Het bijhouden van de HIPAA-voorschriften is essentieel voor elk artsenpraktijk. Het niet naleven ervan kan uiteindelijk zeer kostbaar zijn – de HIPAA-overtredingboetes variëren van $ 100 tot meer dan $ 4 miljoen.
Het is echter niet zo eenvoudig om aan de HIPAA te voldoen. De voorschriften veranderen voortdurend, dus u moet altijd up-to-date zijn om ervoor te zorgen dat u niet per ongeluk miljoenen aan boetes krijgt.
Om u te helpen aan de regels te blijven, We zullen enkele van de meest voorkomende voorbeelden van HIPAA-overtredingen doornemen (en hoe ze te vermijden). Laten we het echter eerst hebben over de basisprincipes …
Wat is een HIPAA-overtreding?
De Health Insurance Portability and Accountability, of HIPAA, schendingen gebeuren wanneer de acquisitie, toegang, gebruik of openbaarmaking van beschermde gezondheidsinformatie (PHI) gebeurt op een manier die resulteert in een aanzienlijk persoonlijk risico voor de patiënt.
De regeling betreft zowat iedereen die met PHI werkt. Dit omvat …
- Gezondheidsplannen
- Uitwisselingscentra voor gezondheidszorg
- Zorgverleners die claims in elektronische vorm doorgeven
- Sponsors van Medicare-geneesmiddelenkaart op recept
- Zakenpartners (persoon of entiteit die een functie vervult waarbij PHI betrokken is)
Hoeveel kosten HIPAA-overtredingen?
Er zijn twee soorten HIPAA schendingen – civiel of strafrechtelijk. Elk type overtreding heeft een andere boete-structuur.
Civiele HIPAA-straf
Burgerlijke straffen worden gegeven als de individuen die de overtreding hebben begaan dit zonder kwaadwillende bedoelingen hebben gedaan. D.w.z. ze waren ofwel nalatig of wisten niet dat hun acties verkeerd waren.
De straffen in een dergelijk geval zijn als volgt:
- Als de persoon was zich er niet van bewust dat ze een HIPAA-overtreding begingen, ze krijgen een boete van $ 100 per overtreding.
- Als de persoon een redelijke reden had voor zijn acties en niet handelde met opzettelijke nalatigheid, krijgen ze een boete van minimaal $ 1.000.
- Als de persoon handelde met opzettelijke nalatigheid, maar het probleem vervolgens verhelpt, krijgt hij een boete van minimaal $ 10.000 per overtreding.
- Als de persoon handelde met opzettelijke nalatigheid en het probleem niet heeft opgelost, krijgt hij een boete van minimaal $ 50.000 per overtreding.
Strafrechtelijke HIPAA-straf
Als de personen die de overtreding hebben begaan dit met kwaadwillige bedoelingen hebben gedaan, leidt de overtreding tot strafrechtelijke sancties (die aanzienlijk zwaarder zijn).
De straffen in dergelijke gevallen zijn…
- Als de persoon willens en wetens PHI verkrijgt en openbaar maakt, kan hij een boete van maximaal $ 50.000 krijgen en een gevangenisstraf van maximaal een jaar.
- Als de persoon onder valse voorwendselen overtredingen begaat, kan hij een boete krijgen van maximaal $ 100.000 en een gevangenisstraf van maximaal 5 jaar.
- Als de persoon de overtreding begaat voor persoonlijk gewin ( dwz PHI verkoopt of gebruikt om de patiënt schade te berokkenen), kunnen ze een boete krijgen tot $ 250.000 en een gevangenisstraf van maximaal 10 jaar.
Meest voorkomende HIPAA-overtredingsvoorbeelden
1) Gebrek aan versleuteling
Om ervoor te zorgen dat uw PHI niet in de juiste handen valt, moet u ervoor zorgen dat de gegevens versleuteld zijn.
Dit voegt een extra laag cyberbeveiliging toe bovenop alle andere best practices – zelfs als er een inbreuk is en PHI-gegevens worden gestolen, kunnen de hackers er geen toegang toe krijgen zonder de privésleutel.
Bovendien moet het ziekenhuispersoneel ook versleutelde berichtentoepassingen gebruiken. Toegegeven, het verzenden van tekstberichten is een gemakkelijke manier om informatie door te geven. Tenzij dit via een gecodeerde app wordt gedaan, bestaat de kans dat de sms-berichten worden onderschept door kwaadwillende cybercriminelen.
2) Gehackt OF phishing krijgen
Niemand verwacht echt een slachtoffer te worden van hacken. U hoort over beveiligingsinbreuken & hackincidenten overal op de tv, maar u denkt niet dat iemand specifiek achter u aan zou gaan.
Hacken is dat wel een zeer legitieme dreiging. Alleen al in 2018 zijn er meer dan 25 hackincidenten geweest die momenteel worden onderzocht vanwege HIPAA-overtredingen.
U vraagt zich waarschijnlijk af “wat kunnen hackers eigenlijk met PHIs doen?” Er zijn twee soorten potentiële hacks.
- De hackers verkopen de gegevens aan een externe organisatie die op de een of andere manier baat zou hebben bij de informatie
- De hackers gebruiken ransomware. Dit betekent dat ze de gegevens overnemen & dreigen alles te verwijderen tenzij ze worden betaald. In 2016 een ziekenhuis in LA moest de hackers ongeveer 17.000 dollar betalen om de toegang tot hun computersystemen terug te krijgen.
Dus, hoe voorkom je dat dit jou overkomt? Welnu, er zijn verschillende best practices om u te beschermen tegen phishers en hackers.
- Alle antivirussoftware up-to-date houden
- Gebruik codering (zoals we eerder hebben vermeld)
- Regelmatig wachtwoorden wijzigen op alle belangrijke apparaten
- Toegang tot apparaten en gegevens beperken op basis van werknemersstatus
3) Ongeautoriseerde toegang
Werknemers hebben toegang tot gegevens die ze niet zijn waarvoor toestemming is verleend, is een veel voorkomende HIPAA-overtreding.
Zelfs als ze de informatie uit nieuwsgierigheid benaderen, is het nog steeds een overtreding en kan dit resulteren in een boete & en informatie-inbreuk.
In het ergste geval verkopen uw eigen werknemers mogelijk PHIs voor persoonlijk gewin.
Om ervoor te zorgen dat dit niet gebeurt, kunt u een autorisatiesysteem opzetten. D.w.z. werknemers de toegang tot gegevens die niet direct verband houden met hun eigen zaak te voorkomen.
Bovendien kan het een goed idee zijn om aanvullende veiligheidsmaatregelen in te stellen. Om PHI-informatie vrij te geven die niet wordt gebruikt voor operaties, behandelingen of betalingen in de gezondheidszorg, moet de werknemer schriftelijke toestemming krijgen van de juiste autoriteit.
4) Verlies of diefstal van apparaten
Een van de meest voorkomende HIPAA-overtredingen is het gevolg van verloren bedrijfsapparaten.
In 2017 vermeldde Lifespan in een persbericht dat iemand had ingebroken in de auto van een werknemer en zijn werklaptop had gestolen.
Het apparaat was niet met een wachtwoord beveiligd en de persoonlijke gegevens van meer dan 20.000 patiënten waren niet versleuteld.
Het bedrijf deed zijn best om de situatie na het incident op te lossen. Er was echter niets dat ze konden doen om te voorkomen dat de informatie mogelijk misbruikt zou worden.
Hoewel het onmogelijk is om te voorkomen dat uw apparaten met 100% zekerheid worden gestolen, is het eenvoudig genoeg om het informatielek te voorkomen door gebruik te maken van versleuteling om de gegevens te beschermen. Dus zelfs als het apparaat wordt gestolen, hebben de dieven geen toegang tot de PHI.
5) Informatie delen
Alle vertrouwelijke informatie, waaronder PHI, zou nodig moeten zijn -to-know basis. Hoewel het misschien onschuldig lijkt om discussies met collegas te delen, kan dit leiden tot informatielekken of rechtszaken.
Een van de meest voorkomende hackmethoden is het gebruik van social engineering. Dit betekent dat de hackers, in plaats van rechtstreeks computers te hacken, relevante werknemers proberen te misleiden om informatie vrij te geven. Dit kan informatie zijn die wordt gebruikt om toegang te krijgen tot computersystemen, of gewoon om PHI te bemachtigen.
Om ervoor te zorgen dat dit niet gebeurt, moet u ervoor zorgen dat alle belangrijke informatie achter gesloten deuren wordt gedeeld en alleen met bevoegd personeel. Zelfs het terloops delen van patiëntinformatie met familieleden kan leiden tot een HIPAA-overtreding.
6) Verwijdering van PHI
Het is belangrijk voor uw werknemers om onnodige PHI-informatie op de juiste manier te verwijderen.
Dit kan van toepassing zijn op zowel fysieke documenten als digitale bestanden . Als iemand een document ergens op een tafel vergeet of patiëntgegevens op zijn bureaublad achterlaat, kan het in verkeerde handen terechtkomen (en dus resulteren in een HIPAA-overtreding).
De beste methode hier is om sla de informatie op een veilige locatie op of verwijder / vernietig het als het document zelf niet meer van nut is.
7) Toegang tot PHI vanaf een onbeveiligde locatie
Veel clinici werken na -uren en gebruiken hun personal computer om toegang te krijgen tot PHI.
Hoewel dit in één oogopslag onschuldig lijkt, kan het desastreuze gevolgen hebben.
Er zijn veel verschillende manieren waarop dit fout kan gaan …
- De arts laat een document met vertrouwelijke patiëntinformatie open op hun computer en hun familielid zien het uiteindelijk
- Familielid downloadt per ongeluk malware op de computer. Hackers vinden en stelen op hun beurt de PHI-gegevens.
En dat is nog maar een begin – als er hackers zijn die zich specifiek op het ziekenhuis richten, zijn er veel andere manieren waarop ze toegang kunnen krijgen tot de persoonlijke gegevens. computer.
Om dit te voorkomen, is het het beste om een speciale laptop te hebben voor alles wat met patiëntinformatie te maken heeft & toegang te krijgen vanaf een veilige locatie.
Hoe HIPAA-overtredingen te voorkomen
De echte oorzaak van alle voorbeelden van HIPAA-overtredingen die we tot nu toe hebben genoemd, is het gebrek aan opleiding van medewerkers.
Een werknemer die weet hoe de regelgeving werkt (en hoe hij eraan kan blijven voldoen) maakt veel minder snel een van de fouten die we tot nu toe hebben genoemd, zoals …
- Apparaten op onbeveiligde locaties achterlaten
- Informatie delen met onbevoegd personeel
- Onjuiste verwijdering van PHI-documenten
- Toegang krijgen tot PHI vanaf onbeveiligde locaties
Training is ook niet alleen een aanbeveling – alle personeelsleden moeten leren over de HIPAA-nalevingsvereisten.
De verordening stelt dat dit in 3 gevallen moet gebeuren – wanneer een nieuwe werknemer wordt aangenomen, wanneer er wijzigingen zijn in de regelgeving, en periodiek, om er zeker van te zijn dat iedereen de juiste knowhow heeft.
Als u uw werknemers op de hoogte wilt brengen van HIPAA-compliance, maar niet weet waar u moet beginnen, biedt Inspired eLearning een online HIPAA-compliance-training. Probeer de gratis proefperiode en kijk of de oplossing voor u werkt.