Tenere il passo con le normative HIPAA è essenziale per qualsiasi studio medico. La mancata osservanza può finire per essere estremamente costosa: le multe per violazione HIPAA vanno da $ 100 a oltre $ 4 milioni.
Rispettare lHIPAA, tuttavia, non è così facile. Le normative cambiano continuamente, quindi devi essere sempre aggiornato per assicurarti di non finire accidentalmente per accumulare milioni di multe.
Per aiutarti a rimanere conforme, noi esamineremo alcuni degli esempi di violazione HIPAA più comuni (e come evitarli). Tuttavia, prima di entrare in questo argomento, parliamo delle nozioni di base …
Cosè una violazione HIPAA?
La Health Insurance Portability and Accountability, o HIPAA, si verifica quando lacquisizione, laccesso, luso o la divulgazione delle informazioni sanitarie protette (PHI) viene effettuato in modo da comportare un rischio personale significativo per il paziente.
Il regolamento riguarda quasi tutti coloro che lavorano con PHI. Ciò include…
- Piani sanitari
- Centri di compensazione dellassistenza sanitaria
- Fornitori di servizi sanitari che trasmettono le richieste in formato elettronico
- Sponsor della carta dei farmaci su prescrizione Medicare
- Soci in affari (persone fisiche o entità che svolgono qualsiasi funzione che coinvolga PHI)
Quanto costano le violazioni HIPAA?
Esistono due tipi di HIPAA violazioni – civili o penali. Ogni tipo di violazione ha una diversa struttura fine.
Penalità HIPAA civile
Le sanzioni civili vengono assegnate se le persone che hanno commesso la violazione lo hanno fatto senza alcun intento doloso. Cioè erano negligenti o inconsapevoli che le loro azioni erano sbagliate.
Le sanzioni in questo caso sono le seguenti:
- Se il lindividuo non era a conoscenza di aver commesso una violazione HIPAA, viene multato di $ 100 per ogni violazione.
- Se lindividuo aveva una ragione ragionevole per le sue azioni e non ha agito con negligenza intenzionale, sono multati di un minimo di $ 1.000.
- Se lindividuo ha agito con negligenza intenzionale, ma poi ha risolto il problema, viene multato un minimo di $ 10.000 per violazione.
- Se la persona ha agito con deliberata negligenza e non ha risolto il problema, verrà multata di un minimo di $ 50.000 per violazione.
Penalità penale HIPAA
Se le persone che hanno commesso la violazione lo hanno fatto con intento doloso, la violazione porta a sanzioni penali (che è significativamente più dura).
Le sanzioni in questi casi sono …
- Se lindividuo ottiene consapevolmente e divulga PHI, può essere multato fino a $ 50.000 e incarcerato fino a un anno.
- Se lindividuo commette violazioni con falsi pretesti, può essere multato fino a $ 100.000 e incarcerato fino a 5 anni.
- Se lindividuo commette la violazione per guadagno personale ( cioè vende PHI o lo usa per danneggiare il paziente), possono essere multati fino a $ 250.000 e incarcerati fino a 10 anni.
Esempi di violazioni HIPAA più comuni
1) Mancanza di crittografia
Per assicurarti che il tuo PHI non cada nelle mani giuste, devi assicurarti che i dati siano crittografati.
Ciò aggiunge un ulteriore livello di sicurezza informatica oltre a tutte le altre best practice: anche se si verifica una violazione e i dati PHI vengono rubati, gli hacker non saranno in grado di accedervi senza la chiave privata.
Inoltre, il personale dellospedale dovrebbe utilizzare anche applicazioni di messaggistica crittografate. È vero, linvio di messaggi di testo è un modo semplice per trasmettere informazioni. Tuttavia, a meno che non avvenga tramite unapp crittografata, esiste la possibilità che i testi vengano intercettati da criminali informatici malintenzionati.
2) Essere hackerati o phishing
Nessuno si aspetta davvero di essere una vittima di hacking. Hai sentito parlare di violazioni della sicurezza & incidenti di pirateria informatica in tutta la TV, ma non pensi che qualcuno ti darebbe la caccia, in particolare.
Lhacking, tuttavia, è una minaccia molto legittima. Solo nel 2018, ci sono stati oltre 25 incidenti di pirateria informatica che sono attualmente oggetto di indagine per violazioni HIPAA.
Probabilmente ti starai chiedendo “cosa possono fare gli hacker con i PHI, comunque?” Bene, ci sono due tipi di potenziali attacchi.
- Gli hacker vendono i dati a unorganizzazione di terze parti che in qualche modo trarrebbe vantaggio dalle informazioni
- Gli hacker utilizzano ransomware. Significa che si appropriano dei dati & minacciano di eliminare tutto a meno che non vengano pagati. Nel 2016, un ospedale di Los Angeles ha dovuto pagare agli hacker circa 17.000 dollari per riavere laccesso ai propri sistemi informatici.
Quindi, come impedisci che ciò accada a te? Bene, esistono diverse best practice per proteggerti da phisher e hacker.
- Mantenere aggiornato tutto il software antivirus
- Utilizza la crittografia (come accennato in precedenza)
- Modifica periodica delle password su tutti i dispositivi importanti
- Limitazione dellaccesso a dispositivi e dati in base allo stato dei dipendenti
3) Accesso non autorizzato
I dipendenti che accedono ai dati non sono autorizzato per è una violazione HIPAA molto comune.
Anche se accedono alle informazioni per curiosità, è comunque una violazione e può comportare sia una multa & e violazione delle informazioni.
Nel peggiore dei casi, i tuoi dipendenti potrebbero vendere PHI per guadagno personale.
Per assicurarti che ciò non accada, puoi configurare un sistema di autorizzazione. Cioè impedire ai dipendenti di accedere a dati non direttamente correlati al loro caso.
Inoltre, potrebbe essere una buona idea impostare misure di salvaguardia aggiuntive. Per divulgare qualsiasi informazione PHI che non viene utilizzata per operazioni sanitarie, trattamenti o pagamenti, il dipendente deve ottenere il consenso scritto dalle autorità competenti.
4) Perdita o furto di dispositivi
Uno delle violazioni HIPAA più comuni è il risultato di dispositivi aziendali smarriti.
Nel 2017, Lifespan ha menzionato in un comunicato stampa che qualcuno ha fatto irruzione in un veicolo di un dipendente e ha rubato il suo laptop di lavoro.
Il dispositivo non era protetto da password e le informazioni personali di oltre 20.000 pazienti non erano crittografate.
Lazienda ha fatto del suo meglio per risolvere la situazione post-incidente. Non cera, tuttavia, nulla che potessero fare per impedire che le informazioni venissero potenzialmente utilizzate in modo improprio.
Sebbene sia impossibile impedire che i tuoi dispositivi vengano rubati con una certezza del 100%, è abbastanza semplice evitare la fuga di informazioni utilizzando crittografia per salvaguardare i dati. Quindi, anche se il dispositivo viene rubato, i ladri non saranno in grado di accedere al PHI.
5) Condivisione di informazioni
Qualsiasi informazione riservata, inclusa PHI, dovrebbe essere necessaria base per conoscere. Sebbene possa sembrare innocuo condividere casi di discussione con i colleghi, potrebbe finire con il portare a fughe di informazioni o azioni legali.
Uno dei metodi di hacking più comuni è lutilizzo dellingegneria sociale. Ciò significa che gli hacker, piuttosto che hackerare direttamente i computer, cercano di ingannare i dipendenti interessati per fornire informazioni. Può trattarsi di informazioni utilizzate per ottenere laccesso ai sistemi informatici o semplicemente per ottenere informazioni su PHI.
Per garantire che ciò non accada, assicurati che tutte le informazioni importanti siano condivise a porte chiuse e solo con il personale autorizzato. Anche la condivisione casuale delle informazioni sui pazienti con i membri della famiglia può comportare una violazione HIPAA.
6) Smaltimento di PHI
È importante che i tuoi dipendenti smaltiscano correttamente tutte le informazioni PHI non necessarie.
Ciò può essere applicato sia ai documenti fisici che ai file digitali . Se qualcuno dimentica un documento su un tavolo da qualche parte o lascia le informazioni del paziente sul desktop, potrebbe finire per finire nelle mani sbagliate (e quindi, con conseguente violazione HIPAA).
La migliore pratica qui è quella di memorizzare le informazioni in un luogo sicuro o eliminarle / distruggerle se il documento stesso non è più utile.
7) Accesso a PHI da posizione non protetta
Molti medici lavorano dopo -ore e utilizzare il proprio personal computer per accedere a PHI.
Anche se questo potrebbe sembrare innocente a prima vista, può avere conseguenze disastrose.
Ci sono molti modi diversi in cui questo potrebbe andare storto …
- Il medico lascia un documento con informazioni riservate sul paziente aperto su il loro computer e il loro familiare finiscono per vederlo
- Il membro della famiglia scarica accidentalmente malware sul computer. Gli hacker, a loro volta, trovano e rubano i dati PHI
E questo è solo linizio: se ci sono hacker che prendono di mira specificamente lospedale, ci sono molti altri modi per accedere ai dati personali computer.
Per evitare ciò, la migliore pratica è avere un laptop dedicato per qualsiasi cosa abbia a che fare con le informazioni del paziente & accedervi da una posizione sicura.
Come evitare le violazioni HIPAA
La vera causa di tutti gli esempi di violazione HIPAA che abbiamo menzionato finora è la mancanza di formazione dei dipendenti.
Un dipendente che sa come funziona il regolamento (e come rimanere conforme) ha molte meno probabilità di commettere gli errori che abbiamo menzionato finora, come …
- Lasciando dispositivi in posizioni non protette
- Condivisione di informazioni con personale non autorizzato
- Eliminazione inappropriata dei documenti PHI
- Accesso a PHI da posizioni non protette
La formazione non è solo una raccomandazione, neanche – tutti i membri della forza lavoro sono tenuti a conoscere i requisiti di conformità HIPAA.
Il regolamento afferma che ciò dovrebbe accadere in 3 casi: quando viene assunto un nuovo dipendente, ogni volta che vengono apportate modifiche alle normative e periodicamente, solo per assicurarsi che tutti abbiano il giusto know-how.
Se stai cercando di portare i tuoi dipendenti al passo con la conformità HIPAA ma non sai da dove iniziare, Inspired eLearning offre una formazione online sulla conformità HIPAA. Prova la versione di prova gratuita e verifica se la soluzione funziona per te.