Что такое соответствие HIPAA и почему это важно?

Опубликовано: 2021-06-22

Что означает HIPAA?

Что такое HIPAA и что вам, как компании, нужно делать, чтобы соблюдать соответствующие правила?

HIPAA расшифровывается как Закон о переносимости и подотчетности медицинского страхования, который был принят Конгрессом еще в 1996 году.

С тех пор HIPAA обновлялся и развивался, в первую очередь с помощью закона HITECH 2009 г. (Информационные технологии здравоохранения для экономического и клинического здравоохранения) и сводного правила 2013 г.

Вместе они расширяют ответственность перед деловыми партнерами и их субподрядчиками, а также обеспечивают более строгую защиту в отношении того, как PHI может использоваться в отношении маркетинга и продаж.

Хотя HIPAA касается ряда областей, в том числе медицинского страхования для людей, потерявших или сменивших работу, и положений, связанных с налогами, наше основное внимание будет сосредоточено на Разделе II закона, который касается обмена, безопасности и конфиденциальности данных о состоянии здоровья и что касается подавляющего большинства предприятий, когда дело доходит до соблюдения.

Давайте сразу приступим к рассмотрению всего, что вам нужно знать о HIPAA и о том, что является ключом к успеху для соответствия HIPAA.

Эффект подписки на баннер блога

Какова цель HIPAA?

Как мы только что отметили, HIPAA преследует несколько целей помимо защиты данных, особенно связанных с реформой законодательства о медицинском страховании.

Однако основная цель большинства организаций, изучающих HIPAA, — узнать, что им нужно делать, чтобы соблюдать его правила и избегать штрафов за несоблюдение.

Эта область HIPAA полностью связана с защитой данных и конфиденциальностью в связи с раскрытием и использованием защищенной медицинской информации или PHI.

Соответствие HIPAA и безопасность PHI сегодня имеют решающее значение для организаций здравоохранения.

Изображение человека с рукой и слово HIPAA над ним | Что такое ХИПАА?

Кто должен соблюдать HIPAA?

Субъекты, которые должны соблюдать требования HIPAA, известны как застрахованные лица.

Покрываемые лица — это люди или компании, которые хранят, обрабатывают и обрабатывают PHI.

Подпадающие под действие организации, помимо соблюдения требований HIPAA, также несут ответственность за сообщение о нарушениях, связанных с ним.

Следующие лица и организации являются застрахованными субъектами:

Представители здравоохранения

  • Врачи
  • Клиники
  • Психологи
  • Стоматологи
  • Хиропрактики
  • Дома престарелых
  • Аптеки
  • Планы медицинского обслуживания

Медицинские страховые компании

  • ОПЗ
  • Планы здоровья компании
  • Государственные планы медицинского обслуживания

Информационные центры здравоохранения

  • Это объекты, которые облегчают обработку нестандартной информации о состоянии здоровья в стандартные элементы данных. Это фактически посредники между поставщиками медицинских услуг и страховыми плательщиками.

Бизнес Ассоциации

  • «Деловой партнер» создает, получает, хранит или передает защищенную медицинскую информацию (PHI) от имени застрахованного лица или другого делового партнера, выступающего в качестве субподрядчика.

Субподрядчики

  • Субподрядчик, который создает, хранит или передает защищенную медицинскую информацию (PHI) от имени делового партнера, несет те же юридические обязанности, что и деловой партнер в соответствии с HIPAA. Другими словами, юридические обязанности, связанные с конфиденциальностью и безопасностью, переходят к субподрядчикам, выполняющим работу для делового партнера.

Гибридные объекты

  • Гибридная организация выполняет функции, подпадающие под действие HIPAA, и функции, не подпадающие под действие закона, в рамках своей деятельности. Крупная корпорация, у которой есть план самострахования для своих сотрудников, может решить, что ее будут рассматривать как гибридную организацию. Другими примерами являются университет с медицинским центром или продуктовый магазин с аптекой.

Что включает PHI?

Личная медицинская информация (PHI) относится к любой демографической информации, которая может использоваться для идентификации пациента, клиента или другого лица.

Существует 18 идентификаторов, по которым информация о здоровье считается PHI. Это:

  1. Имена
  2. Даты, кроме года
  3. Географические данные
  4. Номера факсов
  5. Номера социального страхования
  6. Адрес электронной почты
  7. Номера медицинских карт
  8. Номера счетов
  9. Номера бенефициаров плана медицинского страхования
  10. Номера сертификатов/лицензий
  11. Идентификаторы транспортных средств и серийные номера, включая номерные знаки
  12. Телефонные номера
  13. URL-адреса в Интернете
  14. Идентификаторы устройств и серийные номера
  15. Адреса интернет-протокола (IP)
  16. Фотографии анфас и сопоставимые изображения
  17. Биометрические идентификаторы (например, отпечатки пальцев)
  18. Любые числа или коды, которые однозначно идентифицируют кого-либо

Это типы данных и информации, которые должны быть защищены, чтобы соответствовать требованиям HIPAA.

Что считается нарушением HIPAA?

Нарушение HIPAA происходит, когда организация не соблюдает требования, и существуют буквально сотни способов, которыми отдельные лица и организации могут нарушить соответствие HIPAA.

Общие нарушения HIPAA обычно включают одно из следующего:

  • Несанкционированное, недопустимое или ненужное раскрытие PHI
  • Несанкционированный доступ к PHI
  • Неправильная утилизация PHI
  • Отсутствие проведенной организацией оценки рисков
  • Отсутствие управления рисками в отношении PHI
  • Неспособность заключить соглашение о соответствии HIPAA с третьими лицами при предоставлении доступа к PHI
  • Неспособность обеспечить осведомленность сотрудников о безопасности обучения HIPAA
  • Кража PHI
  • Разглашение PHI без предварительного разрешения
  • Неправильное обращение/необоснованная рассылка PHI
  • Неуведомление лица об инциденте безопасности с PHI в течение 60 дней с момента обнаружения утечки
  • Нет документации по протоколам соответствия, процедурам и управлению

Что произойдет, если HIPAA будет нарушено?

Нарушение HIPAA происходит, когда нарушается любой аспект стандартов и положений HIPAA.

Вы можете найти полное изложение всех правил HIPAA, опубликованных Управлением по гражданским правам Министерства здравоохранения и социальных служб, здесь.

Если сообщается о нарушении, субъект, на который распространяется действие закона, подлежит наказанию, будь то гражданское или уголовное наказание, которое может значительно различаться в зависимости от нарушения.

Как правило, расследованием нарушений занимается Управление по гражданским правам (OCR) Министерства здравоохранения и социальных служб США, и они расследуют все подпадающие под действие организации, которые сообщают о нарушениях более 500 записей.

Если OCR определит, что конкретное дело является уголовным, а не гражданским, оно передаст его в Министерство юстиции.

В большинстве случаев люди могут рассчитывать на выплату 100 долларов за нарушение; повторные нарушения могут повлечь за собой штраф в размере до 25 000 долларов США.

В тех случаях, когда лица продемонстрировали умышленное пренебрежение правилами HIPAA и не предприняли попыток исправить свои политики и процедуры, может быть наложен штраф в размере от 50 000 долларов США до 1,5 миллиона долларов США.

По уголовным делам возможны более мягкие приговоры в размере 50 000 долларов США и до одного года лишения свободы, при этом максимальный штраф составляет 250 000 долларов США и до 10 лет лишения свободы.

В гражданском судопроизводстве нарушения подразделяются на уровни, 4 из которых являются наиболее серьезными.

Они следующие:

  • Уровень 1: Нарушение, о котором застрахованная организация не знала и не могла избежать.
  • Уровень 2: Нарушение, о котором застрахованная организация должна была знать, но не могла избежать.
  • Уровень 3: Нарушение, которое произошло в результате умышленного пренебрежения, но когда была предпринята попытка исправить нарушение.
  • Уровень 4: Нарушение, представляющее собой умышленное пренебрежение, когда не было предпринято никаких попыток исправить нарушение.

Штрафы за несоблюдение HIPAA для каждого уровня следующие:

  • Уровень 1: минимальный штраф в размере 100 долларов США за нарушение до 50 000 долларов США.
  • Уровень 2: минимальный штраф в размере 1000 долларов США за нарушение до 50 000 долларов США.
  • Уровень 3: минимальный штраф в размере 10 000 долларов США за нарушение до 50 000 долларов США.
  • Уровень 4: минимальный штраф в размере 50 000 долларов США.

Уголовное судопроизводство немного отличается, с тремя уровнями и гораздо более суровыми наказаниями, чем гражданское судопроизводство.

Они следующие:

  • Уровень 1: Уважительная причина или отсутствие сведений о нарушении
  • Уровень 2: Получение PHI под ложным предлогом
  • Уровень 3: Получение PHI для личной выгоды или со злым умыслом

Уголовные наказания:

  • Уровень 1: до одного (1) года в тюрьме
  • Уровень 2: до пяти (5) лет тюрьмы
  • Уровень 3: до 10 лет тюрьмы.

Изображение человека с рукой и слово HIPAA над ним | Что такое ХИПАА?

Могу ли я пройти сертификацию HIPAA?

На момент написания этой статьи не существовало такого понятия, как сертификация или проверка соответствия требованиям HIPAA.

Третьи стороны могут предлагать форму «сертификации HIPAA», но HHS не предлагает официально утвержденной или обязательной сертификации.

Не существует стандарта или спецификации реализации, требующей от субъекта, на который распространяется действие, «сертификации» соответствия. Стандарт оценки § 164.308(a)(8) требует, чтобы подпадающие под действие организации периодически проводили техническую и нетехническую оценку, которая устанавливает степень, в которой политики и процедуры безопасности организации соответствуют требованиям безопасности. Управление по гражданским правам (OCR)

Таким образом, несмотря на отсутствие сертификации HIPAA, многие сторонние поставщики MSSP могут при необходимости проводить периодические оценки и обеспечивать соответствие требованиям HIPAA.

Что такое офицер HIPAA?

Сотрудник HIPAA является сотрудником по соблюдению требований.

Независимо от того, являются ли они штатными или нанятыми в качестве третьих лиц, их основная задача будет заключаться в обеспечении вашего соответствия требованиям HIPAA путем правильного применения ваших протоколов безопасности и конфиденциальности для данных PHI.

В случаях, когда такая политика отсутствует, сотрудник HIPAA будет нести ответственность за разработку и реализацию плана соблюдения для отдельного лица или организации.

Затем они будут отвечать за поддержание и мониторинг программы, расследование и отчетность, когда это необходимо по закону, и обеспечение защиты данных пациентов или клиентов в соответствии с требованиями федерального и федерального законодательства.

Что является ключом к успеху для соответствия требованиям HIPAA?

Если вы читали эту статью (или бегло пролистывали) и почувствовали, как ваш пульс немного учащается, глядя на штрафы за несоблюдение, не волнуйтесь.

Чтобы убедиться, что вы соответствуете требованиям HIPAA, не требуется многого, но, безусловно, есть некоторые ключи к успеху в обеспечении соответствия требованиям HIPAA, которым организациям следует следовать.

Во-первых, вам следует найти поставщика управляемых услуг безопасности, который проводит оценку HIPAA, чтобы проверить ваши системы на соответствие требованиям HIPAA.

После того, как они проведут оценку рисков, они смогут порекомендовать и реализовать необходимые вам реализации, чтобы убедиться, что вы делаете все возможное для обеспечения соответствия требованиям.

Что такое оценка рисков HIPAA?

Связанный пост: Что происходит во время аудита рисков кибербезопасности?

Аудит соответствия требованиям HIPAA — это оценка, проводимая сотрудником по обеспечению соответствия требованиям, которая позволяет глубоко изучить ваши системы и протоколы безопасности.

Во-первых, им нужно будет сотрудничать с вами при определении объема аудита, в основном связанного с вашими обязательствами (в этом случае основным приоритетом является HIPAA, хотя вам, возможно, также потребуется соблюдать другие правила).

Затем они составят график проверки и перейдут к следующему этапу; исполнение. Эта часть включает сканирование уязвимостей, тестирование на проникновение и анализ пробелов.

В случае оценки риска для соответствия HIPAA анализ пробелов будет иметь важное значение, поскольку именно здесь сотрудник по соблюдению HIPAA подробно расскажет, что необходимо сделать, чтобы привести вас или вашу компанию в соответствие.

После завершения аудита соответствия требованиям HIPAA сотрудник, отвечающий за соблюдение требований, даст свои рекомендации, и вы сможете получить четкое представление о том, что необходимо сделать.

Вы также можете воспользоваться этой возможностью, чтобы делегировать реализацию этих рекомендаций MSSP, и в этом случае вы можете подписать с ними долгосрочный контракт, позволяющий вам продолжать свой бизнес и вести свой бизнес, в то время как поставщик управляемых услуг безопасности позаботится о соответствии. .

Если вы хотите узнать больше о соответствии требованиям HIPAA и о том, что поставщик управляемых услуг безопасности может сделать для вас, посетите нашу страницу услуг по обеспечению соответствия требованиям.