanie skierowana do Departamentu Sprawiedliwości.

kary za naruszenie przepisów

kary za naruszenie przepisów HIPAA są obsługiwane przez Departament Sprawiedliwości i podzielone na dwie kategorie: rozsądną przyczynę i umyślne zaniedbanie.

• kary za „uzasadnione przyczyny” naruszenia wahają się od $100 do $50,000.,
• kary za” umyślne zaniedbanie ” naruszenia mogą wynosić od $10,000 do $50,000 i mogą skutkować oskarżeniami karnymi.
• zarzuty za przestępstwa związane z oszustwem mogą skutkować grzywną w wysokości 100 000 USD, do 5 lat więzienia.
• przestępstwa, które obejmują zamiar sprzedaży, przekazania lub wykorzystania indywidualnie identyfikowalnych informacji zdrowotnych dla korzyści handlowych, osobistych korzyści lub szkodliwej szkody może skutkować grzywną w wysokości $250,000 i do 10 lat więzienia.
• maksymalna kara za umyślne naruszenie, które nie zostanie poprawione w wymaganym okresie czasu, wynosi 1,5 miliona USD rocznie.,



Jak złożyć skargę

W przypadku, gdy jesteś osobiście dotknięty lub jesteś świadkiem naruszenia HIPAA, należy zgłosić to do Urzędu Praw Obywatelskich. Skargi mogą być wnoszone przeciwko podmiotom objętym ochroną i ich współpracownikom biznesowym.

każdy może zgłosić naruszenie bezpieczeństwa informacji o zdrowiu za pomocą OCR. Reklamacje należy składać na piśmie pocztą, faksem, e-mailem lub za pośrednictwem portalu reklamacyjnego OCR w ciągu 180 dni od zaobserwowania naruszenia i muszą określać działanie niezgodne z prawem., W przypadku wykrycia naruszenia podczas dochodzenia, podmiot objęty ubezpieczeniem lub wspólnik biznesowy musi dobrowolnie przestrzegać zasad HIPAA, podjąć działania naprawcze i / lub zgodzić się na ugodę. Jeśli naruszenie nie zostanie rozwiązane, OCR może nałożyć grzywny i kary.

HIPAA Security: Best Practices

Jeśli jesteś podmiotem objętym ubezpieczeniem lub partnerem biznesowym podmiotu objętego ubezpieczeniem, musisz być świadomy i przestrzegać standardów HIPAA. Powinieneś również wprowadzić szereg najlepszych praktyk, aby zapewnić korporacyjną kulturę Prywatności i ochrony bezpieczeństwa w Twojej organizacji., Dobrym pomysłem jest włączenie listy kontrolnej zgodności HIPAA do swoich zasad i procedur.

Oto kilka przykładów typowych działań i zakazów:

• zapewniają pracownikom regularne szkolenia, aby byli świadomi przepisów dotyczących korzystania z PHI i ujawniania oraz ogólnych procedur zachowania poufności w miejscu pracy.
• Utwórz przejrzysty zestaw zasad i procedur HIPAA i upewnij się, że są one dostępne dla wszystkich pracowników
• Utwórz urzędnika ds. prywatności w swoim dziale zasobów ludzkich, aby przetwarzał skargi i udzielał informacji na temat procedur ochrony danych.,ent wykrywa potencjalne naruszenia
• przeprowadzaj regularne szkolenia, aby upewnić się, że pracownicy są świadomi zaktualizowanych zasad i wymagań HIPAA

Dont ' s

• ujawniaj hasła lub udostępniaj dane logowania
• pozostawiaj urządzenia przenośne lub dokumenty bez nadzoru
• dostęp do dokumentacji pacjenta z ciekawości
• dostęp do własnej dokumentacji medycznej
• usuwanie PHI w ogólnych odpadach poprzez rozdrabnianie lub sproszkowanie
• Udostępnij ephi w mediach społecznościowych

HIPAA: FAQ

aby zakończyć ten post, zebraliśmy kilka dodatkowych często zadawanych pytań., Jeśli masz inne pytania, których nie uwzględniliśmy, zostaw je w sekcji komentarzy poniżej, a my się z Tobą skontaktujemy.

jakie są typowe przykłady naruszeń HIPAA?,

przykłady częstych naruszeń przepisów HIPAA obejmują:

• brak analizy ryzyka
• brak niezwłocznego udostępnienia informacji pacjentom
• nieautoryzowany dostęp do dokumentacji medycznej (Insider snooping)
• brak podpisów pacjentów
• przekazanie informacji nieautoryzowanej stronie
• rozpowszechnianie nieautoryzowanych informacji zdrowotnych
• ujawnienie niewłaściwych informacji pacjentów

niezabezpieczone urządzenia do przechowywania prywatnych informacji zdrowotnych.,

słynne przypadki naruszeń, o których mogłeś słyszeć:

• system opieki zdrowotnej Uniwersytetu Kalifornijskiego w Los Angeles został ukarany grzywną w wysokości 865 000 USD, gdy OCR odkryło, że lekarz miał dostęp do dokumentacji medycznej celebrytów i innych pacjentów bez zezwolenia. Lekarz stał się pierwszym pracownikiem służby zdrowia, który został uwięziony za naruszenie HIPAA i został skazany na cztery miesiące więzienia federalnego.
• wiele zgłoszeń naruszenia zostały złożone przeciwko University of Rochester Medical Center po przenośnych urządzeń zawierających ePHI zostały potwierdzone jako utracone / skradzione., Sprawa została rozstrzygnięta na 3 miliony dolarów.
• OCR nałożyła karę w wysokości 1,6 miliona dolarów na Texas Health and Human Services Commission (TX HHSC) za wielokrotne naruszenia, w tym niepowodzenie analizy ryzyka, awarię kontroli dostępu, awarię monitorowania aktywności systemu informacyjnego i niedopuszczalne ujawnienie pacjenta ePHI.

czy można pozwać za naruszenie HIPAA?

w HIPAA nie ma prywatnej podstawy powództwa, więc nie można pozwać osoby na warunkach ustawy., Możesz jednak mieć prawo do pozwania na podstawie prawa stanowego, jeśli szkoda została wyrządzona w bezpośrednim wyniku zaniedbania lub naruszenia (chociaż może to być kosztowne i nie ma gwarancji sukcesu).

czy mówienie o pacjencie to naruszenie HIPAA?

świadczeniodawcy mogą rozmawiać o pacjentach z innymi członkami zespołu opieki zdrowotnej, ale rozmawianie o konkretnych pacjentach i ujawnianie ich informacji zdrowotnych rodzinie, przyjaciołom& koledzy zostaną sklasyfikowani jako naruszenie HIPAA., Dostawcy muszą również „rozsądnie chronić” PHI, aby ograniczyć ujawnianie informacji, na przykład nie omawiając sprawy pacjenta w miejscu publicznym.

Zarządzaj zwolnieniami chorobowymi pracownika & inne dokumenty bezpiecznie& bezpiecznie z czynnikiem.

napisany przez Cat Symonds