Najczęstsze naruszenia ustawy HIPAA, na które należy uważać
Najczęstsze naruszenia ustawy HIPAA, które skutkowały karami finansowymi, to brak przeprowadzenia analizy ryzyka w całej organizacji w celu zidentyfikowania zagrożeń dla poufności i uczciwości oraz dostępność chronionych informacji zdrowotnych (PHI); brak zawarcia umowy z partnerem biznesowym zgodnej z ustawą HIPAA; niedopuszczalne ujawnienia PHI; opóźnione powiadomienia o naruszeniach; oraz brak ochrony PHI.
Ugody prowadzone przez Biuro Praw Obywatelskich (OCR) Departamentu Zdrowia i Opieki Społecznej dotyczą rażących naruszeń zasad HIPAA. Ugody są również prowadzone w celu podkreślenia typowych naruszeń ustawy HIPAA w celu podniesienia świadomości potrzeby przestrzegania określonych aspektów zasad ustawy HIPAA.
W tym artykule omówiono pięć najczęstszych naruszeń ustawy HIPAA, które doprowadziły do zawarcia ugody z podmiotami objętymi ubezpieczeniem i ich współpracowników biznesowych w ciągu ostatnich kilku lat.
Czy naruszenia przepisów HIPAA naruszają dane?
Naruszenia danych są teraz faktem. Nawet w przypadku wielowarstwowych zabezpieczeń cybernetycznych nadal istnieje prawdopodobieństwo, że od czasu do czasu mogą wystąpić naruszenia bezpieczeństwa danych. OCR rozumie, że organizacje opieki zdrowotnej są celem cyberprzestępców i że nie jest możliwe wdrożenie niemożliwych do zdobycia zabezpieczeń.
Zgodność z HIPAA nie polega na upewnieniu się, że nigdy nie dojdzie do naruszenia bezpieczeństwa danych. Zgodność z HIPAA polega na ograniczaniu ryzyka do odpowiedniego i akceptowalnego poziomu. Tylko dlatego, że organizacja doświadczyła naruszenia bezpieczeństwa danych, nie oznacza to, że naruszenie to było wynikiem naruszenia ustawy HIPAA.
Portal naruszeń OCR teraz lepiej to odzwierciedla. Wiele naruszeń danych jest badanych przez OCR i okazuje się, że nie wiążą się one z jakimkolwiek naruszeniem zasad HIPAA. W rezultacie dochodzenia są zamykane bez podejmowania żadnych działań.
W jaki sposób wykrywane są naruszenia HIPAA?
Naruszenia HIPAA mogą trwać wiele miesięcy, a nawet lat, zanim zostaną wykryte. Im dłużej pozwolą im przetrwać, tym większa będzie kara, gdy w końcu zostaną odkryte. Dlatego ważne jest, aby podmioty objęte ustawą HIPAA przeprowadzały regularne przeglądy zgodności z ustawą HIPAA, aby mieć pewność, że naruszenia HIPAA zostaną wykryte i skorygowane, zanim zostaną zidentyfikowane przez organy regulacyjne.
Istnieją trzy główne sposoby wykrywania naruszeń ustawy HIPAA:
- Dochodzenia w sprawie naruszenia danych przez OCR (lub prokuratorów generalnych)
- Dochodzenia w sprawie skarg dotyczących podmiotów objętych ubezpieczeniem i współpracowników biznesowych
- Audyty zgodności z ustawą HIPAA
Nawet jeśli naruszenie danych nie wiąże się z naruszeniem ustawy HIPAA lub skarga okaże się nieuzasadniona, OCR może wykryć niepowiązane naruszenia HIPAA, które mogą skutkować karą finansową.
Co jakie są 10 najczęstszych naruszeń ustawy HIPAA?
Poniżej znajduje się lista 10 najczęstszych naruszeń ustawy HIPAA, wraz z przykładami podmiotów i współpracowników objętych ustawą HIPAA, w przypadku których stwierdzono, że naruszają zasady HIPAA i które musiał rozstrzygnąć te naruszenia z OCR i prokuratorem generalnym. W wielu przypadkach dochodzenie ujawniło wiele naruszeń ustawy HIPAA. Kwoty ugody odzwierciedlają wagę naruszenia, długość czasu trwania naruszenia, liczbę zidentyfikowanych naruszeń oraz sytuację finansową podmiotu / wspólnika biznesowego objętego ubezpieczeniem.
Snooping on Healthcare Dokumentacja
Dostęp do dokumentacji medycznej pacjentów z powodów innych niż te dozwolone przez zasadę prywatności – leczenie, płatności i operacje związane z opieką zdrowotną – stanowi naruszenie prywatności pacjenta. Śledzenie dokumentacji medycznej rodziny, przyjaciół, sąsiadów, współpracowników i celebrytów jest jednym z najczęstszych naruszeń ustawy HIPAA popełnianych przez pracowników. W przypadku wykrycia naruszenia te zwykle skutkują rozwiązaniem stosunku pracy, ale mogą również skutkować postawieniem zarzutów karnych dla danego pracownika. Kary finansowe dla organizacji opieki zdrowotnej, którym nie udało się zapobiec szpiegowaniu, są stosunkowo rzadkie, ale są możliwe, jak odkrył University of California Los Angeles Health System.
University of California Los Angeles Health System został ukarany grzywną w wysokości 865 000 USD za brak ograniczenia dostęp do dokumentacji medycznej. Po odkryciu, że lekarz uzyskał dostęp do dokumentacji medycznej celebrytów i innych pacjentów bez upoważnienia, zbadano świadczeniodawcę. Dr Huping Zhou uzyskał dostęp do akt pacjentów bez pozwolenia 323 razy po tym, jak dowiedział się, że wkrótce zostanie zwolniony. Dr Zhou został pierwszym pracownikiem służby zdrowia, który został skazany za naruszenie ustawy HIPAA i skazany na cztery miesiące więzienia federalnego.
Brak analizy ryzyka w całej organizacji
Niepowodzenie przeprowadzenie analizy ryzyka w całej organizacji jest jednym z najczęstszych naruszeń ustawy HIPAA, które skutkują karą finansową.Jeśli analiza ryzyka nie jest przeprowadzana regularnie, organizacje nie będą w stanie określić, czy istnieją jakiekolwiek luki w poufności, integralności i dostępności PHI. Ryzyko prawdopodobnie pozostanie nierozwiązane, pozostawiając szeroko otwarte drzwi dla hakerów.
Ugody HIPAA z podmiotami objętymi ubezpieczeniem w związku z brakiem przeprowadzenia oceny ryzyka w całej organizacji obejmują:
- Premera Blue Cross – rozliczenie w wysokości 6850 000 USD za analizę ryzyka i błędy w zarządzaniu ryzykiem oraz inne potencjalne naruszenia HIPAA.
- Excellus Health Plan – rozliczenie w wysokości 5 100 000 USD za analizę ryzyka i niepowodzenia w zarządzaniu ryzykiem oraz inne potencjalne naruszenia HIPAA
- Oregon Health & Science University – 2,7 mln USD ugody za brak analizy ryzyka w całym przedsiębiorstwie.
- Cardionet – 2,5 mln USD rozliczenia za niepełne ryzyko analizy i braku procesów zarządzania ryzykiem.
- Cancer Care Group – rozliczenie 750 000 USD za brak przeprowadzenia analizy ryzyka w całym przedsiębiorstwie.
- Lahey Hospital and Medical Centre – 850 000 USD rozliczenia za brak przeprowadzenia oceny ryzyka w całej organizacji i ot jej naruszenia HIPAA.
- Steven A. Porter, MD – 100 000 USD kary za analizę ryzyka i błędy w zarządzaniu ryzykiem.
Brak zarządzania zagrożeniami bezpieczeństwa / brak zarządzania ryzykiem Proces
Przeprowadzenie analizy ryzyka jest niezbędne, ale nie jest to tylko element pola wyboru zgodności. Zidentyfikowane ryzyka muszą następnie zostać poddane procesowi zarządzania ryzykiem. Należy nadać im priorytety i zająć się nimi w rozsądnych ramach czasowych. Wiedza o zagrożeniach dla ChIZ i nie radzenie sobie z nimi jest jednym z najczęstszych naruszeń ustawy HIPAA karanych przez Urząd Praw Obywatelskich.
Ugody HIPAA z podmiotami objętymi ubezpieczeniem za brak zarządzania zidentyfikowanym ryzykiem obejmują:
- Alaska Department of Health and Social Services – 1,7 miliona dolarów kary za brak analizy ryzyka i błędy w zarządzaniu ryzykiem.
- University of Massachusetts Amherst (UMass) – 650 000 dolarów kary za błędy w zarządzaniu ryzykiem .
- Metro Community Provider Network – 400 000 dolarów kary za błędy w zarządzaniu ryzykiem.
- Anchorage Community Mental Health Services – 150 000 dolarów kary za brak zarządzania ryzykiem dla ePHI.
Odmawianie pacjentom dostępu do dokumentacji medycznej / Przekroczenie terminu udzielenia dostępu
Zasada prywatności HIPAA daje pacjentom prawo dostępu do ich dokumentacji medycznej i uzyskania kopii na żądanie. Dzięki temu pacjenci mogą sprawdzać swoje zapisy pod kątem błędów i udostępniać je innym podmiotom i osobom. Odmawianie pacjentom kopii ich dokumentacji medycznej, zawyżanie opłat za kopie lub niedostarczenie ich w ciągu 30 dni stanowi naruszenie ustawy HIPAA. Firma OCR uczyniła naruszenia prawa dostępu HIPAA jednym ze swoich kluczowych celów egzekwowania pod koniec 2019 r.
Ugody HIPAA z podmiotami objętymi ubezpieczeniem za odmowę pacjentom dostępu do ich danych lub niepotrzebne opóźnienia w zapewnieniu dostępu obejmują:
- Cignet Health of Prince Georges County – 4 300 000 dolarów kary za odmowę pacjentom dostępu do ich dokumentacji medycznej.
- Banner Health – 200 000 dolarów kary za opóźnioną odpowiedź na prośbę pacjenta o kopię jego dokumentacji medycznej.
- Godność Zdrowie, dba Szpital i Centrum Medyczne św. Józefa – 160 000 USD kary za opóźnioną odpowiedź na prośbę pacjenta o kopię jego dokumentacji medycznej.
- NY Spine – 100 000 USD kary za opóźnioną odpowiedź na zgłoszenie pacjenta. prośba o kopię ich dokumentacji medycznej.
- Beth Israel Lahey Health Behavioural Services – 70 000 dolarów kary za opóźnioną odpowiedź na prośbę pacjenta o kopię jego dokumentacji medycznej.
- University of Cincinnati Medical Środkowy – 65 000 $ kary za de złożył odpowiedź na prośbę pacjenta o kopię jego dokumentacji medycznej.
- Housing Works Inc – 38 000 USD kary za opóźnioną odpowiedź na prośbę pacjenta o kopię jego dokumentacji medycznej.
- Peter Wrobel, MD, PC, dba Elite Primary Care – 36 000 USD kary za opóźnioną odpowiedź na prośbę pacjenta o kopię jego dokumentacji medycznej.
- Riverside Psychiatric Medical Group – 25 000 USD kary za opóźnioną odpowiedź na prośbę pacjenta o kopię jego dokumentacji medycznej.
- Dr Rajendra Bhayani – 15 000 dolarów kary za opóźnioną odpowiedź na prośbę pacjenta o kopię jego dokumentacji medycznej.
- All Inclusive Medical Services Inc – 15 000 dolarów kary za opóźnioną odpowiedź na prośba pacjenta o kopię jego dokumentacji medycznej.
- Wise Psychiatry, PC – 10 000 dolarów kary za opóźnioną odpowiedź na prośbę pacjenta o kopię jego dokumentacji medycznej.
- King MD – 3500 dolarów kary za opóźnioną odpowiedź na prośbę pacjenta o kopię jego dokumentacji medycznej r ecords.
Brak zawarcia umowy z partnerem biznesowym zgodnej z HIPAA
Brak zawarcia zgodnej z HIPAA umowy z partnerem biznesowym ze wszystkimi dostawcami, którzy otrzymują lub otrzymują dostęp do PHI to kolejne z najczęstszych naruszeń ustawy HIPAA. Nawet jeśli umowy z partnerami biznesowymi są utrzymywane dla wszystkich dostawców, mogą one nie być zgodne z ustawą HIPAA, zwłaszcza jeśli nie zostały zmienione po ostatecznej zasadzie Omnibus.
Godne uwagi ustalenia dotyczące tych typowych naruszeń HIPAA obejmują:
- Raleigh Orthopaedic Clinic, PA Karoliny Północnej – ugoda 750 000 USD za niewykonanie zgodnej z HIPAA umowy z partnerem biznesowym.
- North Memorial Health Care of Minnesota – rozliczenie w wysokości 1,55 mln USD za niezawarcie umowy BAA z głównym wykonawcą i innymi HIPAA naruszeń.
- Care New England Health System – rozliczenie 400 000 USD za brak aktualizacji umów z partnerami biznesowymi.
Niewystarczająca kontrola dostępu ePHI
Bezpieczeństwo HIPAA Reguła wymaga, aby podmioty objęte ubezpieczeniem i ich partnerzy biznesowi ograniczali dostęp do ePHI do upoważnionych osób. Brak wdrożenia odpowiednich kontroli dostępu ePHI jest również jednym z najczęstszych naruszeń ustawy HIPAA i pociągnął za sobą kilka kar finansowych.
Kary finansowe nakładane na podmioty objęte ubezpieczeniem za awarie kontroli dostępu ePHI obejmują:
- Anthem Inc. – 16 000 000 dolarów kary za błędy kontroli dostępu i inne poważne naruszenia HIPAA.
- Memorial Healthcare System – 5 500 000 dolarów kary za niewystarczającą kontrolę dostępu ePHI.
- Texas Department usług związanych ze starzeniem się i niepełnosprawnością – 1 600 000 USD kary za błędy w analizie ryzyka, błędy kontroli dostępu i błędy monitorowania systemów informatycznych.
- System opieki zdrowotnej Uniwersytetu Kalifornijskiego w Los Angeles – kara w wysokości 865 500 USD za brak ograniczenia dostępu do dokumentacji medycznej.
- Pagosa Springs Medical Center – 111 400 USD kary za brak dostępu do ePHI po zwolnieniu pracownika i braku umowy z partnerem biznesowym.
Nieużywanie szyfrowanialub równoważny środek ochrony ePHI na urządzeniach przenośnych
Jedną z najbardziej skutecznych metod zapobiegania naruszeniom danych jest szyfrowanie PHI. Naruszenia zaszyfrowanych ChIZ nie stanowią incydentów bezpieczeństwa podlegających zgłoszeniu, chyba że klucz do odszyfrowania danych również zostanie skradziony. Szyfrowanie nie jest obowiązkowe zgodnie z zasadami HIPAA, ale nie można go zignorować. Jeśli zostanie podjęta decyzja o niestosowaniu szyfrowania, zamiast niego należy zastosować alternatywny, równoważny środek bezpieczeństwa.
Ostatnie ustalenia dotyczące braku ochrony ChIZ obejmują:
- Dziecięce Centrum Medyczne w Dallas – 3,2 miliona dolarów cywilnej kary pieniężnej za niepodjęcie działań w celu wyeliminowania znanych zagrożeń, w tym niestosowania szyfrowania na urządzeniach przenośnych.
- Katolicka opieka zdrowotna Archidiecezji Filadelfii – ugoda 650 000 USD za niestosowanie szyfrowania, nieprzeprowadzenie analizy ryzyka w całym przedsiębiorstwie i brak zarządzania ryzykiem.
- Podmiot objęty ubezpieczeniem związany z systemem opieki zdrowotnej przez cały okres eksploatacji – kara 1 040 000 USD za niepowodzenie w zaszyfrowaniu danych oraz urządzenia i nośnika kontrole, których skutkiem jest niedopuszczalne ujawnienie 20.431 ePHI pacjentów
Przekroczenie 60-dniowego terminu wysyłania powiadomień o naruszeniach
Zasada powiadamiania o naruszeniach ustawy HIPAA wymaga od podmiotów objętych powiadomienia o naruszeniach bez niepotrzebne opóźnienie, a na pewno nie później niż 60 dni po wykryciu naruszenia ochrony danych. Przekroczenie tego przedziału czasowego jest jednym z najczęstszych naruszeń ustawy HIPAA, za które w tym roku nałożono dwie kary:
- Presence Health – rozliczenie w wysokości 475 000 USD za opóźnienie wysyłania powiadomień o naruszeniu o miesiąc.
- CoPilot Provider Support Services Inc. – ugoda w wysokości 130 000 USD z prokuratorem generalnym NY za opóźnione powiadomienia o naruszeniu.
Niedopuszczalne ujawnienie chronionych informacji zdrowotnych
Jakiekolwiek ujawnienie chronione informacje zdrowotne, które nie są dozwolone zgodnie z zasadą prywatności HIPAA, mogą podlegać karze finansowej. Ta kategoria naruszeń obejmuje ujawnienie PIZ pracodawcy pacjenta, potencjalne ujawnienie PIZ po kradzieży lub utracie niezaszyfrowanych laptopów, nieostrożne obchodzenie się z PIZ, niepotrzebne ujawnianie PIZ, nieprzestrzeganie standardu „ niezbędnego minimum oraz ujawnienie PIZ po uzyskaniu zgody pacjenta. wygasł.
Rozliczenia za niedozwolone ujawnienia PIZ obejmują:
- Memorial Hermann Health System – rozliczenie w wysokości 2,4 miliona USD za ujawnienie ChIZ pacjenta w komunikacie prasowym.
- New York Presbyterian Hospital – 2 200 000 dolarów kary za filmowanie pacjentów bez zgody.
- Massachusetts General Hospital – 515 000 dolarów kary za filmowanie pacjentów bez zgody.
- Lukes-Roosevelt Hospital Center – ugoda w wysokości 387 000 USD za nieostrożne postępowanie z PHI / ujawnienie pracodawcy statusu HIV pacjenta.
- Brigham and Womens Hospital – 384 000 USD kary za filmowanie pacjentów bez zgody .
- Boston Medical Center – 100 000 USD kary za filmowanie pacjentów bez zgody.
Niewłaściwe usuwanie PHI
Gdy fizyczne PHI i ePHI nie są już wymagane i upłynęły okresy przechowywania, zasady HIPAA wymagają, aby informacje zostały bezpiecznie i trwale zniszczone. W przypadku dokumentów papierowych może to obejmować niszczenie lub rozcieranie na miazgę, a w przypadku ePHI rozmagnesowywanie, bezpieczne wycieranie lub niszczenie urządzeń elektronicznych, na których przechowywana jest ePHI, aby zapobiec niedopuszczalnym ujawnieniom.
Kary finansowe nałożone na podmioty objęte ubezpieczeniem za niewłaściwe usunięcie PHI / ePHI obejmują:
- Parkview Health – 800 000 USD kary za brak bezpiecznego pozbycia się papierowych akt zawierających PHI.
- Cornell Prescription Pharmacy – 125 000 USD kary za niewłaściwą utylizację PHI.
- FileFax Inc. – 100 000 USD kary za zlikwidowaną firmę z powodu niewłaściwego usuwania dokumentacji medycznej.
Typowe naruszenia HIPAA przez pracowników służby zdrowia
Śledzenie dokumentacji medycznej jest dość oczywistym naruszeniem ustawy HIPAA i wszyscy pracownicy służby zdrowia, którzy przeszli szkolenie HIPAA, powinni wiedzieć, że jest to naruszenie zasad ich pracodawcy i zasad HIPAA.
Inne typowe naruszenia ustawy HIPAA często mają miejsce, gdy wynik nieporozumień dotyczących ustawy HIPAA wymagania. Chociaż każde z tych powszechnych naruszeń ustawy HIPAA wpływa na znacznie mniejszą liczbę pacjentów niż powyższe naruszenia, nadal mogą one wyrządzić znaczną szkodę: zaangażowanym pacjentom i ich pracodawcy. Mogą również skutkować postępowaniem dyscyplinarnym wobec odpowiedzialnego pracownika, w tym zwolnieniem.
Poniżej wymieniono niektóre z typowych naruszeń ustawy HIPAA popełnianych przez pracowników służby zdrowia. Te typowe naruszenia ustawy HIPAA powinny być objęte szkoleniem HIPAA dla pracowników w celu podniesienia świadomości na temat tych częstych obszarów niezgodności.
Wysyłanie ePHI na osobiste konta e-mail i usuwanie PHI z zakładu opieki zdrowotnej
Znalezienie czasu na wykonanie wszystkich niezbędnych zadań w godzinach pracy może być trudne, a zabranie pracy do domu może być kuszące. Usunięcie chronionych informacji zdrowotnych z placówki służby zdrowia naraża je na narażenie. Jest to powszechne naruszenie HIPAA pracowników i może być nawet rutynową praktyką w placówce opieki zdrowotnej, w której brakuje personelu. Nie oznacza to, że jest to dopuszczalna praktyka.
To samo dotyczy wysyłania ePHI na osobiste konta e-mail. Niezależnie od tego, czy chodzi o pomoc przy arkuszach kalkulacyjnych, dokończenie pracy w domu, aby przejść do przodu na następny dzień, czy nadrobienie zaległości, jest to naruszenie zasad HIPAA. Co więcej, każde wysłanie ePHI na osobiste konto e-mail może zostać uznane za kradzież, której konsekwencje mogą być znacznie poważniejsze niż rozwiązanie umowy o pracę.
Pozostawienie przenośnych urządzeń elektronicznych i dokumentów bez nadzoru
Zasada bezpieczeństwa HIPAA wymaga, aby PHI i ePHI były zawsze zabezpieczone. Jeśli dokumenty pozostaną bez opieki, mogą zostać przejrzane przez nieupoważnioną osobę, na przykład członka personelu, pacjenta lub osobę odwiedzającą placówkę opieki zdrowotnej. Gdyby tak się stało, byłoby to uważane za niedopuszczalne ujawnienie ChIZ.
Urządzenia elektroniczne zawierające ePHI muszą być zawsze podobnie zabezpieczone. Urządzenia elektroniczne są przenośne i cenne. Oportunistyczni złodzieje mogli łatwo ukraść nienadzorowane urządzenie i uzyskać dostęp do ePHI. Odnotowano wiele przypadków, w których pracownicy służby zdrowia usuwali niezaszyfrowane urządzenia z placówek służby zdrowia, tylko po to, aby zostały skradzione z pojazdów lub domów. Kradzież może również łatwo wystąpić w placówce opieki zdrowotnej, jeśli urządzenia nie są zabezpieczone. Pracownicy służby zdrowia muszą upewnić się, że przestrzegane są zasady pracodawcy, a zasady HIPAA nie są naruszane przez pozostawianie urządzeń i dokumentów bez nadzoru.
Udostępnianie informacji o pacjencie nieuprawnionej osobie
Formularz upoważnienia musi być uzyskane od pacjenta, zanim którekolwiek z jego ChIZ będzie można ujawnić stronie trzeciej w celu innym niż cel wyraźnie dozwolony przez zasadę prywatności HIPAA. Ujawnienie ChIZ w celach innych niż leczenie, opłacenie opieki zdrowotnej lub operacji zdrowotnych (i niektórych innych przypadkach) stanowi naruszenie HIPAA, jeśli pacjent nie uzyskał wcześniej zgody.
Pracownicy służby zdrowia muszą upewnić się, że wcześniej do ujawnienia PIZ stronie trzeciej, że uzyskano zgodę od pacjenta, a informacje nie są ujawniane żadnej osobie ani firmie, które nie są zawarte w formularzu upoważnienia. Formularze autoryzacji są ważne tylko wtedy, gdy zostały podpisane przez pacjenta lub wyznaczonego przez niego przedstawiciela.
Udostępnianie informacji o pacjencie bez upoważnienia
Podobnie jak w poprzednim punkcie, pracownicy służby zdrowia muszą również zachować ostrożność co do rodzajów informacji, które są udostępniane stronom trzecim, nawet jeśli zezwolenie otrzymano formularz zezwalający konkretnej osobie, firmie lub organizacji na otrzymanie PHI.
Formularz upoważnienia powinien zawierać informacje, jakie rodzaje informacji zostały upoważnione do udostępnienia. Wszelkie informacje, które nie są wyszczególnione w formularzu upoważnienia, muszą pozostać prywatne i poufne i nie powinny być udostępniane. Ujawnienie dodatkowych informacji naruszyłoby zasadę prywatności HIPAA.
Ujawnienie PHI stronom trzecim po wygaśnięciu upoważnienia
Wszystkie formularze upoważnienia HIPAA muszą zawierać nazwiska lub klasy osób którzy są upoważnieni do otrzymywania PIZ, rodzaje PIZ, które zostaną ujawnione oraz powody ujawnienia. Muszą również zawierać datę wygaśnięcia upoważnienia.
Nie wolno ujawniać ChIZ żadnej osobie wymienionej w formularzu upoważnienia po upływie terminu ważności, nawet jeśli wcześniej udzielono temu podmiotowi upoważnienia do odbioru PHI. Przed kolejnym ujawnieniem wymagany jest nowy formularz upoważnienia. Należy również zauważyć, że formularz pozwolenia bez daty ważności nie jest zgodny z ustawą HIPAA.
Niedopuszczalne ujawnienie dokumentacji zdrowia pacjenta
Zasada prywatności HIPAA zezwala pacjentom na uzyskanie kopii ich dokumentację medyczną na żądanie lub przekazanie ich dokumentacji wyznaczonej stronie trzeciej, takiej jak osobisty przedstawiciel lub inna osoba. Jeśli pacjent nie odbierze osobiście, osoba trzecia musi uzyskać od pacjenta upoważnienie – na formularzu upoważnienia HIPAA – do odbioru dokumentacji przed jej zwolnieniem.
Przed dostarczeniem kopii pacjenta dokumentacja zdrowotna, pracownicy służby zdrowia muszą zweryfikować tożsamość pacjenta lub osoby zbierającej dokumentację i muszą zapewnić, aby dokumentacja została udostępniona wyłącznie osobie upoważnionej do ich otrzymania. Należy również zadbać o to, aby udostępnić prawidłowe rejestry pacjentów.
Pobieranie PHI na nieautoryzowane urządzenia
Działowi informatycznemu opieki zdrowotnej może być trudno śledzić wszystkie podłączone urządzenia. do sieci, biorąc pod uwagę, ile różnych urządzeń ma dostęp do sieci. Zapewnienie bezpieczeństwa tych urządzeń może być jeszcze większym problemem, ale jest to wymóg zgodności z ustawą HIPAA.
Pracownicy muszą mieć świadomość, że istnieje ryzyko prywatności i bezpieczeństwa związane z pobieraniem ePHI na nieautoryzowane przenośne urządzenia elektroniczne. Nie tylko zwiększa to ryzyko przypadkowego ujawnienia ePHI – w przypadku zgubienia lub kradzieży urządzenia – może być również postrzegane jako kradzież i naruszenie HIPAA.
Zapewnienie nieautoryzowanego dostępu do dokumentacji medycznej
Podmiot objęty ubezpieczeniem jest odpowiedzialny za zapewnienie, że dostęp do informacji o stanie zdrowia pacjenta i dokumentacji medycznej mają tylko upoważnione osoby. Osiąga się to poprzez wdrożenie kontroli dostępu za pomocą unikalnych loginów.
Pracownicy mają obowiązek upewnić się, że nie udostępniają informacji zdrowotnych współpracownikom, którzy nie mają takich samych praw dostępu. Udostępnianie danych logowania mogłoby nie tylko skutkować niedopuszczalnym ujawnieniem ePHI, wszelkie działania podjęte przez tego pracownika byłyby przypisane osobie, której dane logowania zostały użyte do uzyskania dostępu.
Często zadawane pytania
Co to znaczy „zredukować ryzyko do odpowiedniego i akceptowalnego poziomu”?
Po zidentyfikowaniu potencjalnych zagrożeń i słabych punktów podmioty objęte ubezpieczeniem i partnerzy biznesowi muszą zdecydować, jakie środki wdrożyć w zależności od wielkości, złożoność i możliwości organizacji, istniejące już środki oraz koszt wdrożenia dalszych środków w odniesieniu do prawdopodobieństwa naruszenia danych i skali szkód, jakie mogłoby to spowodować.
Jak to jest można zapobiec podsłuchiwaniu dokumentacji medycznej przez pracowników?
Chociaż wiele przypadków szpiegowania w służbie zdrowia można przypisać ciekawości, a nie złym zamiarom, wszystkie przypadki szpiegowania opieki zdrowotnej są naruszeniami ustawy HIPAA. zapisy, podmioty objęte powinny wdrożyć program szkoleń, zapewnić uprawnienia dostępu zgodne z minimalnym niezbędnym standardem, aktywować dzienniki audytów i egzekwować sankcje.
Jeśli szyfrowanie nie jest obowiązkowe, w jaki sposób może to stanowić naruszenie HIPAA, jeśli rekordy są niezaszyfrowane?
Chociaż szyfrowanie nie jest obowiązkowe, jest to specyfikacja adresowalnej implementacji reguły bezpieczeństwa. Oznacza to, że organizacje mogą uniknąć wdrożenia tego wymagania tylko wtedy, gdy nie jest to uzasadnione i odpowiednie w danych okolicznościach lub jeśli alternatywny środek bezpieczeństwa jest równie skuteczny. Jeśli organizacje nie wdrożyły szyfrowania, muszą udokumentować przyczyny.
Dlaczego kara za odmowę dostępu pacjentów do dokumentacji medycznej była tak wysoka?
W tym konkretnym przypadku brak współpracy podmiotu objętego ubezpieczeniem wpłynął na wysokość grzywny ( o sprawie przeczytasz tutaj). Od tego przypadku program sensownego użytkowania CMS przekształcił się w program promowania interoperacyjności i – oprócz sankcji za naruszenie HIPAA – każdy objęty ubezpieczeniem podmiot, który nie dostarczy dokumentacji medycznej w odpowiednim czasie, może teraz również stracić procent swoich Płatności Medicare.