HIPAA 규정을 준수하는 것은 모든 의사 사무실에 필수적입니다. 이를 준수하지 않으면 결국 막대한 비용이 발생할 수 있습니다. HIPAA 위반 벌금은 $ 100에서 $ 4 백만 이상입니다.
그러나 HIPAA를 준수하는 것은 그렇게 쉬운 일이 아닙니다. 규정은 항상 변경되므로 실수로 수백만 달러의 벌금이 부과되는 일이 없도록 항상 최신 상태를 유지해야합니다.
준수를 유지하는 데 도움이됩니다. 가장 일반적인 HIPAA 위반 사례 (및이를 방지하는 방법)를 살펴 보겠습니다. 그러나 그것에 들어가기 전에 기본 사항에 대해 이야기 해 봅시다…
HIPAA 위반이란 무엇입니까?
건강 보험 이동성 및 책임 (HIPAA)은 인수, 액세스, 보호 된 건강 정보 (PHI)의 사용 또는 공개는 환자에게 심각한 개인적 위험을 초래하는 방식으로 이루어집니다.
규정은 PHI와 함께 일하는 모든 사람에 관한 것입니다. 여기에는…
- 건강 플랜
- 의료 정보 센터
- 전자 양식으로 청구를 전송하는 의료 서비스 제공 업체
- Medicare 처방약 카드 스폰서
- 비즈니스 동료 (PHI와 관련된 기능을 수행하는 개인 또는 법인)
HIPAA 위반 비용은 얼마입니까?
HIPAA에는 두 가지 유형이 있습니다. 위반 – 민사 또는 형사. 위반 유형마다 벌금 구조가 다릅니다.
Civil HIPAA 벌금
위반 행위를 한 개인이 악의적 인 의도없이 그렇게 한 경우 시민 벌금이 부과됩니다. 즉 그들은 방치했거나 자신의 행동이 잘못되었음을 알지 못했습니다.
이러한 경우 처벌은 다음과 같습니다.
- 개인이 자신이 HIPAA 위반을 저질렀다는 사실을 몰랐을 경우 위반 당 $ 100의 벌금이 부과됩니다.
- 개인이 자신의 행동에 대해 합당한 이유가 있고 행동하지 않은 경우 고의적 방치시 최소 $ 1,000의 벌금이 부과됩니다.
- 개인이 고의적 방치로 행동했지만 문제를 해결 한 경우 최소 벌금이 부과됩니다. 위반 당 $ 10,000.
- 개인이 고의적 인 방치로 행동하고 문제를 해결하지 않은 경우 위반 당 최소 $ 50,000의 벌금이 부과됩니다.
형사 HIPAA 벌금
위반을 저지른 개인이 악의적 인 의도로 그렇게 한 경우 위반은 형사 처벌로 이어집니다 (훨씬 더 가혹한).
그러한 경우의 처벌은 …
- 개인이 고의로 PHI를 획득하고 공개하는 경우 최대 $ 50,000의 벌금과 최대 1 년의 징역형에 처해질 수 있습니다.
- 개인이 허위로 위장하여 위반할 경우 최대 $ 100,000의 벌금형과 최대 5 년의 징역형을받을 수 있습니다.
- 개인의 이익을 위해 위반 한 경우 ( 즉, PHI를 판매하거나 환자에게 해를 끼치는 데 사용하는 경우) 최대 $ 250,000의 벌금형과 최대 10 년형의 징역형을받을 수 있습니다.
가장 일반적인 HIPAA 위반 사례
1) 암호화 부족
PHI가 올바르게 사용되지 않도록하려면 데이터가 암호화되어 있는지 확인해야합니다.
이는 다른 모든 모범 사례 위에 추가 사이버 보안 계층을 추가합니다. 위반이 발생하고 PHI 데이터가 도난 당하더라도 해커는 개인 키 없이는 데이터에 액세스 할 수 없습니다.
또한 병원 직원도 암호화 된 메시징 응용 프로그램을 사용해야합니다. 사실, 문자 메시지를 보내는 것은 정보를 전달하는 쉬운 방법입니다. 하지만 암호화 된 앱을 통해 이루어지지 않는 한 악의적 인 사이버 범죄자가 텍스트를 가로 챌 가능성이 있습니다.
2) 해킹 또는 피싱
누구도 실제로 피해자가 될 것으로 기대하지 않습니다. 해킹 TV 전체에서 보안 침해 & 해킹 사건에 대해 들었지만, 특히 누군가가 당신을 쫓을 것이라고 생각하지 않습니다.
하지만 해킹은 매우 합법적 인 위협입니다. 2018 년에만 현재 HIPAA 위반으로 조사중인 해킹 사건이 25 건이 넘었습니다.
“어쨌든 해커가 PHI로 무엇을 할 수 있는가?”라고 궁금해하실 것입니다. 음, 잠재적 인 해킹에는 두 가지 유형이 있습니다.
- 해커가 정보의 혜택을받을 수있는 타사 조직에 데이터를 판매하고 있습니다.
- 해커가 랜섬웨어를 사용하고 있습니다. 즉, 해커가 데이터를 장악하고 &가 돈을받지 않으면 모든 것을 삭제하겠다고 위협합니다. 2016 년, LA에있는 한 병원은 컴퓨터 시스템에 다시 액세스하기 위해 해커에게 약 17,000 달러를 지불해야했습니다.
그러면 이러한 일이 발생하지 않도록 어떻게 방지 할 수 있습니까? 피싱 및 해커로부터 사용자를 보호하기위한 몇 가지 모범 사례가 있습니다.
- 모든 바이러스 백신 소프트웨어를 최신 상태로 유지
- 암호화 사용 (앞서 언급했듯이)
- 모든 중요한 기기에서 정기적으로 비밀번호 변경
- 직원 상태에 따라 기기 및 데이터에 대한 액세스 제한
3) 무단 액세스
데이터에 액세스하지 않는 직원 승인은 매우 일반적인 HIPAA 위반입니다.
호기심으로 정보에 액세스하더라도 여전히 위반이며 벌금 & 및 정보 유출.
최악의 시나리오는 직원이 개인적인 이익을 위해 PHI를 판매하는 것일 수 있습니다.
이런 일이 발생하지 않도록 승인 시스템을 설정할 수 있습니다. 즉 직원이 자신의 사례와 직접 관련이없는 데이터에 액세스하지 못하도록 금지합니다.
또한 추가 보호 장치를 설정하는 것이 좋습니다. 의료 운영, 치료 또는 지불에 사용되지 않는 PHI 정보를 공개하려면 직원은 권한있는 권한의 서면 동의를 받아야합니다.
4) 기기 분실 또는 도난
1 가장 일반적인 HIPAA 위반 사례 중 가장 흔한 것은 회사 기기 분실로 인한 것입니다.
2017 년 Lifespan은 보도 자료에서 누군가 직원 차량에 침입하여 업무용 노트북을 훔쳤다고 언급했습니다.
이 기기는 비밀번호로 보호되지 않았고 20,000 명 이상의 환자의 개인 정보가 암호화되지 않았습니다.
사고 발생 후 상황을 해결하기 위해 최선을 다했습니다. 그러나 정보가 잠재적으로 오용되는 것을 막을 수있는 방법은 없었습니다.
기기 도난을 100 % 확실하게 방지하는 것은 불가능하지만 다음을 사용하여 정보 유출을 방지 할 수 있습니다. 데이터를 보호하기위한 암호화. 따라서 장치가 도난 당하더라도 도둑은 PHI에 액세스 할 수 없습니다.
5) 정보 공유
PHI에 포함 된 모든 기밀 정보는 필요에 따라야합니다. -아는 근거. 동료들과 사건을 논의하는 것은 무해 해 보일 수 있지만 결국 정보 유출이나 소송으로 이어질 수 있습니다.
가장 일반적인 해킹 방법 중 하나는 사회 공학을 사용하는 것입니다. 즉, 해커는 컴퓨터를 직접 해킹하기보다 관련 직원을 속여 정보를 제공하려고합니다. 이는 컴퓨터 시스템에 액세스하는 데 사용되는 정보이거나 단순히 PHI를 확보하는 데 사용되는 정보 일 수 있습니다.
이러한 일이 발생하지 않도록 모든 중요한 정보를 비공개로 공유하고 승인 된 직원과 함께. 환자 정보를 가족 구성원과 우연히 공유하더라도 HIPAA 위반이 발생할 수 있습니다.
6) PHI 폐기
직원이 불필요한 PHI 정보를 적절히 폐기하는 것이 중요합니다.
이것은 실제 문서와 디지털 파일 모두에 적용될 수 있습니다. . 누군가가 테이블 어딘가에있는 문서를 잊어 버리거나 환자 정보를 데스크톱에 남겨두면 결국 잘못된 손에 들어가서 HIPAA 위반이 발생할 수 있습니다.
여기에서 가장 좋은 방법은 다음과 같습니다. 정보를 안전한 위치에 저장하거나 문서 자체가 더 이상 사용되지 않는 경우 삭제 / 파쇄합니다.
7) 보안되지 않은 위치에서 PHI에 액세스
많은 임상의가 개인용 컴퓨터를 사용하여 PHI에 액세스 할 수 있습니다.
눈에보기에는 결백 해 보일 수 있지만 재앙적인 결과를 초래할 수 있습니다.
이 문제가 발생할 수있는 방법에는 여러 가지가 있습니다…
- 임상 의사는 환자 기밀 정보를 공개 한 문서를 남겨 둡니다. 컴퓨터와 가족 구성원이이를 보게됩니다.
- 가족 구성원이 실수로 컴퓨터에 멀웨어를 다운로드합니다. 해커는 차례로 PHI 데이터를 찾아서 훔칩니다.
이것은 시작에 불과합니다. 해커가 특별히 병원을 겨냥한 경우 개인 정보에 액세스 할 수있는 다른 방법이 많이 있습니다. 컴퓨터.
이를 방지하려면 환자 정보와 관련된 모든 작업을위한 전용 노트북을 사용하는 것이 좋습니다. & 안전한 위치에서 액세스 할 수 있습니다.
p>
HIPAA 위반을 방지하는 방법
지금까지 언급 한 모든 HIPAA 위반 사례의 실제 원인은 직원 교육 부족입니다.
규정이 어떻게 작동하는지 (및 준수를 유지하는 방법)을 아는 직원은 지금까지 언급 한 다음과 같은 실수를 저지를 가능성이 훨씬 적습니다.
- 보안되지 않은 위치에 기기 보관
- 승인되지 않은 직원과 정보 공유
- PHI 문서의 부적절한 폐기
- 보안되지 않은 위치에서 PHI에 액세스
교육은 단순한 권장 사항이 아닙니다. 모든 직원은 HIPAA 규정 준수 요구 사항에 대해 알아야합니다.
규정은 신입 사원이 채용 될 때, 규정이 변경 될 때마다 그리고 주기적으로 모든 사람이 올바른 노하우를 갖도록하기 위해 3 가지 경우에 이루어져야한다고 명시하고 있습니다.
p>
직원들에게 HIPAA 규정 준수에 대한 최신 정보를 제공하고 싶지만 시작 위치를 모르는 경우 Inspired eLearning에서 온라인 HIPAA 규정 준수 교육을 제공합니다. 무료 평가판을 사용해보고 솔루션이 적합한 지 확인하세요.