De vanligaste HIPAA-överträdelserna du borde vara medveten om
De vanligaste HIPAA-överträdelserna som har resulterat i ekonomiska påföljder är underlåtenheten att utföra en organisationsomfattande riskanalys för att identifiera risker för konfidentialitet, integritet , och tillgängligheten av skyddad hälsoinformation (PHI); underlåtenhet att ingå ett HIPAA-kompatibelt affärsavtal; otillåtna avslöjanden av PHI; försenade överträdelsemeddelanden och misslyckandet med att skydda PHI.
De bosättningar som bedrivs av Department of Health and Human Services Office for Civil Rights (OCR) är för allvarliga överträdelser av HIPAA-reglerna. Bosättningar eftersträvas också för att lyfta fram vanliga HIPAA-överträdelser för att öka medvetenheten om behovet av att följa specifika aspekter av HIPAA-reglerna.
Denna artikel täcker fem av de vanligaste HIPAA-överträdelserna som har resulterat i bosättningar med täckta enheter och deras affärspartners under de senaste åren.
Är dataintrång HIPAA-överträdelser?
Dataintrång är nu ett faktum. Även med cybersäkerhetsskydd i flera lager är det troligt att dataintrång inträffar då och då. OCR förstår att vårdorganisationer riktas mot cyberbrottslingar och att det inte är möjligt att genomföra ogenomträngliga säkerhetsförsvar.
Att vara HIPAA-kompatibel handlar inte om att se till att dataintrång aldrig sker. HIPAA-efterlevnad handlar om att minska risken till en lämplig och acceptabel nivå. Bara för att en organisation upplever ett dataintrång betyder det inte att intrånget var resultatet av en HIPAA-överträdelse.
OCR-intrångsportalen återspeglar detta nu tydligare. Många dataintrång undersöks av OCR och visar sig inte innebära några överträdelser av HIPAA-reglerna. Följaktligen avslutas utredningarna utan att några åtgärder vidtas.
Hur upptäcks HIPAA-överträdelser?
HIPAA-överträdelser kan fortsätta i många månader, eller till och med år, innan de upptäcks. Ju längre de får fortsätta, desto större blir straffet när de så småningom upptäcks. Det är därför viktigt för HIPAA-täckta enheter att genomföra regelbundna granskningar av HIPAA-efterlevnad för att se till att HIPAA-överträdelser upptäcks och korrigeras innan de identifieras av tillsynsmyndigheter.
Det finns tre huvudsakliga sätt att HIPAA-överträdelser upptäcks:
- Undersökningar av ett dataintrång från OCR (eller statsadvokater allmänt)
- Undersökningar av klagomål om omfattade enheter och affärsföretag
- HIPAA-efterlevnadsrevisioner
Även när ett dataintrång inte innebär en HIPAA-överträdelse, eller om ett klagomål visar sig vara ogrundat, kan OCR avslöja orelaterade HIPAA-överträdelser som kan motivera en ekonomisk påföljd.
Vad är de 10 vanligaste HIPAA-överträdelserna?
Nedan listas 10 av de vanligaste HIPAA-överträdelserna, tillsammans med exempel på HIPAA-täckta enheter och affärsföretag som har upptäckts bryta mot HIPAA-regler och har var tvungen att reglera dessa överträdelser med OCR och generaladvokater. I många fall har utredningar upptäckt flera HIPAA-överträdelser. Avräkningsbeloppen återspeglar överträdelsens allvar, hur lång tid överträdelsen har tillåtits bestå, antalet överträdelser som identifierats och den finansiella ställningen för den täckta enheten / affärsföreningen. Registreringar
Att få tillgång till patientjournaler av andra skäl än de som är tillåtna enligt sekretessregeln – behandling, betalning och vård – är ett intrång i patientens integritet. Snooping på sjukvårdsposter av familj, vänner, grannar, medarbetare och kändisar är en av de vanligaste HIPAA-överträdelserna som begås av anställda. När de upptäcks leder dessa överträdelser vanligtvis till anställningsavbrott men kan också leda till straffrättsliga anklagelser för den anställde. Ekonomiska påföljder för vårdorganisationer som har misslyckats med att förhindra snooping är relativt ovanliga, men de är möjliga som University of California Los Angeles Health System upptäckte.
University of California Los Angeles Health System fick böter på 865 000 dollar för att de inte begränsade tillgång till medicinska journaler. Vårdgivaren undersöktes efter upptäckten att en läkare hade fått tillgång till medicinska register över kändisar och andra patienter utan tillstånd. Dr Huping Zhou fick tillgång till patientjournalen utan tillstånd 323 gånger efter att ha fått veta att han snart skulle avskedas. Dr. Zhou blev den första vårdpersonalen som fängslades för en HIPAA-överträdelse och dömdes till fyra månader i federalt fängelse.
Underlåtenhet att genomföra en organisationsomfattande riskanalys
Misslyckandet att utföra en organisationsomfattande riskanalys är en av de vanligaste HIPAA-överträdelserna som leder till en ekonomisk påföljd.Om riskanalysen inte utförs regelbundet kommer organisationer inte att kunna avgöra om det finns några sårbarheter för konfidentialitet, integritet och tillgänglighet av PHI. Det är därför troligt att risker förblir oadresserade och lämnar dörren vidöppen för hackare.
HIPAA-uppgörelser med täckta enheter för misslyckandet med att göra en organisationsomfattande riskbedömning inkluderar:
- Premera Blue Cross – avveckling på 6 850 000 dollar för riskanalys och riskhanteringsfel och andra potentiella HIPAA-överträdelser
- Oregon Health & Science University – avräkning på 2,7 miljoner dollar på grund av avsaknad av en företagsomfattande riskanalys.
- Cardionet – avveckling på 2,5 miljoner dollar för en ofullständig risk analys och brist på riskhanteringsprocesser.
- Cancer Care Group – $ 750.000 förlikning för misslyckandet med att genomföra en företagsomfattande riskanalys.
- Lahey Hospital and Medical Center – 850 000 $ avräkning för underlåtenhet att genomföra en organisationsomfattande riskbedömning och ot hennes HIPAA-överträdelser.
- Steven A. Porter, MD – $ 100 000 straff för riskanalys och riskhanteringsfel.
Underlåtenhet att hantera säkerhetsrisker / Brist på riskhantering Process
Att utföra en riskanalys är viktigt, men det är inte bara en kryssruta för överensstämmelse. Risker som identifieras måste sedan genomgå en riskhanteringsprocess. De bör prioriteras och behandlas inom en rimlig tidsram. Att känna till risker för PHI och att inte ta itu med dem är en av de vanligaste HIPAA-överträdelserna som bestraffas av Byrån för medborgerliga rättigheter.
HIPAA-förlikningar med täckta enheter för misslyckandet att hantera identifierade risker inkluderar:
- Alaska Department of health and Social Services – $ 1,7 miljoner påföljd för misslyckandet med riskanalys och riskhanteringsfel.
- University of Massachusetts Amherst (UMass) – 650 000 $ straff för riskhanteringsmisslyckanden .
- Metro Community Provider Network – $ 400 000 straff för riskhanteringsfel.
- Anchorage Community Mental Health Services – $ 150 000 straff för misslyckandet med att hantera risken för ePHI.
Neka patienter tillgång till hälsojournaler / överskridande tidsskala för att ge tillgång
HIPAA: s sekretessregel ger patienter rätten att få tillgång till sina journaler och få kopior på begäran. Detta gör det möjligt för patienter att kontrollera sina register för fel och dela dem med andra enheter och individer. Att neka patienter kopior av sina hälsoposter, överladdning för kopior eller att inte tillhandahålla dessa register inom 30 dagar är ett brott mot HIPAA. OCR gjorde HIPAA-överträdelser om rätt till tillgång till ett av sina viktigaste verkställighetsmål i slutet av 2019.
HIPAA-förlikningar med täckta enheter för att neka patienter tillgång till sina register eller onödiga förseningar med att tillhandahålla tillgång inkluderar:
- Cignet Health i Prince Georges län – $ 4.300.000 straff för att neka patienter tillgång till sina journaler.
- Banner Health – $ 200.000 straff för försenat svar på patientens begäran om en kopia av deras journaler.
- Dignity Health, dba St. Josephs Hospital and Medical Center – $ 160 000 straff för försenat svar på patientens begäran om en kopia av deras journaler.
- NY Ryggrad – 100 000 $ straff för försenat svar på patientens begäran om en kopia av deras medicinska journaler.
- Beth Israel Lahey Health Behavioral Services – $ 70 000 straff för försenat svar på patientens begäran om en kopia av deras journaler.
- University of Cincinnati Medical Center – $ 65 000 straff för de lagt svar på patientens begäran om en kopia av deras medicinska journaler.
- Housing Works Inc – 38 000 $ straff för försenat svar på patientens begäran om en kopia av deras journaler.
- Peter Wrobel, Läkare, PC, dba Elite Primary Care – $ 36 000 straff för försenat svar på patientens begäran om en kopia av deras medicinska register.
- Riverside Psychiatric Medical Group – $ 25 000 straff för försenat svar på patientens begäran om en kopia av deras medicinska journaler.
- Dr. Rajendra Bhayani – $ 15 000 straff för försenat svar på patientens begäran om en kopia av deras medicinska journaler.
- All Inclusive Medical Services Inc – $ 15 000 straff för försenat svar på patientens begäran om en kopia av deras medicinska journaler.
- Wise Psychiatry, PC – $ 10.000 straff för försenat svar på patientens begäran om en kopia av deras journaler.
- King MD – $ 3.500 straff för försenat svar på patientens begäran om en kopia av deras medicinska r ecords.
Misslyckande med att ingå ett HIPAA-kompatibelt affärsavtal
Misslyckandet med att ingå ett HIPAA-kompatibelt affärsavtal med alla leverantörer som tillhandahålls eller ges tillgång till PHI är en annan av de vanligaste HIPAA-överträdelserna. Även när affärsavtal ingår för alla leverantörer kanske de inte är HIPAA-kompatibla, särskilt om de inte har reviderats efter Omnibus slutliga regel.
Anmärkningsvärda förlikningar för dessa vanliga HIPAA-överträdelser inkluderar: >
- Raleigh Orthopedic Clinic, PA i North Carolina – $ 750.000 $ förlikning för misslyckandet med att genomföra ett HIPAA-kompatibelt affärsavtal.
- North Memorial Health Care i Minnesota – $ 1,55 miljoner förlikning för att inte ha ingått en BAA med en större entreprenör och annan HIPAA överträdelser.
- Care New England Health System – lösning på 400 000 $ för misslyckandet med att uppdatera affärsavtal
Otillräcklig ePHI-åtkomstkontroll
HIPAA-säkerheten Regeln kräver att täckta enheter och deras affärsföretag begränsar åtkomsten till ePHI till auktoriserade personer. Misslyckandet med att genomföra lämpliga ePHI-åtkomstkontroller är också en av de vanligaste HIPAA-överträdelserna och en som har lockat flera ekonomiska påföljder.
Ekonomiska påföljder som utfärdas för täckta enheter för ePHI-åtkomstkontrollfel inkluderar:
- Anthem Inc. – $ 16.000.000 straff för åtkomstkontrollfel och andra allvarliga HIPAA-överträdelser.
- Memorial Healthcare System – $ 5 500 000 straff för otillräcklig ePHI-åtkomstkontroll.
- Texas Department of Aging and Disability Services – 1.600.000 dollar straff för riskanalysfel, åtkomstkontrollfel och informationssystemövervakningsfel.
- University of California Los Angeles Health System – 865 500 dollar straff för underlåtenheten att begränsa tillgången till medicinska journaler.
- Pagosa Springs Medical Center – $ 111 400 böter för underlåtenhet att avsluta tillgången till ePHI efter en anställd uppsägning och brist på ett affärsavtal.
Underlåtenhet att använda krypteringeller en motsvarande åtgärd för att skydda ePHI på bärbara enheter
En av de mest effektiva metoderna för att förhindra dataintrång är att kryptera PHI. Brott mot krypterad PHI är inte rapporterbara säkerhetsincidenter såvida inte nyckeln till dekryptering av data också är stulen. Kryptering är inte obligatoriskt enligt HIPAA-regler, men det kan inte ignoreras. Om beslutet fattas om att inte använda kryptering måste en alternativ, likvärdig säkerhetsåtgärd användas i stället.
Nya avgöranden för misslyckandet med att skydda PHI inkluderar:
- Childrens Medical Center i Dallas – 3,2 miljoner dollar civilt penningstraff för att inte vidta åtgärder för att ta itu med kända risker, inklusive misslyckandet med att använda kryptering på bärbara enheter.
- Katolska hälsovårdstjänster i ärkebispedömet Philadelphia – 650 000 $ uppgörelse för misslyckandet med att använda kryptering, misslyckandet med att genomföra en företagsomfattande riskanalys och att hantera risker.
- Lifespan Health System Affiliated Covered Entity – $ 1 040 000 straff för misslyckandet med att kryptera data och en enhet och media kontroller, vilket resulterar i ett otillåtet utlämnande av 20 431 patienters ePHI
Överskridande av den 60-dagars tidsfrist för utfärdande av överträdelsemeddelanden
HIPAA-regeln om överträdelsemeddelande kräver att täckta enheter utfärdar anmälningar om överträdelser utan onödig fördröjning, och säkert senast 60 dagar efter upptäckten av ett dataintrång. Att överskrida den tidsramen är en av de vanligaste HIPAA-överträdelserna, där två påföljder har utfärdats i år:
- Presence Health – $ 475 000 förlikning för att försena utfärdandet av meddelanden om överträdelser med en månad.
- CoPilot Provider Support Services Inc. – $ 130 000 förlikning med NY justitieminister för försenade överträdelsemeddelanden.
Otillåten avslöjande av skyddad hälsoinformation
All information skyddad hälsoinformation som inte är tillåten enligt HIPAA: s sekretessregel kan medföra ekonomiska påföljder. Denna överträdelsekategori inkluderar att avslöja PHI till en patients arbetsgivare, potentiella uppgifter om stöld eller förlust av okrypterade bärbara datorer, slarvig hantering av PHI, avslöja PHI i onödan, inte följa den ”minimalt nödvändiga” standarden och avslöja PHI efter att patienttillstånd har upphört att gälla.
Förlikningar för otillåtna avslöjanden av PHI inkluderar:
- Memorial Hermann Health System – $ 2,4 miljoner förlikning för att avslöja en patients PHI i ett pressmeddelande.
- New York Presbyterian Hospital – 2 200 000 $ straff för filmning av patienter utan samtycke.
- Massachusetts General Hospital – 515 000 $ straff för filmning av patienter utan samtycke.
- Lukes-Roosevelt Hospital Center – $ 387 000 avräkning för slarvig hantering av PHI / avslöjande av en patients HIV-status till sin arbetsgivare.
- Brigham and Womens Hospital – $ 384 000 straff för filmning av patienter utan samtycke .
- Boston Medical Center – $ 100.000 straff för filmning av patienter utan samtycke.
Felaktig kassering av PHI
När fysisk PHI och ePHI inte längre är krävs och lagringstider har löpt ut, kräver HIPAA-reglerna att informationen förstörs på ett säkert och permanent sätt. För pappersregister kan detta handla om strimling eller massa och för ePHI, avfettning, torkning på ett säkert sätt eller förstöring av elektroniska enheter där ePHI lagras för att förhindra otillåtna avslöjanden. av PHI / ePHI inkluderar:
- Parkview Health – 800 000 $ straff för underlåtenhet att kassera pappersregister som innehåller PHI.
- Cornell Prescription Pharmacy – $ 125 000 straff för felaktigt bortskaffande av PHI.
- FileFax Inc. – 100 000 dollar påföljd för en avstängd verksamhet på grund av felaktigt bortskaffande av journaler.
Vanliga HIPAA-överträdelser av vårdpersonal
Snooping på sjukvårdsposter är en ganska uppenbar HIPAA-överträdelse och en som alla vårdpersonal som har fått HIPAA-utbildning bör veta är ett brott mot sin arbetsgivares policy och HIPAA-regler.
Andra vanliga HIPAA-överträdelser uppstår ofta som ett resultat av missförstånd om HIPAA krav. Även om var och en av dessa vanliga HIPAA-överträdelser påverkar mycket färre antal patienter än ovanstående överträdelser, kan de fortfarande orsaka en betydande mängd skada: För den eller de involverade patienterna och deras arbetsgivare. De kan också leda till disciplinära åtgärder mot ansvarig anställd inklusive uppsägning.
Nedan listas några av de vanliga HIPAA-överträdelserna som begås av vårdpersonal. Dessa vanliga HIPAA-överträdelser bör täckas som en del av HIPAA-utbildningen som ges till anställda för att öka medvetenheten om dessa frekventa brister.
Skicka ePHI till personliga e-postkonton och ta bort PHI från en vårdinrättning
Det kan vara svårt att hitta tid att slutföra alla nödvändiga uppgifter inom arbetstiden och det kan vara frestande att ta jobbet hem för att slutföra. Att ta bort skyddad hälsoinformation från en vårdinrättning utsätter den informationen för exponering. Detta är en vanlig anställd HIPAA överträdelse och kan till och med vara rutinmässig praxis vid en vårdinrättning som är underbemannad. Det betyder inte att det är acceptabelt.
Detsamma gäller e-postmeddelanden via e-post till personliga e-postkonton. Oavsett avsikterna, oavsett om det är att få hjälp med kalkylark, slutföra arbetet hemma för att komma vidare nästa dag eller att komma ikapp en eftersläpning, är det ett brott mot HIPAA-reglerna. Vidare kan all e-postmeddelande av ePHI till ett personligt e-postkonto betraktas som stöld, vars konsekvenser kan vara mycket allvarligare än uppsägning av ett anställningsavtal.
Att lämna bärbara elektroniska enheter och pappersarbete obevakat
HIPAA-säkerhetsregeln kräver att PHI och ePHI alltid är säkrade. Om pappersarbete lämnas utan uppsikt kan det ses av en obehörig person, vare sig en anställd, patient eller besökare på vårdinrättningen. Skulle detta hända skulle det betraktas som ett otillåtet avslöjande av PHI.
Elektroniska enheter som innehåller ePHI måste på samma sätt alltid skyddas. Elektroniska enheter är bärbara och värdefulla. Opportunistiska tjuvar kan lätt stjäla en obevakad enhet och få tillgång till ePHI. Det har förekommit många fall där vårdpersonal har tagit bort okrypterade enheter från vårdinrättningar, bara för att de ska bli stulna från fordon eller hem. Stöld kan också lätt inträffa inom en vårdinrättning om enheter inte är säkrade. Hälso- och sjukvårdspersonal måste se till att deras arbetsgivares policy följs och att HIPAA-reglerna inte bryts genom att lämna enheter och papper utan uppsikt.
Släppa patientinformation till en obehörig person
Ett tillståndsformulär måste vara som erhållits från en patient innan någon av deras PHI kan avslöjas för en tredje part för ett annat syfte än ett som uttryckligen tillåts enligt HIPAA: s sekretessregel. Att avslöja PHI för andra ändamål än behandling, betalning för vård eller sjukvård (och begränsade andra fall) är en HIPAA-överträdelse om tillstånd inte har erhållits från patienten i förväg.
Hälso- och sjukvårdspersonal måste se till att att avslöja PHI för en tredje part att tillstånd har erhållits från patienten och information avslöjas inte för någon person eller företag som inte ingår i auktoriseringsformuläret. Auktoriseringsformulär är endast giltiga om de har undertecknats av patienten eller dennes utsedda representant.
Släppa patientinformation utan auktorisation
På samma sätt som föregående punkt måste vårdpersonal också vara försiktig med vilken typ av information som släpps till tredje part, även om ett tillstånd formulär har tagits emot så att en viss individ, företag eller organisation kan ta emot PHI.
Auktoriseringsformuläret bör innehålla vilka typer av information som har godkänts att släppas. All information som inte finns i tillståndsblanketten måste förbli privat och konfidentiell och bör inte delas. Utlämnande av ytterligare information skulle strida mot HIPAA: s sekretessregel.
Utlämnande av PHI till tredje parter efter att en auktorisation har löpt ut
Alla HIPAA-godkännandeformulär måste innehålla namn eller klasser av individer som har tillstånd att ta emot PHI, vilka typer av PHI som kommer att avslöjas och skälen till avslöjandena. De måste också innehålla ett utgångsdatum för auktoriseringen.
PHI får inte avslöjas för någon person som anges på auktoriseringsformuläret efter att utgångsdatumet har passerat, även om tillståndet tidigare har givits till den enheten att PHI. Ett nytt tillståndsformulär krävs innan ytterligare avslöjande sker. Det bör också noteras att ett godkännandeformulär utan utgångsdatum inte är HIPAA-kompatibelt.
Tillåtna avslöjanden av patientjournaler
HIPAA: s sekretessregel tillåter patienter att få en kopia av sina hälsoposter på begäran eller få sina register överlämnade till en nominerad tredje part, till exempel en personlig representant eller annan person. Om patienten inte samlas in personligen måste den tredje parten ha fått tillstånd av patienten – på ett HIPAA-godkännandeformulär – för att ta emot journalerna innan de kan släppas.
Innan kopior av patienten tillhandahålls hälsojournaler, måste vårdpersonal verifiera patientens identitet eller den person som samlar in journalerna och måste se till att journaler endast släpps till en person som är behörig att ta emot dem. Man måste också se till att rätt patientjournaler släpps.
Nedladdning av PHI till obehöriga enheter
Det kan vara svårt för vårdens IT-avdelningar att hålla reda på alla enheter som ansluter till nätverket, med tanke på hur många olika enheter som har nätverksåtkomst. Att säkerställa att dessa enheter är säkrade kan vara ett ännu större problem, men detta är ett krav för HIPAA-efterlevnad.
Anställda måste vara medvetna om att det finns integritets- och säkerhetsrisker för att ladda ner ePHI till obehöriga bärbara elektroniska enheter. Detta ökar inte bara risken för oavsiktligt avslöjande av ePHI – i händelse av att enheten tappas bort eller blir stulen – det kan också ses som stöld och en HIPAA-överträdelse.
Tillhandahåller obehörig tillgång till medicinska journaler.
Det omfattas av den täckta enheten att säkerställa att tillgång till patienthälsoinformation och journaler endast ges till behöriga personer. Detta uppnås genom att implementera åtkomstkontroller via unika inloggningar.
Anställda har ett ansvar att se till att de inte ger tillgång till hälsoinformation till medarbetare som många inte har samma rättigheter. Delning av inloggningsuppgifter kan inte bara resultera i ett otillåtet avslöjande av ePHI, alla åtgärder som vidtagits av den anställde skulle tillskrivas den person vars inloggningsuppgifter användes för att få tillgång.
Vanliga frågor
Vad betyder det att ”minska risken till en lämplig och acceptabel nivå”?
När potentiella risker och sårbarheter identifieras måste täckta enheter och affärsföretag besluta vilka åtgärder som ska genomföras utifrån storleken, organisationernas komplexitet och kapacitet, befintliga åtgärder som redan finns och kostnaden för att genomföra ytterligare åtgärder i förhållande till sannolikheten för ett dataintrång och den skada som det skulle orsaka.
Hur är det möjligt för att förhindra att anställda snooping på sjukvårdsposter?
Även om många fall av snooping på sjukvården kan hänföras till nyfikenhet snarare än skadliga avsikter, är alla fall av snooping av HIPAA-överträdelser. För att förhindra att anställda snooping på vården register, täckta enheter bör implementera ett utbildningsprogram, se till att åtkomstbehörigheter följer den lägsta nödvändiga standarden, aktivera granskningsloggar och genomdriva sanktioner.
Om kryptering inte är obligatorisk, hur kan det vara ett HIPAA-överträdelse om poster är okrypterade?
Även om kryptering inte är obligatorisk är det en adresserbar implementeringsspecifikation för säkerhetsregeln. Detta innebär att organisationer endast kan undvika att genomföra kravet om det inte är rimligt och lämpligt under omständigheterna, eller om en alternativ säkerhetsåtgärd är lika effektiv. Om organisationer misslyckas med att implementera kryptering måste de dokumentera anledningarna.
Varför var böterna för att neka patienter tillgång till hälsojournaler så höga?
I detta specifika fall bidrog bristen på samverkan från den täckta enheten till storleken på böterna (du kan läsa om ärendet här). Sedan detta fall har CMS: s meningsfulla användningsprogram utvecklats till programmet för främjande av driftskompatibilitet och – förutom att sanktioneras för en HIPAA-överträdelse – kan alla täckta enheter som inte tillhandahåller hälsojournaler i rätt tid nu också förlora en procentandel av sina Medicare-betalningar.