Yleisimmät HIPAA-rikkomukset, joista sinun tulee olla tietoinen
Yleisimmät HIPAA-rikkomukset, jotka ovat johtaneet taloudellisiin seuraamuksiin, ovat epäonnistuminen koko organisaatiota kattavan riskianalyysin tunnistamiseksi luottamuksellisuuteen, eheyteen liittyviin riskeihin ja suojattujen terveystietojen (PHI) saatavuus; HIPAA-yhteensopivan liikekumppanisopimuksen tekemättä jättäminen; PHI: n luvattomat paljastukset; viivästyneet rikkomusilmoitukset; ja epäonnistuminen PHI: n turvaamisessa.
Terveys- ja henkilöstöministeriön kansalaisoikeuksien toimiston (OCR) sovinnot ovat HIPAA-sääntöjen törkeitä rikkomuksia. Sovintojen avulla pyritään myös korostamaan yleisiä HIPAA-rikkomuksia, jotta voidaan lisätä tietoisuutta tarpeesta noudattaa HIPAA-sääntöjen tiettyjä näkökohtia.
Tämä artikkeli kattaa viisi yleisintä HIPAA-rikkomusta, jotka ovat johtaneet sovintoihin katettujen yhteisöjen kanssa ja heidän liikekumppaneitaan viime vuosina.
Ovatko tietoturvaloukkaukset HIPAA-rikkomuksia?
Tietorikkomukset ovat nyt tosiasia. Jopa monikerroksisten kyberturvallisuussuojausten yhteydessä tietoturvaloukkauksia esiintyy todennäköisesti ajoittain. OCR ymmärtää, että tietoverkkorikolliset kohdentavat terveydenhuollon organisaatioita ja että sietämättömiä turvatoimia ei ole mahdollista toteuttaa.
HIPAA-yhteensopivuus ei tarkoita sitä, ettei tietoturvaloukkauksia koskaan tapahdu. HIPAA-vaatimustenmukaisuuden tarkoituksena on vähentää riskiä sopivaan ja hyväksyttävään tasoon. Pelkästään siksi, että organisaatio kokee tietorikkomuksen, se ei tarkoita, että rikkomus johtui HIPAA-rikkomuksesta.
OCR-rikkomusportaali heijastaa tätä nyt selkeämmin. OCR tutkii monia tietorikkomuksia, eikä niiden havaittu merkitsevän HIPAA-sääntöjen rikkomista. Tämän vuoksi tutkimukset saatetaan päätökseen ilman mitään toimenpiteitä.
Kuinka HIPAA-rikkomukset havaitaan?
HIPAA-rikkomukset voivat jatkua useita kuukausia tai jopa vuosia, ennen kuin ne havaitaan. Mitä kauemmin heidän annetaan jatkua, sitä suurempi rangaistus on, kun ne lopulta löydetään. Siksi on tärkeää, että HIPAA: n piiriin kuuluvat yksiköt tekevät säännöllisiä HIPAA-vaatimustenmukaisuuden tarkastuksia varmistaakseen, että HIPAA-rikkomukset havaitaan ja korjataan ennen kuin sääntelyviranomaiset havaitsevat ne.
HIPAA-rikkomukset havaitaan kolmella tavalla:
- OCR: n (tai valtion asianajajien) tekemät tietoturvaloukkauksen tutkimukset
- Tutkimukset katettuja yrityksiä ja liikekumppaneita koskevista valituksista
- HIPAA-vaatimustenmukaisuuden tarkastukset
Vaikka tietoturvaloukkauksiin ei sisälly HIPAA-rikkomuksia tai valitukset osoittautuisivat perusteettomiksi, OCR voi paljastaa etuyhteydettömät HIPAA-rikkomukset, jotka voivat edellyttää taloudellista seuraamusta.
Mitä ovat 10 yleisintä HIPAA-rikkomusta?
Alla on lueteltu 10 yleisintä HIPAA-rikkomusta yhdessä esimerkkien kanssa HIPAA: n piiriin kuuluvista yhteisöistä ja liikekumppaneista, joiden on havaittu rikkovan HIPAA-sääntöjä ja jotka ovat piti selvittää nämä rikkomukset OCR: n ja valtion oikeusministerien kanssa. Monissa tapauksissa tutkimukset ovat paljastaneet useita HIPAA-rikkomuksia. Ratkaisusummat heijastavat rikkomuksen vakavuutta, rikkomisen keston kestoa, havaittujen rikkomusten määrää ja katetun yksikön / liikekumppanin taloudellista asemaa.
Terveydenhuollon harhailu Tietueet
Potilaiden terveystietoihin pääsy muista kuin tietosuojasäännöissä sallituista syistä – hoito, maksaminen ja terveydenhuoltotoimet – on potilaan yksityisyyden vastaista. Perheen, ystävien, naapureiden, työtovereiden ja kuuluisuuksien terveystietojen törmääminen on yksi yleisimmistä työntekijöiden tekemistä HIPAA-rikkomuksista. Havaitut rikkomukset johtavat yleensä työsuhteen päättymiseen, mutta voivat johtaa myös rikosoikeudellisiin syytteisiin kyseiselle työntekijälle. Taloudelliset seuraamukset terveydenhuollon organisaatioille, jotka eivät ole estäneet nuuskintaa, ovat suhteellisen harvinaisia, mutta ne ovat mahdollisia, kuten Kalifornian yliopiston Los Angeles Health System havaitsi.
Kalifornian yliopiston Los Angeles Health Systemille sakotettiin 865 000 dollaria rajoitusten laiminlyönnistä. pääsy lääketieteellisiin asiakirjoihin. Terveydenhuollon tarjoajaa tutkittiin sen jälkeen, kun havaittiin, että lääkäri oli päässyt julkkisten ja muiden potilaiden sairauskertomuksiin ilman lupaa. Tohtori Huping Zhou käytti potilastietoja ilman lupaa 323 kertaa saatuaan tietää, että hänet erotetaan pian. Tohtori Zhouista tuli ensimmäinen terveydenhuollon työntekijä, joka vangittiin HIPAA-rikkomuksen vuoksi, ja hänet tuomittiin neljäksi kuukaudeksi liittovaltion vankilaan.
Organisaatiotason riskianalyysin epäonnistuminen
Epäonnistuminen Organisaationlaajuisen riskianalyysin tekeminen on yksi yleisimmistä HIPAA-rikkomuksista, jotka johtavat taloudelliseen rangaistukseen.Jos riskianalyysiä ei tehdä säännöllisesti, organisaatiot eivät pysty määrittämään, onko PHI: n luottamuksellisuuteen, eheyteen ja saatavuuteen liittyviä haavoittuvuuksia. Siksi riskit todennäköisesti jäävät huomiotta ja jättävät oven auki hakkereille.
HIPAA-sopimukset kattettujen yksiköiden kanssa organisaationlaajuisen riskiarvioinnin epäonnistumisesta ovat:
- Premera Blue Cross – 6850 000 dollarin ratkaisu riskianalyyseistä ja riskienhallinnan epäonnistumisista sekä muista mahdollisista HIPAA-rikkomuksista
- Excellus Health Plan – 5 100 000 dollarin ratkaisu riskianalyyseistä ja riskienhallinnan epäonnistumisista sekä muista mahdollisista HIPAA-rikkomuksista
- Oregon Health & Tiedeyliopisto – 2,7 miljoonan dollarin korvaus koko yrityksen kattavan riskianalyysin puuttumisesta.
- Cardionet – 2,5 miljoonan dollarin ratkaisu epätäydellisestä riskistä analyysi ja riskienhallintaprosessien puute.
- Cancer Care Group – 750 000 dollarin ratkaisu koko yrityksen kattavan riskianalyysin epäonnistumisesta.
- Lahey Hospital and Medical Center – 850 000 dollarin ratkaisu organisaationlaajuisen riskinarvioinnin suorittamatta jättäminen ja hänen HIPAA-rikkomuksensa.
- Steven A. Porter, MD – 100 000 dollarin sakko riskianalyyseistä ja riskienhallinnan epäonnistumisista.
Tietoturvariskien hallitsematta jättäminen / riskienhallinnan puuttuminen Prosessi
Riskianalyysin suorittaminen on välttämätöntä, mutta se ei ole vain vaatimustenmukaisuuden valintaruutu. Tunnistetut riskit on sitten altistettava riskienhallintaprosessille. Ne olisi asetettava etusijalle ja käsiteltävä kohtuullisessa ajassa. Tieto PHI-riskeistä ja niiden puuttuminen yhdestä yleisimmistä HIPAA-rikkomuksista, jonka kansalaisoikeusvirasto on rangaistanut.
HIPAA-sovintoa katettujen yksiköiden kanssa tunnistamattomien riskien hallinnan laiminlyönnistä ovat:
- Alaskan terveys- ja sosiaaliministeriö – 1,7 miljoonan dollarin sakko riskianalyysin ja riskinhallintavirheiden suorittamatta jättämisestä.
- Massachusetts Amherstin yliopisto (UMass) – 650 000 dollarin sakko riskinhallintavirheistä .
- Metro Community Provider Network – 400 000 dollarin sakko riskinhallintavirheistä.
- Anchorage Community Mental Health Services – 150 000 dollarin rangaistus ePHI: n riskien hallitsemattomuudesta.
Potilaiden pääsyn estäminen terveystietoihin / Aikarajojen ylittäminen pääsyn tarjoamiseksi
HIPAA-tietosuojasäännös antaa potilaille oikeuden tutustua potilastietoihinsa ja saada kopioita pyynnöstä. Tämä antaa potilaille mahdollisuuden tarkistaa kirjastojen virheiden varalta ja jakaa ne muiden tahojen ja henkilöiden kanssa. HIPAA: n rikkominen on potilaiden terveystietojen kopioiden epääminen, kopioiden ylihinnoittelu tai niiden toimittamatta jättäminen 30 päivän kuluessa. OCR teki HIPAA: n käyttöoikeusrikkomuksista yhden keskeisimmistä täytäntöönpanotavoitteistaan vuoden 2019 lopulla.
HIPAA-sopimukset katettujen yksiköiden kanssa potilaiden pääsyn estämisestä potilaisiin tai tarpeettomat viivästykset pääsyn tarjoamisessa sisältävät:
- Prinssi Georgen läänin Cignet Health – 4 300 000 dollarin sakko potilaan pääsyn estämisestä potilastietoihinsa.
- Banner Health – 200 000 dollarin rangaistus viivästyneestä vastauksesta potilaan pyyntöön saada kopio heidän sairauskertomuksestaan.
- Dignity Health, St. Josephin sairaala ja terveyskeskus – 160 000 dollaria sakkoa viivästyneestä vastauksesta potilaan pyyntöön saada kopio heidän sairausrekisteristään.
- NY Spine – 100 000 dollarin rangaistus viivästyneestä vastauksesta potilaan pyydä kopio heidän sairauskertomuksistaan.
- Beth Israel Lahey Health Behavioral Services – 70 000 dollarin sakko viivästyneestä vastauksesta potilaan pyyntöön saada kopio heidän sairauskertomuksestaan.
- Cincinnati University Medical Center – 65000 dollarin rangaistus de vastasi potilaan pyyntöön saada kopio sairauskertomuksestaan.
- Housing Works Inc – 38 000 dollarin sakko viivästyneestä vastauksesta potilaan pyyntöön saada kopio potilastiedoista.
- Peter Wrobel, MD, PC, dba Elite Primary Care – 36 000 dollarin sakko viivästyneestä vastauksesta potilaan pyyntöön saada kopio heidän sairauskertomuksestaan.
- Riverside Psychiatric Medical Group – 25 000 dollarin sakko viivästyneestä vastauksesta potilaan pyyntöön saada kopio heidän lääketieteelliset asiakirjat.
- Tohtori Rajendra Bhayani – 15 000 dollarin sakko viivästyneestä vastauksesta potilaan pyyntöön saada kopio heidän sairauskertomuksestaan.
- All Inclusive Medical Services Inc – 15 000 dollarin sakko viivästyneestä vastauksesta potilaan pyyntö kopiosta lääketieteellisistä asiakirjoistaan.
- Wise Psychiatry, PC – 10 000 dollarin sakko viivästyneestä vastauksesta potilaan pyyntöön saada kopio potilaan sairausrekisteristä.
- King MD – 3500 dollarin rangaistus viivästyneestä vastauksesta potilaan pyyntöön saada kopio lääketieteellisestä r ekordit.
HIPAA-yhteensopivan liikekumppanisopimuksen tekemättä jättäminen
HIPAA-yhteensopivan liikekumppanuussopimuksen tekemättä jättäminen kaikkien toimittajien kanssa, joille toimitetaan tai jotka on annettu PHI: n käyttö on toinen yleisimmistä HIPAA-rikkomuksista. Vaikka kaikilla toimittajilla olisi liikekumppanisopimuksia, ne eivät välttämättä ole HIPAA-yhteensopivia, varsinkin jos niitä ei ole tarkistettu Omnibus-loppusäännön jälkeen.
Näiden yleisten HIPAA-rikkomusten merkittäviä ratkaisuja ovat:
- Raleigh Orthopedic Clinic, PA Pohjois-Carolinasta – 750 000 dollarin ratkaisu HIPAA-yhteensopivan liikekumppanisopimuksen täytäntöönpanon laiminlyönnistä.
- North Memorial Health Care of Minnesota – 1,55 miljoonan dollarin ratkaisu BAA: n tekemättä jättämisestä pääurakoitsijan ja muun HIPAA: n kanssa rikkomukset.
- Care New England Health System – 400 000 dollarin ratkaisu liikekumppanisopimusten päivittämisen epäonnistumisesta
ePHI-käyttöoikeuksien riittämättömyys
HIPAA-suojaus Sääntö edellyttää, että katetut yhteisöt ja heidän liikekumppaninsa rajoittavat ePHI: n käyttöoikeuden valtuutettuihin henkilöihin. Epäonnistuminen asianmukaisen ePHI-pääsynvalvonnan toteuttamisessa on myös yksi yleisimmistä HIPAA-rikkomuksista ja se on saanut useita taloudellisia seuraamuksia.
Katettuihin yhteisöihin ePHI-pääsynvalvontavirheistä määrättyjä taloudellisia seuraamuksia ovat:
- Anthem Inc. – 16 000 000 dollarin rangaistus pääsynvalvonnasta ja muista vakavista HIPAA-rikkomuksista.
- Memorial Healthcare System – 5 500 000 dollarin rangaistus ePHI-pääsyn puutteellisesta valvonnasta.
- Texas-osasto ikääntymis- ja vammaispalveluista – 1 600 000 dollarin sakko riskianalyysin epäonnistumisista, kulunvalvontavirheistä ja tietojärjestelmien seurantavirheistä.
- Kalifornian yliopiston Los Angeles Health System – 865 500 dollarin sakko sairausrekisteriin pääsyn rajoittamatta jättämisestä.
- Pagosa Springs Medical Center – 111 400 dollarin sakko ePHI-pääsyn irtisanomisen epäonnistumisesta työntekijän irtisanomisesta ja liikekumppanisopimuksen puuttumisesta.
Salauskäytön epäonnistuminentai vastaava toimenpide ePHI: n turvaamiseksi kannettavissa laitteissa
Yksi tehokkaimmista tavoista estää tietoturvaloukkauksia on salata PHI. Salatun PHI: n rikkomukset eivät ole raportoitavia tietoturvatapahtumia, ellei myös tietojen salauksen purkamisavain ole varastettu. Salaus ei ole pakollinen HIPAA-sääntöjen mukaan, mutta sitä ei voida sivuuttaa. Jos päätetään olla käyttämättä salausta, sen sijaan on käytettävä vaihtoehtoista, vastaavaa turvatoimenpidettä.
Viimeisimmät ratkaisut PHI: n suojaamattomuudesta ovat: Dallasin lasten lääketieteellinen keskus – 3,2 miljoonaa dollaria siviilirahaa seuraamuksista tunnettujen riskien puuttumisesta, mukaan lukien salauksen käyttämättä jättäminen kannettavissa laitteissa.
Rikkomusilmoitusten 60 päivän määräajan ylittäminen
HIPAA: n rikkomuksesta ilmoittamista koskeva sääntö edellyttää, että katetut yksiköt antavat ilmoitukset rikkomuksista ilman tarpeeton viivästyminen ja varmasti viimeistään 60 päivän kuluttua tietorikkomuksen havaitsemisesta. Kyseisen ajanjakson ylittäminen on yksi yleisimmistä HIPAA-rikkomuksista, ja tänä vuonna on määrätty kaksi rangaistusta:
- Presence Health – 475 000 dollarin korvaus rikkomusilmoitusten viivästymisestä kuukaudella.
- CoPilot Provider Support Services Inc. – 130 000 dollarin sovinto New Yorkin pääministerin kanssa viivästyneistä rikkomusilmoituksista.
Suojattujen terveystietojen luvattomat paljastukset
Kaikki tietojen paljastaminen suojatut terveystiedot, joita ei sallita HIPAA: n tietosuojasäännön nojalla, voivat saada taloudellisen seuraamuksen. Tähän rikkomusluokkaan kuuluvat PHI: n paljastaminen potilaan työnantajalle, mahdolliset paljastukset salaamattomien kannettavien tietokoneiden varkauksien tai katoamisen jälkeen, PHI: n huolimaton käsittely, PHI: n paljastaminen tarpeettomasti, noudattamatta välttämätöntä vähimmäisstandardia, ja PHI: n paljastaminen potilaan luvan saamisen jälkeen vanhentunut.
PHI: n luvattomien tietojen julkistamista koskevat ratkaisut ovat:
- Hermann Memorial Health System – 2,4 miljoonan dollarin selvitys potilaan PHI: n julkistamisesta lehdistötiedotteessa.
- New York Presbyterian Hospital – 2 200 000 dollarin sakko potilaiden kuvaamisesta ilman suostumusta.
- Massachusetts General Hospital – 515 000 dollarin rangaistus potilaiden kuvaamisesta ilman suostumusta. .
- Bostonin lääketieteellinen keskus – 100 000 dollarin sakko potilaiden kuvaamisesta ilman suostumusta.
PHI: n väärä hävittäminen
Kun fyysinen PHI ja ePHI eivät enää ole vaaditut ja säilytysajat ovat päättyneet, HIPAA-säännöt edellyttävät tietojen turvallista ja pysyvää tuhoamista. Paperitietueisiin tämä voi liittyä murskaamista tai massaamista ja ePHI: n poistamista, ePHI: n tallentamien elektronisten laitteiden turvallista pyyhkimistä tai tuhoamista sallimattomien tietojen paljastamisen estämiseksi.
Katettuihin tahoihin kohdistuvat taloudelliset seuraamukset väärästä hävittämisestä. / PHP / PHP sisältää:
- Parkview Health – 800 000 dollarin sakko PHI: tä sisältävien paperitietueiden turvallisen hävittämisen epäonnistumisesta.
- Cornell Prescription Pharmacy – 125 000 dollarin rangaistus virheellisestä hävittämisestä .
- FileFax Inc. – 100 000 dollarin rangaistus lakkautetusta liiketoiminnasta lääketieteellisten asiakirjojen virheellisen hävittämisen takia.
Terveydenhuollon työntekijöiden yleiset HIPAA-rikkomukset
Terveydenhuoltotietojen piilottaminen on melko ilmeinen HIPAA-rikkomus, ja kaikkien HIPAA-koulutuksen saaneiden terveydenhuollon työntekijöiden tulisi tietää työnantajan käytäntöjen ja HIPAA-sääntöjen vastainen.
Muita yleisiä HIPAA-rikkomuksia esiintyy usein seurauksena HIPAA: ta koskevista väärinkäsityksistä vaatimukset. Vaikka jokainen näistä yleisistä HIPAA-rikkomuksista vaikuttaa huomattavasti vähemmän potilaita kuin edellä mainitut rikkomukset, ne voivat silti aiheuttaa huomattavaa vahinkoa: Potilaalle (potilaille) ja heidän työnantajalleen. Ne voivat johtaa myös kurinpitotoimiin vastuuhenkilöä vastaan, mukaan lukien irtisanominen.
Alla on lueteltu terveydenhuollon työntekijöiden yleisiä HIPAA-rikkomuksia. Nämä yleiset HIPAA-rikkomukset tulisi käsitellä osana työntekijöille suunnattua HIPAA-koulutusta, jolla lisätään tietoisuutta näistä usein esiintyvistä rikkomuksista.
ePHI: n lähettäminen henkilökohtaisiin sähköpostitileihin ja PHI: n poistaminen terveydenhuoltolaitoksesta
Voi olla vaikeaa löytää aikaa kaikkien tarvittavien tehtävien suorittamiseen työajan sisällä, ja voi olla houkuttelevaa viedä työ kotiin suorittamaan. Suojattujen terveystietojen poistaminen terveydenhuoltolaitoksesta vaarantaa nämä tiedot. Tämä on yleinen työntekijän HIPAA-rikkomus ja se voi olla jopa rutiinikäytäntö terveydenhuollon laitoksessa, jossa ei ole henkilöstöä. Se ei tarkoita, että se on hyväksyttävä käytäntö.
Sama koskee ePHI-sähköpostin lähettämistä henkilökohtaisille sähköpostitileille. HIPAA: n sääntöjen vastainen on riippumatta aikeista saada apua taulukkolaskentaohjelmassa, suorittaa kotona töitä, jotta pääset seuraavalle päivälle, tai saada kiinni myöhästymisestä. Lisäksi ePHI: n lähettämistä henkilökohtaiselle sähköpostitilille voidaan pitää varkautena, jonka seuraukset voivat olla paljon vakavampia kuin työsopimuksen irtisanominen.
Kannettavien elektronisten laitteiden ja paperityön jättäminen ilman valvontaa
HIPAA-suojaussääntö edellyttää, että PHI ja ePHI on aina suojattu. Jos paperityöt jätetään ilman valvontaa, luvaton henkilö voi tarkastella sitä, olipa kyseessä henkilöstön jäsen, potilas tai terveydenhuollon vierailija. Jos näin tapahtuisi, sitä pidettäisiin PHI: n luvattomana paljastamisena.
ePHI: tä sisältävät elektroniset laitteet on samalla tavoin suojattava. Elektroniset laitteet ovat kannettavia ja arvokkaita. Opportunistiset varkaat voivat helposti varastaa valvomattoman laitteen ja päästä ePHI: hen. On ollut monia tapauksia, joissa terveydenhuollon työntekijät poistavat salaamattomat laitteet terveydenhuoltolaitoksista vain heidän varastamiseksi ajoneuvoista tai kodeista. Varkauksia voi tapahtua helposti myös terveydenhuollossa, jos laitteita ei ole kiinnitetty. Terveydenhuollon työntekijöiden on varmistettava, että heidän työnantajansa käytäntöjä noudatetaan, eikä HIPAA-sääntöjä rikota jättämällä laitteet ja paperityöt ilman valvontaa.
Potilastietojen luovuttaminen luvattomalle henkilölle
Valtuutuslomake on oltava saatu potilaalta ennen kuin jokin heidän PHI: stä voidaan paljastaa kolmannelle osapuolelle muuhun kuin HIPAA-tietosuojasäännön nimenomaisesti sallimaan tarkoitukseen. PHI: n ilmoittaminen muuhun tarkoitukseen kuin hoitoon, terveydenhuollon maksamiseen tai terveydenhoitotoimenpiteisiin (ja rajoitettuihin muihin tapauksiin) on HIPAA-rikkomusta, ellei potilailta ole saatu lupaa etukäteen.
Terveydenhuollon työntekijöiden on varmistettava, että etukäteen PHI: n paljastamiseksi kolmannelle osapuolelle, että potilas on saanut luvan eikä tietoja paljasteta kenellekään henkilölle tai yritykselle, jota ei ole valtuutuslomakkeessa. Valtuutuslomakkeet ovat voimassa vain, jos potilas tai hänen nimetty edustaja ovat allekirjoittaneet ne.
Potilastietojen luovuttaminen ilman lupaa
Edellisen kohdan tavoin terveydenhuollon työntekijöiden on myös noudatettava varovaisuutta kolmansille osapuolille luovutettavista tiedoista, vaikka lupa olisikin on vastaanotettu lomake, jonka avulla tietty henkilö, yritys tai organisaatio voi vastaanottaa PHI: tä.
Valtuutuslomakkeessa on ilmoitettava, minkä tyyppisiä tietoja on lupa julkaista. Kaikkien tietojen, joita ei mainita valtuutuslomakkeessa, on pysyttävä yksityisinä ja luottamuksellisina, eikä niitä saa jakaa. Lisätietojen paljastaminen rikkoo HIPAA: n tietosuojasääntöä.
PHI: n ilmoittaminen kolmansille osapuolille valtuutuksen päättymisen jälkeen
Kaikissa HIPAA-valtuutuslomakkeissa on oltava yksilöiden nimet tai luokat henkilöt, joille on myönnetty lupa vastaanottaa PHI, julkistettavien PHI-tyyppien tyypit ja ilmoitusten syyt. Niissä on oltava myös valtuutuksen viimeinen voimassaolopäivä.
PHI: tä ei saa paljastaa kenellekään valtuutuslomakkeessa mainitulle henkilölle viimeisen käyttöpäivän jälkeen, vaikka kyseiselle yhteisölle olisi aiemmin annettu lupa vastaanottaa PHI. Uusi valtuutuslomake vaaditaan ennen uusien tietojen luovuttamista. On myös huomattava, että valtuutuslomake, jonka viimeinen voimassaolopäivä ei ole, ei ole HIPAA-yhteensopiva.
Potilaiden terveystietojen luvattomat julkistamiset
HIPAA-tietosuojasääntö antaa potilaille mahdollisuuden hankkia kopio heidän terveystietoja pyynnöstä tai toimitettava rekisterinsä nimetylle kolmannelle osapuolelle, kuten henkilökohtaiselle edustajalle tai muulle henkilölle. Jos potilas ei ole kerännyt sitä henkilökohtaisesti, potilaan on oltava saanut HIPAA-valtuutuslomakkeella kolmannen osapuolen luvan saada tietueet ennen niiden julkaisua.
Ennen potilaan kopioiden toimittamista terveystietojen perusteella terveydenhuollon työntekijöiden on tarkistettava potilaan tai rekisteriä keräävän henkilön henkilöllisyys ja varmistettava, että rekisterit luovutetaan vain henkilölle, jolla on lupa vastaanottaa niitä. On myös huolehdittava siitä, että oikeat potilastiedot julkaistaan.
PHI: n lataaminen luvattomiin laitteisiin
Terveydenhuollon IT-osastojen voi olla vaikeaa seurata kaikkia laitteita, jotka yhdistävät verkkoon, kun otetaan huomioon, kuinka monella eri laitteella on verkkoyhteys. Näiden laitteiden suojaamisen varmistaminen voi olla vieläkin suurempi ongelma, mutta tämä on edellytys HIPAA-vaatimusten noudattamiselle.
Työntekijöiden on oltava tietoisia siitä, että ePHI: n lataamiseen luvattomiin kannettaviin elektronisiin laitteisiin liittyy yksityisyyden ja tietoturvariskejä. Paitsi että tämä lisää ePHI: n vahingossa paljastamisen riskiä – jos laite katoaa tai varastetaan – sitä voidaan pitää myös varkautena ja HIPAA-rikkomuksena.
Lääketieteellisten asiakirjojen luvattoman käytön tarjoaminen
Katetun yksikön vastuulla on varmistaa, että potilaan terveystietoihin ja potilastietoihin päästään vain valtuutetuilla henkilöillä. Tämä saavutetaan toteuttamalla pääsynvalvonta yksilöllisten kirjautumisten kautta.
Työntekijöillä on velvollisuus varmistaa, etteivät he anna pääsyä terveystietoihin työtovereille, joilla monilla ei ole samoja käyttöoikeuksia. Sisäänkirjautumistietojen jakaminen ei voi johtaa pelkästään ePHI: n luvattomaan paljastamiseen, vaan kyseisen työntekijän kaikki toimet kohdennetaan henkilölle, jonka kirjautumistietoja käytettiin pääsyä varten.
UKK
Mitä tarkoittaa ”riskin vähentäminen sopivalle ja hyväksyttävälle tasolle”?
Kun potentiaaliset riskit ja haavoittuvuudet tunnistetaan, katettujen yhteisöjen ja liikekumppaneiden on päätettävä toteutettavista toimenpiteistä koon mukaan. organisaatioiden monimutkaisuus ja valmiudet, jo käytössä olevat toimenpiteet ja lisätoimenpiteiden toteuttamisesta aiheutuvat kustannukset suhteessa tietoturvaloukkauksen todennäköisyyteen ja sen aiheuttaman vahingon laajuuteen.
Kuinka se on onko mahdollista estää työntekijöitä ryöstämästä terveystietoja?
Vaikka monet terveydenhuollon piilottelutapaukset johtuvat pikemminkin uteliaisuudesta kuin ilkeistä tarkoituksista, kaikki terveydenhuollon piilottelutapaukset ovat HIPAA: n rikkomuksia. tietueiden, katettujen yksiköiden on toteutettava koulutusohjelma, varmistettava, että käyttöoikeudet ovat välttämättömän vähimmäisstandardin mukaisia, aktivoitava tarkastuslokit ja pantava täytäntöön sanktioita.
Jos salaus ei ole pakollista, miten se voi olla HIPAA-rikkomus, jos tietueet ovat salaamattomia?
Vaikka salaus ei ole pakollista, se on tietoturvasäännön osoitettavissa oleva toteutusmääritys. Tämä tarkoittaa, että organisaatiot voivat välttää vaatimuksen täyttämisen vain, jos se ei ole kohtuullista ja tarkoituksenmukaista olosuhteissa tai jos vaihtoehtoinen turvatoimenpide on yhtä tehokas. Jos organisaatiot eivät kykene toteuttamaan salausta, niiden on dokumentoitava syyt.
Miksi sakko potilaan terveystietoihin pääsyn epäämisestä oli niin korkea?
Tässä tapauksessa sakon suuruuteen vaikutti katetun yksikön yhteistyöhön puuttuminen (sinä voi lukea tapauksesta täältä). Tämän tapauksen jälkeen CMS: n mielekäs käyttöohjelma on kehittynyt yhteentoimivuuden edistämisohjelmaksi, ja – sen lisäksi, että HIPAA: n rikkomisesta on määrätty seuraamus, jokainen kattama yksikkö, joka ei pysty toimittamaan terveystietoja ajoissa, voi myös menettää prosenttiosuuden Medicare-maksut.