Die häufigsten HIPAA-Verstöße mit Beispielen

Die Einhaltung der HIPAA-Vorschriften ist für jede Arztpraxis unerlässlich. Die Nichtbeachtung kann äußerst kostspielig sein – die Bußgelder für HIPAA-Verstöße liegen zwischen 100 und über 4 Millionen US-Dollar.

Die Einhaltung der HIPAA ist jedoch nicht so einfach. Die Vorschriften ändern sich ständig, daher müssen Sie jederzeit auf dem neuesten Stand sein, um sicherzustellen, dass Sie nicht versehentlich mit Geldstrafen in Millionenhöhe rechnen.

Damit Sie die Vorschriften einhalten können, sind wir Wir werden einige der häufigsten Beispiele für HIPAA-Verstöße durchgehen (und wie man sie vermeidet). Bevor wir jedoch darauf eingehen, sprechen wir über die Grundlagen…

Was ist ein Verstoß gegen die HIPAA?

Die Verstöße gegen die Portabilität und Rechenschaftspflicht der Krankenversicherung (HIPAA) treten auf, wenn der Erwerb, der Zugriff, Die Verwendung oder Offenlegung von geschützten Gesundheitsinformationen (Protected Health Information, PHI) erfolgt auf eine Weise, die zu einem erheblichen persönlichen Risiko für den Patienten führt.

Die Verordnung betrifft nahezu jeden, der mit PHI arbeitet. Dies beinhaltet…

  • Gesundheitspläne
  • Clearingstellen für das Gesundheitswesen
  • Gesundheitsdienstleister, die Ansprüche in elektronischer Form übermitteln
  • Sponsoren von verschreibungspflichtigen Medikamentenkarten für Medicare
  • Geschäftspartner (Einzelperson oder Entität, die eine Funktion mit PHI ausführt)

Wie viel kosten HIPAA-Verstöße?

Es gibt zwei Arten von HIPAA Verstöße – zivil- oder strafrechtlich. Jede Art von Verstoß hat eine andere Feinstruktur.

Zivil-HIPAA-Strafe

Zivilstrafen werden verhängt, wenn die Personen, die den Verstoß begangen haben, dies ohne böswillige Absicht getan haben. Das heißt, Sie waren entweder nachlässig oder wussten nicht, dass ihre Handlungen falsch waren.

Die Strafen in einem solchen Fall lauten wie folgt:

  • Wenn die Die Person war sich nicht bewusst, dass sie einen HIPAA-Verstoß begangen hat. Sie wird mit einer Geldstrafe von 100 US-Dollar pro Verstoß belegt.
  • Wenn die Person einen vernünftigen Grund für ihre Handlungen hatte und nicht mit ihr handelte Vorsätzliche Vernachlässigung, sie werden mit einer Geldstrafe von mindestens 1.000 US-Dollar belegt.
  • Wenn die Person vorsätzlich vernachlässigt, das Problem dann behoben hat, werden sie mit einer Geldstrafe von mindestens 1.000 US-Dollar belegt 10.000 US-Dollar pro Verstoß.
  • Wenn die Person vorsätzlich vernachlässigt und das Problem nicht behoben hat, wird eine Geldstrafe von mindestens 50.000 US-Dollar pro Verstoß verhängt.

HIPAA-Strafe

Wenn die Personen, die den Verstoß begangen haben, dies mit böswilliger Absicht getan haben, führt der Verstoß zu strafrechtlichen Sanktionen (die erheblich härter sind).

Die Strafen in solchen Fällen sind…

  • Wenn die Person wissentlich PHI erhält und offenlegt, kann sie mit einer Geldstrafe von bis zu 50.000 US-Dollar belegt und bis zu einem Jahr inhaftiert werden.
  • Wenn die Person unter falschem Vorwand Verstöße begeht, kann eine Geldstrafe von bis zu 100.000 US-Dollar verhängt und eine Freiheitsstrafe von bis zu 5 Jahren verhängt werden.
  • Wenn die Person den Verstoß zum persönlichen Vorteil begeht ( dh verkauft PHI oder verwendet es, um dem Patienten Schaden zuzufügen), können sie mit einer Geldstrafe von bis zu 250.000 US-Dollar belegt und bis zu 10 Jahre inhaftiert werden.

Häufigste Beispiele für HIPAA-Verstöße

1) Fehlende Verschlüsselung

Um sicherzustellen, dass Ihr PHI nicht in die richtigen Hände gerät, müssen Sie sicherstellen, dass die Daten verschlüsselt sind.

Dies fügt zusätzlich zu allen anderen Best Practices eine zusätzliche Ebene der Cybersicherheit hinzu – selbst wenn ein Verstoß vorliegt und PHI-Daten gestohlen werden, können die Hacker ohne den privaten Schlüssel nicht darauf zugreifen.

Darüber hinaus sollte das Krankenhauspersonal auch verschlüsselte Messaging-Anwendungen verwenden. Das Senden von Textnachrichten ist eine einfache Möglichkeit, Informationen weiterzuleiten. Sofern dies nicht über eine verschlüsselte App erfolgt, besteht die Möglichkeit, dass die Texte von böswilligen Cyberkriminellen abgefangen werden.

2) Gehackt oder phishing

Niemand erwartet wirklich, ein Opfer zu sein des Hackens. Sie hören von Sicherheitsverletzungen &, die Vorfälle im ganzen Fernseher hacken, aber Sie glauben nicht, dass jemand Sie speziell verfolgen würde.

Hacking ist es jedoch eine sehr legitime Bedrohung. Allein im Jahr 2018 gab es über 25 Hacking-Vorfälle, die derzeit auf HIPAA-Verstöße untersucht werden.

Sie fragen sich wahrscheinlich: „Was können Hacker überhaupt mit PHIs tun?“ Nun, es gibt zwei Arten potenzieller Hacks.

  1. Die Hacker verkaufen die Daten an eine Drittanbieterorganisation, die irgendwie von den Informationen profitieren würde
  2. Die Hacker verwenden Ransomware. Das heißt, sie übernehmen die Daten. & drohen, alles zu löschen, wenn sie nicht bezahlt werden. Ein Krankenhaus in LA musste den Hackern rund 17.000 US-Dollar zahlen, um wieder Zugang zu ihren Computersystemen zu erhalten.

Wie verhindern Sie also, dass Ihnen dies passiert? Nun, es gibt verschiedene bewährte Methoden, um Sie vor Phishern und Hackern zu schützen.

  • Halten Sie die gesamte Antivirensoftware auf dem neuesten Stand
  • Verwenden Sie die Verschlüsselung (wie bereits erwähnt)
  • Regelmäßige Änderung der Kennwörter auf allen wichtigen Geräten
  • Beschränken des Zugriffs auf Geräte und Daten basierend auf dem Mitarbeiterstatus

3) Nicht autorisierter Zugriff

Mitarbeiter, die auf Daten zugreifen, die sie nicht sind autorisiert für ist eine sehr häufige HIPAA-Verletzung.

Auch wenn sie aus Neugier auf die Informationen zugreifen, handelt es sich immer noch um eine Verletzung, die zu einer Geldstrafe führen kann. & und Informationsverletzung.

Im schlimmsten Fall verkaufen Ihre eigenen Mitarbeiter möglicherweise PHIs zum persönlichen Vorteil.

Um sicherzustellen, dass dies nicht geschieht, können Sie ein Autorisierungssystem einrichten. Das heißt, Mitarbeiter dürfen nicht auf Daten zugreifen, die nicht in direktem Zusammenhang mit ihrem eigenen Fall stehen.

Darüber hinaus ist es möglicherweise eine gute Idee, zusätzliche Schutzmaßnahmen einzurichten. Um PHI-Informationen offenzulegen, die nicht für Operationen, Behandlungen oder Zahlungen im Gesundheitswesen verwendet werden, sollte der Mitarbeiter die schriftliche Zustimmung der zuständigen Behörde einholen.

4) Verlust oder Diebstahl von Geräten

Eins Eine der häufigsten Verstöße gegen die HIPAA ist auf verlorene Geräte des Unternehmens zurückzuführen.

Im Jahr 2017 erwähnte Lifespan in einer Pressemitteilung, dass jemand in ein Mitarbeiterfahrzeug eingebrochen ist und seinen Arbeitslaptop gestohlen hat.

Das Gerät war nicht passwortgeschützt und die persönlichen Daten von über 20.000 Patienten wurden nicht verschlüsselt.

Das Unternehmen hat sein Bestes getan, um die Situation nach dem Vorfall zu beheben. Es gab jedoch nichts, was sie tun konnten, um zu verhindern, dass die Informationen möglicherweise missbraucht werden.

Obwohl es unmöglich ist, zu verhindern, dass Ihre Geräte mit 100% iger Sicherheit gestohlen werden, ist es einfach genug, das Informationsleck durch Verwendung zu vermeiden Verschlüsselung zum Schutz der Daten. Selbst wenn das Gerät gestohlen wird, können die Diebe nicht auf die PHI zugreifen.

5) Weitergabe von Informationen

Alle vertraulichen Informationen, einschließlich PHI, sollten benötigt werden -zu wissen Basis. Während es harmlos erscheint, Diskussionsfälle mit Kollegen zu teilen, kann dies zu Informationslecks oder Rechtsstreitigkeiten führen.

Eine der häufigsten Hacking-Methoden ist die Verwendung von Social Engineering. Das heißt, die Hacker versuchen, anstatt direkt in Computer zu hacken, relevante Mitarbeiter dazu zu bringen, Informationen herauszugeben. Dies können Informationen sein, die verwendet werden, um Zugriff auf Computersysteme zu erhalten, oder einfach PHI abrufen.

Um sicherzustellen, dass dies nicht geschieht, stellen Sie sicher, dass alle wichtigen Informationen nur hinter verschlossenen Türen geteilt werden mit dem autorisierten Personal. Selbst das gelegentliche Teilen von Patienteninformationen mit Familienmitgliedern kann zu einer HIPAA-Verletzung führen.

6) Entsorgung von PHI

Es ist wichtig, dass Ihre Mitarbeiter nicht benötigte PHI-Informationen ordnungsgemäß entsorgen.

Dies kann sowohl für physische Dokumente als auch für digitale Dateien gelten . Wenn jemand irgendwo ein Dokument auf einem Tisch vergisst oder Patienteninformationen auf seinem Desktop hinterlässt, gerät dies möglicherweise in die falschen Hände (und führt daher zu einer HIPAA-Verletzung).

Die beste Vorgehensweise hierfür ist: Speichern Sie die Informationen entweder an einem sicheren Ort oder löschen / vernichten Sie sie, wenn das Dokument selbst nicht mehr verwendet wird.

7) Zugriff auf PHI von einem ungesicherten Ort aus

Viele Kliniker arbeiten danach -Stunden und verwenden Sie ihren PC, um auf PHI zuzugreifen.

Dies mag auf den ersten Blick unschuldig erscheinen, kann jedoch katastrophale Folgen haben.

Es gibt viele verschiedene Möglichkeiten, wie dies schief gehen kann …

  1. Der Arzt lässt ein Dokument mit vertraulichen Patienteninformationen offen Ihr Computer und ihr Familienmitglied sehen es am Ende.
  2. Das Familienmitglied lädt versehentlich Malware auf den Computer herunter. Hacker wiederum finden und stehlen die PHI-Daten

Und das ist nur ein Anfang – wenn es Hacker gibt, die speziell auf das Krankenhaus abzielen, gibt es viele andere Möglichkeiten, auf das Personal zuzugreifen Computer.

Um dies zu vermeiden, empfiehlt es sich, einen dedizierten Laptop für alles zu haben, was mit Patienteninformationen zu tun hat. & Zugriff von einem sicheren Ort aus.

So vermeiden Sie HIPAA-Verstöße

Die eigentliche Ursache für alle bisher erwähnten Beispiele für HIPAA-Verstöße ist die mangelnde Schulung der Mitarbeiter.

Ein Mitarbeiter, der weiß, wie die Verordnung funktioniert (und wie er konform bleibt), macht mit weit geringerer Wahrscheinlichkeit Fehler, die wir bisher erwähnt haben, wie z. B.…

  • Geräte an ungesicherten Orten belassen
  • Weitergabe von Informationen an nicht autorisiertes Personal
  • PHI-Dokumente unangemessen entsorgen
  • Zugriff auf PHI von ungesicherten Standorten aus

Training ist auch nicht nur eine Empfehlung – Alle Mitarbeiter müssen sich über die HIPAA-Compliance-Anforderungen informieren.

Die Verordnung besagt, dass dies in drei Fällen geschehen sollte – wenn ein neuer Mitarbeiter eingestellt wird, wenn Änderungen an den Vorschriften vorgenommen werden und regelmäßig, nur um sicherzustellen, dass jeder über das richtige Know-how verfügt.

Wenn Sie Ihre Mitarbeiter über die Einhaltung der HIPAA-Richtlinien auf dem Laufenden halten möchten, aber nicht wissen, wo Sie anfangen sollen, bietet Inspired eLearning eine Online-Schulung zur Einhaltung der HIPAA-Richtlinien an. Probieren Sie die kostenlose Testversion aus und prüfen Sie, ob die Lösung für Sie funktioniert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.