Att följa HIPAA-föreskrifterna är viktigt för alla läkarkontor. Underlåtenhet att följa kan bli extremt kostsamt – HIPAA-överträdelseböterna varierar från $ 100 till över $ 4 miljoner.
Att följa HIPAA är dock inte så enkelt. Reglerna ändras alltid, så du måste vara uppdaterad hela tiden för att se till att du inte av misstag hamnar i miljoner i böter.
För att hjälpa dig att följa, vi kommer att gå igenom några av de vanligaste HIPAA-exemplen (och hur man undviker dem). Men innan vi går in på det, låt oss prata om grunderna …
Vad är en HIPAA-överträdelse?
Health Insurance Portability and Accountability, eller HIPAA, kränkningar inträffar när förvärvet, tillgången, användning eller avslöjande av skyddad hälsoinformation (PHI) sker på ett sätt som resulterar i en betydande personlig risk för patienten.
Förordningen gäller nästan alla som arbetar med PHI. Detta inkluderar …
- Hälsoplaner
- Hälsovårdstjänster
- Vårdgivare som skickar anspråk i elektronisk form
- Medicare receptbelagda läkemedelskortsponsorer
- Affärsföretag (individ eller enhet som utför någon funktion som involverar PHI)
Hur mycket kostar HIPAA-överträdelser?
Det finns två typer av HIPAA kränkningar – civil eller brottslig. Varje typ av överträdelse har olika fin struktur.
Civil HIPAA Straff
Civila påföljder ges om individer som begår överträdelsen gjorde det utan någon skadlig avsikt. Dvs de var antingen försummade eller inte medvetna om att deras handlingar var felaktiga.
Påföljderna i ett sådant fall är följande:
- individen var inte medveten om att de begick en HIPAA-överträdelse, de får böter på 100 USD per överträdelse.
- Om individen hade rimlig anledning för sina handlingar och inte agerade med uppsåtlig försummelse, de får böter om minst 1 000 dollar.
- Om individen agerade med uppsåtlig försummelse, men sedan fixade problemet, får de böter om minst 10 000 dollar per överträdelse.
- Om individen agerade med uppsåtlig försummelse och inte åtgärdade problemet får de böter om minst 50 000 dollar per överträdelse.
Straffrättsligt HIPAA-straff
Om individerna som begår överträdelsen gjorde det med ett ondsint syfte, leder överträdelsen till straffrättsliga påföljder (vilket är betydligt hårdare).
Påföljderna i sådana fall är …
- Om individen medvetet erhåller och avslöjar PHI, kan de få böter på upp till $ 50 000 och fängslas i upp till ett år.
- Om individen begår överträdelser under falskt förevändning kan de bötfällas till 100 000 USD och fängslas i upp till 5 år.
- Om individen begår överträdelsen för personlig vinning ( dvs säljer PHI eller använder det för att skada patienten), de kan få böter på upp till $ 250 000 och fängslas i upp till tio år.
Vanligaste HIPAA-överträdelseexempel
1) Brist på kryptering
För att säkerställa att din PHI inte hamnar i rätt händer måste du se till att informationen är krypterad.
Detta lägger till ytterligare ett lager av cybersäkerhet utöver alla andra bästa praxis – även om det finns ett brott och PHI-data blir stulna, kommer hackarna inte att kunna komma åt det utan den privata nyckeln.
Dessutom bör sjukhuspersonalen använda krypterade meddelandeprogram. Det är sant att skicka textmeddelanden är ett enkelt sätt att vidarebefordra information. Om det inte görs via en krypterad app, finns det dock en chans att texterna fångas upp av skadliga cyberbrottslingar.
2) Att bli hackad ELLER phishing
Ingen förväntar sig verkligen att bli offer av hacking. Du hör om säkerhetsöverträdelser & hackingincidenter över hela TV: n, men du tror inte att någon skulle följa efter dig specifikt.
Hacking är dock ett mycket legitimt hot. Bara under 2018 har det funnits över 25 hackingincidenter som för närvarande undersöks för HIPAA-överträdelser.
Du undrar förmodligen: ”Vad kan hackare göra med PHI, hur som helst?” Det finns två typer av potentiella hackar.
- Hackarna säljer data till en tredjepartsorganisation som på något sätt skulle dra nytta av informationen
- Hackarna använder ransomware. Det betyder att de tar över data & hotar att ta bort allt om de inte får betalt. 2016, ett sjukhus i LA var tvungen att betala hackarna runt 17 000 dollar för att få tillbaka tillgången till sina datorsystem.
Så hur förhindrar du att detta händer dig? Det finns flera bästa metoder för att skydda dig från nätfiskare och hackare.
- Håller all antivirusprogramvara uppdaterad
- Använd kryptering (som vi har nämnt tidigare)
- Ändra lösenord regelbundet på alla viktiga enheter
- Begränsa åtkomst till enheter och data baserat på anställds status
3) Obehörig åtkomst
Anställda som får åtkomst till data de inte är auktoriserad för är en mycket vanlig HIPAA-överträdelse.
Även om de får tillgång till informationen av nyfikenhet är det fortfarande ett brott och kan resultera i både böter & och informationsintrång.
I värsta fall kan dina egna anställda sälja PHI: er för personlig vinning.
För att säkerställa att detta inte händer kan du skapa ett auktoriseringssystem. Dvs hindra anställda från att komma åt data som inte är direkt relaterade till deras eget fall.
Dessutom kan det vara en bra idé att ställa in ytterligare skyddsåtgärder. För att avslöja all PHI-information som inte används för hälso- och sjukvård, behandlingar eller betalningar, ska den anställde få skriftligt medgivande från rätt myndighet.
4) Förlust eller stöld av enheter
En av de vanligaste HIPAA-överträdelserna är ett resultat av förlorade företagsenheter.
År 2017 nämnde Lifespan i ett pressmeddelande att någon bröt sig in i ett anställds fordon och stal deras arbetsbärbar dator.
Enheten var inte lösenordsskyddad och den personliga informationen från över 20 000 patienter krypterades inte.
Företaget gjorde sitt bästa för att åtgärda situationen efter incidenten. Det fanns dock inget de kunde göra för att förhindra att information potentiellt missbrukas.
Även om det är omöjligt att förhindra att dina enheter blir stulna med 100% säkerhet, är det enkelt att undvika läckage genom att kryptering för att skydda data. Så även om enheten blir stulen kommer tjuvarna inte att få tillgång till PHI.
5) Dela information
All konfidentiell information, inklusive PHI, borde vara på behov -att känna till grund. Även om det kan verka ofarligt att dela diskussioner med kollegor kan det leda till informationsläckage eller rättegångar.
En av de vanligaste hackingsmetoderna är att använda socialteknik. Det betyder att hackarna, snarare än direkt hackar in i datorer, försöker lura relevanta anställda för att ge ut information. Detta kan vara information som används för att få tillgång till datorsystem eller helt enkelt få tag på PHI.
För att säkerställa att detta inte händer, se till att all viktig information delas bakom stängda dörrar och endast med auktoriserad personal. Även tillfälligt dela patientinformation med familjemedlemmar kan leda till en HIPAA-överträdelse.
6) Bortskaffande av PHI
Det är viktigt för dina anställda att bortskaffa all nödvändig PHI-information på rätt sätt.
Detta kan gälla både fysiska dokument och digitala filer . Om någon glömmer ett dokument på ett bord någonstans eller lämnar patientinformation på skrivbordet kan det hamna i fel händer (och därmed leda till en HIPAA-överträdelse).
Den bästa metoden här är att antingen lagra informationen på en säker plats eller radera / strimla den om själva dokumentet inte längre används.
7) Åtkomst till PHI från osäker plats
Många kliniker arbetar efter -timmar och använd deras persondator för att komma åt PHI.
Även om detta kan verka oskyldigt med en överblick kan det få katastrofala konsekvenser.
Det finns många olika sätt som detta kan gå fel …
- Klinikern lämnar ett dokument med konfidentiell patientinformation öppen på deras dator och deras familjemedlem slutar se den
- Familjemedlem hämtar av misstag skadlig programvara på datorn. Hackare i sin tur hittar och stjäl PHI-data
Och det är bara en början – om det finns hackare som specifikt riktar sig mot sjukhuset finns det många andra sätt för dem att få tillgång till det personliga dator.
För att undvika detta är det bästa sättet att ha en dedikerad bärbar dator för allt som har att göra med patientinformation & komma åt den från en säker plats.
Hur man undviker HIPAA-överträdelser
Den verkliga orsaken till alla HIPAA-överträdelseexempel som vi hittills har nämnt är bristen på utbildning av anställda.
En anställd som vet hur förordningen fungerar (och hur man håller sig efter) är mycket mindre benägna att göra några av de misstag vi har nämnt hittills, till exempel …
- Lämna enheter på osäkra platser
- Dela information med obehörig personal
- Felaktig kassering av PHI-dokument
- Åtkomst till PHI från osäkra platser
Utbildning är inte bara en rekommendation, antingen – alla medlemmar i arbetskraften måste lära sig om HIPAA-kraven.
I förordningen anges att detta ska ske i tre fall – när en ny anställd anställs, när det finns ändringar i reglerna, och regelbundet, bara för att se till att alla har rätt kunskap.
Om du vill få dina anställda snabbare när det gäller HIPAA-efterlevnad men inte vet var du ska komma igång, erbjuder Inspired eLearning en online-utbildning för HIPAA-efterlevnad. Testa gratisversionen och se om lösningen fungerar för dig.