Le violazioni HIPAA più comuni di cui dovresti essere a conoscenza
Le violazioni HIPAA più comuni che hanno comportato sanzioni finanziarie sono la mancata esecuzione di unanalisi dei rischi a livello di organizzazione per identificare i rischi per la riservatezza, lintegrità e disponibilità di informazioni sanitarie protette (PHI); la mancata stipula di un contratto di società in affari conforme HIPAA; divulgazioni inammissibili di PHI; notifiche di violazione ritardate; e lincapacità di salvaguardare PHI.
Gli accordi perseguiti dallUfficio per i diritti civili (OCR) del Dipartimento della salute e dei servizi umani sono per gravi violazioni delle norme HIPAA. Gli insediamenti sono perseguiti anche per evidenziare violazioni HIPAA comuni per aumentare la consapevolezza della necessità di rispettare aspetti specifici delle regole HIPAA.
Questo articolo copre cinque delle violazioni HIPAA più comuni che hanno portato a accordi con entità coperte e i loro soci in affari negli ultimi anni.
Le violazioni dei dati sono violazioni dellHIPAA?
Le violazioni dei dati sono ormai una realtà. Anche con le difese di sicurezza informatica a più livelli, è ancora probabile che si verifichino violazioni dei dati di tanto in tanto. OCR sa che le organizzazioni sanitarie sono prese di mira dai criminali informatici e che non è possibile implementare difese di sicurezza inespugnabili.
Essere conformi HIPAA non significa assicurarsi che non si verifichino violazioni dei dati. La conformità HIPAA riguarda la riduzione del rischio a un livello appropriato e accettabile. Solo perché unorganizzazione subisce una violazione dei dati, ciò non significa che la violazione sia stata il risultato di una violazione HIPAA.
Il portale delle violazioni OCR ora lo riflette più chiaramente. Molte violazioni dei dati vengono esaminate da OCR e si ritiene che non comportino alcuna violazione delle regole HIPAA. Di conseguenza, le indagini vengono chiuse senza che venga intrapresa alcuna azione.
Come vengono scoperte le violazioni HIPAA?
Le violazioni HIPAA possono continuare per molti mesi, o addirittura anni, prima di essere scoperte. Più a lungo sono autorizzati a persistere, maggiore sarà la penalità quando verranno scoperti. È quindi importante che le entità coperte dallHIPAA conducano regolari revisioni di conformità HIPAA per assicurarsi che le violazioni HIPAA siano scoperte e corrette prima che vengano identificate dalle autorità di regolamentazione.
Ci sono tre modi principali in cui le violazioni HIPAA vengono scoperte:
- Indagini su una violazione dei dati da parte di OCR (o procuratori generali dello stato)
- Indagini su reclami relativi a entità e soci in affari
- Verifiche di conformità HIPAA
Anche quando una violazione dei dati non comporta una violazione HIPAA o un reclamo si rivela infondato, lOCR può scoprire violazioni HIPAA non correlate che potrebbero giustificare una sanzione finanziaria.
Cosa sono le 10 violazioni HIPAA più comuni?
Di seguito sono elencate 10 delle violazioni HIPAA più comuni, insieme ad esempi di entità coperte da HIPAA e soci in affari che sono stati scoperti per essere in violazione delle norme HIPAA e hanno ha dovuto risolvere tali violazioni con lOCR e i procuratori generali dello stato. In molti casi, le indagini hanno scoperto molteplici violazioni HIPAA. Gli importi della liquidazione riflettono la gravità della violazione, il periodo di tempo in cui la violazione è stata autorizzata a persistere, il numero di violazioni identificate e la posizione finanziaria dellentità coperta / socio in affari.
Snooping on Healthcare Documenti
Laccesso alle cartelle cliniche dei pazienti per motivi diversi da quelli consentiti dalla Regola sulla privacy – trattamento, pagamento e operazioni sanitarie – è una violazione della privacy del paziente. Snooping sulle cartelle cliniche di familiari, amici, vicini, colleghi e celebrità è una delle violazioni HIPAA più comuni commesse dai dipendenti. Quando vengono scoperte, queste violazioni di solito comportano la cessazione del rapporto di lavoro, ma potrebbero anche comportare accuse penali per il dipendente interessato. Le sanzioni finanziarie per le organizzazioni sanitarie che non sono riuscite a prevenire lo spionaggio sono relativamente rare, ma sono possibili come scoperto dal sistema sanitario dellUniversità della California di Los Angeles.
Il sistema sanitario dellUniversità della California di Los Angeles è stato multato di $ 865.000 per non aver rispettato accesso alle cartelle cliniche. Loperatore sanitario è stato indagato in seguito alla scoperta che un medico aveva avuto accesso alle cartelle cliniche di celebrità e altri pazienti senza autorizzazione. Il dottor Huping Zhou ha avuto accesso ai registri dei pazienti senza autorizzazione 323 volte dopo aver appreso che presto sarebbe stato licenziato. Il dottor Zhou è diventato il primo dipendente sanitario a essere incarcerato per una violazione HIPAA ed è stato condannato a quattro mesi in una prigione federale.
Mancata esecuzione di unanalisi dei rischi a livello di organizzazione
Il fallimento eseguire unanalisi dei rischi a livello di organizzazione è una delle violazioni HIPAA più comuni che si traducono in una sanzione finanziaria.Se lanalisi dei rischi non viene eseguita regolarmente, le organizzazioni non saranno in grado di determinare se esistono vulnerabilità alla riservatezza, integrità e disponibilità di PHI. È quindi probabile che i rischi rimangano irrisolti, lasciando la porta spalancata agli hacker.
Gli accordi HIPAA con le entità coperte per la mancata conduzione di una valutazione dei rischi a livello di organizzazione includono:
- Premera Blue Cross – $ 6.850.000 di liquidazione per analisi del rischio e errori di gestione del rischio e altre potenziali violazioni HIPAA
- Piano sanitario Excellus – $ 5.100.000 di liquidazione per analisi del rischio e errori di gestione del rischio e altre potenziali violazioni HIPAA
- Oregon Health & Science University – $ 2,7 milioni di liquidazione per la mancanza di unanalisi del rischio a livello aziendale.
- Cardionet – $ 2,5 milioni di liquidazione per un rischio incompleto analisi e mancanza di processi di gestione del rischio.
- Cancer Care Group – $ 750.000 di risarcimento per la mancata conduzione di unanalisi dei rischi a livello aziendale.
- Lahey Hospital and Medical Center – $ 850.000 di risarcimento per il mancata conduzione di una valutazione del rischio a livello di organizzazione e ot le sue violazioni HIPAA.
- Steven A. Porter, MD – penale di $ 100.000 per analisi del rischio e errori di gestione del rischio.
Mancata gestione dei rischi per la sicurezza / Mancanza di una gestione del rischio Processo
Lesecuzione di unanalisi dei rischi è essenziale, ma non è solo una casella di controllo per la conformità. I rischi individuati devono poi essere sottoposti a un processo di gestione del rischio. Dovrebbero essere prioritizzati e affrontati in un lasso di tempo ragionevole. Conoscere i rischi per PHI e non riuscire ad affrontarli una delle più comuni violazioni HIPAA penalizzate dallUfficio per i diritti civili.
Gli accordi HIPAA con entità coperte per la mancata gestione dei rischi identificati includono:
- Dipartimento della sanità e dei servizi sociali dellAlaska – Penalità di $ 1,7 milioni per la mancata esecuzione dellanalisi del rischio e degli errori di gestione del rischio.
- University of Massachusetts Amherst (UMass) – $ 650.000 di penalità per errori di gestione del rischio .
- Metro Community Provider Network – $ 400.000 di penalità per errori di gestione del rischio.
- Anchorage Community Mental Health Services – $ 150.000 di penalità per la mancata gestione del rischio per ePHI.
Negare ai pazienti laccesso alle cartelle cliniche / Tempi eccessivi per fornire laccesso
La normativa sulla privacy HIPAA offre ai pazienti il diritto di accedere alle loro cartelle cliniche e ottenerne copie su richiesta. Ciò consente ai pazienti di verificare la presenza di errori nei propri record e di condividerli con altre entità e individui. Negare ai pazienti le copie delle loro cartelle cliniche, far pagare le copie o non fornire tali cartelle entro 30 giorni è una violazione dellHIPAA. LOCR ha reso le violazioni del diritto di accesso HIPAA uno dei suoi principali obiettivi di applicazione alla fine del 2019.
Gli accordi HIPAA con entità coperte per negare ai pazienti laccesso ai propri record o ritardi non necessari nel fornire laccesso includono:
- Cignet Health of Prince Georges County – $ 4.300.000 di multa per aver negato ai pazienti laccesso alle loro cartelle cliniche.
- Banner Health – $ 200.000 di penalità per risposta ritardata alla richiesta del paziente di una copia della loro cartella clinica.
- Dignity Health, dba St.Josephs Hospital and Medical Center – $ 160.000 di penalità per risposta ritardata alla richiesta del paziente di una copia della cartella clinica.
- NY Spine – $ 100.000 di penalità per risposta ritardata al paziente richiesta di una copia delle loro cartelle cliniche.
- Beth Israel Lahey Health Behavioral Services – Penale di $ 70.000 per risposta ritardata alla richiesta del paziente di una copia della propria cartella clinica.
- University of Cincinnati Medical Centro – $ 65.000 di penalità per de ha presentato una risposta alla richiesta del paziente per una copia della propria cartella clinica.
- Housing Works Inc – $ 38.000 di penale per risposta ritardata alla richiesta del paziente di una copia della propria cartella clinica.
- Peter Wrobel, MD, PC, dba Elite Primary Care – $ 36.000 di penalità per risposta ritardata alla richiesta del paziente di una copia della cartella clinica.
- Riverside Psychiatric Medical Group – $ 25.000 di penalità per risposta ritardata alla richiesta del paziente di una copia cartelle cliniche.
- Dr. Rajendra Bhayani – penale di $ 15.000 per risposta ritardata alla richiesta del paziente di una copia della cartella clinica.
- All Inclusive Medical Services Inc – penale di $ 15.000 per risposta ritardata a richiesta del paziente di una copia della propria cartella clinica.
- Wise Psychiatry, PC – penale di $ 10.000 per risposta ritardata alla richiesta del paziente di una copia della propria cartella clinica.
- King MD – penale di $ 3.500 per ritardata risposta alla richiesta del paziente di una copia del proprio certificato medico ecords.
Mancata stipula di un contratto di società in affari conforme a HIPAA
La mancata stipula di un contratto di società in affari conforme a HIPAA con tutti i fornitori forniti o forniti laccesso a PHI è unaltra delle violazioni HIPAA più comuni. Anche quando vengono stipulati accordi di società in affari per tutti i fornitori, potrebbero non essere conformi HIPAA, soprattutto se non sono stati rivisti dopo la Regola finale omnibus.
Gli accordi notevoli per queste violazioni HIPAA comuni includono:
- Clinica ortopedica di Raleigh, PA della Carolina del Nord – Accordo di $ 750.000 per la mancata esecuzione di un contratto di società in affari conforme allHIPAA.
- North Memorial Health Care del Minnesota – Accordo di $ 1,55 milioni per non aver stipulato un BAA con un importante appaltatore e altri HIPAA violazioni.
- Care New England Health System – $ 400.000 di risarcimento per il mancato aggiornamento dei contratti di soci in affari
Controlli di accesso ePHI insufficienti
La sicurezza HIPAA La regola richiede che le entità coperte e i loro soci in affari limitino laccesso a ePHI alle persone autorizzate. La mancata implementazione dei controlli di accesso ePHI appropriati è anche una delle violazioni HIPAA più comuni e ha attirato diverse sanzioni finanziarie.
Le sanzioni pecuniarie emesse alle entità coperte per i fallimenti del controllo di accesso ePHI includono:
- Anthem Inc. – Penalità di $ 16.000.000 per errori di controllo degli accessi e altre gravi violazioni HIPAA.
- Memorial Healthcare System – Penalità di $ 5.500.000 per controlli di accesso ePHI insufficienti.
- Dipartimento del Texas of Aging and Disability Services – $ 1.600.000 di penalità per errori di analisi del rischio, errori di controllo degli accessi e errori di monitoraggio del sistema informativo.
- Sistema sanitario dellUniversità della California di Los Angeles – $ 865.500 di penalità per la mancata limitazione dellaccesso alle cartelle cliniche.
- Pagosa Springs Medical Center – Penale di $ 111.400 per la mancata interruzione dellaccesso a ePHI dopo la cessazione di un dipendente e la mancanza di un contratto di socio in affari.
Mancato utilizzo della crittografiao una misura equivalente per salvaguardare lePHI sui dispositivi portatili
Uno dei metodi più efficaci per prevenire le violazioni dei dati è crittografare i PHI. Le violazioni di PHI crittografate non sono incidenti di sicurezza segnalabili a meno che non venga rubata anche la chiave per decrittografare i dati. La crittografia non è obbligatoria secondo le regole HIPAA, ma non può essere ignorata. Se si decide di non utilizzare la crittografia, al suo posto deve essere utilizzata una misura di sicurezza alternativa equivalente.
Recenti accordi per la mancata salvaguardia dei PHI includono:
- Childrens Medical Center di Dallas – $ 3,2 milioni di sanzione pecuniaria civile per non aver intrapreso azioni per affrontare i rischi noti, incluso il mancato utilizzo della crittografia su dispositivi portatili.
- Catholic Health Care Services of the Archdiocese of Philadelphia – $ 650.000 insediamento per il mancato utilizzo della crittografia, lincapacità di condurre unanalisi dei rischi a livello aziendale e di gestire i rischi.
- Entità coperta affiliata a Lifespan Health System – $ 1.040.000 di penalità per la mancata crittografia dei dati e di dispositivi e supporti controlli, con conseguente divulgazione inammissibile di 20.431 ePHI dei pazienti
Superamento del termine di 60 giorni per lemissione di notifiche di violazione
La regola di notifica di violazione HIPAA richiede che le entità coperte emettano notifiche di violazioni senza ritardi non necessari, e certamente non oltre 60 giorni dalla scoperta di una violazione dei dati. Il superamento di tale lasso di tempo è una delle violazioni HIPAA più comuni, che ha visto due sanzioni emesse questanno:
- Presence Health – $ 475.000 di liquidazione per aver ritardato lemissione di notifiche di violazione di un mese.
- CoPilot Provider Support Services Inc. – Accordo di $ 130.000 con il procuratore generale di New York per notifiche di violazione ritardate.
Divulgazione inammissibile di informazioni sanitarie protette
Qualsiasi divulgazione di le informazioni sanitarie protette che non sono consentite dalla normativa sulla privacy HIPAA possono incorrere in una sanzione pecuniaria. Questa categoria di violazione include la divulgazione di PHI al datore di lavoro di un paziente, potenziali divulgazioni a seguito di furto o perdita di computer portatili non crittografati, gestione incauta di PHI, divulgazione di PHI inutilmente, non aderenza allo standard “ minimo necessario e divulgazione di PHI dopo le autorizzazioni del paziente scaduto.
Gli accordi per divulgazioni inammissibili di PHI includono:
- Memorial Hermann Health System – $ 2,4 milioni di risarcimento per la divulgazione di PHI di un paziente in un comunicato stampa.
- New York Presbyterian Hospital – $ 2.200.000 di penalità per aver filmato pazienti senza consenso.
- Massachusetts General Hospital – $ 515.000 di penalità per aver filmato pazienti senza consenso.
- Lukes-Roosevelt Hospital Center – $ 387.000 di risarcimento per il trattamento incauto delle PHI / Divulgazione dello stato di HIV di un paziente al proprio datore di lavoro.
- Brigham and Womens Hospital – $ 384.000 di penalità per le riprese di pazienti senza consenso .
- Boston Medical Center – penale di $ 100.000 per aver filmato pazienti senza consenso.
Smaltimento improprio di PHI
Quando PHI fisico ed ePHI non sono più richiesto e i periodi di conservazione sono scaduti, le regole HIPAA richiedono che le informazioni vengano distrutte in modo sicuro e permanente. Per i registri cartacei ciò potrebbe comportare la triturazione o la polpa e per lePHI, la smagnetizzazione, la pulizia sicura o la distruzione dei dispositivi elettronici su cui è archiviato lePHI per impedire divulgazioni non consentite.
Sanzioni pecuniarie emesse a soggetti coperti per smaltimento improprio. di PHI / ePHI includono:
- Parkview Health – $ 800.000 di penalità per il mancato smaltimento in sicurezza di documenti cartacei contenenti PHI.
- Cornell Prescription Pharmacy – $ 125.000 di penalità per lo smaltimento improprio di PHI.
- FileFax Inc. – Penalità di $ 100.000 per unattività defunta per smaltimento improprio di cartelle cliniche.
Violazioni HIPAA comuni da parte di dipendenti sanitari
Lo snooping nei documenti sanitari è una violazione HIPAA abbastanza ovvia e che tutti i dipendenti sanitari che hanno ricevuto una formazione HIPAA dovrebbero sapere che è una violazione delle politiche del loro datore di lavoro e delle regole HIPAA.
Altre violazioni HIPAA comuni spesso si verificano come un risultato di incomprensioni su HIPAA requisiti. Sebbene ciascuna di queste comuni violazioni HIPAA colpisca un numero di pazienti molto inferiore rispetto alle violazioni di cui sopra, possono comunque causare una quantità significativa di danni: ai pazienti coinvolti e al loro datore di lavoro. Possono anche comportare azioni disciplinari nei confronti del dipendente responsabile, incluso il licenziamento.
Di seguito sono elencate alcune delle violazioni HIPAA comuni commesse dai dipendenti sanitari. Queste comuni violazioni HIPAA dovrebbero essere coperte come parte della formazione HIPAA fornita ai dipendenti per sensibilizzare su queste frequenti aree di non conformità.
Invio di ePHI ad account di posta elettronica personali e rimozione di PHI da una struttura sanitaria
Può essere difficile trovare il tempo per completare tutte le attività necessarie durante lorario di lavoro e si può essere tentati di portare a termine il lavoro a casa. La rimozione di informazioni sanitarie protette da una struttura sanitaria pone tali informazioni a rischio di esposizione. Questa è una violazione HIPAA comune da parte dei dipendenti e può anche essere una pratica di routine in una struttura sanitaria a corto di personale. Ciò non significa che sia una pratica accettabile.
Lo stesso vale per linvio di ePHI agli account di posta elettronica personali. Indipendentemente dalle intenzioni, che si tratti di ottenere aiuto con fogli di calcolo, completare il lavoro a casa per andare avanti per il giorno successivo o recuperare un ritardo, si tratta di una violazione delle regole HIPAA. Inoltre, qualsiasi invio di posta elettronica di ePHI a un account di posta elettronica personale potrebbe essere considerato un furto, le cui ripercussioni potrebbero essere molto più gravi della risoluzione di un contratto di lavoro.
Lasciando incustoditi dispositivi elettronici portatili e documenti
La regola di sicurezza HIPAA richiede che PHI ed ePHI siano sempre protetti. Se la documentazione viene lasciata incustodita, potrebbe essere visualizzata da una persona non autorizzata, che si tratti di un membro del personale, di un paziente o di un visitatore della struttura sanitaria. Se ciò accadesse, sarebbe considerata uninammissibile divulgazione di PHI.
I dispositivi elettronici che contengono ePHI devono essere protetti in modo simile in ogni momento. I dispositivi elettronici sono portatili e preziosi. I ladri opportunisti potrebbero facilmente rubare un dispositivo incustodito e ottenere laccesso a ePHI. Ci sono stati molti casi di dipendenti sanitari che hanno rimosso dispositivi non crittografati dalle strutture sanitarie, solo per essere rubati dai veicoli o dalle case. Il furto può anche verificarsi facilmente allinterno di una struttura sanitaria se i dispositivi non sono protetti. I dipendenti sanitari devono garantire che le politiche del loro datore di lavoro siano seguite e le regole HIPAA non vengano violate lasciando incustoditi dispositivi e documenti.
Rilascio delle informazioni sul paziente a una persona non autorizzata
Deve essere necessario un modulo di autorizzazione ottenuti da un paziente prima che una qualsiasi delle sue PHI possa essere divulgata a terzi per uno scopo diverso da quello espressamente consentito dalla normativa sulla privacy HIPAA. La divulgazione di PHI per scopi diversi dal trattamento, dal pagamento per lassistenza sanitaria o dalle operazioni sanitarie (e altri casi limitati) è una violazione HIPAA se lautorizzazione non è stata ricevuta dal paziente in anticipo.
I dipendenti sanitari devono assicurarsi che prima per divulgare PHI a terzi che lautorizzazione è stata ottenuta dal paziente e le informazioni non vengono divulgate a nessun individuo o azienda che non sia incluso nel modulo di autorizzazione. I moduli di autorizzazione sono validi solo se sono stati firmati dal paziente o dal suo rappresentante designato.
Rilascio di informazioni sul paziente senza autorizzazione
In modo simile al punto precedente, anche i dipendenti sanitari devono prestare attenzione ai tipi di informazioni che vengono rilasciate a terzi, anche se unautorizzazione è stato ricevuto un modulo che consente a un individuo, unazienda o unorganizzazione specifica di ricevere PHI.
Il modulo di autorizzazione deve includere i tipi di informazioni che sono stati autorizzati a essere rilasciati. Qualsiasi informazione non dettagliata nel modulo di autorizzazione deve rimanere privata e riservata e non deve essere condivisa. La divulgazione di informazioni aggiuntive violerebbe la normativa sulla privacy HIPAA.
Divulgazione di PHI a terzi dopo la scadenza di unautorizzazione
Tutti i moduli di autorizzazione HIPAA devono includere i nomi o le classi di individui che sono autorizzati a ricevere PHI, i tipi di PHI che verranno divulgati e i motivi delle divulgazioni. Devono inoltre includere una data di scadenza per lautorizzazione.
PHI non deve essere divulgato a nessun individuo elencato nel modulo di autorizzazione dopo che la data di scadenza è trascorsa, anche se lautorizzazione è stata precedentemente concessa a tale entità a ricevere PHI. È necessario un nuovo modulo di autorizzazione prima di qualsiasi ulteriore divulgazione. Va inoltre notato che un modulo di autorizzazione senza una data di scadenza non è conforme a HIPAA.
Divulgazione inammissibile delle cartelle cliniche dei pazienti
La normativa sulla privacy HIPAA consente ai pazienti di ottenere una copia del proprio cartelle cliniche su richiesta o fornire le loro cartelle a una terza parte designata come un rappresentante personale o altra persona. Se non vengono ritirati di persona dal paziente, la terza parte deve aver ricevuto lautorizzazione dal paziente – su un modulo di autorizzazione HIPAA – a ricevere le registrazioni prima che possano essere rilasciate.
Prima di fornire copie del paziente cartelle cliniche, il personale sanitario deve verificare lidentità del paziente o della persona che raccoglie le cartelle e deve garantire che le cartelle vengano rilasciate solo a una persona autorizzata a riceverle. È inoltre necessario prestare attenzione per garantire che vengano rilasciati i record del paziente corretto.
Download di PHI su dispositivi non autorizzati
Può essere difficile per i reparti IT sanitari tenere traccia di tutti i dispositivi che si connettono alla rete, dato il numero di dispositivi diversi che hanno accesso alla rete. Garantire che questi dispositivi siano protetti può essere un problema ancora più grande, ma questo è un requisito per la conformità HIPAA.
I dipendenti devono essere consapevoli che esistono rischi per la privacy e la sicurezza associati al download di ePHI su dispositivi elettronici portatili non autorizzati. Ciò non solo aumenta il rischio di una divulgazione accidentale di ePHI – in caso di smarrimento o furto del dispositivo – potrebbe anche essere considerato un furto e una violazione HIPAA.
Fornire accesso non autorizzato alle cartelle cliniche
È responsabilità dellente coperto garantire che laccesso alle informazioni sanitarie e alle cartelle cliniche dei pazienti sia concesso solo a persone autorizzate. Ciò si ottiene implementando controlli di accesso tramite login univoci.
I dipendenti hanno la responsabilità di garantire che non diano accesso alle informazioni sanitarie ai colleghi che molti non hanno gli stessi diritti di accesso. La condivisione delle credenziali di accesso potrebbe non solo comportare una divulgazione inammissibile di ePHI, ma qualsiasi azione intrapresa da quel dipendente sarebbe attribuita alla persona le cui credenziali di accesso sono state utilizzate per ottenere laccesso.
Domande frequenti
Cosa significa “ridurre il rischio a un livello appropriato e accettabile”?
Quando vengono identificati potenziali rischi e vulnerabilità, le entità coperte e i soci in affari devono decidere quali misure implementare in base alle dimensioni, complessità e capacità delle organizzazioni, le misure esistenti già in atto e il costo di implementazione di ulteriori misure in relazione alla probabilità di una violazione dei dati e allentità del danno che potrebbe causare.
Comè È possibile impedire ai dipendenti di ficcare il naso nelle cartelle cliniche?
Sebbene molti casi di spionaggio sanitario siano attribuibili alla curiosità piuttosto che a intenti dannosi, tutti i casi di spionaggio sanitario sono violazioni dellHIPAA. Per impedire ai dipendenti di ficcare il naso sullassistenza sanitaria record, le entità interessate dovrebbero implementare un programma di formazione, garantire che i privilegi di accesso siano conformi allo standard minimo necessario, attivare i log di audit e applicare sanzioni.
Se la crittografia non è obbligatoria, come può essere una violazione HIPAA se i record non sono crittografati?
Sebbene la crittografia non sia obbligatoria, è una specifica di implementazione indirizzabile della regola di sicurezza. Ciò significa che le organizzazioni possono evitare di implementare il requisito solo se non è ragionevole e appropriato alle circostanze o se una misura di sicurezza alternativa è altrettanto efficace. Se le organizzazioni non riescono a implementare la crittografia, devono documentarne i motivi.
Perché la multa per negare ai pazienti laccesso alle cartelle cliniche è stata così alta?
In questo caso particolare, la mancata collaborazione dellente coperto ha contribuito allentità della multa (tu può leggere sul caso qui). Da questo caso, il programma di utilizzo significativo del CMS si è evoluto nel programma di promozione dellinteroperabilità e, oltre a essere sanzionato per una violazione HIPAA, qualsiasi entità coperta che non fornisse le cartelle cliniche in modo tempestivo potrebbe ora perdere anche una percentuale del proprio Pagamenti Medicare.