De mest almindelige HIPAA-overtrædelser, du bør være opmærksom på
De mest almindelige HIPAA-overtrædelser, der har resulteret i økonomiske sanktioner, er manglen på en organisationsomfattende risikoanalyse for at identificere risici for fortrolighed, integritet og tilgængelighed af beskyttede sundhedsoplysninger (PHI); manglen på at indgå en HIPAA-kompatibel forretningsforbindelsesaftale utilladelige afsløringer af PHI; forsinkede overtrædelsesmeddelelser og manglen på at beskytte PHI.
Forligene, der forfølges af Department of Health and Human Services Office for Civil Rights (OCR), er for alvorlige overtrædelser af HIPAA-reglerne. Forlig forfølges også for at fremhæve almindelige HIPAA-overtrædelser for at øge bevidstheden om behovet for at overholde specifikke aspekter af HIPAA-reglerne.
Denne artikel dækker fem af de mest almindelige HIPAA-overtrædelser, der har resulteret i forlig med dækkede enheder og deres forretningsforbindelser de sidste par år.
Er dataovertrædelser HIPAA-overtrædelser?
Dataovertrædelser er nu en kendsgerning. Selv med cybersikkerhedsbeskyttelse i flere lag vil der sandsynligvis stadig forekomme databrud fra tid til anden. OCR forstår, at sundhedsorganisationer er målrettet mod cyberkriminelle, og at det ikke er muligt at implementere uigennemtrængelige sikkerhedsforsvar.
At være HIPAA-kompatibel handler ikke om at sikre, at databrud aldrig sker. HIPAA-overholdelse handler om at reducere risikoen til et passende og acceptabelt niveau. Bare fordi en organisation oplever et databrud, betyder det ikke, at overtrædelsen var resultatet af en HIPAA-overtrædelse.
OCR-overtrædelsesportalen afspejler dette nu mere tydeligt. Mange dataovertrædelser undersøges af OCR og viser sig ikke at indebære nogen overtrædelse af HIPAA-reglerne. Derfor lukkes efterforskningen uden at foretage sig noget.
Hvordan opdages HIPAA-overtrædelser?
HIPAA-overtrædelser kan fortsætte i mange måneder eller endda år, før de opdages. Jo længere de får lov til at fortsætte, jo større bliver straffen, når de til sidst bliver opdaget. Det er derfor vigtigt for HIPAA-dækkede enheder at foretage regelmæssige HIPAA-overensstemmelsesvurderinger for at sikre, at HIPAA-overtrædelser opdages og korrigeres, inden de identificeres af tilsynsmyndigheder.
Der er tre måder, hvorpå HIPAA-overtrædelser opdages:
- Undersøgelse af et databrud fra OCR (eller statsadvokater generelt)
- Undersøgelser af klager over omfattede enheder og forretningsforbindelser
- HIPAA-overholdelsesrevisioner
Selv når et databrud ikke indebærer en HIPAA-overtrædelse, eller en klage viser sig at være ubegrundet, kan OCR afdække ikke-relaterede HIPAA-overtrædelser, der kan berettige en økonomisk sanktion.
Hvad er de 10 mest almindelige HIPAA-overtrædelser?
Nedenfor er 10 af de mest almindelige HIPAA-overtrædelser sammen med eksempler på HIPAA-dækkede enheder og forretningsforbindelser, der har vist sig at være i strid med HIPAA-reglerne og har var nødt til at bilægge disse overtrædelser med OCR og statsadvokater generelt. I mange tilfælde har undersøgelser afsløret flere HIPAA-overtrædelser. Afregningsbeløbene afspejler overtrædelsens alvor, hvor lang tid overtrædelsen har været i stand til, antallet af identificerede overtrædelser og den økonomiske stilling for den dækkede enhed / forretningsforbindelse.
Snooping on Healthcare Optegnelser
Adgang til patientjournaler af andre grunde end de, der er tilladt i henhold til fortrolighedsreglen – behandling, betaling og sundhedsoperationer – er en krænkelse af patientens privatliv. Snooping på sundhedsregistreringer af familie, venner, naboer, kolleger og berømtheder er en af de mest almindelige HIPAA-overtrædelser begået af medarbejdere. Når de opdages, resulterer disse overtrædelser normalt i ansættelsesforhold, men kan også resultere i strafferetlige anklager for den pågældende medarbejder. Økonomiske sanktioner for sundhedsorganisationer, der har undladt at forhindre snooping, er relativt ualmindelige, men de er mulige, da University of California Los Angeles Health System opdagede.
University of California Los Angeles Health System blev idømt en bøde på $ 865.000 for manglende begrænsning. adgang til lægejournaler. Sundhedsudbyderen blev undersøgt efter opdagelsen af, at en læge havde fået adgang til lægejournaler for berømtheder og andre patienter uden tilladelse. Dr. Huping Zhou fik adgang til patientjournaler uden tilladelse 323 gange efter at have lært, at han snart ville blive afskediget. Dr. Zhou blev den første sundhedsmedarbejder, der blev fængslet for en HIPAA-overtrædelse og blev idømt fire måneder i føderalt fængsel.
Manglende gennemførelse af en organisationsomfattende risikoanalyse
Fejlen at udføre en organisationsomfattende risikoanalyse er en af de mest almindelige HIPAA-overtrædelser, der resulterer i en økonomisk sanktion.Hvis risikoanalysen ikke udføres regelmæssigt, vil organisationer ikke være i stand til at afgøre, om der findes sårbarheder over for fortrolighed, integritet og tilgængelighed af PHI. Risici vil derfor sandsynligvis forblive uadresserede og lade døren stå åben for hackere.
HIPAA-aftaler med dækkede enheder for manglende gennemførelse af en organisationsomfattende risikovurdering inkluderer:
- Premera Blue Cross – afregning på $ 6.850.000 til risikoanalyse og risikostyringssvigt og andre potentielle HIPAA-overtrædelser
- Excellus Health Plan – 5.100.000 $ afvikling til risikoanalyse og risikostyringsfejl og andre potentielle HIPAA-overtrædelser
- Oregon Health & Science University – afvikling på 2,7 millioner dollars på grund af manglen på en virksomhedsomfattende risikoanalyse.
- Cardionet – afvikling på 2,5 millioner dollars for en ufuldstændig risiko analyse og mangel på risikostyringsprocesser.
- Cancer Care Group – $ 750.000 afregning for manglende gennemførelse af en virksomhedsomfattende risikoanalyse.
- Lahey Hospital og Medical Center – $ 850.000 afvikling for manglende gennemførelse af en organisationsdækkende risikovurdering og ot hendes HIPAA-overtrædelser.
- Steven A. Porter, MD – $ 100.000 straf for risikoanalyse og risikostyringsfejl.
Manglende håndtering af sikkerhedsrisici / mangel på risikostyring Process
Det er vigtigt at udføre en risikoanalyse, men det er ikke kun et afkrydsningsfelt for overholdelse. Risici, der identificeres, skal derefter underkastes en risikostyringsproces. De bør prioriteres og behandles inden for en rimelig tidsramme. At vide om risici for PHI og undlade at tackle dem en af de mest almindelige HIPAA-overtrædelser, der er straffet af kontoret for borgerrettigheder.
HIPAA-forlig med dækkede enheder for manglende håndtering af identificerede risici inkluderer:
- Alaska Department of Health and Social Services – $ 1,7 mio. straf for manglen på risikoanalyse og risikostyringsfejl.
- University of Massachusetts Amherst (UMass) – $ 650.000 straf for risikostyringsfejl .
- Metro Community Provider Network – $ 400.000 straf for risikostyringsfejl.
- Anchorage Community Mental Health Services – $ 150.000 straf for manglende styring af risiko for ePHI.
Nægte patienter adgang til sundhedsjournaler / overskridelse af tidsplan for at give adgang
HIPAA Privacy Regel giver patienter ret til at få adgang til deres medicinske journaler og få kopier efter anmodning. Dette giver patienter mulighed for at kontrollere deres optegnelser for fejl og dele dem med andre enheder og enkeltpersoner. At nægte patienter kopier af deres helbredsoptegnelser, overopladning for kopier eller undlade at levere disse optegnelser inden for 30 dage er en overtrædelse af HIPAA. OCR gjorde HIPAA-overtrædelsesret til et af sine vigtigste håndhævelsesmål i slutningen af 2019.
HIPAA-forlig med dækkede enheder for at nægte patienter adgang til deres optegnelser eller unødvendige forsinkelser med at give adgang inkluderer:
- Cignet Health i Prince Georges County – $ 4.300.000 straf for at nægte patienter adgang til deres medicinske journaler.
- Banner Health – $ 200.000 straf for forsinket svar på patientens anmodning om en kopi af deres medicinske journaler.
- Dignity Health, dba St. Josephs Hospital and Medical Center – $ 160.000 straf for forsinket reaktion på patientens anmodning om en kopi af deres medicinske journaler.
- NY Spine – $ 100.000 straf for forsinket reaktion på patientens anmodning om en kopi af deres medicinske journaler.
- Beth Israel Lahey Health Behavioral Services – $ 70.000 straf for forsinket reaktion på patientens anmodning om en kopi af deres medicinske journaler.
- University of Cincinnati Medical Center – $ 65.000 straf for de lagt svar på patientens anmodning om en kopi af deres medicinske journaler.
- Housing Works Inc – $ 38.000 straf for forsinket svar på patientens anmodning om en kopi af deres medicinske journaler.
- Peter Wrobel, Læge, pc, dba Elite Primary Care – $ 36.000 straf for forsinket reaktion på patients anmodning om en kopi af deres medicinske journaler.
- Riverside Psychiatric Medical Group – $ 25.000 straf for forsinket svar på patientens anmodning om en kopi af deres lægejournaler.
- Dr. Rajendra Bhayani – $ 15.000 straf for forsinket reaktion på patientens anmodning om en kopi af deres medicinske journaler.
- All Inclusive Medical Services Inc – $ 15.000 straf for forsinket reaktion på patientens anmodning om en kopi af deres medicinske journaler.
- Wise Psychiatry, PC – $ 10.000 straf for forsinket reaktion på patientens anmodning om en kopi af deres medicinske journaler.
- King MD – $ 3.500 straf for forsinket reaktion på patientens anmodning om en kopi af deres medicinske r ecords.
Manglende indgåelse af en HIPAA-kompatibel Business Associate-aftale
Manglen på at indgå en HIPAA-kompatibel Business Associate-aftale med alle leverandører, der er forsynet med eller givet adgang til PHI er en anden af de mest almindelige HIPAA-overtrædelser. Selv når aftaler om forretningsforbindelser afholdes for alle leverandører, er de muligvis ikke HIPAA-kompatible, især hvis de ikke er revideret efter Omnibus endelige regel.
Bemærkelsesværdige afregninger for disse almindelige HIPAA-overtrædelser inkluderer:
- Raleigh Orthopedic Clinic, PA of North Carolina – $ 750.000 afregning for manglen på at udføre en HIPAA-kompatibel forretningsassociateaftale.
- North Memorial Health Care i Minnesota – $ 1,55 millioner afregning for manglende indgåelse af en BAA med en større entreprenør og anden HIPAA overtrædelser.
- Care New England Health System – afvikling af $ 400.000 for manglende opdatering af forretningsassocierede aftaler
Utilstrækkelig ePHI-adgangskontrol
HIPAA-sikkerheden Reglen kræver, at dækkede enheder og deres forretningsforbindelser begrænser adgangen til ePHI til autoriserede personer. Manglen på at implementere passende ePHI-adgangskontrol er også en af de mest almindelige HIPAA-overtrædelser, og en, der har tiltrukket flere økonomiske sanktioner.
Økonomiske sanktioner, der er udstedt til dækkede enheder for ePHI-adgangskontrolfejl inkluderer:
- Anthem Inc. – $ 16.000.000 straf for adgangskontrolfejl og andre alvorlige HIPAA-overtrædelser.
- Memorial Healthcare System – $ 5.500.000 straf for utilstrækkelig ePHI-adgangskontrol.
- Texas Department of Aging and Disability Services – 1.600.000 $ straf for risikoanalysefejl, adgangskontrolfejl og informationssystemovervågningsfejl.
- University of California Los Angeles Health System – $ 855.500 straf for manglen på at begrænse adgangen til medicinske journaler.
- Pagosa Springs Medical Center – $ 111.400 sanktion for manglende ophør af adgang til ePHI efter en medarbejderstop og mangel på en forretningsforbindelsesaftale.
Manglende brug af krypteringeller et ækvivalent mål for at beskytte ePHI på bærbare enheder
En af de mest effektive metoder til at forhindre databrud er at kryptere PHI. Brud på krypteret PHI er ikke rapporterbare sikkerhedshændelser, medmindre nøglen til at dekryptere data også stjæles. Kryptering er ikke obligatorisk i henhold til HIPAA-regler, men det kan ikke ignoreres. Hvis der træffes beslutning om ikke at bruge kryptering, skal der anvendes en alternativ, ækvivalent sikkerhedsforanstaltning i stedet for.
Nylige afregninger for manglende sikring af PHI inkluderer:
- Børnemedicinsk Center i Dallas – 3,2 mio. Dollars civil civilstraf for manglende handling for at imødegå kendte risici, herunder manglende brug af kryptering på bærbare enheder.
- Katolske sundhedsydelser i ærkebispedømmet Philadelphia – $ 650.000 afvikling for manglende brug af kryptering, manglende gennemførelse af en virksomhedsomfattende risikoanalyse og håndtering af risici.
- Lifespan Health System Tilknyttet dækket enhed – $ 1.040.000 straf for manglen på kryptering af data og en af enhed og medier kontroller, hvilket resulterer i en tilladelig offentliggørelse af 20.431 patients ePHI
Overskridelse af 60-dages frist for udstedelse af overtrædelsesmeddelelser
HIPAA-overtrædelsesmeddelelsesreglen kræver, at dækkede enheder udsteder meddelelser om overtrædelser uden unødvendig forsinkelse og bestemt ikke senere end 60 dage efter opdagelsen af et databrud. Overskridelse af denne tidsramme er en af de mest almindelige HIPAA-overtrædelser, som har set to sanktioner, der er udstedt i år:
- Presence Health – $ 475.000 afregning for at udsætte udstedelsen af overtrædelsesmeddelelser med en måned.
- CoPilot Provider Support Services Inc. – $ 130.000 forlig med NY justitsadvokat for forsinkede meddelelser om overtrædelse.
Ikke tilladt offentliggørelse af beskyttede sundhedsoplysninger
Enhver afsløring af beskyttede sundhedsoplysninger, der ikke er tilladt i henhold til HIPAAs privatlivsregel, kan tiltrække en økonomisk sanktion. Denne overtrædelseskategori inkluderer videregivelse af PHI til en patients arbejdsgiver, potentiel videregivelse efter tyveri eller tab af ukrypterede bærbare computere, skødesløs håndtering af PHI, videregivelse af PHI unødigt, ikke overholdelse af den minimum nødvendige standard og videregivelse af PHI efter patientgodkendelser har udløbet.
Forlig for uacceptabel afsløring af PHI inkluderer:
- Memorial Hermann Health System – $ 2,4 millioner forlig for afsløring af en patients PHI i en pressemeddelelse.
- New York Presbyterian Hospital – $ 2.200.000 straf for filmning af patienter uden samtykke.
- Massachusetts General Hospital – $ 515.000 straf for filmning af patienter uden samtykke.
- Lukes-Roosevelt Hospital Center – $ 387.000 afregning for skødesløs håndtering af PHI / afsløring af en patients HIV-status til deres arbejdsgiver.
- Brigham and Womens Hospital – $ 384.000 straf for filmning af patienter uden samtykke .
- Boston Medical Center – $ 100.000 straf for filmning af patienter uden samtykke.
Forkert bortskaffelse af PHI
Når fysisk PHI og ePHI ikke længere er krævet, og opbevaringsperioder er udløbet, kræver HIPAA-reglerne, at oplysningerne ødelægges sikkert og permanent. For papirregistreringer kan dette omfatte makulering eller pulping og til ePHI, degaussing, sikker aftørring eller ødelæggelse af de elektroniske enheder, som ePHI er lagret for at forhindre uacceptable afsløringer.
Økonomiske sanktioner, der er udstedt til omfattede enheder for forkert bortskaffelse. af PHI / ePHI inkluderer:
- Parkview Health – $ 800.000 straf for manglen på sikker bortskaffelse af papiroptegnelser indeholdende PHI.
- Cornell Recept Apotek – $ 125.000 straf for forkert bortskaffelse af PHI.
- FileFax Inc. – $ 100.000 sanktioner for en afviklet virksomhed over forkert bortskaffelse af medicinske journaler.
Almindelige HIPAA-overtrædelser fra sundhedspersonale
Snooping på sundhedsregistreringer er en ret åbenlys HIPAA-overtrædelse, og en, som alle sundhedsmedarbejdere, der har modtaget HIPAA-uddannelse, bør vide, er en overtrædelse af deres arbejdsgivers politikker og HIPAA-regler.
Andre almindelige HIPAA-overtrædelser opstår ofte som et resultat af misforståelser omkring HIPAA krav. Mens hver af disse almindelige HIPAA-overtrædelser påvirker langt færre antal patienter end ovennævnte overtrædelser, kan de stadig forårsage en betydelig skade: For den eller de involverede patienter og deres arbejdsgiver. De kan også resultere i disciplinære handlinger mod den ansvarlige medarbejder, herunder opsigelse.
Nedenfor er nogle af de almindelige HIPAA-overtrædelser begået af sundhedsmedarbejdere. Disse almindelige HIPAA-overtrædelser bør dækkes som en del af HIPAA-uddannelsen, der gives til medarbejderne for at øge bevidstheden om disse hyppige områder af manglende overholdelse.
E-maile ePHI til personlige e-mail-konti og fjerne PHI fra en sundhedsfacilitet
Det kan være svært at finde tid til at udføre alle de nødvendige opgaver inden for arbejdstiden, og det kan være fristende at tage arbejdet hjem for at udføre. Fjernelse af beskyttede sundhedsoplysninger fra et sundhedsvæsen placerer disse oplysninger i fare for eksponering. Dette er en almindelig overtrædelse af HIPAA-medarbejder og kan endda være rutinemæssig praksis på et sundhedsvæsen, der er underbemandet. Det betyder ikke, at det er en acceptabel praksis.
Det samme gælder for e-mail til e-mail til personlige e-mail-konti. Uanset hensigterne, uanset om det er at få hjælp til regneark, fuldføre arbejdet derhjemme for at komme videre næste dag eller indhente en efterslæb, er det en overtrædelse af HIPAA-reglerne. Yderligere kan enhver e-mailing af ePHI til en personlig e-mail-konto betragtes som tyveri, hvis følger kan være langt mere alvorlige end opsigelse af en ansættelseskontrakt.
Efterladelse af bærbare elektroniske enheder og papirarbejde uden opsyn
HIPAA-sikkerhedsreglen kræver, at PHI og ePHI altid er sikret. Hvis papirarbejde efterlades uden opsyn, kan det ses af en uautoriseret person, det være sig et medarbejder, patient eller besøgende på sundhedsvæsenet. Skulle dette ske, ville det blive betragtet som en tilladelig afsløring af PHI.
Elektroniske enheder, der indeholder ePHI, skal til enhver tid sikres. Elektroniske enheder er bærbare og værdifulde. Opportunistiske tyve kunne let stjæle en uovervåget enhed og få adgang til ePHI. Der har været mange tilfælde af sundhedspersonale, der fjerner ukrypterede enheder fra sundhedsfaciliteterne, kun for at de bliver stjålet fra køretøjer eller hjem. Tyveri kan også let forekomme i et sundhedsvæsen, hvis udstyr ikke er sikret. Sundhedsmedarbejdere skal sikre, at deres arbejdsgivers politikker følges, og HIPAA-reglerne ikke overtrædes ved at lade enheder og papirer være uden opsyn.
Frigivelse af patientinformation til en uautoriseret person
En godkendelsesformular skal være opnået fra en patient, før nogen af deres PHI kan videregives til en tredjepart til et andet formål end et udtrykkeligt tilladt i henhold til HIPAA Privacy Regel. At offentliggøre PHI til andre formål end behandling, betaling for sundhedsydelser eller sundhedsoperationer (og begrænsede andre tilfælde) er en HIPAA-overtrædelse, hvis der ikke er modtaget autorisation fra patienten på forhånd.
Sundhedspersonale skal sikre, at at videregive PHI til en tredjepart om, at der er opnået autorisation fra patienten, og information ikke videregives til nogen person eller virksomhed, der ikke er inkluderet i godkendelsesformularen. Autorisationsformularer er kun gyldige, hvis de er underskrevet af patienten eller dennes nominerede repræsentant.
Frigivelse af patientinformation uden autorisation
På samme måde som det foregående punkt skal sundhedspersonale også udvise forsigtighed med hensyn til de typer information, der frigives til tredjemand, selvom en autorisation formular er modtaget, så en bestemt person, virksomhed eller organisation kan modtage PHI.
Autorisationsformularen skal indeholde, hvilke typer information der er godkendt til at blive frigivet. Alle oplysninger, der ikke er beskrevet i godkendelsesformularen, skal forblive private og fortrolige og bør ikke deles. Videregivelse af yderligere oplysninger ville være i strid med HIPAAs privatlivsregel.
Offentliggørelse af PHI til tredjeparter efter udløbet af en godkendelse
Alle HIPAA-godkendelsesformularer skal indeholde navnene eller klasser på enkeltpersoner der er autoriseret til at modtage PHI, de typer PHI, der vil blive afsløret, og årsagerne til videregivelsen. De skal også indeholde en udløbsdato for godkendelsen.
PHI må ikke videregives til nogen, der er anført på godkendelsesformularen, efter at udløbsdatoen er gået, selvom den enhed tidligere har fået tilladelse til at modtage PHI. Der kræves en ny godkendelsesformular inden yderligere afsløring finder sted. Det skal også bemærkes, at en godkendelsesformular uden en udløbsdato ikke er HIPAA-kompatibel.
Uacceptabel videregivelse af patientjournaler
HIPAAs privatlivsregel tillader patienter at få en kopi af deres sundhedsregistreringer på anmodning eller få deres registre leveret til en nomineret tredjepart såsom en personlig repræsentant eller anden person. Hvis den ikke indsamles personligt af patienten, skal tredjeparten have fået tilladelse af patienten – på en HIPAA-godkendelsesformular – til at modtage optegnelserne, før de kan frigives.
Før kopier af patienten leveres sundhedsjournaler skal sundhedspersonale kontrollere identiteten af patienten eller den person, der indsamler journaler, og skal sikre, at journaler kun frigives til en person, der er autoriseret til at modtage dem. Der skal også udvises forsigtighed for at sikre, at den korrekte patients optegnelser frigives.
Download af PHI til uautoriserede enheder
Det kan være svært for sundheds-it-afdelinger at holde styr på alle enheder, der forbinder til netværket, givet hvor mange forskellige enheder der har netværksadgang. Det kan være et endnu større problem at sikre, at disse enheder er sikret, men alligevel er dette et krav for HIPAA-overholdelse.
Medarbejdere skal være opmærksomme på, at der er privatlivs- og sikkerhedsrisici forbundet med at downloade ePHI til uautoriserede bærbare elektroniske enheder. Dette øger ikke kun risikoen for utilsigtet afsløring af ePHI – i tilfælde af at enheden går tabt eller stjålet – det kan også betragtes som tyveri og en HIPAA-overtrædelse.
Tilvejebringelse af uautoriseret adgang til medicinske optegnelser.
Det er den dækkede enheds ansvar at sikre, at adgang til patienters sundhedsoplysninger og medicinske journaler kun gives til autoriserede personer. Dette opnås ved at implementere adgangskontrol via unikke logins.
Medarbejdere har et ansvar for at sikre, at de ikke giver adgang til sundhedsoplysninger til kolleger, som mange ikke har de samme adgangsrettigheder. Deling af loginoplysninger kunne ikke kun resultere i en utilladelig afsløring af ePHI, alle handlinger, der blev udført af den ansatte, ville blive tilskrevet den person, hvis loginoplysninger blev brugt til at få adgang.
Ofte stillede spørgsmål
Hvad betyder det at “reducere risikoen til et passende og acceptabelt niveau”?
Når potentielle risici og sårbarheder identificeres, skal dækkede enheder og forretningsforbindelser beslutte, hvilke foranstaltninger der skal gennemføres i henhold til størrelsen, organisationernes kompleksitet og kapacitet, de allerede eksisterende foranstaltninger og omkostningerne ved at gennemføre yderligere foranstaltninger i forhold til sandsynligheden for et databrud og omfanget af den skade, det ville medføre.
Hvordan er det muligt at forhindre, at medarbejdere snoker på sundhedsjournaler?
Selvom mange tilfælde af snooping i sundhedsvæsenet kan tilskrives nysgerrighed snarere end ondsindet hensigt, er alle tilfælde af sundhedsudøvelse HIPAA-overtrædelser. registreringer, dækkede enheder skal implementere et uddannelsesprogram, sikre adgangsrettigheder i overensstemmelse med den minimale nødvendige standard, aktivere revisionslogfiler og håndhæve sanktioner.
Hvis kryptering ikke er obligatorisk, hvordan kan det være en HIPAA-overtrædelse, hvis poster er ukrypteret?
Selvom kryptering ikke er obligatorisk, er det en adresserbar implementeringsspecifikation af sikkerhedsreglen. Dette betyder, at organisationer kun kan undgå at implementere kravet, hvis det ikke er rimeligt og passende under omstændighederne, eller hvis en alternativ sikkerhedsforanstaltning er lige så effektiv. Hvis organisationer ikke implementerer kryptering, skal de dokumentere grundene til det.
Hvorfor var bøden for at nægte patienter adgang til sundhedsjournaler så høj?
I dette særlige tilfælde bidrog manglende samarbejde fra den dækkede enhed til bødens størrelse (du kan læse om sagen her). Siden denne sag har CMS´ Meaningful Use-program udviklet sig til Promoting Interoperability-programmet, og – ud over at blive sanktioneret for en HIPAA-overtrædelse – kan enhver omfattet enhed, der ikke leverer sundhedsregistreringer rettidigt, nu også miste en procentdel af deres Medicare-betalinger.