Manter-se atualizado com os regulamentos da HIPAA é essencial para qualquer consultório médico. O não cumprimento pode ser extremamente caro – as multas de violação do HIPAA variam de US $ 100 a mais de US $ 4 milhões.
Cumprir o HIPAA, no entanto, não é tão fácil. Os regulamentos estão sempre mudando, então você precisa estar sempre atualizado para garantir que não acabe acidentalmente acumulando milhões em multas.
Para ajudá-lo a manter a conformidade, nós veremos alguns dos exemplos mais comuns de violação da HIPAA (e como evitá-los). No entanto, antes de entrarmos nisso, vamos falar no básico …
O que é uma violação da HIPAA?
A Portabilidade e responsabilidade do seguro saúde, ou HIPAA, violações acontecem quando a aquisição, acesso, o uso ou divulgação de Informações de Saúde Protegidas (PHI) é feito de forma que resulte em um risco pessoal significativo para o paciente.
O regulamento diz respeito a quase todos os que trabalham com PHI. Isso inclui…
- Planos de saúde
- Câmaras de compensação de saúde
- Prestadores de serviços de saúde que transmitem reclamações em formato eletrônico
- Patrocinadores de cartões de medicamentos controlados do Medicare
- Associados de negócios (indivíduo ou entidade que desempenha qualquer função que envolva PHI)
Quanto custam as violações de HIPAA?
Existem dois tipos de HIPAA violações – civis ou criminais. Cada tipo de violação tem uma estrutura de multa diferente.
Pena Civil HIPAA
As penalidades civis são aplicadas se os indivíduos que cometeram a violação o fizeram sem intenção maliciosa. Ou seja, eles foram negligentes ou não perceberam que suas ações eram erradas.
As penalidades em tal caso são as seguintes:
- Se o o indivíduo não estava ciente de que estava cometendo uma violação da HIPAA, será multado em US $ 100 por violação.
- Se o indivíduo tivesse um motivo razoável para suas ações e não agisse com negligência intencional, eles são multados em no mínimo $ 1.000.
- Se o indivíduo estava agindo com negligência intencional, mas corrigiu o problema, eles foram multados em no mínimo US $ 10.000 por violação.
- Se o indivíduo agiu com negligência intencional e não corrigiu o problema, ele será multado em no mínimo US $ 50.000 por violação.
Pena HIPAA Criminal
Se os indivíduos que cometeram a violação o fizeram com intenção maliciosa, a violação leva a penalidades criminais (que são significativamente mais severas).
As penalidades em tais casos são…
- Se o indivíduo conscientemente obtiver e divulgar PHI, ele pode ser multado em até $ 50.000 e encarcerado por até um ano.
- Se o indivíduo cometer violações sob falsos pretextos, ele pode ser multado em até $ 100.000 e preso por até 5 anos.
- Se o indivíduo cometer a violação para ganho pessoal ( ou seja, vende PHI ou usa para prejudicar o paciente), eles podem ser multados em até US $ 250.000 e presos por até 10 anos.
Exemplos de violação de HIPAA mais comuns
1) Falta de criptografia
Para garantir que o seu PHI não caia nas mãos certas, você precisa ter certeza de que os dados estão criptografados.
Isso adiciona uma camada adicional de cibersegurança além de todas as outras práticas recomendadas – mesmo se houver uma violação e os dados de PHI forem roubados, os hackers não conseguirão acessá-los sem a chave privada.
Além disso, a equipe do hospital também deve usar aplicativos de mensagens criptografadas. É verdade que enviar mensagens de texto é uma maneira fácil de transmitir informações. A menos que seja feito por meio de um aplicativo criptografado, no entanto, há uma chance de que os textos sejam interceptados por cibercriminosos mal-intencionados.
2) Sendo hackeado OU Phishing
Ninguém realmente espera ser uma vítima de hackear. Você ouve falar de violações de segurança & incidentes de invasão em toda a TV, mas não acha que alguém iria atrás de você, especificamente.
Hackear, no entanto, é uma ameaça muito legítima. Só em 2018, houve mais de 25 incidentes de hackers que estão sendo investigados por violações do HIPAA.
Você provavelmente está se perguntando: “o que os hackers podem fazer com PHIs, afinal?” Bem, existem dois tipos de hacks em potencial.
- Os hackers estão vendendo os dados para uma organização terceirizada que de alguma forma se beneficiaria com as informações
- Os hackers estão usando ransomware. Ou seja, eles assumem o controle dos dados & ameaçam excluir tudo a menos que sejam pagos. Em 2016, um hospital em Los Angeles teve que pagar aos hackers cerca de US $ 17.000 para obter o acesso aos seus sistemas de computador de volta.
Então, como você evita que isso aconteça com você? Bem, existem várias práticas recomendadas para protegê-lo contra phishers e hackers.
- Mantendo todo o software antivírus atualizado
- Use criptografia (como mencionamos antes)
- Alterando regularmente as senhas em todos os dispositivos importantes
- Limitar o acesso a dispositivos e dados com base no status do funcionário
3) Acesso não autorizado
Funcionários acessando dados que não são autorizado para é uma violação muito comum do HIPAA.
Mesmo que acessem as informações por curiosidade, ainda é uma violação e pode resultar em uma multa & e violação de informações.
Na pior das hipóteses, seus próprios funcionários podem estar vendendo PHIs para ganho pessoal.
Para garantir que isso não aconteça, você pode configurar um sistema de autorização. Ou seja, impedindo que os funcionários acessem dados que não estejam diretamente relacionados ao seu próprio caso.
Além disso, pode ser uma boa ideia configurar proteções adicionais. Para divulgar qualquer informação de PHI que não seja usada para operações de saúde, tratamentos ou pagamentos, o funcionário deve obter o consentimento por escrito da autoridade certa.
4) Perda ou roubo de dispositivos
Um Uma das violações mais comuns do HIPAA é o resultado da perda de dispositivos da empresa.
Em 2017, a Lifespan mencionou em um comunicado à imprensa que alguém invadiu o veículo de um funcionário e roubou seu laptop de trabalho.
O dispositivo não era protegido por senha e as informações pessoais de mais de 20.000 pacientes não foram criptografadas.
A empresa fez o possível para corrigir a situação pós-incidente. No entanto, não havia nada que eles pudessem fazer para evitar que as informações fossem potencialmente mal utilizadas.
Embora seja impossível evitar que seus dispositivos sejam roubados com 100% de certeza, é simples o suficiente para evitar o vazamento de informações usando criptografia para proteger os dados. Portanto, mesmo se o dispositivo for roubado, os ladrões não conseguirão acessar o PHI.
5) Compartilhamento de informações
Qualquer informação confidencial, incluindo o PHI, deve ser necessária -conhecer base. Embora possa parecer inofensivo compartilhar casos de discussão com colegas, isso pode resultar em vazamento de informações ou processos judiciais.
Um dos métodos de hacking mais comuns é o uso de engenharia social. Ou seja, os hackers, em vez de invadir computadores diretamente, tentam enganar funcionários relevantes para fornecer informações. Essas informações podem ser usadas para obter acesso a sistemas de computador ou simplesmente obter o PHI.
Para garantir que isso não aconteça, certifique-se de que todas as informações importantes sejam compartilhadas a portas fechadas e apenas com o pessoal autorizado. Até mesmo o compartilhamento casual de informações do paciente com familiares pode resultar em uma violação da HIPAA.
6) Eliminação de PHI
É importante que seus funcionários descartem adequadamente todas as informações desnecessárias de PHI.
Isso pode se aplicar a documentos físicos e arquivos digitais . Se alguém esquecer um documento em uma mesa em algum lugar ou deixar as informações do paciente na área de trabalho, isso pode acabar caindo nas mãos erradas (e, portanto, resultando em uma violação da HIPAA).
A prática recomendada aqui é armazene as informações em um local seguro ou exclua / destrua-as se o documento em si não tiver mais uso.
7) Acessando PHI de um local não seguro
Muitos médicos trabalham depois -horas e usar seu computador pessoal para acessar PHI.
Embora isso possa parecer inocente à primeira vista, pode ter consequências desastrosas.
Há muitas maneiras diferentes de como isso poderia dar errado…
- O médico deixa um documento com informações confidenciais do paciente aberto em o computador e o membro da família acabam vendo isso
- Um membro da família faz download acidentalmente de malware no computador. Os hackers, por sua vez, encontram e roubam os dados de PHI
E isso é apenas o começo – se houver hackers visando especificamente o hospital, há muitas outras maneiras de acessar os dados pessoais computador.
Para evitar isso, a prática recomendada é ter um laptop dedicado para tudo relacionado com as informações do paciente & acessá-lo de um local seguro.
Como evitar violações da HIPAA
A verdadeira causa de todos os exemplos de violação da HIPAA que mencionamos até agora é a falta de treinamento de funcionários.
Um funcionário que sabe como o regulamento funciona (e como se manter em conformidade) tem muito menos probabilidade de cometer qualquer um dos erros que mencionamos até agora, como…
- Deixando dispositivos em locais não protegidos
- Compartilhando informações com pessoal não autorizado
- Eliminação inadequada de documentos PHI
- Acessar PHI de locais não seguros
O treinamento também não é apenas uma recomendação – todos os membros da força de trabalho devem aprender sobre os requisitos de conformidade da HIPAA.
O regulamento determina que isso aconteça em 3 casos – na contratação de um novo funcionário, sempre que houver alterações no regulamento, e periodicamente, apenas para garantir que todos tenham o know-how adequado.
Se você deseja deixar seus funcionários atualizados sobre a conformidade HIPAA, mas não sabe por onde começar, o Inspired eLearning oferece um treinamento online de conformidade HIPAA. Experimente o teste gratuito e veja se a solução funciona para você.