De vanligste HIPAA-bruddene du bør være klar over
De vanligste HIPAA-bruddene som har resultert i økonomiske sanksjoner, er manglende gjennomføring av en organisasjonsomfattende risikoanalyse for å identifisere risiko for konfidensialitet, integritet , og tilgjengeligheten av beskyttet helseinformasjon (PHI); unnlatelse av å inngå en HIPAA-kompatibel forretningsavtale; ikke tillatt avsløring av PHI; forsinkede bruddvarsler; og svikt i å beskytte PHI.
Forlikene forfulgt av Department of Health and Human Services ’Office for Civil Rights (OCR) er for grove brudd på HIPAA-reglene. Oppgjør forfølges også for å markere vanlige HIPAA-brudd for å øke bevisstheten om behovet for å overholde spesifikke aspekter av HIPAA-reglene.
Denne artikkelen dekker fem av de vanligste HIPAA-bruddene som har resultert i forlik med dekket enheter og deres forretningsforbindelser de siste årene.
Er brudd på data HIPAA-brudd?
Databrudd er nå et faktum. Selv med flerlagsforsvar mot cybersikkerhet, er det sannsynlig at datainnbrudd vil forekomme fra tid til annen. OCR forstår at helseorganisasjoner blir målrettet av nettkriminelle, og at det ikke er mulig å implementere ugjennomtrengelige sikkerhetsforsvar.
Å være HIPAA-kompatibel handler ikke om å sørge for at databrudd aldri skjer. HIPAA-overholdelse handler om å redusere risikoen til et passende og akseptabelt nivå. Bare fordi en organisasjon opplever et databrudd, betyr det ikke at bruddet var resultatet av et HIPAA-brudd.
OCR-bruddportalen gjenspeiler dette tydeligere. Mange brudd på data blir undersøkt av OCR og viser seg ikke å innebære brudd på HIPAA-reglene. Derfor blir etterforskningen avsluttet uten at det blir gjort noe.
Hvordan oppdages HIPAA-brudd?
HIPAA-brudd kan fortsette i mange måneder, eller til og med år, før de blir oppdaget. Jo lenger de får fortsette, jo større blir straffen når de til slutt blir oppdaget. Det er derfor viktig for HIPAA-dekkede enheter å gjennomføre regelmessige HIPAA-samsvarsundersøkelser for å sikre at HIPAA-brudd blir oppdaget og korrigert før de blir identifisert av regulatorer.
Det er tre hovedmåter som HIPAA-brudd blir oppdaget:
- Undersøkelser av datainnbrudd fra OCR (eller statsadvokater generelt)
- Undersøkelser av klager på omfattede enheter og forretningsforbindelser
- HIPAA-overholdelsesrevisjoner
Selv når et datainnbrudd ikke innebærer et HIPAA-brudd, eller en klage viser seg å være ubegrunnet, kan OCR avdekke ikke-relaterte HIPAA-brudd som kan berettige en økonomisk straff.
Hva er de 10 vanligste HIPAA-bruddene?
Nedenfor er 10 av de vanligste HIPAA-bruddene, sammen med eksempler på HIPAA-dekkede enheter og forretningsforbindelser som har blitt oppdaget å være i strid med HIPAA-reglene og har måtte avgjøre disse bruddene med OCR og statsadvokater. I mange tilfeller har etterforskning avdekket flere HIPAA-brudd. Oppgjørsbeløpene gjenspeiler alvoret av overtredelsen, hvor lang tid overtredelsen har fått fortsette, antall brudd som er identifisert og den økonomiske stillingen til dekket enhet / forretningsforbund.
Snooping on Healthcare Registreringer
Å få tilgang til pasientens helseposter av andre årsaker enn de som er tillatt i personvernregelen – behandling, betaling og helsetjenester – er et brudd på pasientens personvern. Å snike på helsepapirer av familie, venner, naboer, kolleger og kjendiser er et av de vanligste HIPAA-bruddene begått av ansatte. Når de blir oppdaget, fører disse bruddene vanligvis til avslutning av ansettelsen, men kan også føre til strafferettslige anklager for den ansatte. Økonomiske straffer for helseorganisasjoner som ikke har forhindret snooping er relativt uvanlige, men det er mulig slik University of California Los Angeles Health System oppdaget.
University of California Los Angeles Health System ble bøtelagt $ 865 000 for ikke å begrense. tilgang til medisinske journaler. Helsepersonell ble undersøkt etter oppdagelsen av at en lege hadde fått tilgang til journalene til kjendiser og andre pasienter uten autorisasjon. Dr. Huping Zhou fikk tilgang til pasientjournalene uten autorisasjon 323 ganger etter å ha fått vite at han snart ville bli avskjediget. Dr. Zhou ble den første helsearbeideren som ble fengslet for et HIPAA-brudd, og ble dømt til fire måneder i føderalt fengsel.
Unnlatelse av å utføre en organisasjonsomfattende risikoanalyse
Mislykket å utføre en organisasjonsomfattende risikoanalyse er en av de vanligste HIPAA-bruddene som resulterer i en økonomisk bot.Hvis risikoanalysen ikke utføres regelmessig, vil ikke organisasjoner kunne avgjøre om det foreligger sårbarheter for konfidensialitet, integritet og tilgjengelighet av PHI. Det er derfor sannsynlig at risiko forblir uadressert og lar døren stå åpen for hackere.
HIPAA-oppgjør med dekkede enheter for manglende gjennomføring av en organisasjonsomfattende risikovurdering inkluderer:
- Premera Blue Cross – $ 6,850,000-oppgjør for risikoanalyse og risikostyringssvikt, og andre potensielle HIPAA-brudd
- Excellus Health Plan – $ 5.100.000 $ oppgjør for risikoanalyse og risikostyringssvikt, og andre potensielle HIPAA-brudd
- Oregon Health & Science University – oppgjør på 2,7 millioner dollar på grunn av mangel på en risikoanalyse over hele virksomheten.
- Cardionet – oppgjør på 2,5 millioner dollar for en ufullstendig risiko analyse og mangel på risikostyringsprosesser.
- Cancer Care Group – $ 750 000 oppgjør for manglende gjennomføring av en risikoanalyse over hele virksomheten.
- Lahey Hospital and Medical Center – $ 850 000 oppgjør for manglende gjennomføring av en organisasjonsomfattende risikovurdering og ot hennes HIPAA-brudd.
- Steven A. Porter, MD – $ 100.000 straff for risikoanalyse og risikostyringssvikt.
Unnlatelse av å håndtere sikkerhetsrisiko / mangel på risikostyring Prosess
Å utføre en risikoanalyse er viktig, men det er ikke bare en avkrysningsboks for overholdelse. Risikoer som identifiseres, må deretter utsettes for en risikostyringsprosess. De bør prioriteres og tas opp i en rimelig tidsramme. Å vite om risiko for PHI og unnlate å løse dem en av de vanligste HIPAA-bruddene som er straffet av Office for Civil Rights.
HIPAA-forlik med dekket enheter for manglende håndtering av identifiserte risikoer inkluderer:
- Alaska Department of health and Social Services – $ 1,7 millioner straff for manglende gjennomføring av risikoanalyse og risikostyringssvikt.
- University of Massachusetts Amherst (UMass) – $ 650 000 straff for risikostyringssvikt .
- Metro Community Provider Network – $ 400.000 straff for risikostyringssvikt.
- Anchorage Community Mental Health Services – $ 150.000 straff for manglende håndtering av risiko for ePHI.
Nekter pasienter tilgang til helseregistreringer / overskridelse av tidsramme for å gi tilgang
HIPAAs personvernregel gir pasienter rett til å få tilgang til sykejournalene sine og få kopier på forespørsel. Dette gjør det mulig for pasienter å sjekke postene sine for feil og dele dem med andre enheter og enkeltpersoner. Å nekte pasienter kopier av helsepapirene, overlading for kopier eller unnlatelse av å oppgi disse postene innen 30 dager er et brudd på HIPAA. OCR gjorde HIPAA brudd på rett til tilgang til et av hovedmålene for håndhevelse i slutten av 2019. >
Unnlatelse av å inngå en HIPAA-kompatibel forretningsavtale
Mangelen på å inngå en HIPAA-kompatibel forretningsavtale med alle leverandører som er levert med eller gitt tilgang til PHI er en av de vanligste HIPAA-bruddene. Selv når avtaler om forretningsforbindelser holdes for alle leverandører, er de kanskje ikke HIPAA-kompatible, spesielt hvis de ikke har blitt revidert etter Omnibus endelige regel.
Bemerkelsesverdige oppgjør for disse vanlige HIPAA-bruddene inkluderer:
- Ortopedisk klinikk i Raleigh, PA of North Carolina – $ 750.000 forlik for manglende gjennomføring av en HIPAA-kompatibel forretningsavtale.
- North Memorial Health Care i Minnesota – $ 1,55 millioner forlik for å ikke inngå en BAA med en hovedentreprenør og annen HIPAA brudd.
- Care New England Health System – $ 400 000 forlik for manglende oppdatering av forretningsavtaler
Utilstrekkelig ePHI tilgangskontroll
HIPAA Security Regelen krever at dekkede enheter og deres forretningsforbindelser begrenser tilgangen til ePHI til autoriserte personer. Mangelen på å implementere passende ePHI-tilgangskontroller er også en av de vanligste HIPAA-bruddene og en som har tiltrukket seg flere økonomiske sanksjoner.
Økonomiske sanksjoner som er utstedt til omfattede enheter for ePHI-tilgangskontrollfeil inkluderer:
- Anthem Inc. – $ 16.000.000 straff for tilgangskontrollfeil og andre alvorlige HIPAA-brudd.
- Memorial Healthcare System – $ 5500000 straff for utilstrekkelig ePHI-tilgangskontroll.
- Texas Department of Aging and Disability Services – $ 1.600.000 straff for risikoanalysefeil, tilgangskontrollfeil og overvåkning av informasjonssystemer.
- University of California Los Angeles Health System – $ 855.500 straff for manglende begrensning av tilgangen til medisinske journaler.
- Pagosa Springs Medical Center – $ 111,400 straff for manglende avslutning av tilgang til ePHI etter en ansatt oppsigelse og mangel på en forretningsavtale.
Unnlatelse av å bruke krypteringeller et tilsvarende tiltak for å beskytte ePHI på bærbare enheter
En av de mest effektive metodene for å forhindre databrudd er å kryptere PHI. Brudd på kryptert PHI er ikke rapporterbare sikkerhetshendelser med mindre nøkkelen til å dekryptere data også blir stjålet. Kryptering er ikke obligatorisk i henhold til HIPAA-regler, men den kan ikke ignoreres. Hvis beslutningen tas om ikke å bruke kryptering, må et alternativt, tilsvarende sikkerhetstiltak brukes i stedet.
Nylige forlik for manglende sikring av PHI inkluderer:
- Childrens Medical Center i Dallas – $ 3,2 millioner sivile pengebøter for ikke å iverksette tiltak for å håndtere kjente risikoer, inkludert manglende bruk av kryptering på bærbare enheter.
- Katolske helsetjenester i erkebispedømmet Philadelphia – 650 000 dollar for manglende bruk av kryptering, unnlatelse av å gjennomføre en virksomhetsomfattende risikoanalyse og håndtering av risikoer.
- Lifespan Health System Affiliated Covered Entity – $ 1.040.000 straff for manglende kryptering av data og en av enhet og media kontroller, noe som resulterer i en tillatt avsløring av 20 431 pasienters ePHI
Overskridelse av 60-dagers fristen for å utstede bruddvarsler
HIPAA bruddvarslingsregelen krever at dekkede enheter utsteder varsler om brudd uten unødvendig forsinkelse, og absolutt ikke senere enn 60 dager etter oppdagelsen av et datainnbrudd. Å overskride denne tidsrammen er en av de vanligste HIPAA-bruddene, som har sett to straffer i år:
- Presence Health – $ 475 000 forlik for å utsette utstedelsen av bruddvarsler med en måned.
- CoPilot Provider Support Services Inc. – $ 130 000 forlik med NY justisminister for forsinkede varslinger om brudd.
Ikke tillatt avsløring av beskyttet helseinformasjon
Eventuell avsløring av beskyttet helseinformasjon som ikke er tillatt i henhold til HIPAAs personvernregel kan tiltrekke seg økonomisk bot. Denne bruddkategorien inkluderer avsløring av PHI til pasientens arbeidsgiver, potensiell avsløring etter tyveri eller tap av ukrypterte bærbare datamaskiner, uforsiktig håndtering av PHI, avsløring av PHI unødvendig, ikke overholdelse av minimum nødvendig standard og avsløring av PHI etter at pasientgodkjenninger har utløpt.
Oppgjør for utelatelig avsløring av PHI inkluderer:
- Memorial Hermann Health System – $ 2,4 millioner forlik for å avsløre pasientens PHI i en pressemelding.
- New York Presbyterian Hospital – $ 2 200 000 straff for filming av pasienter uten samtykke.
- Massachusetts General Hospital – $ 515 000 straff for filming av pasienter uten samtykke.
- Lukes-Roosevelt Hospital Center – $ 387,000 forlik for uforsiktig håndtering av PHI / avsløring av pasientens HIV-status til arbeidsgiveren.
- Brigham and Womens Hospital – $ 384.000 straff for filming av pasienter uten samtykke. .
- Boston Medical Center – $ 100.000 straff for filming av pasienter uten samtykke.
Feilaktig avhending av PHI
Når fysisk PHI og ePHI ikke lenger er påkrevd og oppbevaringsperioder er utløpt, krever HIPAA-regler at informasjonen skal ødelegges sikkert og permanent. For papirregistreringer kan dette innebære makulering eller massering og for ePHI, degaussing, sikker tørking eller ødeleggelse av elektroniske enheter som ePHI er lagret på for å forhindre utelatelse.
Økonomiske sanksjoner utstedt til dekkede enheter for feilaktig avhending. av PHI / ePHI inkluderer:
- Parkview Health – $ 800 000 straff for manglende sikker kassering av papirjournaler som inneholder PHI.
- Cornell Prescription Pharmacy – $ 125 000 straff for feilaktig avhending av PHI.
- FileFax Inc. – $ 100.000 straff for en nedlagt virksomhet på grunn av feilaktig avhending av medisinske journaler.
Vanlige HIPAA-krenkelser fra helsepersonell
Snusing på helsepapirer er et ganske åpenbart HIPAA-brudd, og en som alle helsepersonell som har fått HIPAA-opplæring, bør vite er et brudd på arbeidsgivers politikk og HIPAA-regler.
Andre vanlige HIPAA-brudd kommer ofte som et resultat av misforståelser om HIPAA krav. Mens hvert av disse vanlige HIPAA-bruddene påvirker langt færre antall pasienter enn de ovennevnte bruddene, kan de fremdeles forårsake betydelig skade: For pasienten (e) som er involvert og deres arbeidsgiver. De kan også føre til disiplinære tiltak mot den ansvarlige ansatt inkludert oppsigelse.
Nedenfor er noen av de vanlige HIPAA-bruddene begått av helsepersonell. Disse vanlige HIPAA-bruddene bør dekkes som en del av HIPAA-opplæringen gitt til ansatte for å øke bevisstheten om disse hyppige områdene med manglende overholdelse.
Send ePHI via e-post til personlige e-postkontoer og fjerning av PHI fra en helsevesenet
Det kan være vanskelig å finne tid til å fullføre alle nødvendige oppgaver innen arbeidstid, og det kan være fristende å ta jobben hjem for å fullføre. Hvis du fjerner beskyttet helseinformasjon fra et helseanlegg, utsettes denne informasjonen for eksponering. Dette er en vanlig ansatt HIPAA-overtredelse og kan til og med være rutinemessig praksis på et helsestasjon som er underbemannet. Det betyr ikke at det er en akseptabel praksis.
Det samme gjelder e-post til e-postkontoer via e-post. Uansett intensjonene, enten det er å få hjelp til regneark, fullføre arbeidet hjemme for å komme deg videre neste dag, eller å innhente et etterslep, er det et brudd på HIPAA-reglene. Videre kan enhver e-post av ePHI til en personlig e-postkonto betraktes som tyveri, hvis konsekvenser kan være langt mer alvorlige enn avslutning av en ansettelseskontrakt.
Forlater bærbare elektroniske enheter og papirarbeid uten tilsyn
HIPAA-sikkerhetsregelen krever at PHI og ePHI til enhver tid er sikret. Hvis papirene ikke blir overvåket, kan det bli sett på av en uautorisert person, enten det er et medarbeider, pasient eller besøkende på helsestasjonen. Skulle dette skje, vil det bli ansett som en tillatelig avsløring av PHI.
Elektroniske enheter som inneholder ePHI må til enhver tid sikres. Elektroniske enheter er bærbare og verdifulle. Opportunistiske tyver kan lett stjele en enhet uten tilsyn og få tilgang til ePHI. Det har vært mange tilfeller av helsepersonell som fjerner ukrypterte enheter fra helsetjenester, bare for at de skal bli stjålet fra kjøretøy eller hjem. Tyveri kan også lett forekomme i et helsestasjon hvis enheter ikke er sikret. Helsepersonell må sørge for at deres arbeidsgivers policy følges, og HIPAA-reglene ikke brytes ved å la enheter og papirer være uten tilsyn.
Utlevering av pasientinformasjon til en uautorisert person
Et autorisasjonsskjema må være innhentet fra en pasient før noen av deres PHI kan avsløres til en tredjepart for et annet formål enn et uttrykkelig tillatt av HIPAAs personvernregel. Å avsløre PHI for andre formål enn behandling, betaling for helsetjenester eller helsetjenester (og begrensede andre tilfeller) er et HIPAA-brudd hvis ikke autorisasjon har blitt mottatt fra pasienten på forhånd.
Helsepersonell må sørge for at å utlevere PHI til en tredjepart om at autorisasjon er innhentet fra pasienten og informasjon ikke blir gitt til noen person eller selskap som ikke er inkludert på autorisasjonsskjemaet. Autorisasjonsskjemaer er bare gyldige hvis de er signert av pasienten eller dennes representant.
Utgivelse av pasientinformasjon uten autorisasjon
På en lignende måte som forrige punkt, må helsepersonell også være forsiktig med hva slags informasjon som blir gitt ut til tredjepart, selv om en autorisasjon skjema har blitt mottatt slik at en spesifikk person, bedrift eller organisasjon kan motta PHI.
Autorisasjonsskjemaet bør inneholde hvilke typer informasjon som er autorisert til å bli utgitt. All informasjon som ikke er detaljert på autorisasjonsskjemaet, må forbli privat og konfidensiell og bør ikke deles. Offentliggjøring av tilleggsinformasjon vil bryte HIPAAs personvernregel.
Opplysninger om PHI til tredjeparter etter utløpet av en autorisasjon
Alle HIPAA-godkjenningsskjemaer må inneholde navn eller klasser på enkeltpersoner som er autorisert til å motta PHI, hvilke typer PHI som vil bli avslørt, og årsakene til utleveringene. De må også inneholde en utløpsdato for autorisasjonen.
PHI må ikke avsløres for noen som er oppført på autorisasjonsskjemaet etter at utløpsdatoen er gått, selv om autorisasjonen tidligere er gitt til den enheten til å motta PHI. Det kreves et nytt autorisasjonsskjema før ytterligere avsløring finner sted. Det bør også bemerkes at et autorisasjonsskjema uten utløpsdato ikke er HIPAA-kompatibelt.
Ikke tillatt avsløring av pasientens helsejournaler
HIPAAs personvernregel tillater pasienter å få en kopi av helseregistre på forespørsel eller få dokumentene levert til en nominert tredjepart, for eksempel en personlig representant eller annen person. Hvis pasienten ikke samler det inn personlig, må tredjeparten ha fått fullmakt fra pasienten – på et HIPAA-godkjenningsskjema – for å motta postene før de kan frigjøres.
Før du gir kopier av pasienten helseregistreringer, må helsepersonell verifisere pasienten eller personen som samler journalene, og må sørge for at journaler bare frigis til en person som er autorisert til å motta dem. Det må også utvises forsiktighet for å sikre at riktig pasientjournal blir utgitt.
Nedlasting av PHI til uautoriserte enheter
Det kan være vanskelig for IT-avdelinger i helsevesenet å holde oversikt over alle enheter som kobles til til nettverket, gitt hvor mange forskjellige enheter som har nettverkstilgang. Å sikre at disse enhetene er sikret kan være et enda større problem, men dette er et krav for HIPAA-samsvar.
Ansatte må være klar over at det er personvern- og sikkerhetsrisiko forbundet med nedlasting av ePHI til uautoriserte bærbare elektroniske enheter. Ikke bare øker dette risikoen for utilsiktet avsløring av ePHI – i tilfelle enheten mistes eller blir stjålet – den kan også sees på som tyveri og et HIPAA-brudd.
Gi uautorisert tilgang til medisinske poster
Det er den ansvarlige enhetens ansvar å sikre at tilgang til pasientens helseinformasjon og medisinske poster bare gis til autoriserte personer. Dette oppnås ved å implementere tilgangskontroll via unike påloggninger.
Ansatte har et ansvar for å sikre at de ikke gir tilgang til helseinformasjon til kolleger som mange ikke har samme tilgangsrettigheter. Deling av påloggingsinformasjon kan ikke bare resultere i en ikke tillatt avsløring av ePHI, alle handlinger som er utført av den ansatte vil bli tilskrevet den personen hvis påloggingsinformasjon ble brukt for å få tilgang.
Vanlige spørsmål
Hva betyr det å «redusere risikoen til et passende og akseptabelt nivå»?
Når potensielle risikoer og sårbarheter identifiseres, må dekkede enheter og forretningsforbindelser bestemme hvilke tiltak som skal iverksettes i henhold til størrelsen, kompleksiteten og evnene til organisasjonene, eksisterende tiltak som allerede er på plass, og kostnadene ved å iverksette ytterligere tiltak i forhold til sannsynligheten for datainnbrudd og omfanget av skade det ville forårsaket.
Hvordan er det mulig å forhindre at ansatte sniker seg på helsepapirer?
Selv om mange tilfeller av helsetjenester snooping kan tilskrives nysgjerrighet snarere enn ondsinnet hensikt, er alle tilfeller av helsehelsetjeneste brudd på HIPAA. registreringer, dekkede enheter bør implementere et opplæringsprogram, sikre at tilgangsrettigheter overholder Minimum Nødvendig standard, aktivere revisjonslogger og håndheve sanksjoner.
Hvis kryptering ikke er obligatorisk, hvordan kan det være et HIPAA-brudd hvis postene er ukryptert?
Selv om kryptering ikke er obligatorisk, er det en adresserbar implementeringsspesifikasjon av sikkerhetsregelen. Dette betyr at organisasjoner bare kan unngå å implementere kravet hvis det ikke er rimelig og hensiktsmessig under omstendighetene, eller hvis et alternativt sikkerhetstiltak er like effektivt. Hvis organisasjoner ikke implementerer kryptering, må de dokumentere årsakene til det.
Hvorfor var boten for å nekte pasienter tilgang til helseregister så høy?
I dette spesielle tilfellet bidro manglende samarbeid fra den omfattede enheten til størrelsen på boten (du kan lese om saken her). Siden dette tilfellet har CMS Meaningful Use-program utviklet seg til å fremme interoperabilitetsprogrammet, og – i tillegg til å bli sanksjonert for et HIPAA-brudd – kan enhver omfattet enhet som ikke leverer helseregistreringer i tide, nå også miste en prosentandel av Medicare-betalinger.