Nejčastější porušení zákona HIPAA, kterého byste si měli být vědomi
Mezi nejčastější porušení zákona HIPAA, která vedla k finančním pokutám, patří neprovedení celoevropské analýzy rizik za účelem identifikace rizik důvěrnosti, integrity a dostupnost chráněných zdravotních informací (PHI); neuzavření dohody o přidružení podniků v souladu s HIPAA; nepřípustná zveřejnění údajů PHI; oznámení o opožděném porušení; a neschopnost zabezpečit PHI.
Urovnání, která sleduje Úřad pro občanská práva Ministerstva zdravotnictví a sociálních služeb (OCR), vedou k závažnému porušení pravidel HIPAA. Usilujeme také o vypořádání, abychom upozornili na běžná porušení pravidel HIPAA, abychom zvýšili povědomí o potřebě dodržovat konkrétní aspekty pravidel HIPAA.
Tento článek pojednává o pěti nejčastějších porušováních zákona HIPAA, která vedla k urovnání sporů se subjekty jejich obchodní partneři za posledních několik let.
Jsou porušování údajů porušením HIPAA?
Narušení údajů je nyní skutečností. I s vícevrstvými obrannými prostředky v oblasti kybernetické bezpečnosti je pravděpodobné, že k narušení dat občas dojde. OCR chápe, že kyberzločinci jsou terčem zdravotnických organizací a že není možné implementovat nedobytnou ochranu zabezpečení.
Být v souladu s HIPAA neznamená zajistit, aby k narušení dat nikdy nedošlo. Soulad s HIPAA je o snížení rizika na vhodnou a přijatelnou úroveň. Jen proto, že organizace naruší narušení dat, neznamená to, že narušení bylo výsledkem narušení HIPAA.
Portál narušení OCR to nyní jasněji odráží. Mnoho narušení dat vyšetřuje OCR a bylo zjištěno, že nezahrnují žádné porušení pravidel HIPAA. V důsledku toho jsou vyšetřování uzavřena, aniž by byla podniknuta jakákoli opatření.
Jak jsou zjištěna porušení HIPAA?
Porušování HIPAA může trvat mnoho měsíců nebo dokonce let, než jsou odhalena. Čím déle budou moci přetrvávat, tím větší bude trest, když budou nakonec objeveni. Je proto důležité, aby subjekty pokryté HIPAA prováděly pravidelné kontroly dodržování předpisů HIPAA, aby se ujistily, že porušení HIPAA jsou odhalena a napravena dříve, než je identifikují regulační orgány.
Existují tři hlavní způsoby, jak jsou porušení HIPAA odhalena:
- Vyšetřování porušení zabezpečení údajů ze strany OCR (nebo státních zástupců)
- Vyšetřování stížností na kryté subjekty a obchodní partnery
- Audity souladu s HIPAA
I když porušení údajů nezahrnuje porušení HIPAA nebo se stížnost ukáže jako neopodstatněná, OCR může odhalit nesouvisející porušení HIPAA, které by mohlo vyžadovat finanční pokutu.
Co je 10 nejčastějších porušení HIPAA?
Níže je uvedeno 10 nejčastějších porušení HIPAA spolu s příklady subjektů a obchodních partnerů, na které se vztahuje HIPAA, u nichž bylo zjištěno, že porušují pravidla HIPAA a musel vyřešit tato porušení s OCR a státními zástupci. V mnoha případech vyšetřování odhalilo několik porušení HIPAA. Částky vypořádání odrážejí závažnost porušení, dobu trvání porušení, počet zjištěných porušení a finanční situaci pojištěného subjektu / obchodního partnera.
Snooping on Healthcare Záznamy
Přístup ke zdravotním záznamům pacientů z jiných důvodů, než které povoluje pravidlo ochrany osobních údajů – ošetření, platby a operace zdravotní péče – je porušením soukromí pacientů. Snooping do zdravotnických záznamů o rodinách, přátelích, sousedech, spolupracovnících a celebritách je jedním z nejčastějších porušení zákona HIPAA, kterého se zaměstnanci dopouštějí. Pokud jsou tato porušení zjištěna, obvykle vedou k ukončení pracovního poměru, ale mohou také vést k trestnímu stíhání dotyčného zaměstnance. Finanční pokuty pro zdravotnické organizace, které nezabránily snoopingu, jsou relativně neobvyklé, ale jsou možné, jak zjistil zdravotní systém Kalifornské univerzity v Los Angeles.
Kalifornský zdravotní systém v Los Angeles dostal pokutu 865 000 dolarů za to, že neomezila přístup k lékařským záznamům. Poskytovatel zdravotní péče byl vyšetřován po zjištění, že lékař bez povolení přistupoval k lékařským záznamům celebrit a dalších pacientů. Dr. Huping Zhou přistupoval k záznamům pacientů bez povolení 323krát poté, co se dozvěděl, že bude brzy propuštěn. Dr. Zhou se stal prvním zaměstnancem ve zdravotnictví, který byl uvězněn za porušení zákona HIPAA, a byl odsouzen ke čtyřem měsícům ve federálním vězení.
Neprovedení analýzy rizik pro celou organizaci
Selhání provedení analýzy rizik v rámci celé organizace je jedním z nejčastějších porušení zákona HIPAA, které má za následek finanční pokutu.Pokud nebude analýza rizik prováděna pravidelně, nebudou organizace schopny určit, zda existují nějaké chyby zabezpečení týkající se důvěrnosti, integrity a dostupnosti PHI. Rizika proto pravděpodobně zůstanou neadresná, což hackerům ponechá dokořán otevřené dveře.
Dohody HIPAA s krytými subjekty za neprovedení posouzení rizik v rámci celé organizace zahrnují:
- Premera Blue Cross – vypořádání 6 850 000 $ za analýzu rizik a selhání řízení rizik a další potenciální porušení HIPAA
- Plán zdraví Excellus – 5 100 000 $ vypořádání za analýzu rizik a selhání řízení rizik a další potenciální porušení HIPAA
- Oregon Health & Vědecká univerzita – vypořádání ve výši 2,7 milionu USD pro nedostatek celopodnikové analýzy rizik.
- Cardionet – vypořádání ve výši 2,5 milionu USD pro neúplné riziko analýza a nedostatek procesů řízení rizik.
- Cancer Care Group – 750 000 USD vypořádání za neprovedení celopodnikové analýzy rizik.
- Lahey Hospital and Medical Center – 850 000 USD vypořádání neprovedení posouzení rizik v rámci celé organizace a ot její porušení HIPAA.
- MUDr. Steven A. Porter – pokuta 100 000 $ za analýzu rizik a selhání řízení rizik.
Neschopnost řídit bezpečnostní rizika / nedostatek řízení rizik Proces
Provedení analýzy rizik je zásadní, ale nejedná se pouze o položku zaškrtávacího políčka pro zajištění souladu. Zjištěná rizika musí být poté podrobena procesu řízení rizik. Měly by být upřednostňovány a řešeny v přiměřeném časovém rámci. Vědět o rizicích pro PHI a neřešit je jedním z nejčastějších porušení HIPAA penalizovaných Úřadem pro občanská práva.
Dohody HIPAA s krytými subjekty za neschopnost řídit identifikovaná rizika zahrnují:
- Aljašské ministerstvo zdravotnictví a sociálních služeb – pokuta 1,7 milionu USD za neprovedení analýzy rizik a selhání řízení rizik.
- University of Massachusetts Amherst (UMass) – pokuta 650 000 USD za selhání řízení rizik .
- Metro Community Provider Network – pokuta 400 000 USD za selhání řízení rizik.
- Anchorage Community Mental Health Services – pokuta 150 000 USD za selhání řízení rizika pro ePHI.
Odepření přístupu pacientů ke zdravotním záznamům / překročení časového rámce pro poskytnutí přístupu
Pravidlo ochrany osobních údajů HIPAA dává pacientům právo na přístup k jejich lékařským záznamům a na vyžádání získat kopie. To umožňuje pacientům kontrolovat jejich záznamy, zda neobsahují chyby, a sdílet je s jinými subjekty a jednotlivci. Odmítnutí pacientů kopií jejich zdravotních záznamů, přeplnění kopií nebo neposkytnutí těchto záznamů do 30 dnů je porušením HIPAA. OCR učinila porušení práva HIPAA porušením práva na přístup ke konci roku 2019 jedním ze svých klíčových cílů vymáhání.
Vypořádání HIPAA s krytými subjekty za účelem odepření přístupu pacientů k jejich záznamům nebo zbytečných zpoždění při poskytování přístupu zahrnují:
- Cignet Health of Prince Georges County – 4 300 000 $ pokuta za odepření přístupu pacientů k jejich lékařským záznamům.
- Banner Health – 200 000 $ pokuta za opožděnou reakci na žádost pacienta o kopii jejich lékařských záznamů.
- Dignity Health, dba St. Josephs Hospital and Medical Center – pokuta 160 000 $ za zpožděnou reakci na žádost pacienta o kopii jeho lékařských záznamů.
- NY Spine – pokuta 100 000 $ za zpožděnou reakci na pacienta žádost o kopii jejich lékařských záznamů.
- Beth Israel Lahey Health Behavioral Services – pokuta 70 000 $ za opožděnou reakci na žádost pacienta o kopii jejich lékařských záznamů.
- University of Cincinnati Medical Střed – pokuta 65 000 $ za de položili odpověď na žádost pacienta o kopii jeho lékařských záznamů.
- Housing Works Inc – pokuta 38 000 $ za opožděnou reakci na žádost pacienta o kopii jeho lékařských záznamů.
- Peter Wrobel, MD, PC, dba Elite Primary Care – pokuta 36 000 $ za zpožděnou reakci na žádost pacienta o kopii jeho lékařských záznamů.
- Riverside Psychiatric Medical Group – pokuta 25 000 $ za zpožděnou reakci na žádost pacienta o kopii jejich lékařské dokumentace lékařské záznamy.
- Dr. Rajendra Bhayani – pokuta 15 000 USD za zpožděnou reakci na žádost pacienta o kopii jejich lékařských záznamů.
- All Inclusive Medical Services Inc – pokuta 15 000 USD za zpožděnou reakci na žádost pacienta o kopii jeho lékařských záznamů.
- Wise Psychiatry, PC – pokuta 10 000 $ za opožděnou odpověď na žádost pacienta o kopii jeho lékařské dokumentace.
- King MD – pokuta 3 500 $ za opožděnou odpověď na žádost pacienta o kopii jejich lékařské r ecords.
Neschopnost uzavřít dohodu o přidružení obchodních partnerů v souladu s HIPAA
Neschopnost uzavřít dohodu o přidružení obchodních partnerů v souladu s HIPAA se všemi dodavateli, kterým jsou poskytovány nebo poskytovány přístup k PHI je další z nejčastějších porušení HIPAA. I když jsou dohody o přidružení k podnikání uzavřeny pro všechny dodavatele, nemusí být v souladu s HIPAA, zejména pokud nebyly revidovány po konečném souhrnném pravidle.
Pozoruhodná řešení těchto běžných porušení HIPAA zahrnují:
- Raleigh Orthopedic Clinic, PA Severní Karolína – vypořádání ve výši 750 000 USD za neplnění dohody o přidružení k podnikání v souladu s HIPAA.
- North Memorial Health Care v Minnesotě – vypořádání ve výši 1,55 milionu USD za neuzavření BAA u významného dodavatele a dalších HIPAA porušení.
- Péče o nový anglický zdravotnický systém – vyrovnání 400 000 USD za to, že nebyly aktualizovány dohody o přidružení k podnikání
Nedostatečné kontroly přístupu ePHI
Zabezpečení HIPAA Pravidlo vyžaduje, aby kryté subjekty a jejich obchodní partneři omezili přístup k ePHI na oprávněné osoby. Neschopnost implementovat vhodnou kontrolu přístupu ePHI je také jedním z nejčastějších porušení HIPAA a jednou, která přinesla několik finančních pokut.
Finanční pokuty udělené krytým subjektům za selhání kontroly přístupu ePHI zahrnují:
- Anthem Inc. – pokuta 16 000 000 $ za selhání kontroly přístupu a další závažná porušení HIPAA.
- Systém Memorial Healthcare – pokuta 5 500 000 $ za nedostatečnou kontrolu přístupu ePHI.
- Texaské ministerstvo služeb stárnutí a postižení – pokuta 1 600 000 USD za selhání analýzy rizik, selhání kontroly přístupu a selhání monitorování informačního systému.
- Kalifornský zdravotnický systém v Los Angeles – pokuta 865 500 USD za neomezený přístup k lékařským záznamům.
- Pagosa Springs Medical Center – pokuta ve výši 111 400 USD za to, že nebyl ukončen přístup k ePHI po ukončení zaměstnance a že neexistuje dohoda o přidružení k podnikání.
Selhání v používání šifrovánínebo ekvivalentní opatření k ochraně ePHI na přenosných zařízeních
Jednou z nejúčinnějších metod prevence narušení dat je šifrování PHI. Porušení šifrovaných PHI nejsou ohlašovatelnými bezpečnostními incidenty, pokud není také odcizen klíč k dešifrování dat. Šifrování není podle pravidel HIPAA povinné, ale nelze jej ignorovat. Pokud je rozhodnuto nepoužívat šifrování, musí se místo něj použít alternativní, ekvivalentní bezpečnostní opatření.
Nedávná řešení selhání zabezpečení PHI zahrnují:
- Dětské lékařské centrum v Dallasu – civilní peněžní pokuta ve výši 3,2 milionu USD za to, že nepřijaly opatření k řešení známých rizik, včetně nepoužití šifrování na přenosných zařízeních.
- Katolické zdravotnické služby ve Filadelfské arcidiecéze – vypořádání ve výši 650 000 USD za selhání při používání šifrování, za neprovedení analýzy rizik v celém podniku a za správu rizik.
- krytý subjekt přidružený k systému Lifespan Health System – pokuta 1 040 000 $ za selhání šifrování dat a zařízení a médií kontroly, což má za následek nepřípustné zveřejnění ePHI 20 431 pacientů
Překročení 60denní lhůty pro vydání oznámení o porušení
Pravidlo pro oznámení porušení HIPAA vyžaduje, aby vydávané subjekty oznámení o porušení bez zbytečné zpoždění a rozhodně nejpozději do 60 dnů po zjištění porušení ochrany údajů. Překročení tohoto časového rámce je jedním z nejčastějších porušení HIPAA, u kterého byly letos uděleny dva pokuty:
- Presence Health – vypořádání 475 000 $ za zpoždění vydávání oznámení o porušení o měsíc.
- CoPilot Provider Support Services Inc. – 130 000 $ vypořádání s NY Attorney General za zpožděná oznámení o porušení.
Nepovolené zveřejnění chráněných zdravotních informací
Jakékoli zveřejnění Chráněné informace o zdraví, které nejsou povoleny podle pravidla ochrany soukromí HIPAA, mohou být finančně pokutovány. Tato kategorie porušení zahrnuje zveřejnění PHI zaměstnavateli pacienta, potenciální zveřejnění po krádeži nebo ztrátě nezašifrovaných přenosných počítačů, neopatrné zacházení s PHI, zbytečné zveřejnění PHI, nedodržování „minimálního nezbytného“ standardu a zveřejnění PHI po schválení pacienta vypršela platnost.
Vypořádání za nepřípustná zveřejnění údajů o PHI zahrnují:
- Memorial Hermann Health System – vypořádání za zveřejnění PHI pacienta v tiskové zprávě za 2,4 milionu dolarů.
- Newyorská presbyteriánská nemocnice – pokuta 2 200 000 $ za filmování pacientů bez souhlasu.
- Massachusetts General Hospital – pokuta 515 000 $ za filmování pacientů bez souhlasu.
- Lukes-Roosevelt Hospital Center – vypořádání ve výši 387 000 $ za neopatrné zacházení s PHI / zveřejnění stavu HIV pacienta u zaměstnavatele.
- Brigham and Womens Hospital – pokuta 384 000 $ za filmování pacientů bez souhlasu .
- Bostonské lékařské centrum – pokuta 100 000 $ za filmování pacientů bez souhlasu.
Nesprávná likvidace PHI
Když již fyzický PHI a ePHI nejsou a vypršela doba uchovávání, pravidla HIPAA vyžadují, aby byly informace bezpečně a trvale zničeny. U papírových záznamů by to mohlo zahrnovat skartaci nebo rozvláknění a pro ePHI demagnetizaci, bezpečné utírání nebo zničení elektronických zařízení, na nichž je ePHI uložen, aby se zabránilo nepřípustnému zveřejnění.
Finanční pokuty udělené krytým subjektům za nesprávnou likvidaci z PHI / ePHI zahrnují:
- Parkview Health – pokuta 800 000 USD za nedodržení bezpečné likvidace papírových záznamů obsahujících PHI.
- Cornell Prescription Pharmacy – pokuta 125 000 USD za nesprávnou likvidaci společnosti PHI.
- FileFax Inc. – pokuta ve výši 100 000 USD za zaniklé podnikání v důsledku nesprávné likvidace lékařských záznamů.
Časté porušování předpisů HIPAA ze strany zaměstnanců zdravotní péče
Snooping na záznamy o zdravotní péči je docela zřejmým porušením HIPAA a to, o kterém by všichni zaměstnanci ve zdravotnictví, kteří absolvovali školení HIPAA, měli vědět, je porušení zásad jejich zaměstnavatele a pravidel HIPAA.
Další častá porušení HIPAA často vznikají jako v důsledku nedorozumění o HIPAA požadavky. I když každé z těchto běžných porušení HIPAA ovlivňuje mnohem menší počet pacientů než výše uvedená porušení, stále může způsobit značné množství újmy: zúčastněným pacientům a jejich zaměstnavatelům. Mohou také vyústit v disciplinární řízení proti odpovědnému zaměstnanci, včetně ukončení pracovního poměru.
Níže jsou uvedena některá běžná porušení zásad HIPAA, kterých se dopouštějí zaměstnanci ve zdravotnictví. Na tato běžná porušení pravidel HIPAA by se mělo vztahovat školení HIPAA poskytované zaměstnancům za účelem zvýšení povědomí o těchto častých oblastech nedodržování předpisů.
Zasílání ePHI na osobní e-mailové účty a odstraňování PHI ze zdravotnického zařízení
Může být obtížné najít si čas na dokončení všech nezbytných úkolů v pracovní době a může být lákavé odvézt si práci domů. Odstranění chráněných zdravotních informací ze zdravotnického zařízení vystavuje tyto informace riziku expozice. Toto je běžné porušení zákona HIPAA u zaměstnanců a může to být dokonce rutinní praxe ve zdravotnickém zařízení, které má nedostatečný počet zaměstnanců. To neznamená, že je to přijatelný postup.
Totéž platí pro zasílání ePHI e-mailem na osobní e-mailové účty. Bez ohledu na záměry, ať už jde o získání pomoci s tabulkami, dokončení práce doma, aby bylo možné dosáhnout dalšího dne, nebo dohnat nevyřízené položky, jde o porušení pravidel HIPAA. Za krádež lze dále považovat jakékoli zasílání ePHI e-mailem na osobní e-mailový účet, jehož důsledky mohou být mnohem závažnější než ukončení pracovní smlouvy.
Ponechání bezobslužných přenosných elektronických zařízení a papírování
Pravidlo zabezpečení HIPAA vyžaduje trvalé zabezpečení PHI a ePHI. Pokud je papírování ponecháno bez dozoru, může si jej zobrazit neoprávněná osoba, ať už je to zaměstnanec, pacient nebo návštěvník zdravotnického zařízení. Pokud by k tomu došlo, považovalo by se to za nepřípustné zveřejnění údajů PHI.
Podobně musí být neustále zabezpečena i elektronická zařízení, která obsahují ePHI. Elektronická zařízení jsou přenosná a hodnotná. Oportunní zloději mohli snadno ukrást bezobslužné zařízení a získat přístup k ePHI. Vyskytlo se mnoho případů, kdy zaměstnanci ve zdravotnictví odebírali nezašifrovaná zařízení ze zdravotnických zařízení, jen aby jim někdo ukradl vozidlo nebo domov. Ke krádeži může také snadno dojít ve zdravotnickém zařízení, pokud nejsou zařízení zabezpečena. Zaměstnanci ve zdravotnictví musí zajistit, aby byly dodržovány zásady jejich zaměstnavatele, a pravidla HIPAA nebudou porušována tím, že zařízení a papírování necháte bez dozoru.
Poskytování informací o pacientech neoprávněným osobám
Musí být předložen autorizační formulář získané od pacienta před tím, než může být jakýkoli z jejich PHI předán třetí straně za jiným účelem, než je výslovně povoleno pravidlem ochrany osobních údajů HIPAA. Zveřejnění údajů PHI pro jiné účely než léčbu, platby za zdravotní péči nebo zdravotní péči (a v omezených jiných případech) je porušením zákona HIPAA, pokud nebylo od pacienta předem obdrženo povolení.
Zaměstnanci zdravotní péče musí zajistit, aby sdělit PHI třetí straně, že od pacienta bylo získáno povolení a informace nebudou sděleny žádnému jednotlivci ani společnosti, které nejsou uvedeny ve formuláři povolení. Formuláře povolení jsou platné, pouze pokud byly podepsány pacientem nebo jím jmenovaným zástupcem.
Zveřejňování informací o pacientech bez povolení
Podobně jako v předchozím bodě musí být zdravotničtí pracovníci rovněž opatrní ohledně typů informací, které jsou poskytovány třetím stranám, a to i v případě, že povolení byl přijat formulář umožňující konkrétnímu jednotlivci, společnosti nebo organizaci přijímat PHI.
Autorizační formulář by měl obsahovat, jaké typy informací byly povoleny k uvolnění. Veškeré informace, které nejsou podrobně uvedeny ve formuláři povolení, musí zůstat soukromé a důvěrné a neměly by být sdíleny. Prozrazení dalších informací by porušilo pravidlo ochrany osobních údajů HIPAA.
Zveřejnění údajů PHI třetím stranám po skončení platnosti oprávnění
Všechny autorizační formuláře HIPAA musí obsahovat jména nebo třídy jednotlivců kteří jsou oprávněni dostávat PHI, typy PHI, které budou zveřejněny, a důvody pro zveřejnění. Musí také obsahovat datum vypršení platnosti autorizace.
PHI nesmí být po uplynutí doby použitelnosti sděleno žádnému jednotlivci uvedenému ve formuláři autorizace, a to ani v případě, že tomuto subjektu již bylo dříve uděleno povolení přijímat PHI. Před dalším zveřejněním je vyžadován nový autorizační formulář. Je třeba také poznamenat, že autorizační formulář bez data vypršení platnosti není v souladu s HIPAA.
Nepovolené zveřejňování zdravotních záznamů pacientů
Pravidlo ochrany osobních údajů HIPAA umožňuje pacientům získat kopii jejich zdravotní záznamy na vyžádání nebo si nechat své záznamy poskytnout určené třetí straně, například osobnímu zástupci nebo jiné osobě. Pokud pacient není osobně vyzvednut, musí být třetí straně uděleno povolení od pacienta – na autorizačním formuláři HIPAA – k přijetí záznamů před jejich uvolněním.
Před poskytnutím kopií pacienta zdravotní záznamy, zaměstnanci ve zdravotnictví musí ověřit totožnost pacienta nebo osoby, která záznamy shromažďuje, a musí zajistit, aby byly záznamy předávány pouze osobě oprávněné k jejich přijímání. Je také třeba dbát na to, aby byly vydány správné záznamy o pacientech.
Stahování PHI do neautorizovaných zařízení
Zdravotnická oddělení IT mohou mít potíže se sledováním všech zařízení, která se připojují vzhledem k tomu, kolik různých zařízení má přístup k síti. Zajištění zabezpečení těchto zařízení může být ještě větším problémem, přesto je to požadavek shody s HIPAA.
Zaměstnanci si musí být vědomi, že se stahováním ePHI do neautorizovaných přenosných elektronických zařízení jsou spojena rizika ochrany soukromí a zabezpečení. To nejen zvyšuje riziko náhodného prozrazení ePHI – v případě ztráty nebo odcizení zařízení – ale také by to mohlo být považováno za krádež a narušení HIPAA.
Poskytnutí neoprávněného přístupu k lékařským záznamům
Je odpovědností krytého subjektu zajistit, aby přístup k informacím o zdraví pacientů a lékařským záznamům byl poskytován pouze oprávněným osobám. Toho je dosaženo implementací ovládacích prvků přístupu pomocí jedinečných přihlašovacích údajů.
Zaměstnanci mají odpovědnost zajistit, aby neposkytovali přístup ke zdravotním informacím spolupracovníkům, kteří mnozí nemají stejná přístupová práva. Sdílení přihlašovacích údajů by mohlo vést nejen k nepřípustnému prozrazení ePHI, veškeré akce provedené tímto zaměstnancem by byly připsány jednotlivci, jehož přihlašovací údaje byly použity k získání přístupu.
Časté dotazy
Co to znamená „snížit riziko na vhodnou a přijatelnou úroveň“?
Když jsou identifikována potenciální rizika a slabá místa, musí se kryté subjekty a obchodní partneři rozhodnout, jaká opatření provést podle velikosti, složitost a možnosti organizací, stávající opatření již zavedená a náklady na implementaci dalších opatření ve vztahu k pravděpodobnosti porušení ochrany údajů a rozsahu újmy, kterou by to způsobilo.
Jak to je je možné zabránit tomu, aby zaměstnanci sliopovali do záznamů o zdravotní péči?
Ačkoli mnoho případů snoopingu zdravotní péče lze připsat spíše zvědavosti než zlomyslnému záměru, všechny případy snoopingu zdravotní péče jsou porušením zákona HIPAA. záznamy, kryté subjekty by měly implementovat program školení, zajistit přístupová oprávnění v souladu s minimálním nezbytným standardem, aktivovat protokoly auditu a vymáhat sankce.
Pokud šifrování není povinné, jak to může být porušení HIPAA, záznamy nejsou šifrované?
Ačkoli šifrování není povinné, jedná se o specifikovatelnou specifikaci implementace pravidla zabezpečení. To znamená, že organizace se mohou vyhnout implementaci požadavku, pouze pokud to není za daných okolností přiměřené a vhodné, nebo pokud je stejně účinné i alternativní bezpečnostní opatření. Pokud organizace neimplementují šifrování, musí zdokumentovat důvody.
Proč byla pokuta za odepření přístupu pacientů ke zdravotním záznamům tak vysoká?
V tomto konkrétním případě nespolupráce krytého subjektu přispěla k výši pokuty (vy si můžete přečíst o případu zde). Od tohoto případu se program smysluplného používání CMS vyvinul do programu Podpora interoperability a – kromě sankce za porušení HIPAA – jakákoli krytá entita, která včas neposkytne zdravotní záznamy, nyní může také přijít o procento svých Platby Medicare.