Det er viktig for ethvert legekontor å følge med HIPAA-regelverket. Manglende overholdelse kan ende opp med å bli ekstremt kostbart – HIPAA-overtredelsesgebyrene varierer fra $ 100 til over $ 4 millioner.
Det er imidlertid ikke så enkelt å overholde HIPAA. Regelverket endres alltid, så du må være oppdatert til enhver tid for å være sikker på at du ikke ved et uhell ender opp med å bøte på millioner i bøter.
For å hjelpe deg å holde deg kompatibel, vi skal gjennom noen av de vanligste eksemplene på HIPAA-brudd (og hvordan du kan unngå dem). Men før vi kommer inn på det, la oss snakke om det grunnleggende …
Hva er et HIPAA-brudd?
Health Insurance Portability and Accountability, eller HIPAA, brudd skjer når anskaffelsen, tilgangen, bruk eller avsløring av beskyttet helseinformasjon (PHI) skjer på en måte som resulterer i en betydelig personlig risiko for pasienten.
Forordningen gjelder omtrent alle som jobber med PHI. Dette inkluderer…
- Helseplaner
- Helsehjelpstjenester
- Helsepersonell som overfører krav i elektronisk form
- Medicare reseptbelagte legemiddelkortsponsorer
- Foretakspartnere (enkeltpersoner eller enheter som utfører en hvilken som helst funksjon som involverer PHI)
Hvor mye koster HIPAA-brudd?
Det er to typer HIPAA brudd – sivilt eller kriminelt. Hver type overtredelse har en annen fin struktur.
Sivil HIPAA-straff
Sivile straffer blir gitt hvis individer som begår overtredelsen gjorde det uten noen ondsinnet hensikt. Dvs. de var enten forsømmelige eller uvitende om at deres handlinger var feil.
Straffene i et slikt tilfelle er som følger:
- Hvis individet var ikke klar over at de begikk et HIPAA-brudd, de blir bøtelagt $ 100 per brudd.
- Hvis personen hadde rimelig grunn til sine handlinger og ikke handlet med forsettlig forsømmelse, de blir bøtelagt med minst $ 1.000.
- Hvis personen handlet med forsettlig forsømmelse, men deretter løste problemet, får de bøter på minst $ 10 000 per brudd.
- Hvis personen handlet med forsett og ikke løste problemet, blir de bøtelagt med minst $ 50 000 per brudd.
Strafferettslig HIPAA-straff
Hvis enkeltpersoner som begår overtredelsen gjorde det med en ondsinnet hensikt, fører overtredelsen til strafferettslige straffer (som er betydelig strengere).
Straffene i slike tilfeller er…
- Hvis personen bevisst får og avslører PHI, kan de få bøter på opptil $ 50 000 og fengsel i opptil ett år.
- Hvis den enkelte begår brudd under falske foregivelser, kan de bli bøtelagt opptil $ 100.000 og fengslet i opptil 5 år.
- Hvis den enkelte begår bruddet for personlig vinning ( selger PHI eller bruker det for å skade pasienten), de kan bli bøtelagt opp til $ 250.000 og fengslet i opptil 10 år.
Vanligste HIPAA-bruddeksempler
1) Mangel på kryptering
For å sikre at PHI ikke faller i rette hender, må du sørge for at dataene er kryptert.
Dette legger til et ekstra lag med cybersikkerhet i tillegg til alle andre beste fremgangsmåter – selv om det er et brudd og PHI-data blir stjålet, vil ikke hackerne få tilgang til det uten den private nøkkelen.
I tillegg bør sykehuspersonalet også bruke krypterte meldingsapplikasjoner. Det er sant at det å sende tekstmeldinger er en enkel måte å videreformidle informasjon på. Med mindre det gjøres via en kryptert app, er det imidlertid en sjanse for at tekstene blir snappet opp av ondsinnede nettkriminelle.
2) Å bli hacket ELLER phished
Ingen forventer virkelig å bli et offer av hacking. Du hører om sikkerhetsbrudd & hackinghendelser over hele TV-en, men du tror ikke noen vil gå etter deg, spesielt.
Hacking er imidlertid en veldig legitim trussel. Bare i 2018 har det vært over 25 hackinghendelser som for tiden etterforskes for HIPAA-brudd.
Du lurer sannsynligvis på «hva kan hackere gjøre med PHI, uansett?» Det er to typer potensielle hack.
- Hackerne selger dataene til en tredjepartsorganisasjon som på en eller annen måte ville ha nytte av informasjonen
- Hackerne bruker løsepenger. Det betyr at de tar over dataene & truer med å slette alt med mindre de får betalt. I 2016, et sykehus i LA måtte betale hackerne rundt $ 17 000 for å få tilgang til deres datasystemer tilbake.
Så hvordan forhindrer du at dette skjer med deg? Det er flere gode fremgangsmåter for å beskytte deg mot phishere og hackere.
- Å holde all antivirusprogramvaren oppdatert
- Bruk kryptering (som vi har nevnt tidligere)
- Regelmessig endre passord på alle viktige enheter
- Begrenset tilgang til enheter og data basert på ansattes status
3) Uautorisert tilgang
Ansatte som får tilgang til data de ikke er autorisert for er et veldig vanlig HIPAA-brudd.
Selv om de får tilgang til informasjonen av nysgjerrighet, er det fortsatt et brudd og kan resultere i både en fin & og informasjonsbrudd.
I verste fall kan det være at dine egne ansatte selger PHI-er for personlig vinning.
For å sikre at dette ikke skjer, kan du sette opp et autorisasjonssystem. Dvs. å hindre ansatte i å få tilgang til data som ikke er direkte relatert til deres egen sak.
I tillegg kan det være lurt å sette opp ytterligere garantier. For å avsløre PHI-informasjon som ikke brukes til helsevesenet, behandlinger eller utbetalinger, skal den ansatte få skriftlig samtykke fra riktig myndighet.
4) Tap eller tyveri av enheter
En av de vanligste HIPAA-bruddene er et resultat av tapte bedriftsenheter.
I 2017 nevnte Lifespan i en pressemelding at noen brøt seg inn i en ansattes kjøretøy og stjal deres bærbare datamaskin.
Enheten var ikke passordbeskyttet, og den personlige informasjonen til over 20.000 pasienter ble ikke kryptert.
Selskapet gjorde sitt beste for å fikse situasjonen etter hendelsen. Det var imidlertid ingenting de kunne gjøre for å hindre at informasjonen potensielt ble misbrukt.
Selv om det er umulig å forhindre at enhetene dine blir stjålet med 100% sikkerhet, er det enkelt nok til å unngå informasjonslekkasje ved å bruke kryptering for å beskytte dataene. Så selv om enheten blir stjålet, vil ikke tyvene få tilgang til PHI.
5) Dele informasjon
All konfidensiell informasjon, PHI inkluderer, bør være på et behov – å vite grunnlag. Selv om det kan virke ufarlig å dele diskutere saker med kolleger, kan det føre til informasjonslekkasjer eller søksmål.
En av de vanligste hackingsmetodene er å bruke sosialteknikk. Det vil si at hackerne prøver å lure relevante ansatte i stedet for å direkte hacke seg inn på datamaskiner for å gi ut informasjon. Dette kan være informasjon som brukes til å få tilgang til datasystemer, eller bare få tak i PHI.
For å sikre at dette ikke skjer, må du sørge for at all viktig informasjon deles bak lukkede dører og bare med autorisert personell. Selv tilfeldig deling av pasientinformasjon med familiemedlemmer kan resultere i et HIPAA-brudd.
6) Avhending av PHI
Det er viktig for dine ansatte å disponere all unødvendig PHI-informasjon på riktig måte.
Dette kan gjelde både fysiske dokumenter og digitale filer . Hvis noen glemmer et dokument på et bord et sted eller etterlater pasientinformasjon på skrivebordet, kan det ende opp med å komme i feil hender (og dermed føre til et HIPAA-brudd).
Den beste fremgangsmåten her er å enten lagre informasjonen på et sikkert sted eller slette / makulere den hvis selve dokumentet ikke er til nytte.
7) Å få tilgang til PHI fra usikret sted
Mange klinikere jobber etter -timer og bruk deres personlige datamaskin for å få tilgang til PHI.
Selv om dette på et øyeblikk kan virke uskyldig, kan det få katastrofale konsekvenser.
Det er mange forskjellige måter dette kan gå galt på …
- Klinikeren legger igjen et dokument med konfidensiell pasientinformasjon åpen datamaskinen og familiemedlemmet ender opp med å se den
- Familiemedlem laster ved et uhell skadelig programvare ned på datamaskinen. Hackere finner i sin tur og stjeler PHI-dataene
Og det er bare en start – hvis det er hackere som er spesielt rettet mot sykehuset, er det mange andre måter for dem å få tilgang til det personlige datamaskin.
For å unngå dette, er den beste fremgangsmåten å ha en dedikert bærbar PC for alt som har med pasientinformasjon å gjøre & få tilgang til den fra et sikkert sted.
Hvordan unngå HIPAA-brudd
Den virkelige årsaken til alle eksemplene på HIPAA-brudd vi har nevnt så langt, er mangelen på opplæring av ansatte.
En ansatt som vet hvordan reguleringen fungerer (og hvordan de skal være i samsvar) er langt mindre sannsynlig å gjøre noen av feilene vi har nevnt så langt, for eksempel …
- Etterlater enheter på usikrede steder
- Deling av informasjon med uautorisert personell
- Uhensiktsmessig avhending av PHI-dokumenter
- Å få tilgang til PHI fra usikrede steder
Trening er heller ikke bare en anbefaling – Alle medlemmer av arbeidsstyrken er pålagt å lære om HIPAA-kravene.
Forordningen sier at dette skal skje i tre tilfeller – når en ny ansatt ansettes, når det er endringer i regelverket, og med jevne mellomrom, bare for å sikre at alle har riktig kunnskap.
Hvis du ønsker å få medarbeiderne dine til å få fart på HIPAA-samsvar, men ikke vet hvor du skal komme i gang, tilbyr Inspired eLearning en online HIPAA-opplæring. Prøv gratis prøveperioden og se om løsningen fungerer for deg.