Violaciones más comunes de HIPAA con ejemplos

Mantenerse al día con las regulaciones de HIPAA es esencial para cualquier consultorio médico. El incumplimiento puede terminar siendo extremadamente costoso: las multas por infracción de HIPAA oscilan entre $ 100 y más de $ 4 millones.

Sin embargo, cumplir con la HIPAA no es tan fácil. Las regulaciones siempre cambian, por lo que debe estar actualizado en todo momento para asegurarse de no terminar accidentalmente acumulando millones en multas.

Para ayudarlo a cumplir con las normas, Revisaremos algunos de los ejemplos de violaciones de HIPAA más comunes (y cómo evitarlos). Sin embargo, antes de entrar en eso, hablemos de los conceptos básicos …

¿Qué es una infracción de HIPAA?

Las infracciones de portabilidad y responsabilidad del seguro médico, o HIPAA, ocurren cuando la adquisición, el acceso, El uso o la divulgación de la Información de salud protegida (PHI) se realiza de una manera que genera un riesgo personal significativo para el paciente.

La regulación concierne a casi todos los que trabajan con PHI. Esto incluye…

  • Planes de salud
  • Centros de compensación de atención médica
  • Proveedores de atención médica que transmiten reclamaciones en formato electrónico
  • Patrocinadores de tarjetas de medicamentos recetados de Medicare
  • Asociados comerciales (individuo o entidad que realiza cualquier función que involucre PHI)

¿Cuánto cuestan las violaciones de HIPAA?

Hay dos tipos de HIPAA violaciones – civiles o criminales. Cada tipo de infracción tiene una estructura de multa diferente.

Sanción civil HIPAA

Se imponen sanciones civiles si las personas que cometen la infracción lo hicieron sin intención maliciosa. Es decir. fueron negligentes o no se dieron cuenta de que sus acciones fueron incorrectas.

Las sanciones en tal caso son las siguientes:

  • Si el individuo no sabía que estaba cometiendo una violación de HIPAA, se le multa con $ 100 por violación.
  • Si el individuo tenía una causa razonable por sus acciones y no actuó con negligencia intencional, se les multa con un mínimo de $ 1,000.
  • Si la persona actuaba con negligencia deliberada, pero luego solucionó el problema, se les multa con un mínimo de $ 10,000 por infracción.
  • Si la persona actuó con negligencia deliberada y no solucionó el problema, se le impondrá una multa de un mínimo de $ 50.000 por infracción.

Sanción penal de HIPAA

Si las personas que cometieron la infracción lo hicieron con intención maliciosa, la infracción conlleva sanciones penales (que es significativamente más severa).

Las sanciones en tales casos son…

  • Si la persona obtiene y divulga su PHI a sabiendas, puede ser multada con hasta $ 50,000 y encarcelada hasta por un año.
  • Si la persona comete violaciones con pretextos falsos, puede recibir una multa de hasta $ 100,000 y encarcelarla por hasta 5 años.
  • Si la persona comete la violación para beneficio personal ( es decir, vende PHI o la usa para dañar al paciente), pueden recibir una multa de hasta $ 250,000 y encarcelarlos por hasta 10 años.

Ejemplos de violaciones más comunes de HIPAA

1) Falta de cifrado

Para asegurarse de que su PHI no caiga en las manos adecuadas, debe asegurarse de que los datos estén cifrados.

Esto agrega una capa adicional de ciberseguridad además de todas las otras mejores prácticas: incluso si hay una violación y se roban datos de PHI, los piratas informáticos no podrán acceder a ellos sin la clave privada.

Además, el personal del hospital también debería utilizar aplicaciones de mensajería encriptada. Es cierto que enviar mensajes de texto es una forma fácil de transmitir información. Sin embargo, a menos que se haga a través de una aplicación encriptada, existe la posibilidad de que los mensajes de texto sean interceptados por ciberdelincuentes malintencionados.

2) Ser pirateado o phishing

Nadie espera realmente ser una víctima de piratería. Escuchas sobre violaciones de seguridad & incidentes de piratería en todo el televisor, pero no crees que alguien vaya a perseguirte, específicamente.

Sin embargo, la piratería es una amenaza muy legítima. Solo en 2018, ha habido más de 25 incidentes de piratería que se están investigando actualmente por infracciones de la HIPAA.

Probablemente se esté preguntando, «¿qué pueden hacer los piratas informáticos con la PHI?» Bueno, hay dos tipos de piratas informáticos potenciales.

  1. Los piratas informáticos están vendiendo los datos a una organización de terceros que de alguna manera se beneficiaría de la información
  2. Los piratas informáticos están usando ransomware. Es decir, se apoderan de los datos & amenazan con eliminar todo a menos que se les pague. En 2016, un hospital en Los Ángeles tuvo que pagar a los piratas informáticos alrededor de $ 17,000 para recuperar el acceso a sus sistemas informáticos.

Entonces, ¿cómo evitas que esto te suceda? Bueno, existen varias prácticas recomendadas para protegerte de phishers y piratas informáticos.

  • Mantener todo el software antivirus actualizado
  • Utilice cifrado (como mencionamos antes)
  • Cambiando las contraseñas con regularidad en todos los dispositivos importantes
  • Limitar el acceso a dispositivos y datos según el estado de los empleados

3) Acceso no autorizado

Los empleados acceden a datos que no autorizado es una infracción muy común de la HIPAA.

Incluso si acceden a la información por curiosidad, sigue siendo una infracción y puede resultar en una multa & y violación de la información.

En el peor de los casos, sus propios empleados podrían estar vendiendo PHI para beneficio personal.

Para asegurarse de que esto no suceda, puede configurar un sistema de autorización. Es decir. prohibir que los empleados accedan a datos que no estén directamente relacionados con su propio caso.

Además, podría ser una buena idea configurar medidas de seguridad adicionales. Para divulgar cualquier información de PHI que no se utilice para operaciones, tratamientos o pagos de atención médica, el empleado debe obtener el consentimiento por escrito de la autoridad correspondiente.

4) Pérdida o robo de dispositivos

Uno Una de las violaciones más comunes de HIPAA es el resultado de la pérdida de dispositivos de la empresa.

En 2017, Lifespan mencionó en un comunicado de prensa que alguien irrumpió en el vehículo de un empleado y robó su computadora portátil de trabajo.

El dispositivo no estaba protegido por contraseña y la información personal de más de 20.000 pacientes no estaba cifrada.

La empresa hizo todo lo posible para solucionar la situación posterior al incidente. Sin embargo, no pudieron hacer nada para evitar que la información se utilizara potencialmente de manera indebida.

Si bien es imposible evitar que sus dispositivos sean robados con una certeza del 100%, es lo suficientemente simple como para evitar la fuga de información usando cifrado para salvaguardar los datos. Entonces, incluso si el dispositivo es robado, los ladrones no podrán acceder a la PHI.

5) Compartir información

Cualquier información confidencial, incluida la PHI, debe ser necesaria -Base de conocimiento. Si bien puede parecer inofensivo compartir casos de discusión con colegas, podría terminar dando como resultado fugas de información o demandas.

Uno de los métodos de piratería más comunes es el uso de ingeniería social. Es decir, los piratas informáticos, en lugar de piratear directamente las computadoras, intentan engañar a los empleados relevantes para que proporcionen información. Esta puede ser información utilizada para obtener acceso a sistemas informáticos o simplemente para obtener PHI.

Para asegurarse de que esto no suceda, asegúrese de que toda la información importante se comparta a puerta cerrada y solo con el personal autorizado. Incluso compartir casualmente la información del paciente con miembros de la familia puede resultar en una violación de HIPAA.

6) Eliminación de PHI

Es importante que sus empleados eliminen correctamente cualquier información de PHI innecesaria.

Esto puede aplicarse tanto a documentos físicos como a archivos digitales . Si alguien olvida un documento en una mesa en algún lugar o deja información del paciente en su escritorio, podría terminar cayendo en las manos equivocadas (y por lo tanto, resultando en una violación de HIPAA).

La mejor práctica aquí es almacenar la información en un lugar seguro o eliminarla / triturarla si el documento en sí ya no sirve.

7) Acceder a la PHI desde una ubicación no segura

Muchos médicos trabajan después -horas y usan su computadora personal para acceder a la PHI.

Si bien esto puede parecer inocente de un vistazo, puede tener consecuencias desastrosas.

Hay muchas formas diferentes en las que esto podría salir mal …

  1. El médico deja abierto un documento con información confidencial del paciente en su computadora y su familiar terminan viéndola
  2. Un familiar descarga accidentalmente malware en la computadora. Los piratas informáticos, a su vez, encuentran y roban los datos de la PHI

Y eso es solo el comienzo: si hay piratas informáticos que se dirigen específicamente al hospital, hay muchas otras formas de acceder a la información personal. computadora.

Para evitar esto, la mejor práctica es tener una computadora portátil dedicada para cualquier cosa que tenga que ver con la información del paciente & acceda a ella desde una ubicación segura.

Cómo evitar violaciones de HIPAA

La causa real de todos los ejemplos de violaciones de HIPAA que hemos mencionado hasta ahora es la falta de capacitación de los empleados.

Un empleado que sabe cómo funciona la regulación (y cómo cumplirla) es mucho menos probable que cometa alguno de los errores que hemos mencionado hasta ahora, como…

  • Dejar dispositivos en ubicaciones no seguras
  • Compartir información con personal no autorizado
  • Eliminación inapropiada de documentos de PHI
  • Acceso a PHI desde ubicaciones no seguras

La capacitación tampoco es solo una recomendación: Todos los miembros de la fuerza laboral deben conocer los requisitos de cumplimiento de HIPAA.

La regulación establece que esto debería suceder en 3 casos: cuando se contrata a un nuevo empleado, siempre que haya cambios en las regulaciones y periódicamente, solo para asegurarse de que todos tengan los conocimientos técnicos adecuados.

Si está buscando que sus empleados estén al tanto del cumplimiento de HIPAA pero no sabe por dónde empezar, Inspired eLearning ofrece una capacitación en línea sobre cumplimiento de HIPAA. Pruebe la prueba gratuita y vea si la solución funciona para usted.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *