Cele mai frecvente încălcări HIPAA de care ar trebui să fiți conștienți
Cele mai frecvente încălcări HIPAA care au condus la sancțiuni financiare sunt eșecul de a efectua o analiză a riscului la nivelul întregii organizații pentru a identifica riscurile pentru confidențialitate, integritate , și disponibilitatea informațiilor de sănătate protejate (PHI); eșecul de a încheia un acord de asociat de afaceri conform HIPAA; divulgarea nepermisă a PHI; notificări de încălcare întârziate; și eșecul de a proteja PHI.
Acordurile urmărite de Oficiul pentru Drepturi Civile al Departamentului Sănătate și Servicii Umane (OCR) sunt pentru încălcări flagrante ale Regulilor HIPAA. Acordurile sunt, de asemenea, urmărite pentru a evidenția încălcările HIPAA obișnuite pentru a crește gradul de conștientizare a necesității de a respecta anumite aspecte ale regulilor HIPAA. asociații lor din ultimii ani.
Încălcările de date sunt încălcările HIPAA?
Încălcările de date sunt acum un fapt de viață. Chiar și în cazul apărărilor cibernetice cu mai multe straturi, este posibil ca încălcarea datelor să apară din când în când. OCR înțelege că organizațiile de asistență medicală sunt vizate de infractori cibernetici și că nu este posibil să se pună în aplicare mijloace de apărare inexpugnabile.
Conformitatea HIPAA nu înseamnă să vă asigurați că încălcările de date nu se întâmplă niciodată. Conformitatea HIPAA se referă la reducerea riscului la un nivel adecvat și acceptabil. Doar pentru că o organizație are o încălcare a datelor, nu înseamnă că încălcarea a fost rezultatul unei încălcări HIPAA.
Portalul de încălcare a OCR reflectă acum mai clar acest lucru. Multe încălcări ale datelor sunt investigate de OCR și se constată că nu implică nicio încălcare a regulilor HIPAA. În consecință, investigațiile sunt închise fără a fi luate măsuri.
Cum sunt descoperite încălcările HIPAA?
Încălcările HIPAA pot continua mai multe luni sau chiar ani, înainte de a fi descoperite. Cu cât li se permite mai mult să persiste, cu atât va fi mai mare pedeapsa atunci când vor fi descoperite în cele din urmă. Prin urmare, este important ca entitățile acoperite de HIPAA să efectueze revizuiri periodice ale conformității HIPAA pentru a se asigura că încălcările HIPAA sunt descoperite și corectate înainte de a fi identificate de către autoritățile de reglementare.
Există trei moduri principale de descoperire a încălcărilor HIPAA:
- Investigații cu privire la o încălcare a datelor de către OCR (sau procurorii generali ai statului)
- Investigații privind reclamațiile cu privire la entitățile acoperite și asociații de afaceri
- Auditurile de conformitate HIPAA li>
Chiar și atunci când o încălcare a datelor nu implică o încălcare a HIPAA sau o reclamație se dovedește a fi neîntemeiată, OCR poate descoperi încălcări HIPAA fără legătură care ar putea justifica o penalizare financiară.
sunt cele mai frecvente 10 încălcări HIPAA?
Enumerate mai jos sunt 10 dintre cele mai frecvente încălcări HIPAA, împreună cu exemple de entități acoperite de HIPAA și asociați de afaceri care s-au descoperit că încalcă regulile HIPAA și au a trebuit să soluționeze aceste încălcări cu OCR și cu procurorii generali ai statului. În multe cazuri, investigațiile au descoperit multiple încălcări ale HIPAA. Sumele decontării reflectă gravitatea încălcării, durata în care încălcarea a fost permisă să persiste, numărul de încălcări identificate și poziția financiară a entității / asociatului de afaceri acoperit.
Snooping on Healthcare Înregistrări
Accesarea dosarelor medicale ale pacienților din alte motive decât cele permise de regula de confidențialitate – tratament, plată și operațiuni medicale – reprezintă o încălcare a confidențialității pacientului. Priviți în dosarele medicale ale familiei, prietenilor, vecinilor, colegilor de muncă și vedetelor este una dintre cele mai frecvente încălcări HIPAA comise de angajați. Atunci când sunt descoperite, aceste încălcări au ca rezultat, de obicei, încetarea angajării, dar ar putea duce și la acuzații penale pentru angajatul în cauză. Sancțiunile financiare pentru organizațiile de asistență medicală care nu au reușit să prevină spionajul sunt relativ neobișnuite, dar sunt posibile după cum a descoperit sistemul de sănătate din Los Angeles al Universității din California.
Sistemul de sănătate din Los Angeles al Universității din California a fost amendat cu 865.000 USD pentru că nu a restricționat acces la dosarele medicale. Furnizorul de asistență medicală a fost investigat în urma descoperirii că un medic a accesat fără autorizație dosarele medicale ale vedetelor și ale altor pacienți. Dr. Huping Zhou a accesat înregistrările pacienților fără autorizație de 323 de ori după ce a aflat că în curând va fi demis. Dr. Zhou a devenit primul angajat din domeniul sănătății care a fost închis pentru o încălcare a HIPAA și a fost condamnat la patru luni de închisoare federală.
Eșecul efectuării unei analize a riscurilor la nivelul întregii organizații
Eșecul a efectua o analiză a riscului la nivelul întregii organizații este una dintre cele mai frecvente încălcări HIPAA care determină o penalizare financiară.Dacă analiza riscurilor nu este efectuată în mod regulat, organizațiile nu vor putea determina dacă există vulnerabilități la confidențialitatea, integritatea și disponibilitatea PHI. Prin urmare, riscurile vor rămâne neadresate, lăsând ușa larg deschisă hackerilor.
Acordurile HIPAA cu entitățile acoperite pentru eșecul de a efectua o evaluare a riscurilor la nivelul întregii organizații includ:
- Premera Blue Cross – Decontare de 6.850.000 de dolari pentru analiza riscurilor și eșecuri în gestionarea riscurilor și alte potențiale încălcări ale HIPAA
- Planul de sănătate Excellus – decontare de 5.100.000 de dolari pentru analize de risc și eșecuri în gestionarea riscurilor și alte potențiale încălcări ale HIPAA
- Oregon Health & Science University – Decontare de 2,7 milioane de dolari pentru lipsa unei analize a riscului la nivelul întregii întreprinderi.
- Cardionet – decontare de 2,5 milioane de dolari pentru un risc incomplet analiza și lipsa proceselor de gestionare a riscurilor.
- Grupul de îngrijire a cancerului – decontare de 750.000 USD pentru eșecul efectuării unei analize de risc la nivelul întregii întreprinderi.
- Spitalul și Centrul Medical Lahey – decontare de 850.000 USD pentru eșecul de a efectua o evaluare a riscului la nivelul întregii organizații și încălcările ei HIPAA.
- Steven A. Porter, MD – penalizare de 100.000 USD pentru analiza riscurilor și eșecurile gestionării riscurilor.
Eșecul de a gestiona riscurile de securitate / Lipsa unui management al riscului Procesul
Efectuarea unei analize de risc este esențială, dar nu este doar o casetă de selectare pentru conformitate. Riscurile identificate trebuie apoi supuse unui proces de gestionare a riscurilor. Acestea ar trebui prioritizate și abordate într-un interval de timp rezonabil. Cunoașterea riscurilor la adresa PHI și eșecul în abordarea acestora una dintre cele mai frecvente încălcări HIPAA sancționate de Oficiul pentru Drepturile Civile.
Acordurile HIPAA cu entitățile acoperite pentru eșecul gestionării riscurilor identificate includ:
- Departamentul de sănătate și servicii sociale din Alaska – penalizare de 1,7 milioane de dolari pentru eșecul efectuării analizei riscurilor și a eșecurilor gestionării riscurilor.
- Universitatea din Massachusetts Amherst (UMass) – 650.000 USD penalizare pentru eșecurile gestionării riscurilor .
- Rețeaua de furnizori de comunități Metro – 400.000 USD penalizare pentru eșecurile de gestionare a riscurilor.
- Anchorage Community Mental Health Services – 150.000 USD penalizare pentru eșecul de a gestiona riscul pentru ePHI.
Refuzarea accesului pacienților la fișele medicale / Depășirea termenului pentru furnizarea accesului
Regula de confidențialitate HIPAA oferă pacienților dreptul de a accesa fișele lor medicale și de a obține copii la cerere. Acest lucru permite pacienților să își verifice înregistrările pentru erori și să le partajeze cu alte entități și persoane. Refuzul copiilor pacienților din dosarele lor de sănătate, supraîncărcarea pentru copii sau nerespectarea acestor dosare în termen de 30 de zile reprezintă o încălcare a HIPAA. OCR a făcut din încălcările dreptului de acces HIPAA unul dintre obiectivele sale cheie de aplicare la sfârșitul anului 2019.
Acordurile HIPAA cu entități acoperite pentru refuzul accesului pacienților la evidența lor sau întârzieri inutile în furnizarea accesului includ:
- Cignet Health din județul Prince George – penalizare de 4.300.000 USD pentru refuzul accesului pacienților la dosarele lor medicale.
- Banner Health – penalizare de 200.000 USD pentru răspunsul întârziat la solicitarea pacientului pentru o copie a dosarelor lor medicale.
- Dignity Health, dba Spitalul și Centrul Medical Sf. Iosif – penalizare 160.000 USD pentru răspunsul întârziat la solicitarea pacientului pentru o copie a fișelor medicale ale acestora.
- NY Spine – penalizare 100.000 USD pentru răspunsul întârziat la pacient solicitați o copie a fișelor medicale ale acestora.
- Servicii de comportament în sănătate Beth Israel Lahey – 70.000 USD penalizare pentru răspunsul întârziat la solicitarea pacientului pentru o copie a fișelor lor medicale.
- Universitatea din Cincinnati Medical Centru – 65.000 $ penalizare pentru de a răspuns la solicitarea pacientului pentru o copie a fișelor medicale.
- Housing Works Inc – penalizare de 38.000 USD pentru răspunsul întârziat la solicitarea pacientului pentru o copie a fișelor medicale.
- Peter Wrobel, MD, PC, dba Elite Primary Care – 36.000 USD penalizare pentru răspunsul întârziat la solicitarea pacientului pentru o copie a fișelor medicale ale acestora.
- Riverside Psychiatric Medical Group – 25.000 USD penalizare pentru răspunsul întârziat la solicitarea pacientului pentru o copie a acestora dosare medicale.
- Dr. Rajendra Bhayani – penalizare de 15.000 USD pentru răspunsul întârziat la solicitarea pacientului pentru o copie a dosarelor medicale ale acestora.
- All Inclusive Medical Services Inc – penalizare de 15.000 USD pentru răspunsul întârziat la solicitarea pacientului pentru o copie a fișelor medicale.
- Wise Psychiatry, PC – penalizare de 10.000 USD pentru răspunsul întârziat la solicitarea pacientului pentru o copie a fișelor medicale.
- King MD – 3.500 USD penalizare pentru răspunsul întârziat la solicitarea pacientului pentru o copie a medicului lor r ecords.
Eșecul încheierii unui acord de asociere de afaceri conform HIPAA
Eșecul încheierii unui acord de asociere de afaceri conform HIPAA cu toți furnizorii cărora li se furnizează sau li se oferă accesul la PHI este o altă dintre cele mai frecvente încălcări HIPAA. Chiar și atunci când sunt încheiate acorduri de asociere de afaceri pentru toți furnizorii, este posibil ca acestea să nu fie conforme HIPAA, mai ales dacă nu au fost revizuite după regula finală Omnibus.
Soluțiile notabile pentru aceste încălcări HIPAA comune includ:
- Clinica ortopedică Raleigh, PA din Carolina de Nord – decontare de 750.000 dolari pentru eșecul executării unui acord de asociat de afaceri conform HIPAA.
- North Memorial Health Care din Minnesota – decontare de 1,55 milioane dolari pentru eșecul încheierii unui BAA cu un contractor major și cu alte HIPAA încălcări.
- Care New England Health System – Acord de 400.000 USD pentru eșecul actualizării acordurilor de asociere de afaceri
Controale de acces ePHI insuficiente
Securitatea HIPAA Regula impune entităților acoperite și asociaților lor de afaceri să limiteze accesul la ePHI persoanelor autorizate. Eșecul implementării controalelor de acces ePHI adecvate este, de asemenea, una dintre cele mai frecvente încălcări HIPAA și una care a atras mai multe sancțiuni financiare.
Sancțiunile financiare emise entităților acoperite pentru eșecurile controlului accesului ePHI includ:
- Anthem Inc. – o penalizare de 16.000.000 USD pentru eșecurile controlului accesului și alte încălcări grave ale HIPAA.
- Sistemul de asistență medicală memorială – 5.500.000 USD penalizare pentru controalele de acces ePHI insuficiente.
- Departamentul Texas of Aging and Disability Services – 1.600.000 USD penalizare pentru eșecurile analizei riscurilor, eșecurilor controlului accesului și a eșecurilor de monitorizare a sistemului informațional.
- University of California Los Angeles Health System – 865.500 USD penalizare pentru eșecul restricționării accesului la dosarele medicale.
- Centrul medical Pagosa Springs – penalizare de 111.400 USD pentru eșecul de a rezilia accesul la ePHI după încetarea unui angajat și lipsa unui acord de asociat de afaceri.
Eșecul utilizării criptăriisau o măsură echivalentă pentru protejarea ePHI pe dispozitive portabile
Una dintre cele mai eficiente metode de prevenire a încălcării datelor este criptarea PHI. Încălcările PHI criptate nu sunt incidente de securitate raportabile, cu excepția cazului în care este furată și cheia pentru decriptarea datelor. Criptarea nu este obligatorie conform Regulilor HIPAA, dar nu poate fi ignorată. Dacă se ia decizia de a nu utiliza criptarea, trebuie să se utilizeze o măsură alternativă de securitate echivalentă în locul său.
Decontările recente pentru eșecul de a proteja PHI includ:
- Centrul Medical pentru Copii din Dallas – 3,2 milioane de dolari, penalitate monetară civilă pentru eșecul acțiunii de soluționare a riscurilor cunoscute, inclusiv a neutilizării criptării pe dispozitive portabile. pentru eșecul utilizării criptării, eșecului de a efectua o analiză a riscurilor la nivelul întregii întreprinderi și de a gestiona riscurile.
- Entitate acoperită afiliată a sistemului de sănătate pe durata de viață – penalizare de 1.040.000 USD pentru eșecul criptării datelor și a dispozitivului și a suportului media controale, având ca rezultat divulgarea nepermisă a ePHI a 20.431 de pacienți.
Depășirea termenului limită de 60 de zile pentru emiterea notificărilor privind încălcările. notificări de încălcări fără întârziere inutilă și, cu siguranță, nu mai târziu de 60 de zile de la descoperirea unei încălcări a datelor. Depășirea acestui interval de timp este una dintre cele mai frecvente încălcări HIPAA, care a înregistrat două sancțiuni emise anul acesta:
- Prezența sănătății – soluționare de 475.000 USD pentru întârzierea emiterii notificărilor de încălcare cu o lună.
- CoPilot Provider Support Services Inc. – Acord de 130.000 USD cu procurorul general din NY pentru notificări de încălcare întârziate.
Divulgarea nepermisă a informațiilor de sănătate protejate
Orice divulgare a informațiile de sănătate protejate care nu sunt permise în conformitate cu regula de confidențialitate HIPAA pot atrage o sancțiune financiară. Această categorie de încălcare include divulgarea PHI angajatorului unui pacient, dezvăluirile potențiale în urma furtului sau pierderii computerelor laptop necriptate, manipularea neglijentă a PHI, divulgarea PHI în mod inutil, neaderarea la standardul „minim necesar” și divulgarea PHI după autorizarea pacientului a expirat.
Decontările pentru divulgarea nepermisă a PHI includ:
- Memorial Hermann Health System – decontare de 2,4 milioane de dolari pentru divulgarea PHI a unui pacient într-un comunicat de presă.
- New York Presbyterian Hospital – 2.200.000 USD penalizare pentru filmarea pacienților fără consimțământ.
- Massachusetts General Hospital – 515.000 USD penalizare pentru filmarea pacienților fără consimțământ.
- Centrul spitalicesc Lukes-Roosevelt – 387.000 dolari de soluționare pentru tratarea neglijentă a PHI / Dezvăluirea statutului HIV al unui pacient către angajatorul lor.
- Spitalul Brigham and Women – 384.000 dolari penalizare pentru filmarea pacienților fără consimțământ .
- Boston Medical Center – penalizare de 100.000 USD pentru filmarea pacienților fără consimțământ.
Eliminarea necorespunzătoare a PHI
Când PHI fizic și ePHI nu mai sunt necesare și perioadele de păstrare au expirat, regulile HIPAA impun ca informațiile să fie distruse în siguranță și permanent. Pentru înregistrările pe hârtie, aceasta ar putea implica mărunțirea sau prelucrarea și pentru ePHI, degazarea, ștergerea în siguranță sau distrugerea dispozitivelor electronice pe care este stocat ePHI pentru a preveni divulgarea nepermisă.
Sancțiuni financiare emise entităților acoperite pentru eliminarea necorespunzătoare din PHI / ePHI includ:
- Parkview Health – 800.000 USD penalizare pentru eșecul de a elimina în siguranță înregistrările pe hârtie care conțin PHI.
- Cornell Prescription Pharmacy – 125.000 USD penalizare pentru eliminarea necorespunzătoare din PHI.
- FileFax Inc. – penalizare de 100.000 USD pentru o afacere defunctă din cauza eliminării necorespunzătoare a dosarelor medicale.
Încălcări frecvente ale HIPAA de către angajații din domeniul sănătății
Preluarea dosarelor medicale este o încălcare HIPAA destul de evidentă și pe care ar trebui să o știe toți angajații din domeniul sănătății care au primit instruire HIPAA este o încălcare a politicilor angajatorului lor și a regulilor HIPAA.
Alte încălcări frecvente HIPAA apar adesea ca un rezultat al neînțelegerilor despre HIPAA cerințe. În timp ce fiecare dintre aceste încălcări HIPAA obișnuite afectează un număr mult mai mic de pacienți decât încălcările de mai sus, ele pot provoca în continuare o cantitate semnificativă de rău: Pacienților implicați și angajatorului lor. Acestea pot duce, de asemenea, la acțiuni disciplinare împotriva angajatului responsabil, inclusiv încetarea.
Mai jos sunt enumerate câteva dintre încălcările comune HIPAA comise de angajații din domeniul sănătății. Aceste încălcări frecvente ale HIPAA ar trebui acoperite ca parte a instruirii HIPAA oferită angajaților pentru a crește gradul de conștientizare a acestor domenii frecvente de nerespectare.
Trimiterea prin e-mail a ePHI către conturile de e-mail personale și eliminarea PHI dintr-o unitate medicală
Poate fi dificil să găsești timpul pentru a finaliza toate sarcinile necesare în timpul orelor de lucru și poate fi tentant să duci munca acasă pentru a finaliza. Eliminarea informațiilor de sănătate protejate dintr-o unitate medicală pune aceste informații în pericol de expunere. Aceasta este o încălcare obișnuită a HIPAA a angajaților și poate fi chiar o practică de rutină la o unitate de asistență medicală cu personal insuficient. Asta nu înseamnă că este o practică acceptabilă.
La fel se aplică prin e-mail prin e-mail către conturile de e-mail personale. Indiferent de intenții, indiferent dacă este vorba de a obține ajutor cu foile de calcul, de a finaliza munca la domiciliu pentru a merge mai departe pentru a doua zi sau de a ajunge la o întârziere, este o încălcare a Regulilor HIPAA. Mai mult, orice e-mail al ePHI către un cont personal de e-mail ar putea fi considerat furt, ale cărui repercusiuni ar putea fi mult mai severe decât rezilierea unui contract de muncă.
Lăsarea dispozitivelor electronice portabile și a documentelor nesupravegheate
Regula de securitate HIPAA necesită securizarea PHI și ePHI în orice moment. Dacă documentele sunt lăsate nesupravegheate, acestea ar putea fi vizualizate de către o persoană neautorizată, fie că este vorba de un membru al personalului, pacient sau vizitator al instituției medicale. Dacă s-ar întâmpla acest lucru, ar fi considerată o divulgare nepermisă a PHI.
Dispozitivele electronice care conțin ePHI trebuie să fie securizate tot timpul. Dispozitivele electronice sunt portabile și valoroase. Hoții oportunisti ar putea fura cu ușurință un dispozitiv nesupravegheat și ar putea avea acces la ePHI. Au existat numeroase cazuri de angajați din domeniul sănătății care au îndepărtat dispozitivele necriptate din unitățile de sănătate, doar pentru a fi furate din vehicule sau case. Furtul poate apărea cu ușurință și în cadrul unei instituții medicale dacă dispozitivele nu sunt securizate. Angajații din domeniul sănătății trebuie să se asigure că politicile angajatorului sunt respectate, iar regulile HIPAA nu sunt încălcate prin lăsarea dispozitivelor și a documentelor nesupravegheate.
Comunicarea informațiilor despre pacient către o persoană neautorizată
Trebuie să fie un formular de autorizare obținute de la un pacient înainte ca oricare dintre PHI să poată fi dezvăluită unei terțe părți în alt scop decât unul permis în mod expres de Regula de confidențialitate HIPAA. Divulgarea PHI în alte scopuri decât tratamentul, plata pentru asistență medicală sau operațiuni de asistență medicală (și alte cazuri limitate) este o încălcare a HIPAA dacă autorizarea nu a fost primită de la pacient în prealabil.
Angajații din domeniul sănătății trebuie să se asigure că la dezvăluirea PHI către o terță parte că autorizația a fost obținută de la pacient și informațiile nu sunt dezvăluite niciunei persoane fizice sau companii care nu este inclusă pe formularul de autorizare. Formularele de autorizare sunt valabile numai dacă au fost semnate de pacient sau de reprezentantul lor desemnat.
Eliberarea informațiilor despre pacienți fără autorizare
În mod similar cu punctul precedent, angajații din domeniul sănătății trebuie să fie, de asemenea, prudenți cu privire la tipurile de informații care sunt eliberate unor terți, chiar dacă o autorizație formularul a fost primit, permițând unui anumit individ, companie sau organizație să primească PHI.
Formularul de autorizare trebuie să includă ce tipuri de informații au fost autorizate să fie publicate. Orice informație care nu este detaliată pe formularul de autorizare trebuie să rămână confidențială și confidențială și nu trebuie distribuită. Divulgarea informațiilor suplimentare ar încălca regula HIPAA privind confidențialitatea.
Divulgarea PHI către terți după expirarea autorizației
Toate formularele de autorizare HIPAA trebuie să includă numele sau clasele de persoane care sunt autorizați să primească PHI, tipurile de PHI care vor fi dezvăluite și motivele dezvăluirii. De asemenea, acestea trebuie să includă o dată de expirare pentru autorizare.
PHI nu trebuie să fie divulgat niciunei persoane menționate pe formularul de autorizare după ce a trecut data expirării, chiar dacă autorizația a fost acordată anterior acelei entități pentru a primi PHI. Este necesar un nou formular de autorizare înainte ca orice altă divulgare să aibă loc. De asemenea, trebuie remarcat faptul că un formular de autorizare fără o dată de expirare nu este conform HIPAA.
Divulgări nepermise ale fișelor medicale ale pacientului
Regula de confidențialitate HIPAA permite pacienților să obțină o copie a lor înregistrări de sănătate la cerere sau au înregistrările furnizate unui terț desemnat, cum ar fi un reprezentant personal sau altă persoană. Dacă pacientul nu este colectat personal, terții trebuie să i se acorde autorizația pacientului – pe un formular de autorizare HIPAA – pentru a primi înregistrările înainte de a fi eliberate.
Înainte de a furniza copii ale pacientului dosarele de sănătate, angajații din domeniul sănătății trebuie să verifice identitatea pacientului sau a persoanei care colectează înregistrările și trebuie să se asigure că înregistrările sunt eliberate numai unei persoane autorizate să le primească. De asemenea, trebuie să aveți grijă să vă asigurați că înregistrările corecte ale pacientului sunt publicate.
Descărcarea PHI pe dispozitive neautorizate
Poate fi dificil pentru departamentele IT din domeniul sănătății să țină evidența tuturor dispozitivelor care se conectează la rețea, având în vedere câte dispozitive diferite au acces la rețea. Asigurarea securizării acestor dispozitive poate fi o problemă și mai mare, totuși aceasta este o cerință pentru conformitatea HIPAA.
Angajații trebuie să fie conștienți de faptul că există riscuri de confidențialitate și securitate asociate descărcării ePHI pe dispozitive electronice portabile neautorizate. Acest lucru nu numai că mărește riscul unei divulgări accidentale a ePHI – în cazul în care dispozitivul este pierdut sau furat – ar putea fi privit și ca furt și încălcare a HIPAA.
Furnizarea accesului neautorizat la fișele medicale
Este responsabilitatea entității acoperite să se asigure că accesul la informațiile despre sănătatea pacientului și la dosarele medicale este acordat numai persoanelor autorizate. Acest lucru se realizează prin implementarea controalelor de acces prin conectări unice.
Angajații au responsabilitatea de a se asigura că nu acordă acces la informații despre sănătate colegilor de muncă care mulți nu au aceleași drepturi de acces. Partajarea acreditării de conectare nu ar putea avea ca rezultat doar divulgarea nepermisă a ePHI, orice acțiune întreprinsă de acel angajat ar fi atribuită persoanei ale cărei acreditări de conectare au fost utilizate pentru a avea acces.
Întrebări frecvente
Ce înseamnă „reducerea riscului la un nivel adecvat și acceptabil”?
Când sunt identificate riscurile și vulnerabilitățile potențiale, entitățile acoperite și asociații de afaceri trebuie să decidă ce măsuri să pună în aplicare în funcție de dimensiune, complexitatea și capacitățile organizațiilor, măsurile existente deja în vigoare și costul implementării unor măsuri suplimentare în legătură cu probabilitatea unei încălcări a datelor și cu gradul de prejudiciu pe care l-ar provoca.
Cum este este posibil să se prevină spionajul angajaților în dosarele de asistență medicală?
Deși multe cazuri de spionaj medical sunt mai degrabă atribuite curiozității decât intenției rău intenționate, toate cazurile de spionaj medical sunt încălcări ale HIPAA. înregistrări, entitățile acoperite ar trebui să implementeze un program de instruire, să se asigure că privilegiile de acces respectă standardul minim necesar, să activeze jurnalele de audit și să aplice sancțiuni.
Dacă criptarea nu este obligatorie, cum poate fi o încălcare HIPAA dacă înregistrările sunt necriptate?
Deși criptarea nu este obligatorie, este o specificație de implementare adresabilă a regulii de securitate. Aceasta înseamnă că organizațiile pot evita punerea în aplicare a cerinței numai dacă nu este rezonabilă și adecvată în circumstanțe sau dacă o măsură alternativă de securitate este la fel de eficientă. Dacă organizațiile nu implementează criptarea, trebuie să documenteze motivele.
De ce amenda pentru refuzul accesului pacienților la dosarele medicale a fost atât de mare?
În acest caz special, necooperarea entității acoperite a contribuit la mărimea amenzii (dvs. pot citi despre caz aici). De la acest caz, programul de utilizare semnificativă a CMS a evoluat către programul de promovare a interoperabilității și – pe lângă faptul că a fost sancționat pentru o încălcare a HIPAA – orice entitate acoperită care nu furnizează dosarele medicale în timp util ar putea pierde acum și un procent din Plăți Medicare.