5 самых распространенных нарушений HIPAA
Содержание
Закон о переносимости и подотчетности медицинского страхования (HIPAA) действует уже более 20 лет, но, к сожалению, нарушения HIPAA в сфере здравоохранения все еще имеют место.
С другой стороны, аудит HIPAA — это методология, которой следует OCR, которая оценивает политики, средства контроля и процессы, которые охватываемые субъекты или деловые партнеры используют для соблюдения HIPAA и сохранения PHI (защищенной медицинской информации) и ePHI. Эта оценка проводится для определения того, соблюдает ли охватываемый субъект или деловой партнер HIPAA.
Статистика показывает, что в период с 2009 по 2024 год Управление по гражданским правам Министерства здравоохранения и социальных служб (HHS) получило сообщения о 4419 утечках данных в сфере здравоохранения, которые включали 500 или более записей каждый раз. Из-за этих утечек более 310 миллионов медицинских записей были утеряны, украдены, раскрыты или переданы без разрешения. В большинстве случаев этого можно было бы избежать, если бы у них были надлежащие службы хранения медицинских записей.
С другой стороны, нарушения HIPAA нанесли более существенный ущерб сектору здравоохранения, и неосведомленность является одним из основных факторов, способствующих этим нарушениям HIPAA.
Кроме того, типичные нарушения стандартов HIPAA всегда могут иметь чрезвычайно разрушительные последствия, особенно при подаче жалоб на нарушение HIPAA в режиме онлайн, как для медицинского учреждения, совершившего нарушение, так и для пациентов, чья конфиденциальность была нарушена в результате нарушения, независимо от того, насколько серьезным или масштабным является нарушение.
В этой статье мы поговорим о 5 основных причинах нарушений HIPAA. Однако прежде чем мы начнем, обеспечение соблюдения HIPAA путем защиты PHI является обязательным условием как с точки зрения бизнеса, так и с точки зрения потребителя.
Источник: Patientcalls.com
Нарушение HIPAA 1 ─ Непроведение анализа рисков в масштабах всей организации
Для того чтобы бизнес стал соответствовать своим правилам безопасности, первым шагом является проведение анализа рисков. Анализ рисков — это непрерывный процесс, который должен предоставить организации полную картину угроз доступности, целостности и конфиденциальности электронной защищенной медицинской информации (e-PHI).
Однако оценка риска организации здравоохранения охватываемого субъекта или его делового партнера требуется в соответствии с Правилом безопасности HIPAA. Это правило применяется как к охватываемым субъектам, так и к деловым партнерам.
Дополнительные нарушения совершаются непосредственно из-за неспособности эффективно управлять рисками безопасности и отсутствия стратегии для этого. Поэтому после завершения исследования следует внедрить подход к управлению рисками для устранения любых обнаруженных рисков.
Кроме того, необходимо расставить приоритеты в отношении уязвимостей и угроз и устранить их в разумные сроки.
За невыполнение оценки риска врачи были оштрафованы на сумму от $7 млн до $100 000. Однако это связано с тем, что используемые системы требуют повышенной безопасности.
Нарушение HIPAA 2 ─ Отсутствие шифрования
Правила шифрования HIPAA настоятельно рекомендуют использовать сквозное шифрование (E2EE) как для организаций, на которые распространяется действие закона, так и для деловых партнеров.
Сквозное шифрование — это способ шифрования передаваемых данных от начала до конца, гарантирующий, что только отправитель и предполагаемый получатель могут прочитать данные или получить к ним доступ.
С другой стороны, защищенная медицинская информация (PHI) и электронная медицинская информация (ePHI) пациентов должны быть зашифрованы в соответствии с HIPAA, пока данные находятся «в состоянии покоя», что означает, что данные хранятся на диске, USB-накопителе или других подобных устройствах.
Другими словами, отправка защищенной медицинской информации (PHI) по электронной почте, которая не зашифрована, не противоречит HIPAA. Однако охватываемые субъекты и деловые партнеры должны предпринять разумные шаги, чтобы гарантировать, что пациенты понимают и согласны с тем, что отправка PHI по незащищенной электронной почте опасна.
Рассматриваемое нарушение создает ряд проблем для организаций здравоохранения. С одной стороны, Правила HIPAA не делают шифрование обязательным. Однако, если организация решает не использовать шифрование, то вместо него должен использоваться другой вид безопасности, который по крайней мере столь же эффективен, как шифрование.
В других случаях это нарушение является результатом человеческой ошибки. Например, отсутствие шифрования может создать проблему в таких ситуациях, когда пациенты имеют доступ к бумажным картам и файлам, оставленным в смотровых кабинетах, или когда сотрудник загружает информацию о пациенте на мобильное устройство, которое не защищено паролем.
Исследования показывают, что Медицинский центр Университета Рочестера (URMC) был оштрафован на 3 миллиона долларов в соответствии с Законом о переносимости и подотчетности медицинского страхования за отсутствие шифрования мобильных устройств и совершение других нарушений HIPAA.
Нарушение HIPAA 3 ─ Отсутствие образования и обучения сотрудников
Непредоставление обучения HIPAA работникам является распространенной причиной нарушений конфиденциальности в сфере здравоохранения. Чаще всего эти нарушения происходят из-за небрежности сотрудников или непонимания ими правил HIPAA.
В результате учреждения здравоохранения должны обеспечить, чтобы их сотрудники были хорошо обучены по HIPAA, знали, как можно использовать и передавать защищенную информацию о здоровье (PHI), и всегда обеспечивали безопасность ePHI. Кроме того, следует проводить ежемесячные обучающие сессии для повторения, чтобы гарантировать, что никто не забудет правила HIPAA.
Сотрудники также обязаны нести ответственность за соблюдение HIPAA и помогать предотвращать нарушения HIPAA. Даже если вы нарушите одно из правил HIPAA в незначительной степени, вы можете столкнуться с серьезными последствиями, а организации могут быть подвергнуты значительным финансовым штрафам.
Как уже было сказано ранее, нарушения HIPAA могут нанести вред пациентам и подорвать репутацию компаний, допустивших нарушения.
Предположим, что сотрудник нарушил правила HIPAA каким-либо образом, даже непреднамеренно. В этом случае он рискует потерять работу, а в более серьезных обстоятельствах ему грозят уголовные обвинения. Поэтому, чтобы обеспечить безопасность своей практики, вы должны проявить инициативу и научить своих сотрудников всему, что им нужно знать о соблюдении HIPAA.
Нарушение HIPAA 4 ─ Неправомерное уничтожение защищенной медицинской информации (PHI)
Безопасное уничтожение защищенной медицинской информации (PHI) является предпосылкой для соответствия HIPAA. Если этот шаг пропустить, повышается вероятность того, что конфиденциальная информация о пациентах будет передана, что подвергает пациентов большему риску.
При утилизации защищенной медицинской информации персонал всегда должен правильно утилизировать записи пациентов. Просто выбросить данные недостаточно, и это позволяет людям, которые не должны иметь доступа к защищенной медицинской информации (PHI), легко получить ее.
Кроме того, если записи пациентов и защищенная медицинская информация были сохранены в электронном виде в безопасном месте, очень важно не забыть удалить их с жестких дисков любых локальных и портативных устройств.
Другими словами, конфиденциальность защищенной медицинской информации должна быть защищена путем принятия правильных административных, технических и физических мер.
С другой стороны, организации, на которые распространяется действие страховки, должны принимать разумные меры предосторожности для защиты информации о состоянии здоровья и ограничивать ее случайное использование или раскрытие.
Когда защищенная информация о состоянии здоровья больше не требуется по закону, ее необходимо безопасно утилизировать. Это означает, что данные должны быть сделаны нечитаемыми, непонятными или иным образом невозможными для повторного объединения перед их утилизацией.
Надлежащая подготовка персонала гарантирует, что защищенная медицинская информация (ЗМИ) будет надежно защищена с момента ее создания и до момента окончательного уничтожения.
Источник: medcitynews.com
Нарушение HIPAA 5 ─ Отсутствие доступа пациентов к их защищенной медицинской информации
Поскольку защищенная медицинская информация (PHI) включает в себя конфиденциальную информацию, такую как номер социального страхования пациента, дата рождения и адрес, пациентам необходимо проверять и подтверждать эту информацию, чтобы избежать ошибок, которые могут нанести серьезный вред.
Кроме того, когда больницы отклоняют запрос пациента на доступ к его защищенной медицинской информации (ЗМИ), пациент лишается доступа к своей истории болезни, что может повлиять на получаемую им в будущем медицинскую помощь.
Правило конфиденциальности HIPAA позволяет пациентам получать доступ к своим медицинским записям по требованию. Однако пациенты должны иметь возможность проверять точность своих медицинских записей и получать копии этих данных по мере необходимости.
Многие организации могут быть оштрафованы, если не предоставят пациентам копии их медицинских карт в течение 30 дней с момента поступления соответствующего запроса.
Часто задаваемые вопросы
Источник: csmedicalpro.com
Каковы основы HIPAA?
Главные цели HIPAA — защита конфиденциальности, точности и доступности всей электронной защищенной медицинской информации (e-PHI), которую создает, получает, хранит или отправляет охватываемая организация. Также, чтобы иметь возможность выявлять угрозы безопасности или целостности медицинской информации и защищаться от них.
Что такое HIPAA и как он работает?
Правило конфиденциальности Закона о переносимости и подотчетности медицинского страхования (HIPAA) устанавливает национальные стандарты защиты медицинских записей людей и другой персонально идентифицируемой медицинской информации. Оно дает пациентам больше контроля над своей медицинской информацией и устанавливает правила использования медицинских файлов и того, кто может их видеть.
Заключение
Закон о переносимости и подотчетности медицинского страхования 1996 года требует от медицинских работников и организаций защищать конфиденциальность своих пациентов.
Правила конфиденциальности HIPAA — это набор федеральных правил, которые необходимо соблюдать для обеспечения безопасности медицинской информации о пациентах.
В этой статье представлены 5 наиболее частых нарушений HIPAA. Тем не менее, наиболее распространенным нарушением является то, что больницы не отслеживают состояние пациентов, запросивших свои медицинские карты.
Спасибо, что уделили время прочтению этой статьи. Надеемся, она оказалась для вас полезной и теперь вы лучше понимаете наиболее распространенные нарушения HIPAA.
Не забывайте всегда принимать меры по защите конфиденциальной информации о состоянии здоровья (PHI) вашего пациента и оставаться в курсе последних положений HIPAA.
