Die häufigsten HIPAA-Verstöße, auf die Sie achten sollten

Die häufigsten HIPAA-Verstöße, die zu finanziellen Sanktionen geführt haben, sind das Versäumnis, eine organisationsweite Risikoanalyse durchzuführen, um Risiken für die Vertraulichkeit und Integrität zu ermitteln und Verfügbarkeit geschützter Gesundheitsinformationen (PHI); das Versäumnis, eine HIPAA-konforme Vereinbarung mit Geschäftspartnern abzuschließen; unzulässige Offenlegung von PHI; verspätete Benachrichtigungen über Verstöße; und das Versäumnis, PHI zu schützen.

Die vom Amt für Bürgerrechte (OCR) des Ministeriums für Gesundheit und menschliche Dienste verfolgten Vergleiche sind für ungeheure Verstöße gegen die HIPAA-Regeln. Vergleiche werden auch angestrebt, um häufige Verstöße gegen die HIPAA hervorzuheben, um das Bewusstsein für die Notwendigkeit zu schärfen, bestimmte Aspekte der HIPAA-Regeln einzuhalten.

Dieser Artikel behandelt fünf der häufigsten Verstöße gegen die HIPAA, die zu Vergleichen mit den betroffenen Unternehmen geführt haben ihre Geschäftspartner in den letzten Jahren.

Sind Datenverletzungen HIPAA-Verstöße?

Datenverletzungen sind mittlerweile eine Tatsache. Selbst bei mehrschichtigen Cybersicherheitsabwehrmaßnahmen treten von Zeit zu Zeit wahrscheinlich Datenverletzungen auf. OCR geht davon aus, dass Gesundheitsorganisationen von Cyberkriminellen angegriffen werden und dass es nicht möglich ist, uneinnehmbare Sicherheitsmaßnahmen zu implementieren.

Bei der HIPAA-Konformität geht es nicht darum, sicherzustellen, dass niemals Datenverletzungen auftreten. Bei der Einhaltung der HIPAA geht es darum, das Risiko auf ein angemessenes und akzeptables Maß zu reduzieren. Nur weil bei einem Unternehmen ein Datenverstoß auftritt, bedeutet dies nicht, dass der Verstoß auf einen HIPAA-Verstoß zurückzuführen ist.

Das OCR-Verstoßportal spiegelt dies jetzt deutlicher wider. Viele Datenschutzverletzungen werden von OCR untersucht und stellen keine Verstöße gegen die HIPAA-Regeln fest. Infolgedessen werden die Untersuchungen abgeschlossen, ohne dass Maßnahmen ergriffen werden.

Wie werden HIPAA-Verstöße entdeckt?

HIPAA-Verstöße können viele Monate oder sogar Jahre andauern, bevor sie entdeckt werden. Je länger sie bestehen dürfen, desto höher ist die Strafe, wenn sie schließlich entdeckt werden. Daher ist es für von HIPAA abgedeckte Unternehmen wichtig, regelmäßige HIPAA-Konformitätsprüfungen durchzuführen, um sicherzustellen, dass HIPAA-Verstöße entdeckt und korrigiert werden, bevor sie von den Aufsichtsbehörden identifiziert werden.

Es gibt drei Hauptmethoden, mit denen HIPAA-Verstöße entdeckt werden:

  1. Untersuchungen zu Datenschutzverletzungen durch OCR (oder Generalstaatsanwälte)
  2. Untersuchungen zu Beschwerden über abgedeckte Unternehmen und Geschäftspartner
  3. HIPAA-Konformitätsprüfungen

Selbst wenn eine Datenverletzung keine HIPAA-Verletzung beinhaltet oder sich eine Beschwerde als unbegründet erweist, kann OCR nicht verwandte HIPAA-Verstöße aufdecken, die eine Geldstrafe rechtfertigen könnten.

Was sind die 10 häufigsten HIPAA-Verstöße?

Nachfolgend sind 10 der häufigsten HIPAA-Verstöße aufgeführt, zusammen mit Beispielen für von HIPAA abgedeckte Unternehmen und Geschäftspartner, bei denen festgestellt wurde, dass sie gegen die HIPAA-Regeln verstoßen und verstoßen haben musste diese Verstöße mit OCR und Generalstaatsanwälten beilegen. In vielen Fällen haben Untersuchungen mehrere HIPAA-Verstöße aufgedeckt. Die Abrechnungsbeträge spiegeln die Schwere des Verstoßes, die Dauer des Verstoßes, die Anzahl der festgestellten Verstöße und die Finanzlage des betroffenen Unternehmens / Geschäftspartners wider.

Snooping on Healthcare Aufzeichnungen

Der Zugriff auf die Gesundheitsakten von Patienten aus anderen als den in der Datenschutzregel zugelassenen Gründen – Behandlung, Zahlung und Gesundheitsmaßnahmen – stellt eine Verletzung der Privatsphäre von Patienten dar. Das Aufspüren von Krankenakten von Familienmitgliedern, Freunden, Nachbarn, Mitarbeitern und Prominenten ist eine der häufigsten HIPAA-Verstöße von Mitarbeitern. Wenn diese Verstöße entdeckt werden, führen sie normalerweise zur Beendigung des Arbeitsverhältnisses, können aber auch zu strafrechtlichen Anklagen für den betreffenden Mitarbeiter führen. Finanzielle Sanktionen für Gesundheitsorganisationen, die das Schnüffeln nicht verhindert haben, sind relativ selten, aber sie sind möglich, wie das Gesundheitssystem der Universität von Kalifornien in Los Angeles feststellte Zugang zu medizinischen Unterlagen. Der Gesundheitsdienstleister wurde untersucht, nachdem festgestellt wurde, dass ein Arzt ohne Genehmigung auf die Krankenakten von Prominenten und anderen Patienten zugegriffen hatte. Dr. Huping Zhou griff 323 Mal ohne Genehmigung auf die Patientenakten zu, nachdem er erfahren hatte, dass er bald entlassen werden würde. Dr. Zhou war der erste Angestellte im Gesundheitswesen, der wegen eines Verstoßes gegen die HIPAA inhaftiert wurde und zu vier Monaten Gefängnis verurteilt wurde.

Versäumnis, eine organisationsweite Risikoanalyse durchzuführen

Der Misserfolg Die Durchführung einer organisationsweiten Risikoanalyse ist eine der häufigsten Verstöße gegen die HIPAA, die zu einer Geldstrafe führen.Wenn die Risikoanalyse nicht regelmäßig durchgeführt wird, können Unternehmen keine Schwachstellen in Bezug auf die Vertraulichkeit, Integrität und Verfügbarkeit von PHI feststellen. Es ist daher wahrscheinlich, dass die Risiken nicht angegangen werden und die Tür für Hacker weit offen bleibt.

HIPAA-Vergleiche mit abgedeckten Unternehmen, wenn keine organisationsweite Risikobewertung durchgeführt wird, umfassen:

  • Premera Blue Cross – Abrechnung von 6.850.000 USD für Fehler in der Risikoanalyse und im Risikomanagement sowie andere potenzielle Verstöße gegen die HIPAA
  • Excellus Health Plan – Abrechnung von 5.100.000 USD für Fehler bei der Risikoanalyse und im Risikomanagement sowie andere potenzielle Verstöße gegen die HIPAA
  • Oregon Health & Science University – 2,7 Millionen US-Dollar für das Fehlen einer unternehmensweiten Risikoanalyse.
  • Cardionet – 2,5 Millionen US-Dollar für ein unvollständiges Risiko Analyse und fehlende Risikomanagementprozesse.
  • Cancer Care Group – Abrechnung in Höhe von 750.000 USD für das Versäumnis, eine unternehmensweite Risikoanalyse durchzuführen.
  • Lahey Hospital and Medical Center – Abrechnung in Höhe von 850.000 USD für die Versäumnis, eine organisationsweite Risikobewertung durchzuführen und ot ihre HIPAA-Verstöße.
  • Steven A. Porter, MD – 100.000 US-Dollar Strafe für Fehler bei der Risikoanalyse und beim Risikomanagement.

Fehler beim Management von Sicherheitsrisiken / Fehlen eines Risikomanagements Prozess

Die Durchführung einer Risikoanalyse ist unerlässlich, aber nicht nur ein Kontrollkästchen für die Einhaltung. Identifizierte Risiken müssen dann einem Risikomanagementprozess unterzogen werden. Sie sollten in einem angemessenen Zeitrahmen priorisiert und angegangen werden. Das Wissen über Risiken für PHI und das Versäumnis, diese zu beheben, ist eine der häufigsten HIPAA-Verstöße, die vom Amt für Bürgerrechte bestraft werden.

Zu den HIPAA-Vergleichen mit abgedeckten Unternehmen wegen Nichtmanagements identifizierter Risiken gehören:

  • Alaska Department of Health and Social Services – 1,7 Millionen US-Dollar Strafe für das Versäumnis, Risikoanalysen und Risikomanagementfehler durchzuführen.
  • University of Massachusetts Amherst (UMass) – 650.000 US-Dollar Strafe für Risikomanagementfehler .
  • Metro Community Provider Network – 400.000 US-Dollar Strafe für Fehler im Risikomanagement.
  • Anchorage Community Mental Health Services – 150.000 US-Dollar Strafe für das Versagen im Risikomanagement für ePHI.

Patienten den Zugang zu Gesundheitsakten verweigern / Zeitrahmen für die Bereitstellung des Zugangs überschreiten

Die HIPAA-Datenschutzregel gibt Patienten das Recht, auf ihre Krankenakten zuzugreifen und auf Anfrage Kopien zu erhalten. Auf diese Weise können Patienten ihre Aufzeichnungen auf Fehler überprüfen und diese mit anderen Entitäten und Personen teilen. Das Verweigern von Kopien ihrer Gesundheitsakten durch Patienten, das Überladen von Kopien oder das Versäumnis, diese Aufzeichnungen innerhalb von 30 Tagen vorzulegen, ist ein Verstoß gegen die HIPAA. OCR machte Verstöße gegen das HIPAA-Zugangsrecht Ende 2019 zu einem seiner wichtigsten Durchsetzungsziele.

HIPAA-Vergleiche mit abgedeckten Stellen, um Patienten den Zugang zu ihren Unterlagen zu verweigern, oder unnötige Verzögerungen bei der Bereitstellung des Zugangs umfassen:

  • Cignet Health in Prince Georges County – Strafe in Höhe von 4.300.000 USD für die Verweigerung des Zugangs von Patienten zu ihren Krankenakten.
  • Banner Health – Strafe in Höhe von 200.000 USD für die verspätete Beantwortung der Anfrage des Patienten nach einer Kopie seiner Krankenakten.
  • Dignity Health, dba St. Josephs Krankenhaus und medizinisches Zentrum – 160.000 US-Dollar Strafe für verspätete Beantwortung der Anfrage des Patienten nach einer Kopie seiner Krankenakten.
  • NY Spine – 100.000 US-Dollar Strafe für verspätete Reaktion auf Patienten Anforderung einer Kopie ihrer medizinischen Unterlagen.
  • Beth Israel Lahey Health Behavioral Services – 70.000 US-Dollar Strafe für die verspätete Beantwortung der Anfrage des Patienten nach einer Kopie ihrer medizinischen Unterlagen.
  • University of Cincinnati Medical Zentrum – $ 65.000 Strafe für de Antwort auf die Anfrage des Patienten nach einer Kopie seiner Krankenakten.
  • Housing Works Inc – 38.000 US-Dollar Strafe für die verspätete Antwort auf die Anfrage des Patienten nach einer Kopie seiner Krankenakten.
  • Peter Wrobel, MD, PC, dba Elite Primary Care – 36.000 US-Dollar Strafe für verspätete Beantwortung der Anfrage des Patienten nach einer Kopie seiner Krankenakten.
  • Riverside Psychiatric Medical Group – 25.000 US-Dollar Strafe für verspätete Beantwortung der Anfrage des Patienten nach einer Kopie seiner Patientenakte Krankenakten.
  • Dr. Rajendra Bhayani – 15.000 US-Dollar Strafe für verspätete Beantwortung der Anfrage des Patienten nach einer Kopie seiner Krankenakten.
  • All Inclusive Medical Services Inc – 15.000 US-Dollar Strafe für verspätete Beantwortung von Antrag des Patienten auf eine Kopie seiner Krankenakten.
  • Wise Psychiatry, PC – Strafe in Höhe von 10.000 USD für die verspätete Beantwortung des Antrags des Patienten auf eine Kopie seiner Krankenakten.
  • King MD – Strafe in Höhe von 3.500 USD für verspätete Antwort auf die Anfrage des Patienten nach einer Kopie seiner medizinischen r ecords.

Nichtabschluss einer HIPAA-konformen Geschäftspartnervereinbarung

Nichtabschluss einer HIPAA-konformen Geschäftspartnervereinbarung mit allen Anbietern, die bereitgestellt oder gegeben werden Der Zugriff auf PHI ist eine weitere der häufigsten HIPAA-Verstöße. Selbst wenn Geschäftspartnervereinbarungen für alle Anbieter geschlossen werden, sind sie möglicherweise nicht HIPAA-konform, insbesondere wenn sie nicht nach der Omnibus-Schlussregel überarbeitet wurden.

Zu den bemerkenswerten Vergleichen für diese häufigen HIPAA-Verstöße gehören:

  • Raleigh Orthopaedic Clinic, PA of North Carolina – 750.000 US-Dollar Vergleich für das Versäumnis, eine HIPAA-konforme Vereinbarung mit Geschäftspartnern abzuschließen.
  • North Memorial Health Care von Minnesota – 1,55 Millionen US-Dollar für das Versäumnis, mit einem Großauftragnehmer und anderen HIPAA einen BAA abzuschließen Verstöße.
  • Care New England Health System – 400.000 US-Dollar für das Versäumnis, die Vereinbarungen mit Geschäftspartnern zu aktualisieren.

Unzureichende ePHI-Zugangskontrollen

Die HIPAA-Sicherheit Gemäß der Regel müssen abgedeckte Unternehmen und ihre Geschäftspartner den Zugang zu ePHI auf autorisierte Personen beschränken. Das Versäumnis, geeignete ePHI-Zugriffskontrollen zu implementieren, ist auch eine der häufigsten Verstöße gegen die HIPAA und hat mehrere finanzielle Sanktionen nach sich gezogen

  • Anthem Inc. – 16.000.000 US-Dollar Strafe für Fehler bei der Zugangskontrolle und andere schwerwiegende Verstöße gegen die HIPAA.
  • Memorial Healthcare System – 5.500.000 US-Dollar Strafe für unzureichende ePHI-Zugangskontrollen.
  • Texas Department of Aging and Disability Services – Strafe in Höhe von 1.600.000 USD für Fehler bei der Risikoanalyse, Fehler bei der Zugangskontrolle und Fehler bei der Überwachung des Informationssystems.
  • Gesundheitssystem der Universität von Kalifornien in Los Angeles – Strafe in Höhe von 865.500 USD für das Versäumnis, den Zugang zu medizinischen Unterlagen einzuschränken.
  • Pagosa Springs Medical Center – Strafe in Höhe von 111.400 USD für das Versäumnis, den Zugriff auf ePHI nach einer Kündigung eines Mitarbeiters und das Fehlen einer Vereinbarung mit Geschäftspartnern zu beenden.

Nichtverwendung der Verschlüsselungoder eine gleichwertige Maßnahme zum Schutz von ePHI auf tragbaren Geräten

Eine der effektivsten Methoden zur Verhinderung von Datenverletzungen ist die Verschlüsselung von PHI. Verstöße gegen verschlüsselte PHI sind keine meldepflichtigen Sicherheitsvorfälle, es sei denn, der Schlüssel zum Entschlüsseln von Daten wird ebenfalls gestohlen. Die Verschlüsselung ist nach den HIPAA-Regeln nicht obligatorisch, kann jedoch nicht ignoriert werden. Wenn entschieden wird, keine Verschlüsselung zu verwenden, muss an seiner Stelle eine alternative, gleichwertige Sicherheitsmaßnahme angewendet werden.

Zu den jüngsten Vergleichen für das Versäumnis, PHI zu schützen, gehören:

  • Childrens Medical Center in Dallas – Geldstrafe in Höhe von 3,2 Millionen US-Dollar für das Versäumnis, Maßnahmen zur Bekämpfung bekannter Risiken zu ergreifen, einschließlich der fehlenden Verwendung von Verschlüsselung auf tragbaren Geräten.
  • Katholische Gesundheitsdienste der Erzdiözese Philadelphia – 650.000 US-Dollar Siedlung für die Nichtverwendung der Verschlüsselung, die Nichtdurchführung einer unternehmensweiten Risikoanalyse und das Management von Risiken.
  • Mit dem Lifespan Health System verbundene abgedeckte Einheit – 1.040.000 USD Strafe für die Nichtverschlüsselung von Daten sowie von Geräten und Medien Kontrollen, die zur unzulässigen Offenlegung des ePHI von 20.431 Patienten führen.

Überschreitung der 60-Tage-Frist für die Ausstellung von Benachrichtigungen über Verstöße Benachrichtigungen über Verstöße ohne unnötige Verzögerung und sicherlich nicht später als 60 Tage nach der Entdeckung eines Datenverstoßes. Das Überschreiten dieses Zeitrahmens ist eine der häufigsten Verstöße gegen die HIPAA, für die in diesem Jahr zwei Strafen verhängt wurden:

  • Presence Health – 475.000 US-Dollar für die Verzögerung der Ausgabe von Benachrichtigungen über Verstöße um einen Monat.
  • CoPilot Provider Support Services Inc. – 130.000 USD Vergleich mit dem Generalstaatsanwalt von NY wegen verspäteter Benachrichtigungen über Verstöße.

Unzulässige Offenlegung geschützter Gesundheitsinformationen

Offenlegung von Geschützte Gesundheitsinformationen, die gemäß der HIPAA-Datenschutzregel nicht zulässig sind, können eine Geldstrafe nach sich ziehen. Diese Kategorie von Verstößen umfasst die Offenlegung von PHI gegenüber dem Arbeitgeber eines Patienten, mögliche Offenlegungen nach Diebstahl oder Verlust unverschlüsselter Laptops, den unachtsamen Umgang mit PHI, die unnötige Offenlegung von PHI, die Nichteinhaltung des „minimal erforderlichen“ Standards und die Offenlegung von PHI nach Genehmigung des Patienten abgelaufen.

Vergleiche für unzulässige Offenlegungen von PHI umfassen:

  • Memorial Hermann Health System – 2,4 Millionen US-Dollar für die Offenlegung des PHI eines Patienten in einer Pressemitteilung.
  • New York Presbyterian Hospital – 2.200.000 USD Strafe für das Filmen von Patienten ohne Einwilligung.
  • Massachusetts General Hospital – 515.000 USD Strafe für das Filmen von Patienten ohne Einwilligung.
  • Lukes-Roosevelt Hospital Center – 387.000 US-Dollar für den unachtsamen Umgang mit PHI / Offenlegung des HIV-Status eines Patienten gegenüber seinem Arbeitgeber.
  • Brigham and Womens Hospital – 384.000 US-Dollar Strafe für das Filmen von Patienten ohne Einwilligung .
  • Boston Medical Center – 100.000 US-Dollar Strafe für das Filmen von Patienten ohne Einwilligung.

Unsachgemäße Entsorgung von PHI

Wenn physischer PHI und ePHI nicht mehr vorhanden sind Nach den HIPAA-Regeln müssen die Informationen sicher und dauerhaft vernichtet werden. Bei Papierunterlagen kann dies das Zerkleinern oder Aufschließen sowie bei ePHI das Entmagnetisieren, sichere Abwischen oder Zerstören der elektronischen Geräte, auf denen das ePHI gespeichert ist, umfassen, um unzulässige Offenlegungen zu verhindern.

Finanzielle Sanktionen gegen versicherte Unternehmen wegen unsachgemäßer Entsorgung Zu PHI / ePHI gehören:

  • Parkview Health – 800.000 US-Dollar Strafe für das Versäumnis, Papierunterlagen mit PHI sicher zu entsorgen.
  • Cornell Prescription Pharmacy – 125.000 US-Dollar Strafe für die unsachgemäße Entsorgung of PHI.
  • FileFax Inc. – 100.000 US-Dollar Strafe für ein nicht mehr existierendes Unternehmen wegen unsachgemäßer Entsorgung von Krankenakten.

Häufige Verstöße gegen die HIPAA durch Mitarbeiter des Gesundheitswesens

Das Durchsuchen von Krankenakten ist ein ziemlich offensichtlicher Verstoß gegen die HIPAA, und alle Mitarbeiter des Gesundheitswesens, die eine HIPAA-Schulung erhalten haben, sollten wissen, dass dies einen Verstoß gegen die Richtlinien und HIPAA-Regeln ihres Arbeitgebers darstellt.

ein Ergebnis von Missverständnissen über HIPAA Anforderungen. Obwohl jede dieser häufigen HIPAA-Verstöße weitaus weniger Patienten betrifft als die oben genannten Verstöße, können sie dennoch erhebliche Schäden verursachen: für die betroffenen Patienten und ihren Arbeitgeber. Sie können auch zu Disziplinarmaßnahmen gegen den verantwortlichen Mitarbeiter führen, einschließlich Kündigung.

Nachfolgend sind einige der häufigsten HIPAA-Verstöße aufgeführt, die von Mitarbeitern des Gesundheitswesens begangen wurden. Diese häufigen Verstöße gegen die HIPAA sollten im Rahmen der HIPAA-Schulung für Mitarbeiter behandelt werden, um auf diese häufigen Bereiche der Nichteinhaltung aufmerksam zu machen.

E-Mail per E-Mail an persönliche E-Mail-Konten senden und PHI aus einer Gesundheitseinrichtung entfernen

Es kann schwierig sein, die Zeit zu finden, um alle erforderlichen Aufgaben innerhalb der Arbeitszeit zu erledigen, und es kann verlockend sein, die Arbeit mit nach Hause zu nehmen, um sie zu erledigen. Durch das Entfernen geschützter Gesundheitsinformationen aus einer Gesundheitseinrichtung besteht das Risiko einer Exposition dieser Informationen. Dies ist eine häufige Verletzung der HIPAA durch Mitarbeiter und kann sogar Routine in einer unterbesetzten Gesundheitseinrichtung sein. Dies bedeutet nicht, dass dies eine akzeptable Vorgehensweise ist.

Gleiches gilt für das E-Mail-Senden von ePHI an persönliche E-Mail-Konten. Unabhängig von den Absichten, ob es darum geht, Hilfe bei Tabellenkalkulationen zu erhalten, die Arbeit zu Hause abzuschließen, um für den nächsten Tag voranzukommen, oder einen Rückstand aufzuholen, ist dies ein Verstoß gegen die HIPAA-Regeln. Darüber hinaus kann jede E-Mail von ePHI an ein persönliches E-Mail-Konto als Diebstahl angesehen werden, dessen Auswirkungen weitaus schwerwiegender sein können als die Kündigung eines Arbeitsvertrags.

Tragbare elektronische Geräte und Papierkram unbeaufsichtigt lassen

Nach der HIPAA-Sicherheitsregel müssen PHI und ePHI jederzeit gesichert sein. Wenn Papierkram unbeaufsichtigt bleibt, kann er von einer nicht autorisierten Person eingesehen werden, sei es von einem Mitarbeiter, Patienten oder Besucher der Gesundheitseinrichtung. Wäre dies der Fall, würde dies als unzulässige Offenlegung von PHI angesehen.

Elektronische Geräte, die ePHI enthalten, müssen ebenfalls jederzeit gesichert sein. Elektronische Geräte sind tragbar und wertvoll. Opportunistische Diebe könnten leicht ein unbeaufsichtigtes Gerät stehlen und Zugang zu ePHI erhalten. Es gab viele Fälle, in denen Mitarbeiter des Gesundheitswesens unverschlüsselte Geräte aus Gesundheitseinrichtungen entfernten, nur um sie aus Fahrzeugen oder Wohnungen zu stehlen. Diebstahl kann auch leicht in einer Gesundheitseinrichtung auftreten, wenn die Geräte nicht gesichert sind. Mitarbeiter im Gesundheitswesen müssen sicherstellen, dass die Richtlinien ihres Arbeitgebers eingehalten werden und die HIPAA-Regeln nicht verletzt werden, indem Geräte und Unterlagen unbeaufsichtigt bleiben.

Weitergabe von Patienteninformationen an eine nicht autorisierte Person

Ein Autorisierungsformular muss vorliegen von einem Patienten erhalten, bevor einer seiner PHI zu einem anderen Zweck als dem, der ausdrücklich durch die HIPAA-Datenschutzregel gestattet ist, an Dritte weitergegeben werden kann. Die Offenlegung von PHI zu anderen Zwecken als zur Behandlung, Bezahlung für das Gesundheitswesen oder für Operationen im Gesundheitswesen (und in begrenzten anderen Fällen) stellt einen Verstoß gegen die HIPAA dar, wenn der Patient keine vorherige Genehmigung erhalten hat.

Mitarbeiter des Gesundheitswesens müssen dies vorher sicherstellen Weitergabe von PHI an Dritte, dass die Autorisierung vom Patienten eingeholt wurde und Informationen nicht an Personen oder Unternehmen weitergegeben werden, die nicht im Autorisierungsformular enthalten sind. Autorisierungsformulare sind nur gültig, wenn sie vom Patienten oder seinem benannten Vertreter unterschrieben wurden.

Freigabe von Patienteninformationen ohne Genehmigung

In ähnlicher Weise wie im vorherigen Punkt müssen Mitarbeiter des Gesundheitswesens auch bei der Art der Informationen, die an Dritte weitergegeben werden, Vorsicht walten lassen, selbst wenn eine Genehmigung vorliegt Es wurde ein Formular empfangen, mit dem eine bestimmte Person, ein Unternehmen oder eine Organisation PHI erhalten kann.

Das Autorisierungsformular sollte enthalten, welche Arten von Informationen zur Freigabe autorisiert wurden. Alle Informationen, die nicht auf dem Autorisierungsformular aufgeführt sind, müssen privat und vertraulich bleiben und dürfen nicht weitergegeben werden. Die Offenlegung zusätzlicher Informationen würde gegen die HIPAA-Datenschutzregel verstoßen.

Weitergabe von PHI an Dritte nach Ablauf einer Autorisierung

Alle HIPAA-Autorisierungsformulare müssen die Namen oder Klassen von Personen enthalten die berechtigt sind, PHI zu erhalten, die Arten von PHI, die offengelegt werden, und die Gründe für die Offenlegungen. Sie müssen auch ein Ablaufdatum für die Autorisierung enthalten.

PHI darf nach Ablauf des Ablaufdatums nicht an Personen weitergegeben werden, die auf dem Autorisierungsformular aufgeführt sind, selbst wenn diesem Unternehmen zuvor die Genehmigung zum Empfang erteilt wurde PHI. Ein neues Autorisierungsformular ist erforderlich, bevor eine weitere Offenlegung erfolgt. Es sollte auch beachtet werden, dass ein Autorisierungsformular ohne Ablaufdatum nicht HIPAA-konform ist.

Unzulässige Offenlegung von Patientenakten

Die HIPAA-Datenschutzregel ermöglicht es Patienten, eine Kopie ihrer zu erhalten Gesundheitsakten auf Anfrage oder deren Aufzeichnungen einem benannten Dritten wie einem persönlichen Vertreter oder einer anderen Person zur Verfügung stellen lassen. Wenn der Patient den Patienten nicht persönlich abholt, muss er vom Patienten auf einem HIPAA-Autorisierungsformular autorisiert worden sein, die Aufzeichnungen zu erhalten, bevor sie freigegeben werden können.

Vor der Bereitstellung von Kopien des Patienten Krankenakten, Mitarbeiter des Gesundheitswesens müssen die Identität des Patienten oder der Person, die die Akten sammelt, überprüfen und sicherstellen, dass Akten nur an eine Person weitergegeben werden, die befugt ist, sie zu erhalten. Es muss auch darauf geachtet werden, dass die richtigen Patientenakten veröffentlicht werden.

Herunterladen von PHI auf nicht autorisierte Geräte

Es kann für IT-Abteilungen im Gesundheitswesen schwierig sein, alle Geräte zu verfolgen, die eine Verbindung herstellen zum Netzwerk, wenn man bedenkt, wie viele verschiedene Geräte über Netzwerkzugriff verfügen. Die Sicherstellung, dass diese Geräte gesichert sind, kann ein noch größeres Problem sein. Dies ist jedoch eine Voraussetzung für die Einhaltung der HIPAA-Richtlinien.

Die Mitarbeiter müssen sich bewusst sein, dass mit dem Herunterladen von ePHI auf nicht autorisierte tragbare elektronische Geräte Datenschutz- und Sicherheitsrisiken verbunden sind. Dies erhöht nicht nur das Risiko einer versehentlichen Offenlegung von ePHI – falls das Gerät verloren geht oder gestohlen wird -, sondern kann auch als Diebstahl und Verstoß gegen die HIPAA angesehen werden.

Bereitstellung eines nicht autorisierten Zugriffs auf medizinische Unterlagen

Es liegt in der Verantwortung des abgedeckten Unternehmens, sicherzustellen, dass der Zugriff auf Patientengesundheitsinformationen und Krankenakten nur autorisierten Personen gewährt wird. Dies wird durch die Implementierung von Zugriffskontrollen über eindeutige Anmeldungen erreicht.

Die Mitarbeiter müssen sicherstellen, dass sie Mitarbeitern, die häufig nicht über dieselben Zugriffsrechte verfügen, keinen Zugriff auf Gesundheitsinformationen gewähren. Das Teilen von Anmeldeinformationen könnte nicht nur zu einer unzulässigen Offenlegung von ePHI führen, sondern alle von diesem Mitarbeiter ergriffenen Maßnahmen würden der Person zugeordnet, deren Anmeldeinformationen verwendet wurden, um Zugriff zu erhalten.

FAQs

Was bedeutet es, „das Risiko auf ein angemessenes und akzeptables Maß zu reduzieren“?

Wenn potenzielle Risiken und Schwachstellen identifiziert werden, müssen abgedeckte Unternehmen und Geschäftspartner entscheiden, welche Maßnahmen entsprechend der Größe umgesetzt werden sollen. Komplexität und Fähigkeiten der Organisationen, die bereits bestehenden Maßnahmen und die Kosten für die Umsetzung weiterer Maßnahmen in Bezug auf die Wahrscheinlichkeit eines Datenverstoßes und das Ausmaß der dadurch verursachten Verletzung.

Wie ist es? Mögliche Verhinderung des Schnüffelns von Mitarbeitern in Gesundheitsakten?

Obwohl viele Fälle von Schnüffeln im Gesundheitswesen eher auf Neugierde als auf böswillige Absichten zurückzuführen sind, handelt es sich bei allen Fällen von Schnüffeln im Gesundheitswesen um Verstöße gegen die HIPAA Aufzeichnungen, abgedeckte Stellen sollten ein Schulungsprogramm implementieren, sicherstellen, dass die Zugriffsrechte dem erforderlichen Mindeststandard entsprechen, Überwachungsprotokolle aktivieren und Sanktionen durchsetzen.

Wenn keine Verschlüsselung erforderlich ist, wie kann es sich um eine HIPAA-Verletzung handeln, wenn Datensätze sind unverschlüsselt?

Obwohl die Verschlüsselung nicht obligatorisch ist, handelt es sich um eine adressierbare Implementierungsspezifikation der Sicherheitsregel. Dies bedeutet, dass Organisationen die Umsetzung der Anforderung nur vermeiden können, wenn sie unter den gegebenen Umständen nicht angemessen und angemessen ist oder wenn eine alternative Sicherheitsmaßnahme ebenso wirksam ist. Wenn Organisationen keine Verschlüsselung implementieren, müssen sie die Gründe dafür dokumentieren.

Warum war die Geldbuße für die Verweigerung des Zugangs von Patienten zu Krankenakten so hoch?

In diesem speziellen Fall trug die Nichtmitarbeit des versicherten Unternehmens zur Höhe der Geldbuße bei (Sie kann hier über den Fall lesen). Seit diesem Fall hat sich das CMS-Programm „Sinnvolle Nutzung“ zum Programm zur Förderung der Interoperabilität entwickelt. Zusätzlich zur Sanktionierung wegen eines Verstoßes gegen die HIPAA könnte jede versicherte Einrichtung, die ihre Gesundheitsakten nicht rechtzeitig zur Verfügung stellt, nun auch einen Prozentsatz ihrer Leistungen verlieren Medicare-Zahlungen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.