A HIPAA leggyakoribb megsértései példákkal

No comments

A HIPAA előírások betartása elengedhetetlen minden orvosi rendelő számára. A be nem tartás rendkívül költségessé válhat – a HIPAA szabálysértési bírságok 100 és 4 millió dollár között mozognak.

A HIPAA betartása azonban nem olyan egyszerű. A szabályozás mindig változik, ezért mindenkor naprakésznek kell lennie annak biztosítására, hogy véletlenül ne kerüljön több millió pénzbüntetésbe.

A megfelelés megőrzése érdekében a HIPAA leggyakoribb szabálysértési példáin megy keresztül (és hogyan kerülhetjük el ezeket). Mielőtt azonban erre rátérnénk, beszéljünk az alapokról …

Mi a HIPAA megsértése?

Az egészségbiztosítás hordozhatósága és elszámoltathatósága, vagy a HIPAA, megsértése akkor történik, amikor a beszerzés, a hozzáférés, a védett egészségügyi információk (PHI) felhasználása vagy közzététele oly módon történik, amely a beteg jelentős személyes kockázatát eredményezi.

A rendelet mindenkit érint, aki a PHI-vel dolgozik. Ez magában foglalja…

  • Egészségügyi tervek
  • Egészségügyi elszámolóházak
  • Egészségügyi szolgáltatók, akik elektronikus úton továbbítják az igényeket
  • A Medicare vényköteles gyógyszerkártya-szponzorok
  • Üzleti munkatársak (magánszemélyek vagy szervezetek, amelyek bármilyen funkciót ellátnak, amely magában foglalja a PHI-t)

Mennyibe kerülnek a HIPAA-sértések?

A HIPAA-nak két típusa van polgári vagy büntetőjogi jogsértések. Mindegyik típusú jogsértésnek más a finom szerkezete.

Polgári HIPAA büntetés

Polgári büntetést szabnak ki, ha a jogsértést elkövető személyek rosszindulatú szándék nélkül tették ezt. Azaz. vagy elhanyagolták, vagy nem tudták, hogy cselekedeteik helytelenek voltak.

Ilyen esetben a büntetések a következők:

  • az egyén nem volt tudatában annak, hogy HIPAA-sértést követett el, jogsértésenként 100 USD pénzbírsággal sújtják.
  • Ha az egyénnek ésszerű oka volt a cselekedeteire, és nem lépett fel szándékos elhanyagolás, minimum 1000 dollár bírságot szabnak ki nekik.
  • Ha az egyén szándékos elhanyagolással járt el, de utána megoldotta a problémát, akkor minimum 10 000 USD jogsértésenként.
  • Ha az egyén szándékos elhanyagolással járt el, és nem oldotta meg a problémát, akkor megsértésenként minimum 50 000 USD bírságot kapott.

HIPAA büntetőjogi büntetés

Ha a jogsértést elkövető személyek rosszindulatú szándékkal követték el, a jogsértés büntetőjogi szankciókat von maga után (ami szigorúbban szigorúbb).

A büntetések ilyen esetekben…

  • Ha az egyén tudatosan megszerzi és nyilvánosságra hozza a PHI-t, akár 50 000 USD pénzbírságot is kaphat, és akár egy évig is börtönbe kerülhet.
  • Ha az egyén hamis színleléssel követ el jogsértéseket, 100 000 dollárig terjedő pénzbírsággal sújthatják, és 5 évig börtönbe kerülhetik. azaz PHI-t ad el, vagy a beteg károsítására használja fel), akár 250 000 dollár pénzbírságot is kaphatnak, és akár 10 évig is börtönbe kerülhetnek.

A HIPAA leggyakoribb megsértési példái

1) Titkosítás hiánya

Annak érdekében, hogy a PHI ne kerüljön megfelelő kezekbe, meg kell győződnie arról, hogy az adatok titkosítva vannak.

Ez további kiberbiztonsági réteget ad az összes többi bevált gyakorlat mellé – még akkor is, ha megsértünk valamit, és a PHI-adatokat ellopják, a hackerek nem férhetnek hozzá a privát kulcs nélkül.

Ezenkívül a kórház személyzetének titkosított üzenetküldő alkalmazásokat is használnia kell. Igaz, a szöveges üzenetek küldése az információ továbbításának egyszerű módja. Hacsak nem egy titkosított alkalmazáson keresztül történik, akkor van esély arra, hogy a szövegeket rosszindulatú kiberbűnözők lehallgassák.

2) Hackelés vagy adathalászat

Senki sem várja, hogy áldozat legyen a hackelés. Biztonsági megsértésekről hallasz & hackeléses eseményeket az egész tévében, de nem gondolod, hogy valaki kifejezetten utánad menne.

A hackelés azonban nagyon jogos fenyegetés. Csak 2018-ban több mint 25 olyan hackelési esemény történt, amelyeket jelenleg a HIPAA megsértése miatt vizsgálnak.

Valószínűleg arra kíváncsi, hogy “mit tudnak tenni a hackerek a PHI-kkel?” Nos, kétféle lehetséges feltörés létezik.

  1. A hackerek adatot adnak el egy harmadik fél szervezetének, amely valamilyen módon profitálna az információkból
  2. A hackerek ransomware-t használnak. Ez azt jelenti, hogy átveszik az adatokat, amelyek & mindent törölni fenyegetnek, hacsak nem kapnak fizetést. 2016-ban egy la-i kórháznak körülbelül 17 000 dollárt kellett fizetnie a hackereknek, hogy visszanyerjék a számítógépes rendszereikhez való hozzáférést.

Tehát, hogyan akadályozhatja meg, hogy ez megtörténjen veled? Nos, számos bevált módszer létezik az adathalászok és a hackerek elleni védelemben.

  • Minden víruskereső szoftver naprakészen tartása
  • Használjon titkosítást (amint azt korábban említettük)
  • A jelszavak rendszeres cseréje minden fontos eszközön
  • Az eszközökhöz és az adatokhoz való hozzáférés korlátozása az alkalmazottak státusza alapján

3) Jogosulatlan hozzáférés

Azok az alkalmazottak, akik nem olyan adatokhoz férnek hozzá A (z) engedélyezése nagyon gyakori HIPAA megsértés.

Még ha kíváncsiságból is hozzáférnek az információkhoz, akkor is jogsértés, és mind a bírságot & és az információ megsértése.

A legrosszabb esetben előfordulhat, hogy a saját alkalmazottai személyes haszonszerzés céljából árulnak PHI-ket.

Annak biztosítására, hogy ez ne történjen meg, létrehozhat egy engedélyezési rendszert. Azaz. az alkalmazottak megtiltása olyan adatokhoz való hozzáféréstől, amelyek nem kapcsolódnak közvetlenül a saját esetükhöz.

Ezenkívül célszerű lehet további biztosítékokat beállítani. Az egészségügyi műveletekhez, kezelésekhez vagy fizetésekhez nem használt PHI-információk nyilvánosságra hozatalához a munkavállalónak írásos hozzájárulást kell kapnia a megfelelő hatóságtól.

4) Eszközök elvesztése vagy ellopása

Egy a HIPAA leggyakoribb megsértése a vállalati eszközök elvesztésének következménye.

2017-ben a Lifespan egy sajtóközleményben megemlítette, hogy valaki betört egy alkalmazott járművébe és ellopta munkahelyi laptopját.

Az eszköz nem volt jelszóval védett, és több mint 20 000 beteg személyes adatait nem titkosították.

A vállalat mindent megtett az eset utáni helyzet orvoslására. Semmit sem tehettek azért, hogy megakadályozzák az információkkal való visszaélést.

Bár lehetetlen megakadályozni, hogy eszközeit 100% -os biztonsággal lopják el, elég egyszerű elkerülni az információszivárgást a titkosítás az adatok védelme érdekében. Tehát akkor is, ha a készüléket ellopják, a tolvajok nem férhetnek hozzá a PHI-hez.

5) Információk megosztása

Bármely bizalmas információra, beleértve a PHI-t is, szükség van. -tudás alapja. Noha ártalmatlannak tűnik az esetek megosztása a kollégákkal, ennek eredményeként információszivárgások vagy perek következhetnek.

Az egyik leggyakoribb hackelési módszer a szociális mérnöki munka. Vagyis a hackerek ahelyett, hogy közvetlenül feltörnék a számítógépeket, megpróbálják becsapni az érintett alkalmazottakat, hogy információkat adjanak ki. Ez lehet a számítógépes rendszerekhez való hozzáféréshez használt információ, vagy egyszerűen a PHI megszerzése.

Annak biztosítására, hogy ez ne történjen meg, győződjön meg arról, hogy az összes fontos információt csak zárt ajtók mögött osztják meg és csak az erre felhatalmazott személyzettel. Még a beteginformációk véletlenszerű megosztása a családtagokkal HIPAA megsértését eredményezheti.

6) A PHI ártalmatlanítása

Fontos, hogy az alkalmazottak megfelelően kezeljék az összes felesleges PHI információt.

Ez vonatkozhat mind a fizikai dokumentumokra, mind a digitális fájlokra . Ha valaki elfelejt egy dokumentumot az asztalon valahol, vagy a beteg adatait az asztalon hagyja, az rossz kezekbe kerülhet (és így HIPAA-sértést eredményezhet).

A legjobb gyakorlat itt az, ha vagy tárolja az információt biztonságos helyen, vagy törölje / aprítsa meg, ha a dokumentumnak már nincs haszna.

7) A PHI elérése nem biztonságos helyről

Sok klinikus dolgozik utána órákat, és személyi számítógépükkel használják a PHI elérését.

Bár ez egy pillanat alatt ártatlannak tűnhet, katasztrofális következményekkel járhat.

Nagyon sokféleképpen lehet ez rosszul …

  1. A klinikus nyitva hagy egy bizalmas betegadatokat tartalmazó dokumentumot számítógépük és családtagjuk végül látják
  2. A családtag véletlenül letölt rosszindulatú programokat a számítógépre. A hackerek viszont megtalálják és ellopják a PHI-adatokat

És ez csak egy kezdet – ha vannak olyan hackerek, akik kifejezetten a kórházat célozzák meg, akkor sok más módon is hozzáférhetnek a személyes adatokhoz. számítógép.

Ennek elkerülése érdekében a bevált módszer az, hogy van egy dedikált laptop a beteginformációkkal kapcsolatos minden esetre & biztonságos helyről.

Hogyan lehet elkerülni a HIPAA megsértését

Az eddig említett HIPAA szabálysértési példák valódi oka a munkavállalók képzésének hiánya.

Az a munkavállaló, aki ismeri a szabályozás működését (és a megfelelés fenntartását), sokkal kevésbé hajlamos elkövetni az eddig említett hibákat, például…

  • Eszközök hagyása nem biztonságos helyeken
  • Információk megosztása illetéktelen személyekkel
  • PHI-dokumentumok nem megfelelő kezelése
  • A PHI elérése nem biztonságos helyekről

A képzés sem csak ajánlás – a munkaerő minden tagjának meg kell ismernie a HIPAA megfelelőségi követelményeit.

A rendelet kimondja, hogy ennek 3 esetben kell történnie – amikor új alkalmazottat vesznek fel, amikor a szabályozás módosul, és időszakosan, csak azért, hogy mindenkinek biztos legyen a megfelelő know-how.

Ha arra törekszik, hogy alkalmazottai felgyorsítsák a HIPAA betartását, de nem tudják, hol kezdjék el, az Inspired eLearning online HIPAA megfelelőségi képzést kínál. Próbálja ki az ingyenes próbaverziót, és ellenőrizze, hogy a megoldás megfelel-e Önnek.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük