bortsett från HIPAA-integritetsregeln styrs täckta enheter också av Integritetsregeln, som fastställer standarder för att skydda PHI, och säkerhetsregeln, som anger skyddsåtgärder för att skydda konfidentialitet, integritet och tillgänglighet av elektronisk skyddad hälsoinformation (ePHI). Varje överträdelse av personuppgifter måste meddelas till US Department of Health & Human Services (HHS).

vilka företag är undantagna?,

de flesta arbetsgivare betraktas som ”icke-täckta” enheter och de omfattas därför inte av HIPAA: s regler och föreskrifter. Även om en arbetsgivare tillhandahåller hälso-och sjukvård till sin personal är det försäkringsbolagets ansvar att säkerställa datasäkerhet och HIPAA-överensstämmelse.

exempel på organisationer som inte behöver följa HIPAA privacy act inkluderar:

• livförsäkringsgivare
• de flesta arbetsgivare, förutom de som begär tillgång till journaler för arbetstagares ersättningskrav etc.,
• arbetstagare ersättning bärare
• de flesta skolor och skoldistrikt
• många statliga organ som child protective service agencies
• de flesta brottsbekämpande organ
• många kommunala kontor

även om HIPAA inte gäller för icke-täckta enheter, dessa företag har fortfarande en rättslig skyldighet att skydda sekretessen för anställdas hälsoinformation i sin ägo enligt US Privacy Act från 1974 och amerikanerna med funktionshinder Act (ada) samt statliga bestämmelser om dataskydd. – herr talman!, California Consumer Privacy Act, till exempel, ger individer rätt att visa, tillgång och välja bort behandlingen av sina personuppgifter av företag när som helst. Och i Massachusetts, PATCH Act verkställer ytterligare åtgärder för att skydda tillgången till konfidentiell hälso-och sjukvårdsinformation.

HIPAA för arbetsgivare

HIPAA kan vara en förvirrande förordning för arbetsgivare. Det är viktigt att fastställa om ditt företag är en täckt enhet så att du kan genomföra nödvändiga åtgärder för att skydda dina data., De flesta arbetsgivare som erbjuder sjukförsäkringsförmåner för medicinsk och / eller tandvård faller till exempel i kategorin ”hälsoplaner”, även om kraven beror på hur PHI upprätthålls, överförs och tas emot.

även om utbytet av medicinsk information om anställda med ett företag som omfattas av HIPAA, såsom en försäkringsgivare, inte nödvändigtvis innebär att förordningen måste verkställas, lagen gäller för alla företag som tar emot, processer, handtag, eller lagrar anställdas medicinska journaler i syfte att anställdas ersättningskrav eller relaterade till sjukskrivning eller sjukförsäkring., Detta är särskilt relevant vid folkhälsosituationer som den nuvarande covid-19-pandemin.

personalförvaltare måste därför känna till de begränsningar och kontroller som HIPAA genomför för att säkerställa att nödvändiga riktlinjer och förfaranden införs för att skydda arbetstagardata.,

HIPAA gör inte:

• stoppa en arbetsgivare från att begära en läkares anteckning för en frånvaro
• förbjuda en arbetsgivare från att begära information om förmånsprogram, funktionshinder ersättning, wellness program eller hälso-och sjukvård täckning
• förhindra en arbetsgivare från att upprätthålla sysselsättning poster, tillhandahålla vårdleverantörer och försäkringsgivare är HIPAA kompatibel.,

även om HIPAA kanske inte gäller för ditt företag, är det fortfarande viktigt att skydda anställdas register och hålla regelbundna utbildningar för att skapa en kultur av integritet och datasäkerhet i din organisation.

Vad är ett brott?

en HIPAA-överträdelse är en underlåtenhet att följa någon aspekt av HIPAA: s säkerhetsregel., Detta kan inbegripa obehörig användning och utlämnande av en persons PHI; underlåtenhet att genomföra administrativa, tekniska och fysiska skyddsåtgärder för att säkerställa konfidentialiteten hos elektronisk PHI; försenade anmälningar om överträdelser och underlåtenhet att genomföra regelbundna riskanalyser. Det kan också inkludera ett misslyckande att ge individer tillgång till deras PHI eller för att säkerställa att HIPAA-kompatibla avtal görs med affärsbekanta.,

HIPAA-överträdelser upptäcks vanligtvis på ett av tre sätt:

• undersökningar av ett databrott som utförs av Byrån för medborgerliga rättigheter (OCR) eller av statsåklagaren.
• undersökningar av klagomål om täckta enheter och affärspartners
• en extern HIPAA-efterlevnadsrevision

det är viktigt för täckta enheter att genomföra en regelbunden intern HIPAA-revision för att upptäcka och korrigera eventuella överträdelser innan de identifieras av tillsynsmyndigheter och påföljder utfärdas. Ju längre en fråga finns, desto högre straff.,

vilka är konsekvenserna av en överträdelse?

HIPAA förordningar efterlevs av det AMERIKANSKA Department of Health och Human Services (HHS) Office för Medborgerliga Rättigheter (OCR). Många överträdelser upptäcks av täckta enheter under rutinmässiga interna revisioner eller rapporteras internt av anställda. Eventuella externa klagomål som rapporteras av vårdpersonal, patienter och vårdplansmedlemmar undersöks av OCR.,

enligt lag kan OCR endast agera om:

• åtgärden ägde rum efter HIPAA-datumet för antagandet (April 14, 2003)
• klagomålet har lämnats in mot en enhet som enligt lag krävs för att följa HIPAA-reglerna (en täckt enhet)
• det bryter specifikt mot HIPAA-reglerna
• klagomålet har lämnats in inom 180 dagar efter det att överträdelsen upptäckts

undersökningar inkluderar compliance recensioner och utföra utbildning och uppsökande program., Om en bristande efterlevnad upptäcks kommer OCR att försöka uppnå frivillig efterlevnad, korrigerande åtgärder och/eller ett resolutionsavtal. Överträdelser kan också leda till civilrättsliga och straffrättsliga påföljder om klagomålet hänvisas till Justitiedepartementet.

brott mot böter

brott mot böter och avgifter för brott mot HIPAA-reglerna hanteras av justitiedepartementet och delas upp i två kategorier: rimlig orsak och avsiktlig försummelse.

• böter för ”rimlig orsak” överträdelser varierar från $100 till $50,000.,
• straff för ”avsiktlig försummelse” överträdelser kan variera från $10,000 till $50,000 och kan resultera i åtal.
• avgifter för brott som involverar bedrägeri kan resultera i en $100,000 böter, med upp till 5 års fängelse.
• brott som inkluderar avsikt att sälja, överföra eller använda individuellt identifierbar hälsoinformation för kommersiell fördel, personlig vinning eller skadlig skada kan leda till böter på $250.000 och upp till 10 års fängelse.
• Det maximala straffet för en avsiktlig överträdelse som inte korrigeras inom den önskade tidsperioden är satt till $1,5 miljoner per år.,

så här lämnar du in ett klagomål

om du personligen påverkas av eller bevittnar ett HIPAA-brott, måste det rapporteras till byrån för medborgerliga rättigheter. Klagomål kan lämnas in mot täckta enheter och deras affärsbekanta.

vem som helst kan rapportera ett hälsoinformationssäkerhetsbrott med OCR. Klagomål måste lämnas in skriftligen via post, fax, e-post eller via OCR-Klagomålsportalen inom 180 dagar efter att en överträdelse har observerats och måste ange den icke-kompatibla åtgärden., Om ett brott upptäcks under undersökningen måste den berörda enheten eller affärspartnern frivilligt följa HIPAA: s regler, vidta korrigerande åtgärder och/eller komma överens om en uppgörelse. Om överträdelsen inte är löst kan OCR ålägga böter och påföljder.

HIPAA Security: Best Practices

om du är en täckt enhet eller affärspartner till en täckt enhet måste du vara medveten om och följa HIPAA-standarder. Du bör också införa en rad bästa praxis för att säkerställa en företagskultur av säkerhet integritet och skydd skapas i din organisation., Det är en bra idé att inkludera en HIPAA compliance checklista i dina policyer och förfaranden.

Här är några exempel på vanliga do ’s och don’ ts:

Do ’ s

• ge regelbunden utbildning till anställda så att de är medvetna om regler om PHI användning och avslöjande och allmänna förfaranden arbetsplatssekretess.
• skapa en tydlig uppsättning HIPAA-policyer och-förfaranden och se till att de är tillgängliga för alla anställda
• upprätta en Integritetsansvarig i din personalavdelning för att behandla klagomål och tillhandahålla information om datasekretessförfaranden.,ent för att upptäcka potentiella överträdelser
• genomföra regelbundna träningspass för att säkerställa att anställda är medvetna om uppdaterade HIPAA-policyer och krav

Dont ’ s

• Avslöja lösenord eller dela inloggningsuppgifter
• lämna bärbara enheter eller dokument obevakade
• få tillgång till patientposter av nyfikenhet
• få tillgång till dina egna medicinska journaler
• kassera PHI i allmänt avfall genom att strimla eller pulverisera
• dela ephi på sociala medier

HIPAA: FAQ

för att avsluta det här inlägget har vi sammanställt några ytterligare vanliga frågor., Om du har några andra frågor som vi inte har inkluderat, är du välkommen att lämna dem i kommentarfältet nedan och vi kommer tillbaka till dig.

Vad är vanliga exempel på HIPAA-överträdelser?,

exempel på vanliga HIPAA-överträdelser inkluderar följande:

• underlåtenhet att utföra en riskanalys
• underlåtenhet att omedelbart släppa information till patienter
• obehörig åtkomst till journaler (insider snooping)
• saknade patientsignaturer
• släppa information till en oönskad part
• distribuera obehörig hälsoinformation
• släppa fel patientens information
• användning av oprioriterade enheter för lagring av privat hälsoinformation.,

kända fall av överträdelser som du kanske har hört talas om:

• University of California Los Angeles Health System bötfälldes $865,000 när OCR upptäckte att en läkare hade tillgång till medicinska journaler av kändisar och andra patienter utan tillstånd. Läkaren blev den första sjukvårdspersonalen som fängslades för en HIPAA-överträdelse och han dömdes till fyra månader i federalt fängelse.
• flera brott rapporter lämnades in mot University of Rochester Medical Center efter bärbara enheter som innehåller ePHI bekräftades som förlorade / stulna., Fallet löstes för $ 3 miljoner.
• OCR införde en $ 1.6 miljoner straff på Texas Health and Human Services Commission (TX HHSC) för flera överträdelser, inklusive ett riskanalysfel, ett åtkomstkontrollfel, ett informationssystem aktivitetsövervakningsfel och ett otillåtet utlämnande av patient ePHI.

kan du stämma för en HIPAA-överträdelse?

det finns ingen privat orsak till handling i HIPAA, så det är inte möjligt för en individ att stämma enligt lagen., Du kan dock ha rätt att stämma baserat på statlig lag om skada har orsakats som ett direkt resultat av försumlighet eller överträdelse (även om det kan vara dyrt och det finns ingen garanti för framgång).

talar om en Patient en HIPAA-överträdelse?

vårdgivare får diskutera patienter med andra medlemmar i vårdteamet men talar om specifika patienter och avslöjar deras hälsoinformation till familj, vänner& kollegor skulle klassificeras som en HIPAA-överträdelse., Leverantörer måste också ”rimligen skydda” PHI för att begränsa utlämnandet, till exempel att inte diskutera en patients fall i ett offentligt område.

hantera dina anställda sjuka blad &andra dokument säkert& säkert med Factorial.

skriven av Cat Symonds