Det er vigtigt for ethvert lægekontor at følge med HIPAA-reglerne. Manglende overholdelse kan ende med at blive ekstremt dyrt – HIPAA-overtrædelsens bøder varierer fra $ 100 til over $ 4 millioner.
Det er dog ikke så let at overholde HIPAA. Reglerne ændrer sig altid, så du skal til enhver tid være opdateret for at sikre dig, at du ikke ved et uheld ender med at opkræve millioner i bøder.
For at hjælpe dig med at overholde kravene, vi skal gennemgå nogle af de mest almindelige eksempler på HIPAA-overtrædelse (og hvordan man undgår dem). Men inden vi går ind i det, lad os tale om det grundlæggende …
Hvad er en HIPAA-overtrædelse?
Health Insurance Portability and Accountability, eller HIPAA, overtrædelser sker, når erhvervelsen, adgangen, brug eller videregivelse af PHI (Protected Health Information) sker på en måde, der resulterer i en betydelig personlig risiko for patienten.
Forordningen vedrører næsten alle, der arbejder med PHI. Dette inkluderer …
- Sundhedsplaner
- Clearingcentre for sundhedspleje
- Sundhedsudbydere, der sender krav i elektronisk form
- Medicare receptpligtige lægemiddelkortsponsorer
- Forretningsforbindelser (individ eller enhed, der udfører enhver funktion, der involverer PHI)
Hvor meget koster HIPAA-overtrædelser?
Der er to typer HIPAA krænkelser – civil eller kriminel. Hver type overtrædelse har en anden fin struktur.
Civil HIPAA-sanktion
Civile sanktioner gives, hvis de personer, der begår overtrædelsen, gjorde det uden nogen ondsindet hensigt. Dvs. de var enten forsømmelige eller uvidende om, at deres handlinger var forkerte.
Sanktionerne i et sådant tilfælde er som følger:
- Hvis individ var ikke klar over, at de begik en HIPAA-overtrædelse, de bøder $ 100 pr. overtrædelse.
- Hvis personen havde rimelig grund til deres handlinger og ikke handlede med forsætlig forsømmelse, de får en bøde på mindst $ 1.000.
- Hvis personen handlede med forsætlig forsømmelse, men derefter løste problemet, får de en bøde på mindst $ 10.000 pr. Overtrædelse.
- Hvis personen handlede med forsæt og ikke løste problemet, får de en bøde på mindst $ 50.000 pr. Overtrædelse.
Strafferetlig HIPAA-straf
Hvis de personer, der begår overtrædelsen, gjorde det med en ondsindet hensigt, fører overtrædelsen til strafferetlige sanktioner (hvilket er væsentligt hårdere).
Sanktionerne i sådanne tilfælde er…
- Hvis personen bevidst opnår og afslører PHI, kan de få bøder på op til $ 50.000 og fængsles i op til et år.
- Hvis personen begår overtrædelser under falske foregivelser, kan de idømmes en bøde på op til $ 100.000 og fængsles i op til 5 år.
- Hvis personen begår overtrædelsen for personlig vinding ( dvs. sælger PHI eller bruger det til at skade patienten), de kan blive bøderet op til $ 250.000 og fængslet i op til 10 år.
Mest almindelige HIPAA-overtrædelseseksempler
1) Manglende kryptering
For at sikre, at din PHI ikke falder i de rigtige hænder, skal du sørge for, at dataene er krypteret.
Dette tilføjer et ekstra lag cybersikkerhed ud over alle de andre bedste fremgangsmåder – selvom der er et brud, og PHI-data bliver stjålet, vil hackerne ikke have adgang til det uden den private nøgle.
Derudover skal hospitalets personale også bruge krypterede messaging-applikationer. Det er sandt at sende tekstbeskeder er en nem måde at videreformidle information på. Medmindre det gøres via en krypteret app, er der dog en chance for, at teksterne opfanges af ondsindede cyberkriminelle.
2) Bliv hacket ELLER phishing
Ingen forventer virkelig at være et offer af hacking. Du hører om sikkerhedsbrud & hackinghændelser overalt i tvet, men du tror ikke, nogen ville gå efter dig specifikt.
Hacking er dog en meget legitim trussel. Alene i 2018 har der været over 25 hackinghændelser, der i øjeblikket undersøges for HIPAA-overtrædelser.
Du undrer dig sandsynligvis over, “hvad kan hackere alligevel gøre med PHIer?” Der er to typer potentielle hacks.
- Hackerne sælger dataene til en tredjepartsorganisation, der på en eller anden måde ville drage fordel af informationen
- Hackerne bruger ransomware. Det betyder, at de overtager dataene & truer med at slette alt, medmindre de får betalt. I 2016, et hospital i LA måtte betale hackerne omkring $ 17.000 for at få adgang til deres computersystemer tilbage.
Så hvordan forhindrer du, at dette sker for dig? Der er flere bedste fremgangsmåder til at beskytte dig mod phishere og hackere.
- Holde al antivirussoftwaren opdateret
- Brug kryptering (som vi tidligere har nævnt)
- Ændring af adgangskoder regelmæssigt på alle vigtige enheder
- Begrænsning af adgang til enheder og data baseret på medarbejderstatus
3) Uautoriseret adgang
Medarbejdere, der får adgang til data, de er ikke autoriseret til er en meget almindelig HIPAA-overtrædelse.
Selvom de får adgang til oplysningerne af nysgerrighed, er det stadig en overtrædelse og kan resultere i både en fin & og informationsbrud.
I værste fald kan dine egne medarbejdere muligvis sælge PHIer til personlig vinding.
For at sikre, at dette ikke sker, kan du oprette et autorisationssystem. Dvs. at forhindre medarbejdere i at få adgang til data, der ikke er direkte relateret til deres egen sag.
Derudover kan det være en god ide at indstille yderligere sikkerhedsforanstaltninger. For at afsløre PHI-oplysninger, der ikke bruges til sundhedsvæsenet, behandlinger eller betalinger, skal medarbejderen få skriftligt samtykke fra den rette myndighed.
4) Tab eller tyveri af enheder
En af de mest almindelige HIPAA-overtrædelser er et resultat af mistede virksomhedsenheder.
I 2017 nævnte Lifespan i en pressemeddelelse, at nogen brød ind i en medarbejderkøretøj og stjal deres bærbare computer.
Enheden var ikke adgangskodebeskyttet, og de personlige oplysninger fra over 20.000 patienter blev ikke krypteret.
Virksomheden gjorde sit bedste for at rette op på situationen efter hændelsen. Der var dog intet, de kunne gøre for at forhindre, at informationen potentielt blev misbrugt.
Selvom det er umuligt at forhindre, at dine enheder bliver stjålet med 100% sikkerhed, er det enkelt nok til at undgå informationslækage ved hjælp af kryptering for at beskytte dataene. Så selvom enheden bliver stjålet, kan tyvene ikke få adgang til PHI.
5) Deling af oplysninger
Fortrolige oplysninger, PHI inkluderer, skal være på et behov -to-know basis. Selv om det kan synes harmløst at dele drøftelser med kolleger, kan det resultere i informationslækager eller retssager.
En af de mest almindelige hackingsmetoder er at bruge social engineering. Det betyder, at hackere snarere end direkte hacker ind på computere, prøver at narre relevante medarbejdere til at give information. Dette kan være information, der bruges til at få adgang til computersystemer eller blot få fat i PHI.
For at sikre at dette ikke sker, skal du sørge for at alle vigtige oplysninger deles bag lukkede døre og kun med autoriseret personale. Selv tilfældig deling af patientoplysninger med familiemedlemmer kan resultere i en HIPAA-overtrædelse.
6) Bortskaffelse af PHI
Det er vigtigt for dine medarbejdere at bortskaffe alle unødvendige PHI-oplysninger korrekt.
Dette kan gælde for både fysiske dokumenter og digitale filer . Hvis nogen glemmer et dokument på et bord et eller andet sted eller efterlader patientoplysninger på deres skrivebord, kan det ende med at komme i de forkerte hænder (og dermed resultere i en HIPAA-overtrædelse).
Den bedste praksis her er at enten gemme oplysningerne på et sikkert sted eller slette / makulere dem, hvis selve dokumentet ikke længere er nyttigt.
7) Adgang til PHI fra usikker placering
Mange klinikere arbejder efter -timer og brug deres personlige computer til at få adgang til PHI.
Selvom dette med et øjeblik kan virke uskyldigt, kan det få katastrofale konsekvenser.
Der er mange forskellige måder, dette kan gå galt på …
- Klinikeren efterlader et dokument med fortrolige patientoplysninger åben deres computer og deres familiemedlem ender med at se den
- Familiemedlem downloader ved et uheld malware på computeren. Hackere finder igen og stjæler PHI-data
Og det er bare en start – hvis der er hackere, der specifikt målretter mod hospitalet, er der mange andre måder for dem at få adgang til det personlige computer.
For at undgå dette er den bedste praksis at have en dedikeret bærbar computer til alt at gøre med patientoplysninger & få adgang til den fra et sikkert sted.
Sådan undgår du HIPAA-overtrædelser
Den virkelige årsag til alle eksempler på HIPAA-overtrædelse, vi hidtil har nævnt, er manglen på medarbejderuddannelse.
En medarbejder, der ved, hvordan forordningen fungerer (og hvordan man forbliver i overensstemmelse), er langt mindre tilbøjelige til at begå nogen af de fejl, vi har nævnt hidtil, såsom …
- Efterladelse af enheder på usikrede placeringer
- Deling af oplysninger med uautoriseret personale
- Uhensigtsmæssig bortskaffelse af PHI-dokumenter
- Adgang til PHI fra usikrede placeringer
Uddannelse er heller ikke kun en anbefaling – Alle medlemmer af arbejdsstyrken skal lære om HIPAA-overholdelseskrav.
Forordningen siger, at dette skal ske i 3 tilfælde – når en ny medarbejder ansættes, når der er ændringer i reglerne, og med jævne mellemrum bare for at sikre, at alle har den rette know-how.
Hvis du ønsker at få dine medarbejdere hurtigere med HIPAA-overholdelse, men ikke ved, hvor de skal komme i gang, tilbyder Inspired eLearning en online HIPAA-overholdelsestræning. Prøv den gratis prøveperiode, og se om løsningen fungerer for dig.