Przestrzeganie przepisów HIPAA ma zasadnicze znaczenie dla każdego gabinetu lekarskiego. Nieprzestrzeganie może być niezwykle kosztowne – kary za naruszenie ustawy HIPAA wahają się od 100 do ponad 4 milionów dolarów.
Jednak przestrzeganie ustawy HIPAA nie jest wcale takie proste. Przepisy ciągle się zmieniają, więc musisz zawsze być na bieżąco, aby mieć pewność, że przypadkowo nie zostaniesz obciążony milionami kar.
Aby pomóc Ci zachować zgodność, przejdziemy przez niektóre z najczęstszych przykładów naruszeń ustawy HIPAA (i jak ich uniknąć). Zanim jednak do tego przejdziemy, porozmawiajmy o podstawach…
Co to jest naruszenie ustawy HIPAA?
Prawo do przenoszenia i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) ma miejsce, gdy nabycie, dostęp, wykorzystanie lub ujawnienie Chronionych Informacji Zdrowotnych (PHI) odbywa się w sposób, który powoduje znaczne ryzyko osobiste dla pacjenta.
Rozporządzenie dotyczy prawie każdego, kto pracuje z PHI. Obejmuje to…
- Plany zdrowotne
- Izby informacyjne opieki zdrowotnej
- Świadczeniodawcy, którzy przekazują roszczenia w formie elektronicznej
- Sponsorzy kart leków na receptę Medicare
- Współpracownicy biznesowi (osoba fizyczna lub podmiot wykonujący jakąkolwiek funkcję związaną z ChIZ)
Ile kosztują naruszenia HIPAA?
Istnieją dwa rodzaje HIPAA naruszenia – cywilne lub karne. Każdy rodzaj naruszenia ma inną karną strukturę.
Cywilna kara HIPAA
Kary cywilne są nakładane, jeśli osoby popełniające naruszenie uczyniły to bez złego zamiaru. To znaczy. albo zaniedbali się, albo nie zdawali sobie sprawy, że ich działania były złe.
Kary w takim przypadku są następujące:
- Jeśli osoba nie wiedziała, że popełnia naruszenie ustawy HIPAA, zostanie ukarana grzywną w wysokości 100 USD za każde naruszenie.
- Jeśli osoba miała uzasadniony powód do swoich działań i nie działała z umyślne zaniedbanie, zostanie ukarane grzywną w wysokości co najmniej 1000 USD.
- Jeśli osoba działała z umyślnym zaniedbaniem, ale potem naprawiła problem, zostanie ukarana grzywną w wysokości co najmniej 10 000 USD za każde naruszenie.
- Jeśli osoba działała umyślnie i nie rozwiązała problemu, zostanie ukarana grzywną w wysokości co najmniej 50 000 USD za każde naruszenie.
Kara HIPAA kryminalna
Jeśli osoby popełniające naruszenie uczyniły to w złym zamiarze, naruszenie prowadzi do sankcji karnych (które są znacznie surowsze).
W takich przypadkach kary są następujące…
- Jeśli dana osoba świadomie uzyska i ujawni PHI, może zostać ukarana grzywną w wysokości do 50 000 USD i więzieniem na okres do roku.
- Jeśli dana osoba popełnia naruszenia pod fałszywym pretekstem, może zostać ukarana grzywną w wysokości do 100 000 USD i pozbawieniem wolności na okres do 5 lat.
- Jeśli osoba ta dopuści się naruszenia dla osobistych korzyści ( tj. sprzedaje PHI lub wykorzystuje je, aby zaszkodzić pacjentowi), mogą zostać ukarani grzywną w wysokości do 250 000 USD i pozbawieni wolności na okres do 10 lat.
Najczęstsze przykłady naruszeń ustawy HIPAA
1) Brak szyfrowania
Aby mieć pewność, że Twoje ChIZ nie trafią we właściwe ręce, musisz upewnić się, że dane są zaszyfrowane.
Dodaje to dodatkową warstwę cyberbezpieczeństwa do wszystkich innych najlepszych praktyk – nawet jeśli dojdzie do naruszenia i dane PHI zostaną skradzione, hakerzy nie będą mogli uzyskać do nich dostępu bez klucza prywatnego.
Ponadto personel szpitala powinien również używać aplikacji do obsługi szyfrowanych wiadomości. To prawda, że wysyłanie wiadomości tekstowych to łatwy sposób przekazywania informacji. Jeśli jednak nie zostanie to zrobione za pomocą zaszyfrowanej aplikacji, istnieje szansa, że teksty zostaną przechwycone przez złośliwych cyberprzestępców.
2) Włamanie lub wyłudzenie danych
Nikt tak naprawdę nie spodziewa się, że zostanie ofiarą hakowania. Słyszysz o naruszeniach bezpieczeństwa & w całym telewizorze, ale nie sądzisz, że ktoś mógłby cię ścigać.
Jednak hakowanie to bardzo uzasadnione zagrożenie. Tylko w 2018 roku doszło do ponad 25 incydentów hakerskich, które są obecnie badane pod kątem naruszenia ustawy HIPAA.
Prawdopodobnie zastanawiasz się, „co w ogóle mogą zrobić hakerzy z PHI?” Cóż, istnieją dwa rodzaje potencjalnych hacków.
- Hakerzy sprzedają dane organizacji zewnętrznej, która w jakiś sposób skorzystałaby z tych informacji.
- Hakerzy używają oprogramowania ransomware. Oznacza to, że przejmują dane & grożą usunięciem wszystkiego, jeśli nie otrzymają zapłaty. W 2016 r. szpital w LA musiał zapłacić hakerom około 17 000 dolarów, aby odzyskać dostęp do swoich systemów komputerowych.
Jak więc zapobiegasz temu, aby ci się to przytrafiło? Cóż, istnieje kilka sprawdzonych metod ochrony przed phisherami i hakerami.
- Dbanie o aktualność całego oprogramowania antywirusowego
- Używaj szyfrowania (jak wspomnieliśmy wcześniej)
- Regularna zmiana haseł na wszystkich ważnych urządzeniach
- Ograniczanie dostępu do urządzeń i danych na podstawie statusu pracownika
3) Nieautoryzowany dostęp
Pracownicy uzyskujący dostęp do danych, których nie są autoryzacja jest bardzo częstym naruszeniem ustawy HIPAA.
Nawet jeśli uzyskują dostęp do informacji z ciekawości, nadal jest to naruszenie i może skutkować zarówno karą & i naruszenie informacji.
W najgorszym przypadku Twoi pracownicy mogą sprzedawać PHI dla osobistych korzyści.
Aby upewnić się, że tak się nie stanie, możesz skonfigurować system autoryzacji. To znaczy. uniemożliwianie pracownikom dostępu do danych, które nie są bezpośrednio związane z ich własnym przypadkiem.
Ponadto dobrym pomysłem może być skonfigurowanie dodatkowych zabezpieczeń. Aby ujawnić jakiekolwiek informacje o ChIZ, które nie są wykorzystywane do operacji zdrowotnych, zabiegów lub płatności, pracownik powinien uzyskać pisemną zgodę odpowiedniego organu.
4) Utrata lub kradzież urządzeń
Jedna z najczęstszych naruszeń ustawy HIPAA wynika z utraty urządzeń firmowych.
W 2017 roku Lifespan wspomniał w komunikacie prasowym, że ktoś włamał się do pojazdu pracownika i ukradł jego służbowego laptopa.
Urządzenie nie było chronione hasłem, a dane osobowe ponad 20 000 pacjentów nie były szyfrowane.
Firma dołożyła wszelkich starań, aby naprawić sytuację po incydencie. Nie było jednak nic, co mogli zrobić, aby zapobiec potencjalnemu niewłaściwemu wykorzystaniu informacji.
Chociaż nie można zapobiec kradzieży urządzeń ze stuprocentową pewnością, na tyle łatwo jest uniknąć wycieku informacji, używając szyfrowanie w celu ochrony danych. Więc nawet jeśli urządzenie zostanie skradzione, złodzieje nie będą w stanie uzyskać dostępu do PHI.
5) Udostępnianie informacji
Wszelkie poufne informacje, w tym PHI, powinny być potrzebne podstawy wiedzy. Chociaż dzielenie się sprawami ze współpracownikami może wydawać się nieszkodliwe, może skończyć się wyciekiem informacji lub procesami sądowymi.
Jedną z najczęstszych metod hakerskich jest stosowanie socjotechniki. Oznacza to, że hakerzy, zamiast bezpośrednio włamać się do komputerów, próbują nakłonić odpowiednich pracowników do podania informacji. Może to być informacja używana w celu uzyskania dostępu do systemów komputerowych lub po prostu zdobycia PHI.
Aby to się nie stało, upewnij się, że wszystkie ważne informacje są udostępniane za zamkniętymi drzwiami i tylko z upoważnionym personelem. Nawet przypadkowe udostępnienie informacji o pacjencie członkom rodziny może skutkować naruszeniem ustawy HIPAA.
6) Utylizacja PHI
Ważne jest, aby Twoi pracownicy właściwie pozbyli się wszelkich niepotrzebnych informacji PHI.
Może to dotyczyć zarówno dokumentów fizycznych, jak i plików cyfrowych . Jeśli ktoś zapomni o dokumencie leżącym gdzieś na stole lub zostawi informacje o pacjencie na swoim pulpicie, może to skończyć się dostaniem się w niepowołane ręce (i skutkować naruszeniem HIPAA).
Najlepszą praktyką jest tutaj albo przechowuj informacje w bezpiecznym miejscu, albo usuwaj / niszcz je, jeśli sam dokument nie jest już przydatny.
7) Dostęp do PHI z niezabezpieczonej lokalizacji
Wielu lekarzy pracuje po godzin i korzystać z komputera osobistego, aby uzyskać dostęp do PHI.
Chociaż na pierwszy rzut oka może to wydawać się niewinne, może mieć katastrofalne konsekwencje.
Istnieje wiele różnych przyczyn, dla których może to się nie udać…
- Lekarz zostawia otwarty dokument z poufnymi informacjami o pacjencie ich komputer i członek rodziny widzą go
- Członek rodziny przypadkowo pobiera złośliwe oprogramowanie na komputer. Z kolei hakerzy znajdują i kradną dane PHI
A to dopiero początek – jeśli hakerzy atakują konkretnie szpital, istnieje wiele innych sposobów na uzyskanie dostępu do
Aby tego uniknąć, najlepiej jest mieć dedykowanego laptopa do wszystkiego, co ma związek z danymi pacjenta &, aby uzyskać do nich dostęp z bezpiecznej lokalizacji.
Jak unikać naruszeń ustawy HIPAA
Prawdziwą przyczyną wszystkich przykładów naruszeń ustawy HIPAA, o których wspominaliśmy do tej pory, jest brak szkolenia pracowników.
Pracownik, który wie, jak działają przepisy (i jak zachować zgodność), jest znacznie mniej skłonny do popełnienia któregokolwiek z błędów, o których wspominaliśmy do tej pory, takich jak…
- Pozostawianie urządzeń w niezabezpieczonych lokalizacjach
- Udostępnianie informacji nieautoryzowanemu personelowi
- Niewłaściwa utylizacja dokumentów PHI
- Dostęp do PHI z niezabezpieczonych lokalizacji
Szkolenie to nie tylko zalecenie – wszyscy pracownicy muszą zapoznać się z wymaganiami dotyczącymi zgodności z ustawą HIPAA.
Rozporządzenie stanowi, że powinno to mieć miejsce w 3 przypadkach – gdy zatrudnia się nowego pracownika, ilekroć są zmiany w regulaminie oraz okresowo, aby upewnić się, że każdy ma odpowiednią wiedzę.
Jeśli chcesz przyspieszyć szkolenie pracowników w zakresie zgodności z ustawą HIPAA, ale nie wiesz, od czego zacząć, szkolenie internetowe Inspired oferuje internetowe szkolenie w zakresie zgodności z ustawą HIPAA. Wypróbuj bezpłatną wersję próbną i sprawdź, czy rozwiązanie działa dla Ciebie.