Dodržování předpisů HIPAA je zásadní pro každou ordinaci lékaře. Nedodržení může být nakonec velmi nákladné – pokuty za porušení HIPAA se pohybují od 100 do 4 milionů dolarů.
Dodržování HIPAA však není tak snadné. Předpisy se neustále mění, takže musíte být vždy aktuální, abyste se ujistili, že náhodou neskončíte v milionech pokut.
Abychom vám pomohli dodržovat předpisy, projdeme některé z nejčastějších příkladů porušení HIPAA (a jak se jim vyhnout). Než se však do toho pustíme, promluvme si o základech…
Co je to porušení HIPAA?
Přenositelnost a odpovědnost zdravotního pojištění, neboli HIPAA, k porušení dochází, když k akvizici, přístupu, použití nebo zveřejnění chráněných zdravotních informací (PHI) se provádí způsobem, který vede k významnému osobnímu riziku pacienta.
Nařízení se týká téměř každého, kdo pracuje s PHI. To zahrnuje…
- Zdravotní plány
- clearinghouse zdravotní péče
- Poskytovatelé zdravotní péče, kteří zasílají žádosti v elektronické podobě
- Sponzoři karty léků na předpis Medicare
- Obchodní spolupracovníci (fyzická nebo právnická osoba, která vykonává jakoukoli funkci zahrnující PHI)
Kolik stojí porušení zásad HIPAA?
Existují dva typy HIPAA porušení – občanská nebo trestní. Každý typ porušení má jinou jemnou strukturu.
Občanské tresty HIPAA
Občanské tresty se udělují, pokud tak činili jednotlivci, kteří se dopustili porušení, bez jakéhokoli škodlivého úmyslu. Tj. buď byli nedbalí, nebo nevěděli, že jejich jednání bylo špatné.
Tresty jsou v takovém případě následující:
- Pokud jednotlivec nevěděl, že se dopustil porušení HIPAA, je pokutován 100 $ za každé porušení.
- Pokud měl jedinec rozumný důvod pro své činy a nejednal s úmyslné zanedbání, dostanou pokutu minimálně 1 000 $.
- Pokud jednotlivec jednal s úmyslným zanedbáním, ale problém vyřešil, dostane pokutu minimálně 10 000 $ za porušení.
- Pokud jednotlivec jednal s úmyslným zanedbáním a problém nevyřešil, je pokutován minimálně 50 000 $ za porušení.
Trestní trest HIPAA
Pokud jednotlivci, kteří se dopustili porušení, tak učinili se zlým úmyslem, porušení vede k trestním sankcím (což je podstatně přísnější).
Sankce v takových případech jsou…
- Pokud jednotlivec vědomě získá a zveřejní PHI, může dostat pokutu až 50 000 $ a uvězněn až na rok.
- Pokud se jedinec dopustí porušení pod falešnou záminkou, může mu být uložena pokuta až do výše 100 000 $ a uvězněn až na 5 let.
- Pokud se jedinec dopustí porušení kvůli osobnímu prospěchu ( tj. prodává PHI nebo jej používá k poškození pacienta), mohou dostat pokutu až 250 000 $ a uvěznit až 10 let.
Nejběžnější příklady porušení HIPAA
1) Nedostatek šifrování
Abyste zajistili, že vaše PHI nespadne do správných rukou, musíte se ujistit, že jsou data šifrována.
Tím se kromě všech dalších osvědčených postupů přidává další vrstva kybernetické bezpečnosti – i když dojde k narušení a odcizení dat PHI, hackeři k nim nebudou mít přístup bez soukromého klíče.
Kromě toho by zaměstnanci nemocnice měli používat také aplikace pro šifrované zasílání zpráv. Je pravda, že odesílání textových zpráv je snadný způsob přenosu informací. Pokud to ale není provedeno prostřednictvím šifrované aplikace, existuje šance, že texty zachytí škodliví kyberzločinci.
2) Hackování NEBO phishing
Nikdo ve skutečnosti neočekává, že bude obětí hackování. Slyšíte o narušení bezpečnosti & hackerských incidentů po celé televizi, ale nemyslíte si, že by vás někdo konkrétně pronásledoval.
Hackování však je velmi legitimní hrozba. Jen v roce 2018 došlo k více než 25 hackerským incidentům, které jsou v současné době vyšetřovány kvůli porušení zákona HIPAA.
Pravděpodobně vás zajímá, „co mohou hackeři dělat s PHI?“ Existují dva typy potenciálních hackerů.
- Hackeři prodávají data organizacím třetích stran, kterým by informace nějak prospěla
- Hackeři používají ransomware. To znamená, že převezmou data & hrozící smazáním všeho, pokud nedostanou zaplaceno. V roce 2016 nemocnice v LA musela vyplatit hackerům zhruba 17 000 dolarů, aby získala zpět přístup k jejich počítačovým systémům.
Jak tedy zabránit tomu, aby se vám to stalo? Existuje několik osvědčených postupů, které vás ochrání před phishingem a hackery.
- Udržování veškerého antivirového softwaru v aktuálním stavu
- Používejte šifrování (jak jsme již zmínili)
- Pravidelná změna hesel na všech důležitých zařízeních
- Omezení přístupu k zařízením a datům na základě stavu zaměstnanců
3) Neoprávněný přístup
Zaměstnanci přistupující k datům, kterými nejsou autorizováno pro je velmi časté porušení HIPAA.
I když k informacím přistupují ze zvědavosti, stále jde o porušení a může mít za následek pokutu & a porušení informací.
Nejhorší scénář, vaši vlastní zaměstnanci mohou prodávat PHI pro osobní zisk.
Abyste se ujistili, že se tak nestane, můžete nastavit autorizační systém. Tj. zakazující zaměstnancům přístup k datům, která přímo nesouvisí s jejich vlastním případem.
Kromě toho může být dobrý nápad nastavit další ochranná opatření. Chcete-li zveřejnit jakékoli informace PHI, které se nepoužívají pro operace zdravotní péče, ošetření nebo platby, měl by zaměstnanec získat písemný souhlas od správního orgánu.
4) Ztráta nebo krádež zařízení
Jeden nejčastějšího porušení HIPAA je výsledkem ztracených firemních zařízení.
V roce 2017 společnost Lifespan ve zprávě uvedla, že někdo vnikl do vozidla zaměstnance a ukradl jim pracovní notebook.
Zařízení nebylo chráněno heslem a osobní údaje více než 20 000 pacientů nebyly šifrovány.
Společnost se snažila situaci napravit po incidentu. Nebylo však nic, co by mohli udělat, aby zabránili potenciálnímu zneužití informací.
I když je nemožné zabránit krádeži vašich zařízení se 100% jistotou, je to dost jednoduché, aby se zabránilo úniku informací pomocí šifrování k ochraně dat. Takže i když dojde ke krádeži zařízení, zloději nebudou mít přístup k PHI.
5) Sdílení informací
Jakékoli důvěrné informace, včetně PHI, by měly být potřeba -známý základ. I když by se mohlo zdát neškodné sdílet diskuse o případech s kolegy, mohlo by to vést k úniku informací nebo soudním sporům.
Jednou z nejběžnějších metod hackerství je používání sociálního inženýrství. To znamená, že hackeři se místo přímého hackování do počítačů snaží přimět příslušné zaměstnance, aby poskytovali informace. Může se jednat o informace používané k získání přístupu k počítačovým systémům nebo jednoduše k zadržení PHI.
Chcete-li zajistit, aby se tak nestalo, ujistěte se, že všechny důležité informace jsou sdíleny za zavřenými dveřmi a pouze s autorizovaným personálem. I neformální sdílení informací o pacientech s členy rodiny může vést k porušení zákona HIPAA.
6) Likvidace PHI
Je důležité, aby vaši zaměstnanci řádně zlikvidovali veškeré nepotřebné informace o PHI.
To platí jak pro fyzické dokumenty, tak pro digitální soubory . Pokud někdo někde zapomene dokument na stole nebo ponechá informace o pacientovi na ploše, může se to dostat do nesprávných rukou (a tedy k porušení HIPAA).
Osvědčeným postupem je buď uložte informace na bezpečném místě, nebo je smažte / skartujte, pokud již samotný dokument není užitečný.
7) Přístup k PHI z nezabezpečeného umístění
Mnoho lékařů pracuje po -hodiny a používat svůj osobní počítač pro přístup k PHI.
I když se to na první pohled může zdát nevinné, může to mít katastrofální následky.
Existuje mnoho různých způsobů, jak by se to mohlo pokazit …
- Klinik nechává dokument s důvěrnými informacemi o pacientovi otevřený jejich počítač a jejich člen rodiny to nakonec uvidí
- Člen rodiny omylem stáhne malware do počítače. Hackeři zase najdou a ukradnou data PHI
A to je jen začátek – pokud existují hackeři konkrétně zaměření na nemocnici, existuje pro ně spousta dalších způsobů přístupu k osobním údajům počítač.
Chcete-li se tomu vyhnout, osvědčeným postupem je mít vyhrazený přenosný počítač pro cokoli společného s informacemi o pacientech & k nim přistupovat ze zabezpečeného místa.
Jak se vyhnout porušování HIPAA
Skutečnou příčinou všech příkladů porušení HIPAA, které jsme dosud zmínili, je nedostatečné zaškolení zaměstnanců.
Zaměstnanec, který ví, jak regulace funguje (a jak zůstat v souladu s předpisy), je mnohem méně pravděpodobné, že udělá některou z chyb, které jsme doposud zmínili, například…
- Ponechání zařízení na nezabezpečených místech
- Sdílení informací s neoprávněným personálem
- Nevhodné nakládání s dokumenty PHI
- Přístup k PHI z nezabezpečených míst
Školení není jen doporučení – všichni členové pracovní síly jsou povinni se dozvědět o požadavcích na dodržování předpisů HIPAA.
Nařízení stanoví, že by se to mělo stát ve 3 případech – při přijetí nového zaměstnance, kdykoli dojde ke změnám v předpisech, a pravidelně, aby se zajistilo, že každý má správné know-how.
Pokud se snažíte svým zaměstnancům zajistit dodržování předpisů HIPAA, ale nevíte, kde začít, Inspired eLearning nabízí online školení o dodržování předpisů HIPAA. Vyzkoušejte bezplatnou zkušební verzi a zjistěte, zda řešení funguje pro vás.