A leggyakoribb HIPAA-sértések, amelyekről tudnia kell
A leggyakoribb HIPAA-szabálysértések, amelyek pénzügyi szankciókat eredményeztek, az, hogy a szervezet egészére kiterjedő kockázatelemzést nem hajtottak végre a titoktartási, integritási kockázatok azonosítása érdekében és a védett egészségügyi információk (PHI) elérhetősége; a HIPAA-nak megfelelő üzleti társulási megállapodás megkötésének elmulasztása; a PHI megengedhetetlen közzététele; késedelmes értesítések a szabálysértésekről; és a PHI védelmének elmulasztása.
Az Egészségügyi és Humánügyi Minisztérium Állampolgári Jogi Hivatala (OCR) által folytatott elszámolások a HIPAA szabályainak súlyos megsértését eredményezik. Az egyezségeket arra is törekednek, hogy felhívják a figyelmet a HIPAA gyakori megsértéseire, hogy felhívják a figyelmet a HIPAA szabályok bizonyos szempontjainak való megfelelés szükségességére.
Ez a cikk öt leggyakoribb HIPAA szabálysértést ismertet, amelyek elszámolást eredményeztek a fedett szervezetekkel üzlettársaik az elmúlt években.
HIPAA-sértések-e az adatszegések?
Az adatsértések mára életszerű tények. Még többrétegű kiberbiztonsági védekezés esetén is időnként valószínűleg megsértik az adatokat. Az OCR megérti, hogy az egészségügyi szervezeteket kiberbűnözők célozzák meg, és hogy nem lehet bevehetetlen biztonsági védekezéseket megvalósítani.
A HIPAA-kompatibilitás nem azt jelenti, hogy megbizonyosodjunk arról, hogy az adatok megsértése soha nem történik meg. A HIPAA megfelelés a kockázat megfelelő és elfogadható szintre történő csökkentéséről szól. Csak azért, mert egy szervezet adatsértést tapasztal, ez nem jelenti azt, hogy a jogsértés HIPAA-sértés következménye lett volna.
Az OCR-megsértési portál ezt most egyértelműbben tükrözi. Számos adatszegést az OCR kivizsgál, és kiderül, hogy nem jár a HIPAA szabályok megsértésével. Következésképpen a vizsgálatokat semmilyen intézkedés nélkül lezárják.
Hogyan fedezik fel a HIPAA-sértéseket?
A HIPAA-sértések még hónapokig, vagy akár évekig is folytatódhatnak, mielőtt felfedeznék őket. Minél hosszabb ideig hagyják kitartani, annál nagyobb a büntetés, amikor végül felfedezik őket. Ezért fontos, hogy a HIPAA hatálya alá tartozó jogalanyok rendszeresen elvégezzék a HIPAA megfelelés felülvizsgálatát, hogy megbizonyosodjanak arról, hogy a HIPAA szabálysértéseket felfedezik és kijavítják, mielőtt a szabályozók felismernék őket.
A HIPAA szabálysértéseknek három fő módja van:
- OCR (vagy államtitkárok) által végzett adatok megsértésének vizsgálata
- Vizsgálatok a fedett szervezetekkel és üzleti partnerekkel szemben benyújtott panaszok miatt
- HIPAA megfelelőségi ellenőrzések
Még akkor is, ha az adatok megsértése nem jár HIPAA megsértéssel, vagy egy panasz megalapozatlannak bizonyul, az OCR felfedezhet egymással nem összefüggő HIPAA jogsértéseket, amelyek pénzügyi büntetést indokolhatnak.
a 10 leggyakoribb HIPAA megsértés?
Az alábbiakban felsoroljuk a 10 leggyakoribb HIPAA megsértést, valamint a HIPAA által lefedett szervezetek és üzleti partnerek példái, amelyekről kiderült, hogy megsértik a HIPAA szabályait, és amelyek ezeket a jogsértéseket OCR-szel és államügyészekkel kellett rendezni. Sok esetben a vizsgálatok több HIPAA megsértést tártak fel. Az elszámolási összegek tükrözik a jogsértés súlyosságát, a jogsértés fennmaradásának időtartamát, a feltárt jogsértések számát és az érintett jogalany / üzleti partner pénzügyi helyzetét.
Snooping on Healthcare Nyilvántartások
A betegek egészségügyi nyilvántartásába való belépés az adatvédelmi szabály által meg nem engedett okokból – kezelés, fizetés és egészségügyi műveletek – sérti a betegek magánéletét. A család, a barátok, a szomszédok, a munkatársak és a hírességek egészségügyi nyilvántartásának lekémlelése az egyik leggyakoribb HIPAA szabálysértés, amelyet az alkalmazottak követnek el. Felfedezésükkor ezek a jogsértések általában a munkaviszony megszűnését vonják maguk után, de büntetőjogi felelősségre vonhatják az érintett munkavállalót is. Viszonylag ritkák azoknak az egészségügyi szervezeteknek a pénzügyi büntetései, amelyek nem tudták megakadályozni a sznobkodást, de lehetségesek, amint azt a Kaliforniai Egyetem Los Angeles-i Egészségügyi Rendszere felfedezte. hozzáférés az orvosi nyilvántartásokhoz. Az egészségügyi szolgáltatót annak a felfedezésnek a nyomán vizsgálták, hogy egy orvos engedély nélkül hozzáférett a hírességek és más betegek orvosi nyilvántartásához. Dr. Huping Zhou 323 alkalommal jutott hozzá engedély nélkül a betegek nyilvántartásához, miután megtudta, hogy hamarosan elbocsátják. Dr. Zhou lett az első egészségügyi alkalmazott, akit HIPAA megsértése miatt börtönbe vetettek, és négy hónapos börtönbüntetésre ítélték.
Szervezeti szintű kockázatelemzés elmulasztása
A kudarc a szervezet egészére kiterjedő kockázatelemzés elvégzése a HIPAA egyik leggyakoribb megsértése, amely pénzügyi büntetést von maga után.Ha a kockázatelemzést nem hajtják végre rendszeresen, a szervezetek nem tudják megállapítani, hogy vannak-e sérülékenységek a PHI titkossága, integritása és elérhetősége szempontjából. A kockázatok tehát valószínűleg nem maradnak kezelve, így a kapuk nyitva maradnak a hackerek előtt.
A HIPAA-egyezmények a fedett szervezetekkel a szervezet egészére kiterjedő kockázatértékelés elmulasztása miatt a következők:
- Premera Blue Cross – 6 850 000 dollár elszámolás a kockázatelemzés és a kockázatkezelés kudarcaiért, valamint egyéb lehetséges HIPAA-sértésekért
- Excellus Egészségügyi Terv – 5 100 000 USD-os elszámolás kockázatelemzésért és kockázatkezelési hibákért, valamint egyéb lehetséges HIPAA-megsértésekért
- Oregon Health & Természettudományi Egyetem – 2,7 millió dolláros elszámolás a vállalati szintű kockázatelemzés hiánya miatt.
- Cardionet – 2,5 millió dolláros elszámolás hiányos kockázatért elemzés és a kockázatkezelési folyamatok hiánya.
- Cancer Care Group – 750 000 dolláros elszámolás a vállalati szintű kockázatelemzés elmulasztásáért.
- Lahey Kórház és Orvosi Központ – 850 000 dollár elszámolás a a szervezet egészére kiterjedő kockázatértékelés elvégzésének elmulasztása és ot HIPAA megsértése.
- Steven A. Porter, MD – 100 000 dolláros büntetés kockázatelemzésért és kockázatkezelési kudarcokért.
Biztonsági kockázatok kezelésének elmulasztása / kockázatkezelés hiánya Folyamat
A kockázatelemzés elvégzése elengedhetetlen, de ez nem csak a megfelelés jelölőnégyzete. Az azonosított kockázatokat ezután kockázatkezelési folyamatnak kell alávetni. Ezeket prioritások szerint kell kezelni, és ésszerű időkeretben kell kezelni. A PHI-t érintő kockázatok ismerete és az azok elhárításának elmulasztása az egyik leggyakoribb HIPAA-megsértés, amelyet az Állampolgári Jogok Hivatala büntet.
A HIPAA-egyezségek a fedezett szervezetekkel az azonosított kockázatok kezelésének elmulasztása miatt:
- Alaszkai Egészségügyi és Szociális Minisztérium – 1,7 millió dollár büntetés a kockázatelemzés és a kockázatkezelési kudarcok elmulasztásáért.
- Massachusetts Amherst Egyetem (UMass) – 650 000 dollár büntetés kockázatkezelési kudarcokért .
- Metro közösségi szolgáltatói hálózat – 400 000 dollár büntetés kockázatkezelési kudarcokért.
- Anchorage közösségi mentálhigiénés szolgáltatások – 150 000 dollár büntetés az ePHI kockázatának kezelése elmulasztásáért.
A betegek egészségügyi nyilvántartásokhoz való hozzáférésének megtagadása / a hozzáférés biztosításának határidejének túllépése
A HIPAA adatvédelmi szabálya a betegeknek jogot biztosít arra, hogy hozzáférjenek egészségügyi nyilvántartásukhoz, és kérésre másolatokat szerezzenek. Ez lehetővé teszi a páciensek számára, hogy ellenőrizzék-e a nyilvántartásukat, hogy vannak-e hibák, és megosszák azokat más szervezetekkel és egyénekkel. A HIPAA megsértése a betegek egészségügyi nyilvántartásának másolatainak megtagadása, a másolatokért való túlterhelés vagy a nyilvántartások 30 napon belüli elmulasztása. Az OCR a HIPAA hozzáférési jogának megsértését az egyik legfontosabb végrehajtási célkitűzésévé tette 2019 végén.
A HIPAA-megállapodások a fedett szervezetekkel a betegek nyilvántartásukhoz való hozzáférésének megtagadása vagy a hozzáférés biztosításának szükségtelen késése miatt:
- George Prince megyei Cignet Health – 4 300 000 dollár büntetés a betegek orvosi nyilvántartásukhoz való hozzáférésének megtagadásáért.
- Banner Health – 200 000 dolláros büntetés késedelmes válaszadás esetén a beteg orvosi iratainak másolatára vonatkozó kérésére.
- Dignity Health, a St. Joseph Kórház és Orvosi Központ dba-díja – 160 000 dollár büntetés a beteg orvosi dokumentációjának másolatát kérő késedelmes válasz esetén.
- NY Spine – 100 000 dollár büntetés a beteg késedelmes válasza miatt kérelem az orvosi dokumentumok másolatának megadására.
- Beth Israel Lahey Health Behavioural Services – 70 000 dollár büntetés a beteg kórlapjának másolatára vonatkozó kérés késedelmes megválaszolása esetén.
- Cincinnati Egyetem Orvosi Központ – 65 000 dollár büntetés de-ért válaszolt a beteg orvosi iratainak másolatát kérő kérelemre.
- Housing Works Inc. – 38 000 dollár büntetés a beteg orvosi iratainak másolatát kérő késedelmes válasz esetén.
- Peter Wrobel, MD, PC, dba Elite alapellátás – 36 000 dollár büntetés a beteg orvosi iratainak másolatára vonatkozó kérés késedelmes megválaszolásáért.
- Riverside Psychiatric Medical Group – 25 000 dollár büntetés a beteg késedelmes megválaszolásáért orvosi dokumentumok.
- Dr. Rajendra Bhayani – 15 000 dollár büntetés a beteg orvosi dokumentációjának másolatára vonatkozó kérés késedelmes megválaszolása esetén.
- All Inclusive Medical Services Inc. – 15 000 dollár büntetés a késedelmes válaszért a beteg kérése az orvosi nyilvántartás másolatáról.
- Wise Psychiatry, PC – 10 000 USD büntetés késedelmes válasz esetén a beteg orvosi iratának másolatára irányuló kérésre.
- King MD – 3500 USD büntetés késedelmes válaszadás esetén a beteg orvosi r ecordok.
A HIPAA-kompatibilis üzleti társult szerződés megkötésének elmulasztása
A HIPAA-kompatibilis üzleti társult szerződés megkötésének elmulasztása az összes olyan szállítóval, akinek szállítása vagy átadása biztosított a PHI-hez való hozzáférés a HIPAA egyik leggyakoribb megsértése. Még akkor is, ha üzleti partnerei megállapodások vannak kötve minden szállítóra, előfordulhat, hogy azok nem felelnek meg a HIPAA-nak, különösen, ha az Omnibus végső szabályt követően nem módosították őket.
A HIPAA ezen általános megsértéseinek figyelemre méltó elszámolásai:
- Raleigh Ortopédiai Klinika, PA Észak-Karolina – 750 000 dollár egyezség a HIPAA-nak megfelelő üzleti társulási megállapodás végrehajtásának elmulasztásáért.
- Minnesotai Északi Emlékhelyi Egészségügyi Ellátás – 1,55 millió dolláros elszámolás azért, mert nem kötöttek BAA-t fővállalkozóval és más HIPAA-val jogsértések.
- Care New England Health System – 400 000 dolláros elszámolás az üzleti társulási megállapodások frissítésének elmulasztásáért
Elégtelen az ePHI hozzáférés-vezérlés
A HIPAA biztonság A szabály előírja, hogy a hatálya alá tartozó jogalanyok és üzleti partnereik az ePHI-hez való hozzáférést csak arra jogosult személyekre korlátozzák. A megfelelő ePHI hozzáférés-ellenőrzések végrehajtásának elmulasztása szintén a HIPAA egyik leggyakoribb megsértése, és számos pénzügyi büntetést von maga után.
Az ePHI-hozzáférés-ellenőrzési hibákért a fedezett szervezeteknek kiszabott pénzügyi szankciók a következők:
- Anthem Inc. – 16 000 000 dollár büntetés a hozzáférés-ellenőrzési hibák és egyéb súlyos HIPAA-sértések miatt.
- Memorial Healthcare System – 5 500 000 dollár büntetés az ePHI-hozzáférés elégtelen ellenőrzése miatt.
- Texas Department az öregedési és fogyatékosságügyi szolgáltatásokból – 1 600 000 dollár büntetés a kockázatelemzési hibákért, a belépési ellenőrzési hibákért és az információs rendszerek felügyeletével kapcsolatos hibákért.
- Kaliforniai Egyetem, Los Angeles-i egészségügyi rendszer – 865 500 dollár büntetés az orvosi dokumentumokhoz való hozzáférés korlátozásának elmulasztásáért.
- Pagosa Springs Medical Center – 111 400 dollár büntetés az ePHI-hez való hozzáférés megszüntetésének elmulasztása miatt a munkavállaló felmondása és az üzleti partneri megállapodás hiánya miatt.
A titkosítás használatának elmulasztásavagy ezzel egyenértékű intézkedés az ePHI megőrzéséhez hordozható eszközökön
Az adatsértések megelőzésének egyik leghatékonyabb módja a PHI titkosítása. A titkosított PHI megsértése nem jelentendő biztonsági esemény, kivéve, ha az adatok visszafejtésének kulcsát is ellopják. A titkosítás nem kötelező a HIPAA szabályok szerint, de nem lehet figyelmen kívül hagyni. Ha úgy döntenek, hogy nem használnak titkosítást, akkor helyette alternatív, egyenértékű biztonsági intézkedést kell alkalmazni. Dallasi Gyermekorvosi Központ – 3,2 millió dollár polgári pénzbüntetés az ismert kockázatok kezelésének elmulasztásáért, ideértve a hordozható eszközök titkosításának elmulasztását is.
A szabálysértési értesítések kiadásának 60 napos határidejének túllépése
A HIPAA szabálysértési értesítési szabály előírja, hogy az érintett szervezetek kiadják értesítés a jogsértésekről felesleges késedelem és minden bizonnyal legkésőbb az adatszegés felfedezését követő 60 napon belül Ennek az időkeretnek a túllépése az egyik leggyakoribb HIPAA-szabálysértés, amelyért két büntetést szabtak ki ebben az évben:
- Presence Health – 475 000 dolláros elszámolás a jogsértési értesítések kiadásának egy hónappal történő késleltetése miatt.
- CoPilot Provider Support Services Inc. – 130 000 dolláros egyezség a New York-i főügyészséggel a késedelmes bejelentésekért.
A védett egészségügyi információk megengedhetetlen közzététele
A A HIPAA adatvédelmi szabálya szerint nem engedélyezett védett egészségügyi információk pénzbüntetést vonhatnak maguk után. Ez a szabálysértési kategória magában foglalja a PHI nyilvánosságra hozatalát a beteg munkáltatójának, a titkosítatlan laptop számítógépek ellopása vagy elvesztése utáni esetleges nyilvánosságra hozatalt, a PHI gondatlan kezelését, a PHI felesleges nyilvánosságra hozatalát, a „minimálisan szükséges” szabvány betartásának elmulasztását, valamint a PHI nyilvánosságra hozatalát a betegek engedélyének megszerzése után lejárt.
A PHI megengedhetetlen nyilvánosságra hozatala a következőket tartalmazza:
- Emlékhely Hermann Egészségügyi Rendszer – 2,4 millió dolláros elszámolás a beteg PHI sajtóközleményben történő közzétételéért.
- New York-i presbiteri kórház – 2 200 000 dollár büntetés a betegek engedély nélküli filmezéséért.
- Massachusettsi Általános Kórház – 515 000 dollár büntetés a betegek beleegyezés nélküli filmezése miatt.
- Lukes-Roosevelt Kórház Központ – 387 000 dolláros elszámolás a PHI gondatlan kezeléséért / a beteg HIV-státusának nyilvánosságra hozatala a munkáltatója számára.
- Brigham és Női Kórház – 384 000 USD büntetés a betegek beleegyezés nélküli filmezéséért .
- Boston Medical Center – 100 000 dollár büntetés a betegek beleegyezés nélküli filmezéséért.
A PHI nem megfelelő megsemmisítése
Amikor a fizikai PHI és az ePHI már nincs kötelező és megőrzési idő lejárt, a HIPAA szabályok előírják az információk biztonságos és végleges megsemmisítését. Papíralapú nyilvántartások esetében ez aprítással vagy pépesítéssel járhat, ePHI-nél pedig az ePHI-t tároló elektronikus eszközök letörlésével, biztonságos törlésével vagy megsemmisítésével megakadályozható a megengedhetetlen nyilvánosságra hozatal.
Pénzügyi szankciók a hatálya alá tartozó jogalanyok számára a nem megfelelő ártalmatlanítás miatt. a PHI / ePHI összege tartalmazza:
- Parkview Health – 800 000 dollár büntetés a PHI-t tartalmazó papírlemezek biztonságos ártalmatlanításának elmulasztásáért.
- Cornell Recept Gyógyszertár – 125 000 dollár büntetés a nem megfelelő ártalmatlanításért a PHI.
- FileFax Inc. – 100 000 dollár büntetés egy leállt vállalkozásért az orvosi dokumentumok nem megfelelő elhelyezése miatt.
Az egészségügyi dolgozók gyakori HIPAA-sértései
Az egészségügyi nyilvántartások betekintése meglehetősen nyilvánvaló HIPAA megsértés, és minden HIPAA képzésben részesülő egészségügyi alkalmazottnak tudnia kell, hogy ez munkáltatói politikájának és a HIPAA szabályainak megsértését jelenti.
A HIPAA egyéb gyakori megsértései gyakran előfordulnak. a HIPAA-val kapcsolatos félreértések eredménye követelményeknek. Míg ezek a gyakori HIPAA-sértések a fenti jogsértéseknél jóval kevesebb beteget érintenek, mégis jelentős mértékű kárt okozhatnak: Az érintett beteg (ek) nek és munkáltatójuknak. Fegyelmi eljárást is eredményezhetnek a felelős munkavállalóval szemben, beleértve a felmondást is.
Az alábbiakban felsoroljuk az egészségügyi dolgozók által elkövetett HIPAA általánosan elkövetett jogsértéseket. Ezeket a gyakori HIPAA megsértéseket a munkavállalóknak tartott HIPAA képzés részeként kell lefedni, hogy felhívják a figyelmet a be nem tartás e gyakori területeire.
Az ePHI küldése személyes e-mail fiókokra és a PHI eltávolítása az egészségügyi intézményből
Nehéz találni az időt a szükséges feladatok elvégzésére munkaidőn belül, és csábító lehet a munka hazavitele. A védett egészségügyi információk eltávolítása egy egészségügyi intézményből veszélyeztetetté teszi ezeket az információkat. Ez a munkavállalók HIPAA gyakori megsértése, sőt rutinszerű gyakorlat lehet egy olyan egészségügyi intézményben, ahol nincs elég létszám. Ez nem jelenti azt, hogy ez elfogadható gyakorlat.
Ugyanez vonatkozik az ePHI e-mail küldésére a személyes e-mail fiókokhoz. Függetlenül a szándéktól, függetlenül attól, hogy segítséget kell kérnie a táblázatokkal, a teljes otthoni munkával a következő napra való előrelépéshez vagy a lemaradás felzárkóztatásához, ez a HIPAA szabályainak megsértése. Ezenkívül az ePHI bármilyen személyes e-mail-címre történő elküldése lopásnak tekinthető, amelynek következményei sokkal súlyosabbak lehetnek, mint a munkaszerződés felmondása.
Hordozható elektronikus eszközök és papírmunka felügyelet nélkül hagyása
A HIPAA biztonsági szabály megköveteli, hogy a PHI és az ePHI mindenkor biztonságban legyen. Ha a papírmunkát felügyelet nélkül hagyják, azt illetéktelen személyek is megtekinthetik, legyen az alkalmazott, beteg vagy látogató az egészségügyi intézményben. Ha ez megtörténne, a PHI megengedhetetlen közzétételének tekintenék.
Az ePHI-t tartalmazó elektronikus eszközöket hasonlóan mindig biztosítani kell. Az elektronikus eszközök hordozhatóak és értékesek. Az oportunista tolvajok könnyen ellophatnak egy felügyelet nélküli eszközt, és hozzáférhetnek az ePHI-hez. Sok esetben előfordult, hogy az egészségügyi dolgozók titkosítatlan eszközöket távolítottak el az egészségügyi intézményekből, csak járművekből vagy otthonokból lopva őket. Lopás könnyen előfordulhat egy egészségügyi intézményben is, ha az eszközök nincsenek rögzítve. Az egészségügyi dolgozóknak biztosítaniuk kell munkáltatóik politikájának betartását, és az eszközök és a papírok felügyelet nélkül hagyásával nem sérülnek a HIPAA szabályok.
Betegtájékoztatás illetéktelen személy részére történő kiadása
Engedélyezési űrlapot kell kitölteni amelyet egy betegtől szereznek be, mielőtt bármelyik PHI-jüket harmadik félnek közölhetik a HIPAA adatvédelmi szabályában kifejezetten megengedett céltól eltérő céllal. A PHI nyilvánosságra hozatala egyéb célokból, mint kezelés, fizetés az egészségügyért vagy az egészségügyi műveletek (és korlátozott esetekben) HIPAA megsértése, ha a betegtől előzetesen nem kaptak engedélyt.
Az egészségügyi dolgozóknak biztosítaniuk kell, hogy a PHI harmadik félnek történő nyilvánosságra hozatala, hogy engedélyt kaptak a pácienstől, és az információkat nem közlik olyan magánszemélyekkel vagy társaságokkal, amelyek nem szerepelnek az engedélyezési űrlapon. Az engedélyezési űrlapok csak akkor érvényesek, ha azokat a beteg vagy kijelölt képviselőjük írta alá.
Betegtájékoztatás engedély nélküli kiadása
Az előző ponthoz hasonlóan az egészségügyi dolgozóknak óvatossággal kell eljárniuk a harmadik feleknek kiadott információk típusaival kapcsolatban, még akkor is, ha engedélyt kaptak olyan űrlap érkezett, amely lehetővé teszi egy adott személy, vállalat vagy szervezet számára a PHI fogadását.
Az engedélyezési űrlapnak tartalmaznia kell, hogy milyen típusú információkat engedélyeztek a kiadásra. Minden olyan információnak, amelyet nem részletez az engedélyezési űrlap, titkosnak és bizalmasnak kell maradnia, és nem szabad megosztani. További információk nyilvánosságra hozatala sértené a HIPAA adatvédelmi szabályát.
A PHI nyilvánosságra hozatala harmadik feleknek az engedély lejárta után
Az összes HIPAA engedélyezési űrlapnak tartalmaznia kell az egyének nevét vagy osztályát akik jogosultak a PHI fogadására, a nyilvánosságra hozandó PHI típusok és a közzétételek okai. Ezeknek tartalmazniuk kell az engedély lejárati dátumát is.
A PHI-t nem szabad nyilvánosságra hozni az engedélyezési űrlapon felsorolt egyéneknek sem a lejárati idő leteltét követően, még akkor sem, ha az adott entitásnak korábban már engedélyt adtak a fogadásra. PHI. A további nyilvánosságra hozatalt megelőzően új engedélyezési űrlapra van szükség. Azt is meg kell jegyezni, hogy a lejárati dátum nélküli engedélyezési űrlap nem felel meg a HIPAA követelményeknek.
A betegek egészségügyi nyilvántartásainak megengedhetetlen közzététele
A HIPAA adatvédelmi szabálya lehetővé teszi a betegek számára, hogy megszerezzék másolatukat kérésre egészségügyi nyilvántartást, vagy nyilvántartásaikat kinevezik egy kijelölt harmadik félnek, például személyes képviselőnek vagy más magánszemélynek. Ha a beteg nem személyesen gyűjti, akkor a harmadik félnek a HIPAA engedélyező űrlapon meg kell adnia a felhatalmazást a nyilvántartások átvételére, mielőtt kiadhatják őket.
A beteg másolatának megadása előtt egészségügyi nyilvántartások, az egészségügyi dolgozóknak ellenőrizniük kell a beteg vagy a nyilvántartást gyűjtő személy kilétét, és biztosítaniuk kell, hogy a nyilvántartásokat csak azok átadására jogosult személyek számára bocsássák ki. Arra is ügyelni kell, hogy a helyes páciensnyilvántartás kiadásra kerüljön.
A PHI letöltése jogosulatlan eszközökre
Az egészségügyi informatikai részlegek számára nehéz lehet nyomon követni az összes csatlakoztatott eszközt. a hálózathoz, tekintve, hogy hány különféle eszköz rendelkezik hálózati hozzáféréssel. Ezeknek az eszközöknek a biztonsága még nagyobb problémát jelenthet, azonban ez a HIPAA-megfelelés követelménye.
A munkatársaknak tisztában kell lenniük azzal, hogy az ePHI engedély nélküli, hordozható elektronikus eszközökbe való letöltésével adatvédelmi és biztonsági kockázatok vannak. Ez nemcsak az ePHI véletlen felfedésének kockázatát növeli – abban az esetben, ha az eszközt elveszik vagy ellopják – lopásnak és HIPAA megsértésének is tekinthető.
Illetéktelen hozzáférés biztosítása az orvosi nyilvántartásokhoz
A lefedett szervezet felelőssége annak biztosítása, hogy a betegek egészségügyi információihoz és orvosi dokumentációihoz csak az arra jogosult személyek férhessenek hozzá. Ezt úgy érik el, hogy egyedi belépésekkel hajtják végre a hozzáférés-ellenőrzéseket.
Az alkalmazottak felelőssége annak biztosítása, hogy ne biztosítsanak hozzáférést egészségügyi információkhoz olyan munkatársak számára, akiknek nincs sok azonos hozzáférési joga. A bejelentkezési adatok megosztása nemcsak az ePHI megengedhetetlen közzétételét eredményezheti, hanem az adott alkalmazott által végrehajtott bármely műveletet annak a személynek tulajdonítják, akinek a bejelentkezési adatait a hozzáféréshez használták.
GYIK
Mit jelent a kockázat megfelelő és elfogadható szintre csökkentése?
A potenciális kockázatok és sérülékenységek azonosításakor az érintett szervezeteknek és üzleti partnereknek el kell dönteniük, milyen intézkedéseket kell végrehajtaniuk méretük szerint, a szervezetek összetettsége és képességei, a már meglévő intézkedések, valamint a további intézkedések végrehajtásának költségei az adatvédelem valószínűségével és az általa okozott kár mértékével kapcsolatban.
Hogy van ez? meg lehet-e akadályozni, hogy az alkalmazottak az egészségügyi nyilvántartások után kutassanak?
Bár az egészségügyi szemlélés sok esetben inkább a kíváncsiságnak, mint a rosszindulatú szándéknak tulajdonítható, az egészségügyi sznokolás minden esete HIPAA megsértése. a nyilvántartásoknak az érintett szervezeteknek be kell vezetniük egy képzési programot, meg kell győződniük arról, hogy a hozzáférési jogosultságok megfelelnek a minimálisan szükséges szabványnak, aktiválniuk kell az ellenőrzési naplókat és végre kell hajtaniuk a szankciókat.
Ha a titkosítás nem kötelező, akkor miként lehet HIPAA-sértés, ha a rekordok titkosítatlanok?
A titkosítás ugyan nem kötelező, de a biztonsági szabály címezhető megvalósítási specifikációja. Ez azt jelenti, hogy a szervezetek csak akkor kerülhetik el a követelmény végrehajtását, ha az nem ésszerű és megfelelő a körülmények között, vagy ha egy alternatív biztonsági intézkedés ugyanolyan hatékony. Ha a szervezetek nem tudják megvalósítani a titkosítást, dokumentálniuk kell az okokat.
Miért volt olyan magas a bírság, amiért megtagadták a betegektől az egészségügyi nyilvántartásokhoz való hozzáférést?
Ebben a konkrét esetben a fedezett szervezet együttműködésének hiánya hozzájárult a bírság nagyságához (Ön itt olvashat az esetről). Ez az eset óta a CMS értelmes használata program az interoperabilitás előmozdításának programjává fejlődött, és – azon túl, hogy a HIPAA megsértése miatt szankcionálták – minden érintett szervezet, aki elmulasztja az egészségügyi nyilvántartások időben történő benyújtását, elveszítheti a Medicare-fizetések.