Ținerea la curent cu reglementările HIPAA este esențială pentru orice cabinet medical. Nerespectarea poate ajunge să fie extrem de costisitoare – amenzile privind încălcarea HIPAA variază de la 100 USD la peste 4 milioane USD.
Cu toate acestea, respectarea HIPAA nu este atât de ușoară. Regulamentele se schimbă întotdeauna, așa că trebuie să fiți actualizat în permanență pentru a vă asigura că nu ajungeți accidental la milioane de amenzi.
Pentru a vă ajuta să vă conformați, noi Vom trece prin unele dintre cele mai frecvente exemple de încălcare a HIPAA (și cum să le evităm). Cu toate acestea, înainte de a intra în asta, să discutăm elementele de bază …
Ce este o încălcare a HIPAA?
Portabilitatea și responsabilitatea asigurărilor de sănătate sau HIPAA, încălcările se întâmplă atunci când achiziția, accesul, utilizarea sau divulgarea informațiilor de sănătate protejate (PHI) se face într-un mod care duce la un risc personal semnificativ pentru pacient.
Regulamentul privește aproape toți cei care lucrează cu PHI. Aceasta include …
- Planuri de sănătate
- Centre de îngrijire a sănătății
- Furnizorii de servicii medicale care transmit cererile în formă electronică
- Sponsorii de carduri de prescripție medicală Medicare
- Asociați de afaceri (persoane fizice sau entități care îndeplinesc orice funcție care implică PHI)
Cât costă încălcările HIPAA?
Există două tipuri de HIPAA încălcări – civile sau penale. Fiecare tip de încălcare are o structură de amendă diferită.
Pedeapsă civilă HIPAA
Pedepsele civile sunt acordate în cazul în care persoanele care au comis încălcarea au făcut acest lucru fără intenție rău intenționată. Adică au fost fie neglijenți, fie nu au știut că acțiunile lor au fost greșite.
Sancțiunile într-un astfel de caz sunt următoarele:
- Dacă individul nu a fost conștient de faptul că a comis o încălcare HIPAA, este amendat cu 100 USD pentru fiecare încălcare.
- Dacă persoana respectivă a avut motive rezonabile pentru acțiunile sale și nu a acționat cu neglijare intenționată, sunt amendați cu minimum 1.000 USD.
- Dacă persoana respectivă acționa cu neglijență intenționată, dar a remediat problema, este amendată cu minimum 10.000 USD pe încălcare.
- Dacă persoana respectivă acționa cu neglijență intenționată și nu a remediat problema, este amendată cu minimum 50.000 USD pe încălcare.
Pedeapsă penală HIPAA
Dacă persoanele care au comis încălcarea au făcut acest lucru cu intenție rău intenționată, încălcarea duce la sancțiuni penale (care sunt semnificativ mai dure).
Sancțiunile în astfel de cazuri sunt …
- Dacă individul obține și dezvăluie cu bună știință PHI, poate primi o amendă de până la 50.000 USD și poate fi închis pentru un an.
- Dacă individul comite încălcări sub pretenții false, poate fi amendat cu până la 100.000 USD și închis până la 5 ani.
- Dacă persoana comite încălcarea pentru câștig personal ( adică vinde PHI sau îl folosește pentru a dăuna pacientului), pot fi amendați cu până la 250.000 USD și pot fi închiși până la 10 ani.
Cele mai frecvente exemple de încălcare a HIPAA
1) Lipsa de criptare
Pentru a vă asigura că PHI-ul dvs. nu cade în mâinile potrivite, trebuie să vă asigurați că datele sunt criptate.
Acest lucru adaugă un strat suplimentar de securitate cibernetică, pe lângă toate celelalte bune practici – chiar dacă există o încălcare și datele PHI sunt furate, hackerii nu vor putea să o acceseze fără cheia privată.
În plus, personalul spitalului ar trebui să folosească și aplicații de mesagerie criptate. Este adevărat, trimiterea de mesaje text este o modalitate ușoară de transmitere a informațiilor. Cu excepția cazului în care se realizează printr-o aplicație criptată, există șansa ca textele să fie interceptate de criminali cibernetici rău intenționați.
2) Cum să fiți piratat sau să fiți înșelat
de hacking. Auziți despre încălcări ale securității & incidente de piratare pe tot televizorul, dar nu credeți că cineva ar urma după dvs., mai precis.
Hacking-ul este însă o amenințare foarte legitimă. Numai în 2018, au existat peste 25 de incidente de hacking care sunt în prezent cercetate pentru încălcări ale HIPAA.
Probabil că vă întrebați „ce pot face hackerii cu PHIs, oricum?” Ei bine, există două tipuri de hack-uri potențiale.
- Hackerii vând datele către o organizație terță parte care ar beneficia cumva de informațiile
- Hackerii folosesc ransomware. Adică preiau datele & amenință să șteargă totul dacă nu sunt plătiți. În 2016, un spital din LA a trebuit să plătească hackerilor în jur de 17.000 de dolari pentru a obține înapoi accesul la sistemele lor informatice.
Deci, cum puteți împiedica acest lucru să vi se întâmple? Ei bine, există câteva bune practici pentru a vă proteja de phishers și hackeri.
- Menținerea actualizată a tuturor software-urilor antivirus
- Utilizați criptarea (așa cum am menționat anterior)
- Modificarea regulată a parolelor pe toate dispozitivele importante
- Limitarea accesului la dispozitive și date pe baza statutului angajaților
3) Acces neautorizat
Angajații care accesează date care nu sunt autorizat pentru este o încălcare HIPAA foarte frecventă.
Chiar dacă accesează informațiile din curiozitate, este totuși o încălcare și poate duce la o amenda & și încălcarea informațiilor.
Cel mai rău scenariu, angajații dvs. ar putea vinde PHIs-uri pentru câștig personal.
Pentru a vă asigura că acest lucru nu se întâmplă, puteți configura un sistem de autorizare. Adică interzicând angajaților accesul la date care nu sunt direct legate de propriul caz.
În plus, ar putea fi o idee bună să configurați garanții suplimentare. Pentru a dezvălui orice informații PHI care nu sunt utilizate pentru operațiuni de îngrijire a sănătății, tratamente sau plăți, angajatul ar trebui să obțină consimțământul scris de la autoritatea potrivită.
4) Pierderea sau furtul de dispozitive
Una dintre cele mai frecvente încălcări HIPAA este rezultatul pierderii dispozitivelor companiei.
În 2017, Lifespan a menționat într-un comunicat de presă că cineva a spart un vehicul angajat și le-a furat laptopul de serviciu.
Dispozitivul nu a fost protejat prin parolă, iar informațiile personale ale peste 20.000 de pacienți nu au fost criptate.
Compania a făcut tot posibilul pentru a remedia situația după incident. Cu toate acestea, nu au putut face nimic pentru a împiedica utilizarea informațiilor potențial abuzive.
Deși este imposibil să împiedicați furarea dispozitivelor dvs. cu o siguranță de 100%, este suficient de simplu să evitați scurgerea informațiilor utilizând criptare pentru a proteja datele. Deci, chiar dacă dispozitivul este furat, hoții nu vor putea accesa PHI.
5) Partajarea informațiilor
Orice informație confidențială, inclusiv PHI, ar trebui să fie necesară -baza de cunoaștere. Deși ar putea părea inofensiv să împărtășești discuțiile cu colegii, s-ar putea ajunge la scurgeri de informații sau procese.
Una dintre cele mai comune metode de hacking este folosirea ingineriei sociale. Adică, hackerii, mai degrabă decât piratarea directă a computerelor, încearcă să păcălească angajații relevanți pentru a oferi informații. Acestea pot fi informații utilizate pentru a obține acces la sistemele de calculatoare sau, pur și simplu, pentru a obține PHI.
Pentru a vă asigura că acest lucru nu se întâmplă, asigurați-vă că toate informațiile importante sunt partajate în spatele ușilor închise și numai cu personalul autorizat. Chiar și împărtășirea întâmplătoare a informațiilor despre pacienți cu membrii familiei poate duce la o încălcare a HIPAA.
6) Eliminarea PHI
Este important ca angajații dvs. să elimine în mod corespunzător orice informații PHI inutile.
Acest lucru se poate aplica atât documentelor fizice, cât și fișierelor digitale . Dacă cineva uită undeva un document pe o masă sau lasă informațiile pacientului pe desktop, s-ar putea să ajungă în mâinile greșite (și, prin urmare, să rezulte o încălcare a HIPAA).
Cea mai bună practică aici este să fie stocați informațiile într-o locație sigură, fie ștergeți-le / distrugeți-le dacă documentul în sine nu mai folosește.
7) Accesarea PHI din locația nesecurizată
O mulțime de medici lucrează după -hore și utilizați computerul personal pentru a accesa PHI.
Deși acest lucru poate părea inocent dintr-o privire, acesta poate avea consecințe dezastruoase.
Există o mulțime de moduri diferite în care acest lucru ar putea merge prost …
- Clinicul lasă deschis un document cu informații confidențiale despre pacient computerul și membrii familiei lor ajung să-l vadă
- Membru al familiei descarcă accidental malware pe computer. La rândul lor, hackerii găsesc și fură datele PHI
Și acesta este doar un început – dacă există hackeri care vizează în mod specific spitalul, există o mulțime de alte modalități prin care aceștia pot accesa datele personale. computer.
Pentru a evita acest lucru, cea mai bună practică este să aveți un laptop dedicat pentru orice legătură cu informațiile despre pacient & să le accesați dintr-o locație sigură.
Cum să evitați încălcările HIPAA
Cauza reală a tuturor exemplelor de încălcare HIPAA pe care le-am menționat până acum este lipsa de instruire a angajaților.
Un angajat care știe cum funcționează regulamentul (și cum să rămână conform) este mult mai puțin probabil să comită vreuna dintre greșelile menționate până acum, cum ar fi …
- Lăsarea dispozitivelor în locații nesecurizate
- Partajarea informațiilor cu personalul neautorizat
- Eliminarea necorespunzătoare a documentelor PHI
- Accesarea PHI din locații nesecurizate
Instruirea nu este doar o recomandare – toți membrii forței de muncă sunt obligați să afle despre cerințele de conformitate HIPAA.
Regulamentul prevede că acest lucru ar trebui să se întâmple în 3 cazuri – când este angajat un nou angajat, ori de câte ori există modificări ale regulamentelor și periodic, doar pentru a ne asigura că toată lumea are cunoștințele corecte.
Dacă doriți să vă angajați angajații la curent în ceea ce privește conformitatea HIPAA, dar nu știți de unde să începeți, Inspired eLearning oferă o instruire online privind conformitatea HIPAA. Încercați încercarea gratuită și vedeți dacă soluția funcționează pentru dvs.