Ce este conformitatea cu HIPAA și de ce este importantă?

Publicat: 2021-06-22

Ce înseamnă HIPAA?

Ce este HIPAA exact și ce trebuie să faceți ca companie pentru a rămâne în partea dreaptă a reglementărilor asociate?

HIPAA reprezintă Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate, care a fost adoptată de Congres în 1996.

De atunci, HIPAA a fost actualizat și construit pe baza, în special cu actul HITECH din 2009 (Health Information Technology for Economic and Clinical Health) și Regula Omnibus din 2013.

Acestea împreună au extins răspunderea față de Asociații de afaceri și subcontractanții acestora, precum și protecții mai stricte cu privire la modul în care PHI poate fi utilizat în ceea ce privește marketingul și vânzările.

În timp ce HIPAA se referă la o serie de domenii, inclusiv acoperirea asistenței medicale pentru persoanele care își pierd sau își schimbă locul de muncă și dispozițiile legate de impozite, accentul nostru principal va fi pe Titlul II al legii, care se referă la schimbul, securitatea și confidențialitatea datelor de sănătate și ceea ce privește marea majoritate a întreprinderilor când vine vorba de conformitate.

Să intrăm direct și să trecem prin tot ce trebuie să știți despre HIPAA și care sunt cheile succesului pentru respectarea HIPAA.

Impact abonați-vă la bannerul blogului

Care este scopul HIPAA?

După cum tocmai am menționat, HIPAA are mai multe scopuri în afara protecției datelor, în special legate de reforma legii asigurărilor de sănătate.

Pentru majoritatea organizațiilor care cercetează HIPAA, totuși, scopul lor principal este să știe ce trebuie să facă pentru a rămâne în conformitate cu reglementările sale și pentru a evita amenzile care provin din nerespectare.

Această zonă a HIPAA are de-a face cu protecția datelor și confidențialitatea în legătură cu dezvăluirea și utilizarea informațiilor de sănătate protejate sau PHI.

Conformitatea HIPAA și securitatea PHI sunt esențiale pentru organizațiile de sănătate astăzi.

Imaginea unui bărbat cu mâna întinsă și cuvântul HIPAA deasupra ei | Ce este HIPAA?

Cine trebuie să respecte HIPAA?

Entitățile care trebuie să respecte conformitatea HIPAA sunt cunoscute ca entități acoperite.

Entitățile acoperite sunt persoane sau companii care stochează, gestionează și procesează PHI.

Entitățile acoperite, pe lângă respectarea HIPAA, sunt, de asemenea, responsabile pentru raportarea încălcărilor legate de acesta.

Următoarele persoane și organizații constituie entități acoperite:

Furnizori de servicii medicale

  • Doctori
  • Clinici
  • Psihologii
  • Stomatologi
  • Chiropracticienii
  • Azile
  • Farmacii
  • Planuri de sănătate

Companii de asigurări de sănătate

  • HMO-uri
  • Planurile de sănătate ale companiei
  • Planuri de îngrijire a sănătății furnizate de guvern

Centre de informare pentru îngrijirea sănătății

  • Acestea sunt entități care facilitează procesarea informațiilor de sănătate nestandardizate în elemente de date standard. Aceștia sunt efectiv intermediari între furnizorii de asistență medicală și plătitorii de asigurări.

Asociati de afaceri

  • Un „asociat de afaceri” creează, primește, menține sau transmite informații de sănătate protejate (PHI) în numele unei entități acoperite sau al unui alt asociat de afaceri care acționează ca subcontractant.

Subantreprenori

  • Un subcontractant care creează, menține sau transmite informații de sănătate protejate (PHI) în numele unui asociat de afaceri are aceleași responsabilități legale ca și un asociat de afaceri conform HIPAA. Cu alte cuvinte, responsabilitățile legale legate de confidențialitate și securitate trec „în aval” către subcontractanții care efectuează lucrări pentru un asociat de afaceri.

Entități hibride

  • O entitate hibridă îndeplinește atât funcții acoperite de HIPAA, cât și funcții neacoperite, ca parte a activității sale. O corporație mare care are un plan de sănătate auto-asigurat pentru angajații săi poate alege să fie tratată ca o entitate hibridă. Alte exemple sunt o universitate cu un centru medical sau un magazin alimentar care are o farmacie.

Ce cuprinde PHI?

Informațiile personale de sănătate (PHI) se referă la orice informații demografice care pot fi utilizate pentru a identifica un pacient, client sau altă entitate.

Există 18 identificatori care fac ca informațiile referitoare la sănătate să fie considerate PHI. Acestea sunt:

  1. Nume
  2. Date, cu excepția anului
  3. Date geografice
  4. numere de fax
  5. Numere de securitate socială
  6. Adrese de email
  7. Numerele fișelor medicale
  8. Numere de cont
  9. Numerele beneficiarilor planului de sănătate
  10. Numere de certificat/licență
  11. Identificatorii vehiculelor și numerele de serie, inclusiv numerele plăcuțelor de înmatriculare
  12. Numere de telefon
  13. URL-uri web
  14. Identificatori de dispozitiv și numere de serie
  15. Adrese de protocol Internet (IP).
  16. Fotografii integrale și imagini comparabile
  17. Identificatori biometrici (amprentele digitale, de exemplu)
  18. Orice numere sau coduri care identifică în mod unic pe cineva

Acestea sunt tipurile de date și informații care trebuie protejate pentru a rămâne în conformitate cu HIPAA.

Ce este considerat o încălcare a HIPAA?

O încălcare a HIPAA are loc atunci când o entitate nu respectă conformitatea și există literalmente sute de moduri în care indivizii și organizațiile pot cădea în conformitate cu HIPAA.

Încălcările frecvente ale HIPAA vor implica de obicei una dintre următoarele:

  • Dezvăluirea neautorizată, nepermisă sau inutilă a PHI
  • Acces neautorizat la PHI
  • Eliminarea incorectă a PHI
  • Lipsa evaluării riscurilor efectuate de către entitate
  • Lipsa managementului riscului în ceea ce privește PHI
  • Nestabilirea unui acord de conformitate cu HIPAA cu terți atunci când se oferă acces la PHI
  • Eșecul de a oferi angajaților cunoștințele de securitate cu privire la instruirea HIPAA
  • Furtul PHI
  • Partajarea PHI fără permisiunea prealabilă
  • Manipulare greșită/trimitere nejustificată a PHI
  • Neanunțarea persoanei cu privire la un incident de securitate care implică PHI în termen de 60 de zile de la descoperirea încălcării
  • Nu există documente privind protocoalele de conformitate, procedurile și managementul

Ce se întâmplă dacă HIPAA este încălcat?

O încălcare a HIPAA are loc atunci când orice aspect al standardelor și prevederilor HIPAA este încălcat.

Puteți găsi o prezentare completă a tuturor reglementărilor HIPAA, publicate de Biroul pentru Drepturi Civile al Departamentului de Sănătate și Servicii Umane, aici.

Dacă este raportată o încălcare, entitatea acoperită este supusă sancțiunilor, fie ele civile sau penale – sancțiunile pot varia semnificativ, în funcție de încălcare.

În mod obișnuit, Departamentul de Sănătate și Servicii Umane al SUA pentru Drepturi Civile (OCR) va investiga încălcările – și va investiga toate entitățile acoperite care raportează încălcări a peste 500 de înregistrări.

Dacă OCR stabilește că un anumit caz este mai degrabă penal decât civil, îl va trimite Departamentului de Justiție.

În majoritatea cazurilor, persoanele se pot aștepta să plătească 100 USD per încălcare; încălcările repetate pot cauza amenzi de până la 25.000 USD.

În cazurile în care indivizii au manifestat o neglijare intenționată a reglementărilor HIPAA și nu au făcut nicio încercare de a-și corecta politicile și procedurile, poate fi suportată o penalizare minimă de 50.000 USD, până la un maxim de 1,5 milioane USD.

În cauzele penale, sunt posibile pedepse mai mici de 50.000 de dolari și până la un an de închisoare - cu o amendă de 250.000 de dolari și până la 10 ani de închisoare fiind maximul.

Pentru procedurile civile, încălcările sunt clasificate pe niveluri, 4 fiind cele mai grave.

Acestea sunt după cum urmează:

  • Nivelul 1: o încălcare de care entitatea acoperită nu cunoștea și nu ar fi putut-o evita.
  • Nivelul 2: o încălcare de care entitatea acoperită ar fi trebuit să fie conștientă, dar nu a putut-o evita.
  • Nivelul 3: O încălcare care a avut loc ca rezultat direct al neglijenței intenționate, dar în care s-a încercat să remedieze încălcarea.
  • Nivelul 4: O încălcare care constituie neglijență intenționată în cazul în care nu a fost făcută nicio încercare de a corecta încălcarea.

Sancțiunile pentru nerespectarea HIPAA pentru fiecare nivel sunt următoarele:

  • Nivelul 1: amendă minimă de 100 USD per încălcare până la 50.000 USD
  • Nivelul 2: amendă minimă de 1.000 USD per încălcare până la 50.000 USD
  • Nivelul 3: amendă minimă de 10.000 USD per încălcare până la 50.000 USD
  • Nivelul 4: Amenda minimă de 50.000 USD

Procedurile penale sunt puțin diferite, cu trei niveluri și pedepse mult mai severe decât procedurile civile.

Acestea sunt după cum urmează:

  • Nivelul 1: Cauză rezonabilă sau necunoaștere a încălcării
  • Nivelul 2: Obținerea PHI sub pretexte false
  • Nivelul 3: Obținerea PHI pentru câștig personal sau cu intenții rău intenționate

Pedepse penale:

  • Nivelul 1: Până la un (1) an de închisoare
  • Nivelul 2: Până la cinci (5) ani de închisoare
  • Nivelul 3: Până la 10 ani de închisoare

Imaginea unui bărbat cu mâna întinsă și cuvântul HIPAA deasupra ei | Ce este HIPAA?

Pot fi certificat HIPAA?

La momentul scrierii acestui articol, nu există nicio certificare sau verificare a conformității HIPAA.

Terții pot oferi o formă de „certificare HIPAA”, dar nu există o certificare aprobată sau obligatorie oficial oferită de HHS.

Nu există niciun standard sau specificație de implementare care să impună unei entități acoperite să „certească” conformitatea. Standardul de evaluare § 164.308(a)(8) cere entităților acoperite să efectueze o evaluare tehnică și non-tehnică periodică care stabilește măsura în care politicile și procedurile de securitate ale unei entități îndeplinesc cerințele de securitate. - Oficiul pentru Drepturi Civile (OCR)

Deci, deși nu există nicio certificare HIPAA, mulți MSSP terți pot efectua evaluări periodice atunci când este necesar și se pot asigura că sunteți în conformitate cu HIPAA.

Ce este un ofițer HIPAA?

Un ofițer HIPAA este un ofițer de conformitate.

Indiferent dacă sunt interni sau angajați ca terță parte, sarcina lor principală va fi să vă asigure conformitatea cu HIPAA, asigurându-vă că protocoalele dvs. de securitate și confidențialitate pentru datele PHI sunt aplicate corect.

În cazurile în care nu există o astfel de politică în vigoare, ofițerul HIPAA va fi responsabil pentru dezvoltarea și implementarea unui plan de conformitate pentru individ sau organizație.

Aceștia vor fi apoi responsabili de menținerea și monitorizarea programului, de investigarea și raportarea acolo unde este necesar din punct de vedere legal și de a se asigura că datele pacienților sau ale clienților sunt protejate conform cerințelor legii de stat și federale.

Care este cheia succesului pentru conformitatea cu HIPAA?

Dacă ați citit această piesă (sau ați citit) și ați simțit că îți crește puțin pulsul privind penalitățile pentru nerespectare, atunci nu-ți face griji.

Nu este nevoie de mult pentru a vă asigura că sunteți în conformitate cu HIPAA, dar cu siguranță există câteva chei ale succesului pentru respectarea HIPAA pe care organizațiile ar face bine să le urmeze.

În primul rând, ar trebui să căutați un furnizor de servicii de securitate gestionate care efectuează evaluări HIPAA pentru a vă verifica sistemele pentru conformitatea HIPAA.

Odată ce au efectuat evaluarea riscului, ei vor putea să recomande și să realizeze implementările de care aveți nevoie pentru a vă asigura că faceți tot posibilul pentru a menține conformitatea.

Ce este o evaluare a riscurilor HIPAA?

Postare asociată: Ce se întâmplă în timpul unui audit de risc de securitate cibernetică?

Un audit de conformitate HIPAA este evaluarea efectuată de un ofițer de conformitate, care va cerceta în profunzime sistemele și protocoalele de securitate.

În primul rând, ei vor trebui să colaboreze cu dvs. pentru a determina domeniul de aplicare al auditului - în principal legat de obligațiile dvs. (în acest caz, HIPAA este prioritatea principală, deși poate fi necesar să respectați și alte reglementări).

Ei vor întocmi apoi un program pentru audit și vor trece la etapa următoare; execuţie. Această parte implică scanarea vulnerabilităților, testarea de penetrare și o analiză a decalajului.

În cazul unei evaluări a riscurilor pentru conformitatea cu HIPAA, o analiză a decalajului va fi esențială, deoarece acesta este locul în care ofițerul de conformitate cu HIPAA va detalia ce trebuie făcut pentru a vă aduce pe dumneavoastră sau compania dumneavoastră în conformitate.

Odată ce auditul de conformitate HIPAA este încheiat, ofițerul de conformitate își va face recomandările și puteți obține o înțelegere clară a ceea ce trebuie făcut.

De asemenea, puteți profita de această ocazie pentru a delega punerea în aplicare a acestor recomandări către MSSP, caz în care puteți semna un contract pe termen lung cu aceștia, permițându-vă să vă dezvoltați și să vă conduceți afacerea în timp ce furnizorul de servicii de securitate gestionată se ocupă de conformitate. .

Dacă doriți să aflați mai multe despre conformitatea HIPAA și despre ce poate face un furnizor de servicii de securitate gestionată pentru dvs., aruncați o privire pe pagina noastră de servicii de conformitate.