Além da regra de privacidade HIPAA, as entidades abrangidas são também regidos pela Regra de Privacidade, a qual estabelece normas para a proteção de PHI, e A Regra de Segurança, que especifica as garantias para a protecção da confidencialidade, integridade e disponibilidade de eletrônica de Informações de Saúde Protegidas (efa). Qualquer violação de dados de saúde pessoal deve ser notificada ao Departamento de saúde dos EUA Serviços Humanos (HHS).que empresas estão excluídas?, a maioria dos empregadores são considerados entidades “não abrangidas”, pelo que não estão sujeitas às regras e regulamentos do HIPAA. Mesmo que um empregador forneça cobertura de cuidados de saúde ao seu pessoal, é da responsabilidade da companhia de seguros garantir a segurança dos dados e a conformidade HIPAA.exemplos de organizações que não têm de cumprir a lei de privacidade HIPAA incluem: seguradoras da vida real a maioria dos empregadores, excepto aqueles que solicitam acesso aos registos médicos para pedidos de indemnização dos trabalhadores, etc.,muitas agências estatais, como as agências de protecção à infância, a maioria das agências de aplicação da lei, muitos gabinetes municipais, embora o HIPAA não se aplique a entidades não abrangidas, estas empresas continuam a ter a obrigação legal de proteger a confidencialidade das informações de saúde dos empregados na sua posse, ao abrigo da Lei de privacidade dos EUA de 1974 e da lei americana para as deficiências (Ada), bem como regulamentos de nível estatal relativos a protecção de dados., O California Consumer Privacy Act, por exemplo, fornece aos indivíduos o direito de ver, acessar e optar por não processar seus dados pessoais por empresas a qualquer momento. E em Massachusetts, a lei PATCH impõe medidas adicionais para proteger o acesso a informações de cuidados de saúde confidenciais.a HIPAA pode ser um regulamento confuso para os empregadores. É importante estabelecer se sua empresa é ou não uma entidade coberta para que você possa implementar as medidas necessárias para proteger seus dados., A maioria dos empregadores que oferecem benefícios de seguro de saúde para cuidados médicos e/ou dentários, por exemplo, caem na categoria “planos de saúde”, embora os requisitos dependem de como PHI é mantido, transmitido e recebido.

Embora a troca de informações médicas de funcionários com uma empresa cobertos pela HIPAA, tal como uma seguradora, não significa necessariamente que o regulamento deve ser aplicada, a lei não se aplica a qualquer empresa que recebe, processa, processa, ou armazena os registros médicos dos funcionários para o efeito de remuneração de empregados ou reivindicações relativas à licença por doença ou seguro de saúde., Isto é especialmente relevante durante emergências de saúde pública, como a actual pandemia de COVID-19.os gestores de recursos humanos devem, portanto, estar familiarizados com as restrições e controlos implementados pelo HIPAA para garantir a implementação das políticas e procedimentos necessários para salvaguardar os dados dos empregados.,

HIPAA não:

• impedir um empregador de solicitar uma nota do médico para uma ausência
• proibir um empregador de Solicitar informações relacionadas com programas de benefícios, compensação de deficiência, programas de bem-estar ou cobertura de cuidados de saúde

impedir um empregador de manter registos de emprego, desde que os prestadores de serviços de saúde e seguradoras sejam conformes com a HIPAA.,apesar de a HIPAA não se aplicar à sua empresa, é importante salvaguardar os registos dos empregados e realizar sessões de formação periódica para criar uma cultura de Privacidade e segurança de dados na sua organização.

o que é uma violação? uma infração HIPAA é um incumprimento de qualquer aspecto das normas e disposições da regra de segurança HIPAA., Isto pode incluir o uso não autorizado e a divulgação do PHI de um indivíduo; falha na implementação de salvaguardas administrativas, técnicas e físicas para garantir a confidencialidade do PHI eletrônico; notificações de infração retardada; e falha na realização de análises de risco regulares. Ele também pode incluir uma falha em fornecer aos indivíduos o acesso ao seu PHI ou para garantir que acordos HIPAA-compliant são feitos com associados de negócios.,as infrações HIPAA são geralmente descobertas de uma de três maneiras: investigações sobre uma violação de dados conduzida pelo Office for Civil Rights (OCR) ou pelo procurador-geral do estado.é importante que as entidades Cobertas realizem uma auditoria interna regular à HIPAA para detectar e corrigir eventuais violações antes de serem identificadas pelos reguladores e de serem emitidas sanções. Quanto mais tempo existir uma questão, maior será a penalização.,quais são as consequências de uma violação? os regulamentos HIPAA são aplicados pelo Departamento de Saúde e Serviços Humanos dos Estados Unidos (HHS) Office for Civil Rights (OCR). Muitas violações são detectadas por entidades cobertas durante auditorias internas de rotina ou relatadas internamente pelos funcionários. Quaisquer queixas externas relatadas por profissionais de saúde, pacientes e membros do plano de saúde são investigadas pela OCR.,

Por lei, o OCR pode atuar somente se:

• A ação aconteceu após o HIPAA data de emenda (14 de abril de 2003)
• A queixa foi apresentada contra uma entidade que está obrigada por lei a cumprir com as normas da lei HIPAA (uma entidade coberta)
• viola especificamente HIPAA
• que A reclamação tenha sido apresentada no prazo de 180 dias da violação de ser detectado

as Investigações incluem a realização de revisões de conformidade e realizar a educação e programas de extensão., Caso seja detectado um incumprimento, o OCR tentará obter a conformidade voluntária, medidas corretivas e/ou um acordo de resolução. As violações podem também resultar em sanções civis e penais se a queixa for remetida para o Departamento de Justiça.as multas por violação das regras do HIPAA são tratadas pelo Departamento de Justiça e divididas em duas categorias: causa razoável e negligência intencional.as multas por” causa razoável ” variam entre 100 e 50 mil dólares.,as penalidades por “negligência voluntária” podem variar de 10 mil a 50 mil dólares e podem resultar em acusações criminais.as acusações por crimes envolvendo fraude podem resultar em uma multa de US $100.000, com até 5 anos de prisão.ofensas que incluem a intenção de vender, transferir ou usar informações de saúde individualmente identificáveis para vantagem comercial, ganho pessoal ou dano malicioso podem resultar em multas de US $250.000 e até 10 anos de prisão.

• a pena máxima para uma violação intencional que não é corrigida dentro do período de tempo necessário é fixado em US $1,5 milhões por ano.,

como apresentar uma queixa

No caso de ser pessoalmente afectado por ou testemunhar uma violação de HIPAA, deve ser comunicado ao Instituto dos Direitos Civis. As queixas podem ser apresentadas contra entidades cobertas e seus associados de negócios.qualquer pessoa pode comunicar uma violação da segurança da informação de saúde com a OCR. As reclamações devem ser apresentadas por escrito por correio, fax, e-mail, ou através do portal de reclamações OCR no prazo de 180 dias após a violação ser observada e devem especificar a ação não conforme., Se for detectada uma violação durante a investigação, a entidade ou associada comercial abrangida deve cumprir voluntariamente as regras do HIPAA, tomar medidas correctivas e/ou acordar numa liquidação. Se a violação não for resolvida, a OCR pode impor multas e sanções.segurança da HIPAA: melhores práticas se você é uma entidade coberta ou a associada comercial de uma entidade coberta você deve estar ciente e cumprir com as normas da HIPAA. Você também deve introduzir uma série de melhores práticas para garantir uma cultura corporativa de Privacidade e proteção de segurança é criado em sua organização., É uma boa idéia incluir uma lista de verificação de conformidade HIPAA em suas políticas e procedimentos.Aqui estão alguns exemplos de do’s e don’TS comuns:

Do’S

• proporciona formação regular aos trabalhadores de modo a que estes estejam cientes dos regulamentos sobre a utilização e divulgação de PHI e dos procedimentos gerais de confidencialidade no local de trabalho.crie um conjunto claro de políticas e procedimentos da HIPAA e assegure-se de que estão disponíveis para todos os funcionários.estabeleça um oficial de Privacidade no seu departamento de Recursos Humanos para processar queixas e fornecer informações sobre procedimentos de privacidade de dados.,ent ao detectar possíveis violações
• Realizar sessões de formação regulares para garantir que todos os funcionários estão cientes atualizado HIPAA políticas e requisitos

Não é

• Divulgar senhas ou compartilhar credenciais de login
• Deixar de dispositivos portáteis ou documentos autônoma
• Acesso registros de pacientes por curiosidade
• para Acessar seus próprios registros médicos
• Dispor de PHI, em geral, resíduos, por trituração, pulverização
• Partilhar efa em mídias sociais

HIPAA: FAQ

Para terminar este post, reunimos algumas Perguntas Frequentes., Se você tiver outras perguntas que não incluímos, por favor, fique à vontade para deixá-las na seção de comentários abaixo e nós entraremos em contato com você.

quais são exemplos comuns de infrações HIPAA?,

Exemplos de comum HIPAA violações incluem o seguinte:

• Falha ao executar uma análise de risco
• Falha imediatamente a liberação de informações para pacientes
• acesso não autorizado aos registos médicos (insider snooping)
• paciente Faltando assinaturas
• Liberação de informações para um undesignated festa
• Distribuição não autorizada de informações de saúde
• Liberar o errado informações do paciente
• o Uso de dispositivos não protegidos para o armazenamento de dados de saúde privados.,

casos famosos de violações que você pode ter ouvido falar:

• O sistema de Saúde da Universidade da Califórnia em Los Angeles foi multado $ 865.000 quando o OCR descobriu que um médico tinha acessado os registros médicos de celebridades e outros pacientes sem autorização. O médico tornou-se o primeiro funcionário de saúde a ser preso por uma violação HIPAA e ele foi condenado a quatro meses de prisão federal.vários relatórios de violação foram apresentados contra o Centro Médico da Universidade de Rochester depois de dispositivos portáteis contendo ePHI serem confirmados como perdidos/roubados., O caso foi resolvido por 3 milhões de dólares.a OCR impôs uma pena de US $ 1,6 milhões à Comissão de Serviços de Saúde e Humanos do Texas (TX HHSC) por várias violações, incluindo uma falha na análise de risco, uma falha no controle de acesso, uma falha no monitoramento de atividades do sistema de informação e uma divulgação inadmissível de ePHI do paciente.

você pode processar por uma violação de HIPAA?

não existe uma causa privada de ação no HIPAA, por isso não é possível para um indivíduo processar nos termos da lei., No entanto, você pode ter o direito de processar com base na lei do estado se o dano foi causado como resultado direto de negligência ou uma violação (embora isso pode ser caro e não há garantia de sucesso).está a falar de um paciente uma violação HIPAA?

prestadores de cuidados de saúde são autorizados a discutir pacientes com outros membros da equipe de cuidados, mas falando sobre pacientes específicos e divulgando suas informações de saúde para a família, amigos colegas seriam classificados como uma violação HIPAA., Os provedores também devem “razoavelmente proteger” PHI para limitar a divulgação, tais como não discutir o caso de um paciente em uma área pública.

gerencia as folhas por doença do seu empregado outros documentos com segurança segurança com Factorial.

escrito por Cat Symonds