주의해야 할 가장 일반적인 HIPAA 위반

재정적 처벌을 초래 한 가장 일반적인 HIPAA 위반은 기밀성, 무결성에 대한 위험을 식별하기 위해 조직 전체의 위험 분석을 수행하지 않는 것입니다. , 보호 된 건강 정보 (PHI)의 가용성; HIPAA 준수 사업 제휴 계약을 체결하지 않은 경우 PHI의 허용되지 않는 공개; 지연된 위반 알림; 및 PHI를 보호하지 못했습니다.

보건 복지부 시민권 사무국 (OCR)이 추구하는 합의는 HIPAA 규칙의 중대한 위반에 대한 것입니다. HIPAA 규칙의 특정 측면을 준수해야 할 필요성에 대한 인식을 높이기 위해 일반적인 HIPAA 위반 사항을 강조하기위한 합의도 추구됩니다.

이 기사에서는 해당 대상과 합의를 이끌어 낸 가장 일반적인 HIPAA 위반 5 가지를 다룹니다. 지난 몇 년간 비즈니스 동료들과 협력했습니다.

데이터 침해는 HIPAA 위반입니까?

데이터 침해는 이제 현실이되었습니다. 다 계층 사이버 보안 방어를 사용하더라도 데이터 침해는 수시로 발생할 가능성이 있습니다. OCR은 의료 기관이 사이버 범죄자의 표적이되며 난공불락의 보안 방어를 구현할 수 없음을 알고 있습니다.

HIPAA를 준수한다는 것은 데이터 침해가 발생하지 않도록하는 것이 아닙니다. HIPAA 규정 준수는 위험을 적절하고 허용 가능한 수준으로 줄이는 것입니다. 조직에서 데이터 유출이 발생했다고해서 HIPAA 위반으로 인한 것이 아니라는 의미는 아닙니다.

이제 OCR 유출 포털은이를 더 명확하게 반영합니다. 많은 데이터 위반이 OCR에 의해 조사되고 HIPAA 규칙 위반과 관련이없는 것으로 밝혀졌습니다. 결과적으로 조사는 아무런 조치도 취하지 않고 종료됩니다.

HIPAA 위반은 어떻게 발견됩니까?

HIPAA 위반은 발견되기까지 수개월 또는 수년 동안 계속 될 수 있습니다. 오래 지속 될수록 결국 발견 될 때 더 많은 벌금이 부과됩니다. 따라서 HIPAA가 적용되는 주체가 정기적 인 HIPAA 규정 준수 검토를 수행하여 HIPAA 위반이 규제 기관에 의해 식별되기 전에 발견되고 수정되었는지 확인하는 것이 중요합니다.

HIPAA 위반을 발견하는 주요 방법은 세 가지입니다.

1. OCR (또는 주 법무 장관)의 데이터 침해 조사
2. 해당 법인 및 비즈니스 동료에 대한 불만 조사
3. HIPAA 규정 준수 감사

li>

데이터 유출이 HIPAA 위반을 포함하지 않거나 불만이 근거가없는 것으로 입증 되더라도 OCR은 재정적 처벌을받을 수있는 관련없는 HIPAA 위반을 발견 할 수 있습니다.

What 가장 일반적인 HIPAA 위반 10 가지는 무엇입니까?

아래에는 HIPAA 규정을 위반하는 것으로 밝혀진 HIPAA 적용 법인 및 비즈니스 동료의 예와 함께 가장 일반적인 HIPAA 위반 10 가지가 나와 있습니다. OCR 및 주 검찰 총장에게 이러한 위반 사항을 해결해야했습니다. 많은 경우 조사를 통해 여러 HIPAA 위반이 발견되었습니다. 정산 금액은 위반의 심각성, 위반이 지속되도록 허용 된 기간, 식별 된 위반 횟수 및 해당 법인 / 사업 직원의 재무 상태를 반영합니다.

헬스 케어에 대한 스누핑 기록

개인 정보 보호 규칙 (치료, 지불 및 의료 운영)이 허용하는 것 이외의 이유로 환자의 건강 기록에 액세스하는 것은 환자의 개인 정보를 침해하는 것입니다. 가족, 친구, 이웃, 동료 및 유명인의 의료 기록을 스누핑하는 것은 직원이 저지르는 가장 일반적인 HIPAA 위반 중 하나입니다. 이러한 위반 사항이 발견되면 일반적으로 해고로 이어지지 만 해당 직원에게 형사 고발을 초래할 수도 있습니다. 스누핑을 방지하지 못한 의료 기관에 대한 재정적 벌금은 비교적 드물지만 캘리포니아 대학교 로스 앤젤레스 보건 시스템이 발견 한 바에 따라 가능합니다.

캘리포니아 대학교 로스 앤젤레스 보건 시스템은 제한하지 않아 $ 865,000의 벌금이 부과됩니다. 의료 기록에 대한 접근. 의료 서비스 제공자는 의사가 허가없이 유명인 및 기타 환자의 의료 기록에 액세스 한 사실을 발견 한 후 조사되었습니다. Huping Zhou 박사는 그가 곧 해고 될 것이라는 사실을 알고 323 번 승인없이 환자의 기록에 접근했습니다. Zhou 박사는 HIPAA 위반으로 수감 된 최초의 의료 직원이되었고 연방 교도소에서 4 개월의 징역형을 선고 받았습니다.

조직 차원의 위험 분석 실패

실패 조직 전체의 위험 분석을 수행하는 것은 재정적 불이익을 초래하는 가장 일반적인 HIPAA 위반 중 하나입니다.위험 분석이 정기적으로 수행되지 않으면 조직은 PHI의 기밀성, 무결성 및 가용성에 대한 취약성이 존재하는지 여부를 확인할 수 없습니다. 따라서 위험은 해결되지 않은 채로 유지되어 해커에게 문이 활짝 열려 있습니다.

조직 전체의 위험 평가를 수행하지 않은 경우 해당 기관과의 HIPAA 합의에는 다음이 포함됩니다.

• Premera Blue Cross – 위험 분석 및 위험 관리 실패 및 기타 잠재적 인 HIPAA 위반에 대한 $ 6,850,000 정산
• Excellus Health Plan – 위험 분석 및 위험 관리 실패 및 기타 잠재적 인 HIPAA 위반에 대한 $ 5,100,000 정산
• Oregon Health & Science University – 전사적 위험 분석 부족에 대한 270 만 달러 합의
• Cardionet – 불완전한 위험에 대한 250 만 달러 합의 분석 및 위험 관리 프로세스 부족.
• Cancer Care Group – 전사적 위험 분석 수행 실패에 대한 $ 750,000 정산
• Lahey 병원 및 의료 센터 – $ 850,000 정산 조직 전체의 위험 평가를 수행하지 않고 그녀의 HIPAA 위반.
• Steven A. Porter, MD – 위험 분석 및 위험 관리 실패에 대한 벌금 $ 100,000.

보안 위험 관리 실패 / 위험 관리 부족 프로세스

위험 분석 수행은 필수적이지만 준수를위한 체크 박스 항목이 아닙니다. 식별 된 위험은 위험 관리 프로세스를 거쳐야합니다. 우선 순위를 정하고 합리적인 시간 내에 해결해야합니다. PHI에 대한 위험에 대해 알고이를 해결하지 못하는 것은 민권 국이 처벌하는 가장 일반적인 HIPAA 위반 중 하나입니다.

확인 된 위험을 관리하지 않은 경우 해당 기관과의 HIPAA 합의에는 다음이 포함됩니다.

• 알래스카 보건 복지부 – 위험 분석 및 위험 관리 실패에 대한 벌금 170 만 달러
• University of Massachusetts Amherst (UMass) – 위험 관리 실패에 대한 벌금 $ 650,000 .
• Metro Community Provider Network – 위험 관리 실패에 대한 벌금 $ 400,000.
• 앵커리지 커뮤니티 정신 건강 서비스 – ePHI에 대한 위험 관리 실패에 대한 벌금 $ 150,000

환자의 건강 기록에 대한 접근 거부 / 접근 제공을위한 기간 초과

HIPAA 개인 정보 보호 규칙은 환자에게 의료 기록에 접근하고 요청시 사본을 얻을 수있는 권리를 부여합니다. 이를 통해 환자는 자신의 기록에 오류가 있는지 확인하고이를 다른 기관 및 개인과 공유 할 수 있습니다. 환자의 건강 기록 사본을 거부하거나 사본을 과도하게 청구하거나 30 일 이내에 해당 기록을 제공하지 않는 것은 HIPAA를 위반하는 것입니다. OCR은 2019 년 말에 HIPAA 접근 권한 위반을 주요 시행 목표 중 하나로 만들었습니다.

환자의 기록에 대한 접근을 거부하거나 접근을 제공하는 데 불필요한 지연에 대한 HIPAA 합의에는 다음이 포함됩니다.

• 프린스 조지 카운티의 Cignet Health – 환자의 의료 기록 접근을 거부하는 것에 대한 벌금 $ 4,300,000.
• Banner Health – 환자의 의료 기록 사본 요청에 대한 지연된 응답에 대한 벌금 $ 200,000.
• Dignity Health, dba St. Joseph s Hospital and Medical Center – 환자의 의료 기록 사본 요청에 대한 응답 지연에 대한 벌금 $ 160,000.
• NY Spine – 환자에 대한 지연 응답에 대한 벌금 $ 100,000 의료 기록 사본을 요청하십시오.
• Beth Israel Lahey Health Behavioral Services – 환자의 의료 기록 사본 요청에 대한 지연 응답에 대한 벌금 $ 70,000
• University of Cincinnati Medical 센터 – de에 대한 벌금 $ 65,000 환자의 의료 기록 사본 요청에 대한 응답.
• Housing Works Inc – 환자의 의료 기록 사본 요청에 대한 지연 응답에 대한 벌금 $ 38,000
• Peter Wrobel, MD, PC, dba Elite Primary Care – 환자의 의료 기록 사본 요청에 대한 지연된 응답에 대한 벌금 $ 36,000.
• Riverside Psychiatric Medical Group – 환자의 의료 기록 사본 요청에 대한 지연된 응답에 대한 벌금 $ 25,000 의료 기록.
• Rajendra Bhayani 박사 – 환자의 의료 기록 사본 요청에 대한 지연 응답에 대한 벌금 $ 15,000.
• All Inclusive Medical Services Inc – 응답 지연에 대한 벌금 $ 15,000 환자의 의료 기록 사본 요청
• Wise Psychiatry, PC – 환자의 의료 기록 사본 요청에 대한 지연된 응답에 대한 벌금 $ 10,000
• King MD – 벌금 $ 3,500 환자의 의료 기록 사본 요청에 대한 지연된 응답 ecords.

HIPAA 준수 비즈니스 제휴 계약 체결 실패

제공되거나 제공된 모든 공급 업체와 HIPAA 준수 비즈니스 제휴 계약 체결 실패 PHI에 대한 액세스는 가장 일반적인 HIPAA 위반 중 하나입니다. 모든 공급 업체에 대해 비즈니스 제휴 계약이 체결 된 경우에도 특히 옴니버스 최종 규칙 이후에 수정되지 않은 경우 HIPAA를 준수하지 않을 수 있습니다.

이러한 일반적인 HIPAA 위반에 대한 주목할만한 합의는 다음과 같습니다.

• 펜실베이니아 주 롤리 정형 외과 클리닉 노스 캐롤라이나 주 – HIPAA 준수 사업 제휴 계약을 이행하지 않은 것에 대한 $ 750,000 합의.
• Minnesota의 North Memorial Health Care – 주요 계약 업체 및 기타 HIPAA와 BAA를 체결하지 않은 것에 대한 $ 1.55 백만 합의
• Care New England Health System – 비즈니스 제휴 계약 업데이트 실패에 대한 $ 400,000 합의

불충분 한 ePHI 액세스 제어

HIPAA 보안 규칙에 따라 적용 대상 및 해당 비즈니스 동료는 ePHI에 대한 액세스를 승인 된 개인으로 제한해야합니다. 적절한 ePHI 액세스 제어를 구현하지 못하는 것은 또한 가장 일반적인 HIPAA 위반 중 하나이며 여러 가지 재정적 처벌을받은 것이기도합니다.

ePHI 액세스 제어 실패에 대해 적용 대상 주체에 부과되는 재정적 처벌은 다음과 같습니다.

• Anthem Inc. – 액세스 제어 실패 및 기타 심각한 HIPAA 위반에 대한 벌금 $ 16,000,000.
• Memorial Healthcare System – 불충분 한 ePHI 액세스 제어에 대한 벌금 $ 5,500,000.
• 텍사스 주 노인 및 장애 서비스 – 위험 분석 실패, 액세스 제어 실패 및 정보 시스템 모니터링 실패에 대한 $ 1,600,000 벌금.
• 캘리포니아 대학교 로스 앤젤레스 보건 시스템 – 의료 기록에 대한 액세스 제한 실패에 대한 벌금 $ 865,500.
• Pagosa Springs Medical Center – 직원 해고 및 비즈니스 제휴 계약 부재 후 ePHI에 대한 액세스를 해지하지 않은 경우 벌금 $ 111,400.

암호화 사용 실패또는 휴대용 장치에서 ePHI를 보호하기위한 동등한 조치

데이터 침해를 방지하는 가장 효과적인 방법 중 하나는 PHI를 암호화하는 것입니다. 암호화 된 PHI의 위반은 데이터를 해독하는 키도 도난 당하지 않는 한보고 할 수있는 보안 사고가 아닙니다. 암호화는 HIPAA 규칙에서 필수는 아니지만 무시할 수 없습니다. 암호화를 사용하지 않기로 결정한 경우 그 대신 동등한 대체 보안 조치를 사용해야합니다.

PHI 보호 실패에 대한 최근 합의에는 다음이 포함됩니다.

• 달라스 어린이 의료 센터 – 휴대용 장치에서 암호화 사용 실패를 포함하여 알려진 위험을 해결하기위한 조치를 취하지 않은 것에 대한 민사상 벌금 320 만 달러
• 필라델피아 대교구의 가톨릭 의료 서비스 – $ 650,000 합의 암호화 사용 실패, 전사적 위험 분석 수행 실패 및 위험 관리 실패
• Lifespan Health System 제휴 대상 – 데이터 및 장치 및 미디어 암호화 실패에 대한 벌금 $ 1,040,000 통제를 통해 20,431 명의 환자의 ePHI를 허용 할 수없는 공개

위반 알림을 발행하기위한 60 일 기한 초과

HIPAA 위반 알림 규칙은 적용 대상이 발행하도록 요구합니다. 위반에 대한 알림없이 불필요한 지연 및 데이터 유출 발견 후 60 일 이내 이 기간을 초과하는 것은 가장 일반적인 HIPAA 위반 중 하나이며, 올해 두 가지 벌금이 부과되었습니다.

• Presence Health – 한 달까지 위반 알림 발행을 연기 한 것에 대한 $ 475,000 정산
  • li>
  • CoPilot Provider Support Services Inc. – 지연된 위반 통지에 대해 NY 법무 장관과 $ 130,000 합의.

  보호 된 건강 정보의 허용되지 않는 공개

  HIPAA 개인 정보 보호 규칙에 따라 허용되지 않는 보호 된 건강 정보는 재정적 처벌을받을 수 있습니다. 이 위반 카테고리에는 환자의 고용주에게 PHI 공개, 암호화되지 않은 랩톱 컴퓨터의 도난 또는 분실에 따른 잠재적 공개, PHI의 부주의 한 취급, 최소 필요표준을 준수하지 않고 불필요하게 PHI 공개, 환자 승인 후 PHI 공개가 포함됩니다. 만료되었습니다.

  허용되지 않는 PHI 공개에 대한 합의에는 다음이 포함됩니다.

  • Memorial Hermann Health System – 보도 자료에 환자의 PHI를 공개 한 것에 대한 240 만 달러 합의
  • New York Presbyterian Hospital – 동의없이 환자를 촬영하면 $ 2,200,000 벌금.
  • Massachusetts General Hospital – 동의없이 환자를 촬영하면 $ 515,000 벌금.
  • Lukes-Roosevelt 병원 센터 – PHI의 부주의 한 처리에 대한 $ 387,000 정산 / 고용주에게 환자의 HIV 상태 공개
  • Brigham and Women s Hospital – 동의없이 환자를 촬영하면 $ 384,000의 벌금 .
  • Boston Medical Center – 동의없이 환자를 촬영하면 $ 100,000 벌금.

  PHI의 부적절한 폐기

  물리적 PHI 및 ePHI가 더 이상 없을 때 필수 및 보존 기간이 만료 된 경우 HIPAA 규칙에 따라 정보를 안전하고 영구적으로 파기해야합니다. 종이 기록의 경우에는 파쇄 또는 펄프 화 및 ePHI의 경우 허용되지 않는 공개를 방지하기 위해 ePHI가 저장된 전자 장치를 자기 소자, 안전하게 닦거나 파괴하는 것이 포함될 수 있습니다.

  부적절한 처분에 대해 해당 대상에 부과되는 재정적 처벌 PHI / ePHI에는 다음이 포함됩니다.

  • Parkview Health – PHI가 포함 된 종이 기록을 안전하게 폐기하지 않은 경우 $ 800,000의 벌금
  • Cornell Prescription Pharmacy – 부적절한 폐기에 대한 $ 125,000의 벌금 of PHI.
  • FileFax Inc. – 의료 기록의 부적절한 폐기로 인해 소멸 된 사업에 대해 $ 100,000 벌금.

  의료 직원의 일반적인 HIPAA 위반

  의료 기록에 대한 스누핑은 상당히 명백한 HIPAA 위반이며 HIPAA 교육을받은 모든 의료 직원이 알아야하는 것은 고용주의 정책 및 HIPAA 규칙 위반입니다.

  기타 일반적인 HIPAA 위반은 종종 다음과 같이 발생합니다. HIPAA에 대한 오해의 결과 요구 사항. 이러한 일반적인 HIPAA 위반은 위의 위반보다 훨씬 적은 수의 환자에게 영향을 주지만 여전히 상당한 피해를 입힐 수 있습니다. 관련된 환자와 고용주에게. 또한 해고를 포함하여 책임있는 직원에 대한 징계 조치를받을 수 있습니다.

  아래는 의료 직원이 저지른 일반적인 HIPAA 위반 사항 중 일부입니다. 이러한 일반적인 HIPAA 위반은 이러한 빈번한 비준수 영역에 대한 인식을 높이기 위해 직원에게 제공되는 HIPAA 교육의 일부로 다루어야합니다.

  ePHI를 개인 이메일 계정으로 이메일 보내기 및 의료 시설에서 PHI 제거

  근무 시간 내에 필요한 모든 작업을 완료 할 시간을 찾기가 어려울 수 있으며 작업을 완료하기 위해 집으로 가져 가고 싶을 수 있습니다. 의료 시설에서 보호 된 건강 정보를 제거하면 해당 정보가 노출 될 위험이 있습니다. 이것은 일반적인 직원 HIPAA 위반이며 직원이 부족한 의료 시설에서 일상적인 관행 일 수도 있습니다. 그렇다고해서 허용되는 관행은 아닙니다.

  개인 이메일 계정으로 ePHI를 이메일로 보내는 경우에도 동일하게 적용됩니다. 의도와 상관없이 스프레드 시트에 대한 도움을 받거나 집에서 작업을 완료하여 다음 날을 앞두고 백 로그를 따라 잡으려는 것이 든, HIPAA 규칙을 위반하는 것입니다. 또한 개인 이메일 계정으로 ePHI를 이메일로 보내는 것은 도난으로 간주 될 수 있으며, 그 영향은 고용 계약 해지보다 훨씬 더 심각 할 수 있습니다.

  휴대용 전자 장치 및 서류 작업을 방치하는 것

  HIPAA 보안 규칙에 따라 PHI 및 ePHI는 항상 보호되어야합니다. 서류가 방치되면 직원, 환자 또는 의료 시설 방문자 등 권한없는 개인이이를 볼 수 있습니다. 그런 일이 발생하면 허용되지 않는 PHI 공개로 간주됩니다.

  ePHI가 포함 된 전자 장치는 항상 유사하게 보안되어야합니다. 전자 장치는 휴대 가능하고 가치가 있습니다. 기회 주의적 도둑이 무인 장치를 쉽게 훔쳐 ePHI에 액세스 할 수 있습니다. 의료진이 의료 시설에서 암호화되지 않은 장치를 제거하고 차량이나 가정에서 도난당하는 경우가 많습니다. 도난은 장치가 보안되지 않은 경우 의료 시설 내에서 쉽게 발생할 수 있습니다. 의료 직원은 고용주의 정책을 준수하고 장치와 서류 작업을 방치하여 HIPAA 규칙을 위반하지 않도록해야합니다.

  승인되지 않은 개인에게 환자 정보 공개

  승인 양식은 다음과 같아야합니다. 환자의 PHI가 HIPAA 개인 정보 보호 규칙에 의해 명시 적으로 허용 된 목적 이외의 목적으로 제 3 자에게 공개되기 전에 환자로부터 얻은 정보. 치료, 의료비 지불 또는 의료 운영 (및 제한된 기타 경우) 이외의 목적으로 PHI를 공개하는 것은 환자로부터 사전 승인을받지 않은 경우 HIPAA 위반입니다.

  의료 직원은 사전에 확인해야합니다. 환자로부터 승인을 받았으며 승인 양식에 포함되지 않은 개인이나 회사에 정보가 공개되지 않았다는 PHI를 제 3 자에게 공개하는 것. 승인 양식은 환자 또는 지명 된 대리인이 서명 한 경우에만 유효합니다.

  승인없이 환자 정보 공개

  이전 시점과 유사한 맥락에서 의료진은 승인이 있더라도 제 3 자에게 공개되는 정보 유형에 대해서도주의를 기울여야합니다. 특정 개인, 회사 또는 조직이 PHI를받을 수 있도록 양식이 접수되었습니다.

  승인 양식에는 공개가 승인 된 정보 유형이 포함되어야합니다. 승인 양식에 상세하지 않은 정보는 비공개로 유지해야하며 기밀로 유지해야하며 공유해서는 안됩니다. 추가 정보의 공개는 HIPAA 개인 정보 보호 규칙을 위반할 수 있습니다.

  승인 만료 후 제 3 자에게 PHI 공개

  모든 HIPAA 승인 양식에는 개인의 이름 또는 등급이 포함되어야합니다. PHI를받을 권한이있는 사람, 공개 될 PHI의 유형 및 공개 이유. 또한 승인 만료 날짜를 포함해야합니다.

  PHI는 해당 기관에 이전에 수신 권한이 부여 된 경우에도 만료 날짜가 지난 후에 승인 양식에 나열된 개인에게 공개해서는 안됩니다. PHI. 추가 공개가 발생하기 전에 새로운 승인 양식이 필요합니다. 만료일이없는 승인 양식은 HIPAA를 준수하지 않습니다.

  환자 건강 기록의 허용되지 않는 공개

  HIPAA 개인 정보 보호 규칙은 환자가 자신의 사본을 얻을 수 있도록 허용합니다. 건강 기록을 요청하거나 개인 대리인 또는 기타 개인과 같은 지명 된 제 3 자에게 제공 할 수 있습니다. 환자가 직접 수집하지 않은 경우 제 3자는 기록을 공개하기 전에 HIPAA 승인 양식에 따라 환자의 승인을 받아야합니다.

  환자의 사본을 제공하기 전에 의료 기록, 의료 직원은 환자 또는 기록 수집 자의 신원을 확인해야하며 기록을받을 권한이있는 개인에게만 기록이 공개되도록해야합니다. 또한 올바른 환자의 기록이 공개되도록주의를 기울여야합니다.

  승인되지 않은 장치에 PHI 다운로드

  의료 IT 부서가 연결된 모든 장치를 추적하기 어려울 수 있습니다. 네트워크에 액세스 할 수있는 서로 다른 장치의 수에 따라 이러한 장치의 보안을 유지하는 것은 훨씬 더 큰 문제가 될 수 있지만 이는 HIPAA 규정 준수를위한 요구 사항입니다.

  직원은 ePHI를 승인되지 않은 휴대용 전자 장치에 다운로드하는 것과 관련된 개인 정보 및 보안 위험이 있음을 인식해야합니다. 이렇게하면 기기를 분실하거나 도난당한 경우 ePHI가 우발적으로 공개 될 위험이 증가 할뿐만 아니라 도난 및 HIPAA 위반으로 간주 될 수도 있습니다.

  의료 기록에 대한 무단 액세스 제공

  환자 건강 정보 및 의료 기록에 대한 액세스 권한이 승인 된 개인에게만 제공되도록하는 것은 해당 대상의 책임입니다. 이는 고유 한 로그인을 통해 액세스 제어를 구현함으로써 달성됩니다.

  직원은 동일한 액세스 권한이없는 동료가 많은 동료에게 건강 정보에 대한 액세스 권한을 부여하지 않도록해야 할 책임이 있습니다. 로그인 자격 증명을 공유하면 ePHI가 허용되지 않을뿐만 아니라 해당 직원이 취한 모든 조치는 액세스 권한을 획득하는 데 사용 된 로그인 자격 증명을 가진 개인에게 귀속됩니다.

  FAQ

  “위험을 적절하고 허용 가능한 수준으로 줄인다”는 것은 무엇을 의미합니까?

  잠재적 인 위험과 취약성이 확인되면 해당 기업과 비즈니스 관계자는 규모에 따라 어떤 조치를 구현할지 결정해야합니다. 조직의 복잡성, 기능, 이미 시행중인 기존 조치, 데이터 유출 가능성 및 그로 인한 피해 규모와 관련하여 추가 조치를 구현하는 비용.

  어떻게 직원들이 의료 기록을 스누핑하는 것을 방지 할 수 있습니까?

  많은 의료 스누핑 사례가 악의적 인 의도가 아닌 호기심에 기인하지만 모든 의료 스누핑 사례는 HIPAA 위반입니다. 직원이 의료 서비스를 스누핑하는 것을 방지하기 위해 기록, 해당 주체는 교육 프로그램을 구현하고, 액세스 권한이 최소 필수 표준을 준수하는지 확인하고, 감사 로그를 활성화하고, 제재를 시행해야합니다.

  암호화가 필수가 아닌 경우 어떻게 HIPAA 위반이 될 수 있습니까? 레코드가 암호화되지 않았습니까?

  암호화가 필수는 아니지만 보안 규칙의 주소 지정이 가능한 구현 사양입니다. 즉, 조직은 상황에서 합리적이고 적절하지 않거나 대체 보안 조치가 동등하게 효과적인 경우에만 요구 사항 구현을 피할 수 있습니다. 조직이 암호화를 구현하지 못하면 이유를 문서화해야합니다.

  환자의 건강 기록에 대한 접근을 거부하는 벌금이 그토록 높았던 이유는 무엇입니까?

  이 특별한 경우, 보험 적용 대상의 비 협조가 벌금 규모에 기여했습니다 (귀하 여기에서 사건에 대해 읽을 수 있습니다). 이 사건 이후로 CMS의 의미있는 사용 프로그램은 상호 운용성 촉진 프로그램으로 발전했으며, HIPAA 위반에 대한 제재를받는 것 외에도 적시에 건강 기록을 제공하지 않는 모든 대상 주체는 이제 해당 기관의 일부를 잃을 수 있습니다. 메디 케어 수당.