De meest voorkomende HIPAA-overtredingen waarvan u zich bewust moet zijn
De meest voorkomende HIPAA-overtredingen die hebben geleid tot financiële sancties zijn het niet uitvoeren van een organisatiebrede risicoanalyse om risicos voor de vertrouwelijkheid en integriteit te identificeren , en beschikbaarheid van beschermde gezondheidsinformatie (PHI); het niet aangaan van een HIPAA-conforme zakenpartnerovereenkomst; ontoelaatbare openbaarmakingen van PHI; vertraagde meldingen van inbreuken; en het onvermogen om PHI te beschermen.
De schikkingen die door het Department of Health and Human Services ’Office for Civil Rights (OCR) worden nagestreefd, zijn voor flagrante schendingen van de HIPAA-regels. Schikkingen worden ook nagestreefd om veelvoorkomende HIPAA-schendingen aan het licht te brengen om het bewustzijn te vergroten van de noodzaak om te voldoen aan specifieke aspecten van HIPAA-regels.
Dit artikel behandelt vijf van de meest voorkomende HIPAA-schendingen die hebben geleid tot schikkingen met gedekte entiteiten en hun zakenpartners in de afgelopen jaren.
Zijn datalekken HIPAA-overtredingen?
Datalekken zijn nu een feit. Zelfs met meerlaagse cyberbeveiligingsmaatregelen, zullen er van tijd tot tijd nog steeds datalekken plaatsvinden. OCR begrijpt dat zorgorganisaties het doelwit zijn van cybercriminelen en dat het niet mogelijk is om onneembare beveiligingsmaatregelen te implementeren.
HIPAA-compliant zijn, gaat er niet om ervoor te zorgen dat datalekken nooit plaatsvinden. HIPAA-compliance gaat over het verminderen van risicos tot een passend en acceptabel niveau. Alleen omdat een organisatie een datalek ervaart, betekent dit niet dat de inbreuk het resultaat was van een HIPAA-inbreuk.
De OCR-inbreukportal geeft dit nu duidelijker weer. Veel datalekken worden onderzocht door OCR en blijken geen schendingen van de HIPAA-regels te zijn. Bijgevolg worden de onderzoeken afgesloten zonder dat er actie wordt ondernomen.
Hoe worden HIPAA-overtredingen ontdekt?
HIPAA-overtredingen kunnen vele maanden of zelfs jaren voortduren voordat ze worden ontdekt. Hoe langer ze mogen volhouden, hoe groter de straf zal zijn als ze uiteindelijk worden ontdekt. Het is daarom belangrijk voor entiteiten die onder de HIPAA vallen om regelmatig HIPAA-nalevingscontroles uit te voeren om ervoor te zorgen dat HIPAA-overtredingen worden ontdekt en gecorrigeerd voordat ze door toezichthouders worden geïdentificeerd.
Er zijn drie belangrijke manieren waarop HIPAA-overtredingen worden ontdekt:
- Onderzoek naar een datalek door OCR (of openbare procureurs-generaal)
- Onderzoek naar klachten over gedekte entiteiten en zakenpartners
- HIPAA-nalevingscontroles
Zelfs wanneer een datalek geen HIPAA-overtreding inhoudt, of een klacht ongegrond blijkt te zijn, kan OCR niet-gerelateerde HIPAA-overtredingen aan het licht brengen die een financiële sanctie zouden kunnen rechtvaardigen.
Wat zijn de 10 meest voorkomende HIPAA-overtredingen?
Hieronder staan 10 van de meest voorkomende HIPAA-overtredingen, samen met voorbeelden van HIPAA-gedekte entiteiten en zakenpartners waarvan is vastgesteld dat ze de HIPAA-regels schenden en die moest die schendingen regelen met OCR en openbare procureurs-generaal. In veel gevallen hebben onderzoeken meerdere HIPAA-overtredingen aan het licht gebracht. De schikkingsbedragen weerspiegelen de ernst van de overtreding, de tijd dat de overtreding heeft mogen voortduren, het aantal vastgestelde overtredingen en de financiële positie van de gedekte entiteit / zakenpartner.
Snooping on Healthcare Gegevens
Toegang tot de medische dossiers van patiënten om andere redenen dan die welke zijn toegestaan door de privacyregel – behandeling, betaling en gezondheidszorg – is een schending van de privacy van de patiënt. Snuffelen in medische dossiers van familie, vrienden, buren, collegas en beroemdheden is een van de meest voorkomende HIPAA-overtredingen die door werknemers worden gepleegd. Deze overtredingen leiden bij ontdekking veelal tot beëindiging van het dienstverband, maar kunnen ook leiden tot strafrechtelijke vervolging van de betreffende medewerker. Financiële sancties voor gezondheidsorganisaties die er niet in zijn geslaagd om rondneuzen te voorkomen, zijn relatief zeldzaam, maar ze zijn mogelijk, zoals het University of California Los Angeles Health System ontdekte.
Het University of California Los Angeles Health System kreeg een boete van $ 865.000 wegens het niet beperken van toegang tot medische dossiers. De zorgverlener werd onderzocht nadat was ontdekt dat een arts zonder toestemming toegang had gehad tot de medische dossiers van beroemdheden en andere patiënten. Dr. Huping Zhou heeft 323 keer zonder toestemming toegang gekregen tot de dossiers van patiënten nadat hij hoorde dat hij binnenkort zou worden ontslagen. Dr. Zhou werd de eerste werknemer in de gezondheidszorg die werd veroordeeld voor een HIPAA-overtreding en werd veroordeeld tot vier maanden gevangenisstraf.
Het niet uitvoeren van een organisatiebrede risicoanalyse
De mislukking Het uitvoeren van een organisatiebrede risicoanalyse is een van de meest voorkomende HIPAA-overtredingen die een financiële sanctie tot gevolg hebben.Als de risicoanalyse niet regelmatig wordt uitgevoerd, kunnen organisaties niet bepalen of er kwetsbaarheden zijn voor de vertrouwelijkheid, integriteit en beschikbaarheid van PHI. Risicos zullen daarom waarschijnlijk niet worden aangepakt, waardoor de deur wagenwijd open blijft staan voor hackers.
HIPAA-schikkingen met gedekte entiteiten wegens het niet uitvoeren van een organisatiebrede risicobeoordeling omvatten:
- Premera Blue Cross – $ 6.850.000 schikking voor risicoanalyse en risicobeheerfouten, en andere potentiële HIPAA-overtredingen
- Excellus Health Plan – $ 5.100.000 schikking voor risicoanalyse en risicobeheerfouten, en andere mogelijke HIPAA-schendingen
- Oregon Health & Science University – schikking van $ 2,7 miljoen wegens het ontbreken van een bedrijfsbrede risicoanalyse.
- Cardionet – schikking van $ 2,5 miljoen voor een onvolledig risico analyse en gebrek aan risicobeheerprocessen.
- Kankerzorggroep – schikking van $ 750.000 wegens het niet uitvoeren van een bedrijfsbrede risicoanalyse.
- Lahey-ziekenhuis en medisch centrum – schikking van $ 850.000 voor de het niet uitvoeren van een organisatiebrede risicobeoordeling en ot haar HIPAA-overtredingen.
- Steven A. Porter, MD – $ 100.000 boete voor risicoanalyse en falen van risicobeheer.
Het niet beheren van beveiligingsrisicos / gebrek aan risicobeheer Proces
Het uitvoeren van een risicoanalyse is essentieel, maar het is niet alleen een selectievakje voor compliance. De geïdentificeerde risicos moeten vervolgens worden onderworpen aan een risicobeheerproces. Ze moeten prioriteit krijgen en binnen een redelijke termijn worden aangepakt. Weten over risicos voor PHI en het niet aanpakken ervan is een van de meest voorkomende HIPAA-schendingen die worden bestraft door het Office for Civil Rights.
HIPAA-schikkingen met gedekte entiteiten voor het niet beheren van geïdentificeerde risicos zijn onder meer:
- Alaska Department of Health and Social Services – $ 1,7 miljoen boete voor het niet uitvoeren van risicoanalyse en mislukte risicobeheer.
- University of Massachusetts Amherst (UMass) – $ 650.000 boete voor mislukte risicobeheer .
- Metro Community Provider Network – $ 400.000 boete voor mislukte risicobeheer.
- Anchorage Community Mental Health Services – $ 150.000 boete voor het niet beheren van risicos voor ePHI.
Patiënten toegang tot medische dossiers ontzeggen / tijdschaal voor het verlenen van toegang overschrijden
De HIPAA-privacyregel geeft patiënten het recht op toegang tot hun medische dossiers en op verzoek kopieën te verkrijgen. Hierdoor kunnen patiënten hun gegevens op fouten controleren en deze delen met andere entiteiten en individuen. Patiënten kopieën van hun medische dossiers weigeren, te veel in rekening brengen voor kopieën of die dossiers niet binnen 30 dagen verstrekken, is een schending van de HIPAA. OCR maakte HIPAA-schendingen van het toegangsrecht eind 2019 tot een van de belangrijkste handhavingsdoelstellingen.
HIPAA-schikkingen met gedekte entiteiten voor het weigeren van patiënten toegang tot hun dossiers of onnodige vertragingen bij het verlenen van toegang zijn onder meer:
- Cignet Health van Prince Georges County – boete van $ 4.300.000 voor het weigeren van toegang tot hun medische dossiers aan patiënten.
- Banner Health – boete van $ 200.000 voor vertraagde reactie op het verzoek van de patiënt om een kopie van hun medische dossiers.
- Dignity Health, dba St. Josephs Hospital and Medical Center – $ 160.000 boete voor vertraagde reactie op het verzoek van de patiënt om een kopie van hun medische dossiers.
- NY Spine – $ 100.000 boete voor vertraagde reactie op verzoek om een kopie van hun medische dossiers.
- Beth Israel Lahey Health Behavioral Services – $ 70.000 boete voor vertraagde reactie op het verzoek van de patiënt om een kopie van hun medische dossiers.
- University of Cincinnati Medical Center – $ 65.000 boete voor de antwoord op het verzoek van de patiënt om een kopie van hun medische dossiers.
- Housing Works Inc – $ 38.000 boete voor vertraagde reactie op het verzoek van de patiënt om een kopie van hun medische dossiers.
- Peter Wrobel, MD, PC, dba Elite Primary Care – $ 36.000 boete voor vertraagde reactie op het verzoek van de patiënt om een kopie van hun medische dossiers.
- Riverside Psychiatric Medical Group – $ 25.000 boete voor vertraagde reactie op het verzoek van de patiënt om een kopie van hun medische dossiers.
- Dr. Rajendra Bhayani – boete van $ 15.000 voor vertraagde reactie op verzoek van de patiënt om een kopie van hun medische dossiers.
- All Inclusive Medical Services Inc – boete van $ 15.000 voor vertraagde reactie op verzoek van de patiënt om een kopie van hun medische dossiers.
- Wise Psychiatry, PC – boete van $ 10.000 voor vertraagde reactie op het verzoek van de patiënt om een kopie van hun medische dossiers.
- King MD – boete van $ 3.500 voor vertraagde reactie op het verzoek van de patiënt om een kopie van hun medische r ecords.
Het niet aangaan van een HIPAA-conforme zakenpartnerovereenkomst
Het niet aangaan van een HIPAA-conforme zakenpartnerovereenkomst met alle leveranciers die zijn verstrekt of gegeven toegang tot PHI is een van de meest voorkomende HIPAA-overtredingen. Zelfs wanneer overeenkomsten met zakenpartners worden gesloten voor alle leveranciers, zijn ze mogelijk niet HIPAA-compatibel, vooral als ze niet zijn herzien na de Omnibus Final Rule.
Opmerkelijke schikkingen voor deze veelvoorkomende HIPAA-overtredingen zijn onder meer:
- Raleigh Orthopedic Clinic, PA van North Carolina – $ 750.000 schikking wegens het niet uitvoeren van een HIPAA-conforme zakenpartnerovereenkomst.
- North Memorial Health Care of Minnesota – $ 1,55 miljoen schikking wegens het niet aangaan van een BAA met een grote aannemer en andere HIPAA schendingen.
- Care New England Health System – schikking van $ 400.000 voor het niet bijwerken van overeenkomsten met zakenpartners
Onvoldoende ePHI-toegangscontrole
The HIPAA Security Regel vereist dat gedekte entiteiten en hun zakenpartners de toegang tot ePHI beperken tot geautoriseerde personen. Het niet implementeren van de juiste ePHI-toegangscontroles is ook een van de meest voorkomende HIPAA-overtredingen en heeft verschillende financiële sancties tot gevolg gehad.
Financiële sancties die zijn opgelegd aan gedekte entiteiten voor het mislukken van ePHI-toegangscontrole omvatten:
- Anthem Inc. – $ 16.000.000 boete voor toegangscontrolefouten en andere ernstige HIPAA-overtredingen.
- Memorial Healthcare System – $ 5.500.000 boete voor onvoldoende ePHI-toegangscontrole.
- Texas Department Aging and Disability Services – $ 1.600.000 boete voor risicoanalyses, fouten bij toegangscontrole en fouten in de monitoring van informatiesystemen.
- University of California Los Angeles Health System – $ 865.500 boete voor het niet beperken van de toegang tot medische dossiers.
- Pagosa Springs Medical Center – boete van $ 111.400 voor het niet beëindigen van de toegang tot ePHI na beëindiging van een werknemer en het ontbreken van een overeenkomst voor zakenpartners.
Het niet gebruiken van encryptieof een gelijkwaardige maatregel om ePHI op draagbare apparaten te beschermen
Een van de meest effectieve methoden om datalekken te voorkomen, is het versleutelen van PHI. Inbreuken op versleutelde PHI zijn geen meldingsplichtige beveiligingsincidenten, tenzij de sleutel voor het ontsleutelen van gegevens ook wordt gestolen. Versleuteling is niet verplicht onder HIPAA-regels, maar kan niet worden genegeerd. Als wordt besloten geen gebruik te maken van encryptie, moet daarvoor een alternatieve, gelijkwaardige veiligheidsmaatregel worden gebruikt.
Recente schikkingen voor het niet beveiligen van PHI omvatten:
- Childrens Medical Center of Dallas – $ 3,2 miljoen civiele geldboete voor het niet ondernemen van actie om bekende risicos aan te pakken, waaronder het niet gebruiken van encryptie op draagbare apparaten.
- Catholic Health Care Services van het aartsbisdom Philadelphia – $ 650.000 schikking voor het niet gebruiken van encryptie, het niet uitvoeren van een bedrijfsbrede risicoanalyse en het beheren van risicos.
- Lifespan Health System aangesloten gedekte entiteit – $ 1.040.000 boete voor het niet versleutelen van gegevens en een apparaat en media controles, resulterend in de ongeoorloofde openbaarmaking van 20.431 ePHI-patiënten van patiënten
Overschrijding van de 60-dagen deadline voor het uitbrengen van meldingen van inbreuk meldingen van inbreuken zonder onnodige vertraging, en zeker niet later dan 60 dagen na de ontdekking van een datalek. Het overschrijden van dat tijdsbestek is een van de meest voorkomende HIPAA-overtredingen, waarvoor dit jaar twee sancties zijn opgelegd:
- Presence Health – $ 475.000 schikking voor het met een maand uitstellen van de uitgifte van inbreukmeldingen.
- CoPilot Provider Support Services Inc. – $ 130.000 schikking met de procureur-generaal van NY voor vertraagde meldingen van inbreuken.
Ontoelaatbare openbaarmaking van beschermde gezondheidsinformatie
Elke openbaarmaking van beschermde gezondheidsinformatie die niet is toegestaan volgens de HIPAA-privacyregel kan een financiële boete opleveren. Deze overtredingscategorie omvat het vrijgeven van PHI aan de werkgever van een patiënt, mogelijke onthullingen na diefstal of verlies van niet-versleutelde laptops, onzorgvuldig omgaan met PHI, het onnodig vrijgeven van PHI, het niet naleven van de minimaal noodzakelijke norm, en openbaarmaking van PHI na autorisatie van de patiënt verlopen.
Schikkingen voor ongeoorloofde onthullingen van PHI omvatten:
- Memorial Hermann Health System – $ 2,4 miljoen schikking voor het bekendmaken van de PHI van een patiënt in een persbericht.
- New York Presbyterian Hospital – $ 2.200.000 boete voor het filmen van patiënten zonder toestemming.
- Massachusetts General Hospital – $ 515.000 boete voor het filmen van patiënten zonder toestemming.
- Lukes-Roosevelt Hospital Center – $ 387.000 schikking voor onzorgvuldige behandeling van PHI / openbaarmaking van de hiv-status van een patiënt aan hun werkgever.
- Brigham and Womens Hospital – $ 384.000 boete voor het filmen van patiënten zonder toestemming .
- Boston Medical Center – boete van $ 100.000 voor het filmen van patiënten zonder toestemming.
Onjuiste verwijdering van PHI
Wanneer fysieke PHI en ePHI niet langer zijn vereist en de bewaartermijnen zijn verstreken, vereisen HIPAA-regels dat de informatie veilig en permanent wordt vernietigd. Voor papieren documenten kan dit het versnipperen of verpulpen inhouden en voor ePHI het demagnetiseren, veilig wissen of vernietigen van de elektronische apparaten waarop de ePHI is opgeslagen om ontoelaatbare openbaarmaking te voorkomen.
Financiële sancties die worden opgelegd aan gedekte entiteiten voor onjuiste verwijdering van PHI / ePHI omvatten:
- Parkview Health – boete van $ 800.000 voor het niet veilig weggooien van papieren documenten met PHI.
- Cornell Prescription Pharmacy – boete van $ 125.000 voor onjuiste verwijdering van PHI.
- FileFax Inc. – $ 100.000 boete voor een ter ziele gegane onderneming wegens onjuiste verwijdering van medische dossiers.
Veelvoorkomende HIPAA-overtredingen door werknemers in de gezondheidszorg
Snuffelen in medische dossiers is een vrij duidelijke HIPAA-overtreding en een die alle zorgmedewerkers die een HIPAA-training hebben gevolgd, moeten weten, is een overtreding van het beleid van hun werkgever en de HIPAA-regels.
Andere veel voorkomende HIPAA-overtredingen komen vaak voor als een resultaat van misverstanden over HIPAA voorwaarden. Hoewel elk van deze veel voorkomende HIPAA-overtredingen veel minder patiënten treft dan de bovengenoemde overtredingen, kunnen ze toch een aanzienlijke hoeveelheid schade aanrichten: aan de betrokken patiënt (en) en hun werkgever. Ze kunnen ook resulteren in disciplinaire maatregelen tegen de verantwoordelijke werknemer, inclusief ontslag.
Hieronder staan enkele van de veelvoorkomende HIPAA-overtredingen begaan door werknemers in de gezondheidszorg. Deze veelvoorkomende HIPAA-overtredingen moeten worden behandeld als onderdeel van de HIPAA-training die aan werknemers wordt gegeven om het bewustzijn te vergroten over deze veel voorkomende gebieden van niet-naleving.
ePHI e-mailen naar persoonlijke e-mailaccounts en PHI verwijderen uit een zorginstelling
Het kan moeilijk zijn om de tijd te vinden om alle noodzakelijke taken binnen werkuren uit te voeren en het kan verleidelijk zijn om het werk mee naar huis te nemen. Door beschermde gezondheidsinformatie uit een zorginstelling te verwijderen, loopt die informatie risico op blootstelling. Dit is een veel voorkomende overtreding van de HIPAA door werknemers en kan zelfs routine zijn in een zorginstelling met onderbezet. Dat betekent niet dat het een acceptabele praktijk is.
Hetzelfde geldt voor het ePHI-e-mailen naar persoonlijke e-mailaccounts. Ongeacht de bedoelingen, of het nu is om hulp te krijgen met spreadsheets, thuis werk af te ronden om vooruit te komen voor de volgende dag, of om een achterstand in te halen, het is een overtreding van de HIPAA-regels. Verder kan het e-mailen van ePHI naar een persoonlijk e-mailaccount als diefstal worden beschouwd, waarvan de gevolgen veel ernstiger kunnen zijn dan beëindiging van een arbeidsovereenkomst.
Draagbare elektronische apparaten en papierwerk onbeheerd achterlaten
De HIPAA-beveiligingsregel vereist dat PHI en ePHI te allen tijde beveiligd zijn. Als het papierwerk onbeheerd wordt achtergelaten, kan het worden bekeken door een onbevoegde persoon, of dat nu een personeelslid, een patiënt of een bezoeker van de zorginstelling is. Mocht dat gebeuren, dan zou dit worden beschouwd als een ontoelaatbare openbaarmaking van PHI.
Elektronische apparaten die ePHI bevatten, moeten te allen tijde op dezelfde manier worden beveiligd. Elektronische apparaten zijn draagbaar en waardevol. Opportunistische dieven kunnen gemakkelijk een apparaat zonder toezicht stelen en toegang krijgen tot ePHI. Er zijn veel gevallen bekend van zorgmedewerkers die niet-versleutelde apparaten uit zorginstellingen verwijderden, waarna ze uit voertuigen of huizen werden gestolen. Diefstal kan ook gemakkelijk plaatsvinden binnen een zorginstelling als apparaten niet beveiligd zijn. Werknemers in de gezondheidszorg moeten ervoor zorgen dat het beleid van hun werkgever wordt nageleefd en dat de HIPAA-regels niet worden overtreden door apparaten en papierwerk onbeheerd achter te laten.
Patiëntinformatie vrijgeven aan een onbevoegde persoon
Er moet een machtigingsformulier worden ingediend. verkregen van een patiënt voordat een van zijn PHIs aan een derde kan worden bekendgemaakt voor een ander doel dan uitdrukkelijk toegestaan door de HIPAA-privacyregel. Het vrijgeven van PHI voor andere doeleinden dan behandeling, betaling voor gezondheidszorg of gezondheidszorgoperaties (en een beperkt aantal andere gevallen) is een HIPAA-overtreding als er niet vooraf toestemming is verkregen van de patiënt.
Gezondheidszorgmedewerkers moeten ervoor zorgen dat voorafgaande om PHI aan een derde bekend te maken dat er toestemming is verkregen van de patiënt en dat er geen informatie wordt verstrekt aan een persoon of bedrijf die niet op het autorisatieformulier staat. Machtigingsformulieren zijn alleen geldig als ze zijn ondertekend door de patiënt of de door hem aangeduide vertegenwoordiger.
Patiëntinformatie vrijgeven zonder autorisatie
In dezelfde geest als het vorige punt, moeten zorgverleners ook voorzichtig zijn met de soorten informatie die aan derden worden vrijgegeven, zelfs als een autorisatie formulier is ontvangen waardoor een specifieke persoon, bedrijf of organisatie PHI kan ontvangen.
Het autorisatieformulier moet bevatten welke soorten informatie zijn geautoriseerd om te worden vrijgegeven. Alle informatie die niet op het machtigingsformulier staat, moet privé en vertrouwelijk blijven en mag niet worden gedeeld. Het vrijgeven van aanvullende informatie zou in strijd zijn met de HIPAA-privacyregel.
Openbaarmaking van PHI aan derden na het verstrijken van een autorisatie
Alle HIPAA-autorisatieformulieren moeten de namen of klassen van individuen bevatten die geautoriseerd zijn om PHI te ontvangen, de soorten PHI die zullen worden onthuld en de redenen voor de onthullingen. Ze moeten ook een vervaldatum voor de autorisatie bevatten.
PHI mag niet worden bekendgemaakt aan een persoon die op het autorisatieformulier staat vermeld nadat de vervaldatum is verstreken, zelfs niet als eerder toestemming is gegeven aan die entiteit om PHI. Een nieuw machtigingsformulier is vereist voordat verdere openbaarmaking plaatsvindt. Er moet ook worden opgemerkt dat een machtigingsformulier zonder vervaldatum niet HIPAA-conform is.
Ontoelaatbare openbaarmaking van patiëntendossiers
De HIPAA-privacyregel staat patiënten toe een kopie van hun medische dossiers op verzoek of laat hun dossiers verstrekken aan een aangewezen derde partij, zoals een persoonlijke vertegenwoordiger of een ander individu. Als de patiënt niet persoonlijk afhaalt, moet de derde partij toestemming hebben gekregen van de patiënt – op een HIPAA-machtigingsformulier – om de dossiers te ontvangen voordat ze kunnen worden vrijgegeven.
Voordat kopieën van de patiënt worden verstrekt medische dossiers, moeten gezondheidswerkers de identiteit van de patiënt of de persoon die de dossiers verzamelt, verifiëren en ervoor zorgen dat dossiers alleen worden vrijgegeven aan een persoon die gemachtigd is om ze te ontvangen. Er moet ook voor worden gezorgd dat de juiste patiëntendossiers worden vrijgegeven.
PHI downloaden naar niet-geautoriseerde apparaten
Het kan moeilijk zijn voor IT-afdelingen in de gezondheidszorg om alle apparaten die verbinding maken bij te houden. op het netwerk, gegeven hoeveel verschillende apparaten netwerktoegang hebben. Ervoor zorgen dat die apparaten zijn beveiligd, kan een nog groter probleem zijn, maar dit is een vereiste voor HIPAA-naleving.
Werknemers moeten zich ervan bewust zijn dat er privacy- en beveiligingsrisicos zijn verbonden aan het downloaden van ePHI naar niet-geautoriseerde draagbare elektronische apparaten. Dit verhoogt niet alleen het risico van een onbedoelde openbaarmaking van ePHI – in het geval dat het apparaat zoekraakt of wordt gestolen – het kan ook worden beschouwd als diefstal en een HIPAA-overtreding.
Ongeautoriseerde toegang tot medische dossiers bieden.
Het is de verantwoordelijkheid van de gedekte entiteit om ervoor te zorgen dat toegang tot gezondheidsinformatie en medische dossiers van patiënten alleen wordt gegeven aan bevoegde personen. Dit wordt bereikt door het implementeren van toegangscontroles via unieke logins.
Werknemers hebben de verantwoordelijkheid om ervoor te zorgen dat ze geen toegang geven tot gezondheidsinformatie aan collegas die vaak niet dezelfde toegangsrechten hebben. Het delen van inloggegevens kan niet alleen resulteren in een ongeoorloofde openbaarmaking van ePHI, alle acties die door die werknemer worden ondernomen, worden toegeschreven aan de persoon wiens inloggegevens zijn gebruikt om toegang te krijgen.
Veelgestelde vragen
Wat betekent het om “het risico terug te brengen tot een passend en aanvaardbaar niveau”?
Wanneer potentiële risicos en kwetsbaarheden worden geïdentificeerd, moeten de gedekte entiteiten en zakenpartners beslissen welke maatregelen ze moeten implementeren op basis van de omvang, complexiteit en capaciteiten van de organisaties, de bestaande maatregelen die al van kracht zijn en de kosten van het implementeren van verdere maatregelen in relatie tot de waarschijnlijkheid van een datalek en de omvang van de schade die het zou veroorzaken.
Hoe is het mogelijk om te voorkomen dat werknemers rondsnuffelen in medische dossiers?
Hoewel veel gevallen van rondneuzen in de gezondheidszorg te wijten zijn aan nieuwsgierigheid in plaats van kwaadwillende bedoelingen, zijn alle gevallen van rondneuzen in de gezondheidszorg HIPAA-overtredingen. Om te voorkomen dat werknemers rondsnuffelen in de gezondheidszorg records moeten gedekte entiteiten een trainingsprogramma implementeren, ervoor zorgen dat toegangsrechten voldoen aan de Minimum Noodzakelijk Standaard, auditlogboeken activeren en sancties afdwingen.
Als codering niet verplicht is, hoe kan het dan een HIPAA-overtreding zijn als records zijn niet versleuteld?
Hoewel versleuteling niet verplicht is, is het een adresseerbare implementatiespecificatie van de beveiligingsregel. Dit betekent dat organisaties de implementatie van de vereiste alleen kunnen vermijden als dit in de gegeven omstandigheden niet redelijk en gepast is, of als een alternatieve beveiligingsmaatregel even effectief is. Als organisaties geen encryptie implementeren, moeten ze de redenen hiervoor documenteren.
Waarom was de boete voor het weigeren van patiënten de toegang tot medische dossiers zo hoog?
In dit specifieke geval droeg de niet-medewerking van de gedekte entiteit bij aan de hoogte van de boete (u kan hier over de zaak lezen). Sinds dit geval is het programma voor zinvol gebruik van het CMS geëvolueerd naar het programma Promoting Interoperability, en – naast een sanctie voor een HIPAA-overtreding – kan elke gedekte entiteit die niet tijdig medische dossiers verstrekt, nu ook een percentage van hun Medicare-betalingen.