Cele Mai Frecvente Hipaa Încălcări în Muncă
în Afară de HIPAA confidențialitate regulă, entitățile în cauză sunt, de asemenea, guvernate de Regula De Confidențialitate, care stabilește standarde pentru protejarea PHI, și Regula de Securitate, care prevede măsuri de siguranță pentru protejarea confidențialității, integrității și disponibilității de Informații electronice de Sanatate Protejate (ePHI). Orice încălcare a datelor personale de sănătate trebuie notificată Departamentului de sănătate al SUA & Servicii Umane (HHS).
ce companii sunt excluse?,
majoritatea angajatorilor sunt considerați entități „neacoperite” și, prin urmare, nu sunt supuse regulilor și reglementărilor HIPAA. Chiar dacă un angajator oferă acoperire medicală personalului său, este responsabilitatea Companiei de asigurări să asigure securitatea datelor și conformitatea HIPAA.exemple de organizații care nu trebuie să respecte legea privind confidențialitatea HIPAA includ:
- asigurătorii de viață
- majoritatea angajatorilor, cu excepția celor care solicită acces la dosarele medicale pentru cererile de despăgubire ale lucrătorilor etc.,deși HIPAA nu se aplică entităților neacoperite, aceste companii au în continuare o obligație legală de a proteja confidențialitatea informațiilor privind sănătatea angajaților aflate în posesia lor în conformitate cu Legea privind confidențialitatea din SUA din 1974 și legea americană cu dizabilități (ADA), precum și reglementările la nivel de stat cu privire la protecția datelor cu caracter personal și la protecția datelor cu caracter personal pentru protecția datelor., Legea privind confidențialitatea consumatorilor din California, de exemplu, oferă persoanelor fizice dreptul de a vizualiza, accesa și renunța la prelucrarea datelor lor personale de către companii în orice moment. Și în Massachusetts, PATCH Act impune măsuri suplimentare pentru a proteja accesul la informații medicale confidențiale.
HIPAA pentru angajatori
HIPAA poate fi un regulament confuz pentru angajatori. Este important să stabiliți dacă compania dvs. este sau nu o entitate acoperită, astfel încât să puteți implementa măsurile necesare pentru a vă proteja datele., Majoritatea angajatorilor care oferă prestații de asigurări de sănătate pentru îngrijiri medicale și/sau stomatologice, de exemplu, se încadrează în categoria „planuri de sănătate”, deși cerințele depind de modul în care PHI este menținut, transmis și primit.deși schimbul de informații medicale ale angajaților cu o companie acoperită de HIPAA, cum ar fi un asigurător, nu înseamnă neapărat că regulamentul trebuie aplicat, legea se aplică oricărei companii care primește, procesează, gestionează sau stochează dosarele medicale ale angajaților în scopul cererilor de despăgubire a angajaților sau în legătură cu concediul medical sau asigurarea de sănătate., Acest lucru este relevant în special în timpul urgențelor de sănătate publică, cum ar fi actuala pandemie COVID-19.managerii de Resurse Umane trebuie, prin urmare, să fie familiarizați cu restricțiile și controalele implementate de HIPAA pentru a se asigura că politicile și procedurile necesare sunt puse în aplicare pentru a proteja datele angajaților.,
HIPAA nu:
- împiedică un angajator să solicite o notă de medic pentru o absență
- interzice unui angajator să solicite informații referitoare la programe de beneficii, compensații de invaliditate, programe de wellness sau acoperire medicală
- împiedică un angajator să mențină înregistrări de angajare, oferind furnizorilor de servicii medicale și asigurătorilor sunt conforme cu HIPAA.,deși este posibil ca HIPAA să nu se aplice companiei dvs., este totuși important să protejați înregistrările angajaților și să organizați sesiuni de instruire periodice pentru a crea o cultură a confidențialității și securității datelor în organizația dvs.
ce este o încălcare?
o încălcare HIPAA este o nerespectare a oricărui aspect al standardelor și prevederilor regulii de securitate HIPAA., Aceasta poate include utilizarea și divulgarea neautorizată a PHI-ului unei persoane; incapacitatea de a implementa garanții administrative, tehnice și fizice pentru a asigura confidențialitatea PHI-ului electronic; notificările întârziate de încălcare; și eșecul de a efectua analize periodice de risc. Aceasta poate include, de asemenea, un eșec de a oferi persoanelor cu acces la PHI lor sau pentru a se asigura că acordurile conforme HIPAA sunt făcute cu partenerii de afaceri.,încălcările HIPAA sunt de obicei descoperite într-unul din cele trei moduri:
- investigații privind o încălcare a datelor efectuată de Oficiul pentru Drepturi Civile (OCR) sau de procurorul general de stat.este important ca entitățile acoperite să efectueze un audit intern HIPAA regulat pentru a detecta și corecta eventualele încălcări înainte ca acestea să fie identificate de autoritățile de reglementare și să fie emise sancțiuni. Cu cât există o problemă mai lungă, cu atât este mai mare pedeapsa.,
care sunt consecințele unei încălcări?
reglementările HIPAA sunt puse în aplicare de Oficiul pentru Drepturi Civile (OCR) al Departamentului de sănătate și Servicii Umane al SUA (HHS). Multe încălcări sunt detectate de entitățile acoperite în timpul auditurilor interne de rutină sau raportate intern de către angajați. Orice reclamații externe raportate de lucrătorii din domeniul sănătății, de pacienți și de membrii planului de sănătate sunt investigate de OCR.,
Prin lege, OCR poate acționa doar dacă:
- acțiunea A avut loc după HIPAA data de act normativ (14 aprilie 2003)
- plângerea a fost depusă împotriva unei entități care este obligat prin lege să respecte reglementările HIPAA (a acoperit entitate)
- în mod specific încalcă reglementările HIPAA
- plângerea a fost depusă în termen de 180 de zile de încălcare a fi detectat
Investigații includ efectuarea de evaluări ale conformității și efectuarea de educație și programe de ajutorare., În cazul în care este detectată o neconformitate, OCR va încerca să obțină conformitatea voluntară, acțiuni corective și/sau un acord de rezoluție. Încălcările pot duce, de asemenea, la sancțiuni civile și penale dacă plângerea este înaintată Departamentului de Justiție.
amenzile de încălcare
amenzile de încălcare și taxele pentru încălcarea reglementărilor HIPAA sunt gestionate de Departamentul de Justiție și împărțite în două categorii: cauza rezonabilă și neglijarea intenționată.
- amenzi pentru încălcări „cauză rezonabilă” variază de la $100 la $50,000.,
- sancțiuni pentru încălcări „neglijare intenționată” poate varia de la 10.000 $la 50.000 $și poate duce la acuzații penale.
- taxele pentru infracțiuni care implică fraudă pot duce la o amendă de 100.000 USD, cu până la 5 ani de închisoare.
- infracțiunile care includ intenția de a vinde, transfera sau utiliza informații de sănătate identificabile individual pentru avantaj comercial, câștig personal sau vătămare rău intenționată pot duce la amenzi de 250.000 USD și până la 10 ani de închisoare.
- pedeapsa maximă pentru o încălcare intenționată care nu este corectată în perioada de timp necesară este stabilită la 1, 5 milioane USD pe an.,
cum să depuneți o plângere
În cazul în care sunteți personal afectat sau asistați la o încălcare a HIPAA, aceasta trebuie raportată Oficiului pentru Drepturi Civile. Plângerile pot fi depuse împotriva entităților acoperite și a asociaților lor de afaceri.oricine poate raporta o încălcare a securității informațiilor de sănătate cu OCR. Reclamațiile trebuie depuse în scris prin poștă, fax, e-mail sau prin portalul de reclamații OCR în termen de 180 de zile de la observarea încălcării și trebuie să precizeze acțiunea neconformă., Dacă o încălcare este detectată în timpul anchetei, entitatea acoperită sau asociatul de afaceri trebuie să respecte în mod voluntar Regulile HIPAA, să ia măsuri corective și/sau să fie de acord cu o soluționare. Dacă încălcarea nu este rezolvată, OCR poate impune amenzi și penalități.dacă sunteți o entitate acoperită sau un asociat de afaceri al unei entități acoperite, trebuie să fiți conștienți și să respectați standardele HIPAA. De asemenea, ar trebui să introduceți o serie de bune practici pentru a vă asigura că în organizația dvs. se creează o cultură corporativă a securității confidențialitatea și protecția., Este o idee bună să includeți o listă de verificare a conformității HIPAA în politicile și procedurile dvs.iată câteva exemple de do-uri și interdicții comune:
Do-urile
- oferă instruire regulată angajaților, astfel încât aceștia să fie conștienți de reglementările privind utilizarea și dezvăluirea PHI și procedurile generale de confidențialitate la locul de muncă.
- creați un set clar de politici și proceduri HIPAA și asigurați-vă că acestea sunt disponibile tuturor angajaților
- stabiliți un responsabil cu confidențialitatea în departamentul dvs. de resurse umane pentru a procesa reclamațiile și a furniza informații despre procedurile de Confidențialitate a datelor.,ent pentru a depista eventualele încălcări
- Desfășurarea periodică de sesiuni de instruire pentru a asigura angajații sunt conștienți de actualizat HIPAA politicile și cerințele
Nu este
- Dezvăluie parolele sau partaja datele de autentificare
- Lăsați dispozitive portabile sau documente nesupravegheat
- Acces la dosarele pacienților din curiozitate
- Acces la propriile fișe medicale
- Dispune de PHI în general a deșeurilor prin maruntirea sau pulverizarea
- Accesul ePHI pe social media
HIPAA: FAQ
Pentru a termina acest post, ne-am pus împreună câteva suplimentare Întrebări frecvente., Dacă aveți alte întrebări pe care nu le-am inclus, vă rugăm să nu ezitați să le lăsați în secțiunea de comentarii de mai jos și vă vom răspunde.
care sunt exemple comune de infracțiuni HIPAA?,
Exemple de comune HIPAA încălcări includ următoarele:
- Incapacitatea de a efectua o analiză de risc
- Insuficienta să elibereze imediat informații pentru pacienți
- accesul Neautorizat la dosarul medical (insider snooping)
- Lipsește pacientul de semnături
- Eliberarea de informații de la un undesignated petrecere
- Distribuirea neautorizată de informații de sănătate
- Eliberarea greșit pacientului informații
- Utilizarea negarantate dispozitive pentru stocarea de informații private de sănătate.,
Celebrul cazuri de încălcări care poate ai auzit de:
- Universitatea din California, Los Angeles, Sistemul de Sănătate a fost amendat de 865.000 când OCR descoperit că un medic a accesat dosarul medical de celebrități și alți pacienți fără autorizație. Medicul a devenit primul angajat al asistenței medicale care a fost închis pentru o încălcare a HIPAA și a fost condamnat la patru luni de închisoare federală.
- au fost depuse mai multe rapoarte de încălcare împotriva Centrului Medical al Universității din Rochester după ce dispozitivele portabile care conțin ePHI au fost confirmate ca fiind pierdute/furate., Cazul a fost soluționat pentru 3 milioane de dolari.
- OCR a impus o $1.6 milioane de pedeapsa pe Texas Sănătate și Servicii Umane a Comisiei (TX HHSC) pentru mai multe încălcări, inclusiv o analiză a riscurilor de eșec, un control al accesului eșec, un sistem informațional de monitorizare a activității eșec, și un permisă divulgarea de pacient ePHI.
puteți da în judecată pentru o încălcare a HIPAA?
nu există o cauză privată de acțiune în HIPAA, deci nu este posibil ca o persoană să dea în judecată în condițiile actului., Cu toate acestea, este posibil să aveți dreptul de a da în judecată în baza legii statului dacă prejudiciul a fost cauzat ca urmare directă a neglijenței sau a unei încălcări (deși acest lucru poate fi costisitor și nu există nicio garanție a succesului).
este vorba despre un pacient o încălcare HIPAA?
furnizorii de servicii medicale au voie să discute pacienții cu alți membri ai echipei de îngrijire, dar vorbind despre anumiți pacienți și dezvăluind informațiile lor de sănătate familiei, prietenilor& colegii ar fi clasificați ca o încălcare a HIPAA., Furnizorii trebuie, de asemenea, să” protejeze în mod rezonabil ” PHI pentru a limita dezvăluirea, cum ar fi să nu discute cazul unui pacient într-o zonă publică.
Gestiona angajat concedii medicale & alte documente în condiții de siguranță & siguranță cu Factorială.
scris de cat Symonds
- investigații privind o încălcare a datelor efectuată de Oficiul pentru Drepturi Civile (OCR) sau de procurorul general de stat.este important ca entitățile acoperite să efectueze un audit intern HIPAA regulat pentru a detecta și corecta eventualele încălcări înainte ca acestea să fie identificate de autoritățile de reglementare și să fie emise sancțiuni. Cu cât există o problemă mai lungă, cu atât este mai mare pedeapsa.,