HIPAA Uyumluluğu Nedir ve Neden Önemlidir?

Yayınlanan: 2021-06-22

HIPAA Ne Anlama Geliyor?

HIPAA tam olarak nedir ve bir şirket olarak ilgili yönetmeliklerin doğru tarafında kalmak için ne yapmanız gerekir?

HIPAA, 1996 yılında Kongre tarafından kabul edilen Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası anlamına gelir.

HIPAA o zamandan beri, özellikle 2009 HITECH yasası (Ekonomik ve Klinik Sağlık için Sağlık Bilgi Teknolojisi) ve 2013 Omnibus Kuralı ile güncellendi ve geliştirildi.

Bunlar birlikte, İş Ortaklarına ve onların taşeronlarına karşı sorumluluğu ve ayrıca pazarlama ve satışla ilgili olarak PHI'nın nasıl kullanılabileceğine dair daha katı korumaları genişletti.

HIPAA, işini kaybeden veya değiştiren insanlar için sağlık sigortası ve vergiyle ilgili hükümler dahil olmak üzere bir dizi alanla ilgili olsa da, asıl odak noktamız, sağlık verilerinin değişimi, güvenliği ve mahremiyeti ile ilgili olan yasanın II. uyum söz konusu olduğunda işletmelerin büyük çoğunluğunu ilgilendiren şey.

Hemen konuya girelim ve HIPAA hakkında bilmeniz gereken her şeyi ve HIPAA uyumluluğu için başarının anahtarlarının neler olduğunu gözden geçirelim.

Etki blog afişine abone olun

HIPAA'nın Amacı Nedir?

Az önce belirttiğimiz gibi, HIPAA'nın veri koruma dışında, özellikle sağlık sigortası kanunu reformuyla ilgili birkaç amacı vardır.

Bununla birlikte, HIPAA'yı araştıran çoğu kuruluş için birincil hedefleri, yönetmeliklere uyumlu kalmak ve uyumsuzluktan kaynaklanan cezalardan kaçınmak için ne yapmaları gerektiğini bilmektir.

HIPAA'nın bu alanı, korunan sağlık bilgilerinin veya PHI'nin ifşası ve kullanımı ile ilgili olarak veri koruma ve mahremiyet ile ilgilidir.

HIPAA uyumluluğu ve PHI'nin güvenliği, günümüzde sağlık kuruluşları için kritik öneme sahiptir.

Elini uzatmış bir adamın görüntüsü ve üzerinde HIPAA kelimesi | HIPAA nedir?

HIPAA'ya Kim Uymalı?

HIPAA uyumluluğuna uymak zorunda olan kuruluşlar, kapsanan kuruluşlar olarak bilinir.

Kapsanan kuruluşlar, PHI'yi depolayan, işleyen ve işleyen kişi veya şirketlerdir.

Kapsam dahilindeki kuruluşlar, HIPAA'ya uymanın yanı sıra, bununla ilgili ihlalleri bildirmekten de sorumludur.

Aşağıdaki kişi ve kuruluşlar, kapsanan kuruluşları oluşturur:

Sağlık Hizmeti Sağlayıcıları

  • doktorlar
  • Klinikler
  • psikologlar
  • diş hekimleri
  • Kiropraktörler
  • Bakım evleri
  • eczaneler
  • Sağlık Planları

Sağlık Sigortası Şirketleri

  • HMO'lar
  • Şirket sağlık planları
  • Devlet tarafından sağlanan sağlık bakım planları

Sağlık Takas Merkezleri

  • Bunlar, standart olmayan sağlık bilgilerinin standart veri öğelerine işlenmesini kolaylaştıran varlıklardır. Bunlar, sağlık hizmeti sağlayıcıları ve sigorta ödeyenler arasında etkili bir şekilde aracıdır.

İş ortakları

  • Bir "iş ortağı", kapsanan bir kuruluş veya taşeron olarak hareket eden başka bir iş ortağı adına korunan sağlık bilgilerini (PHI) oluşturur, alır, muhafaza eder veya iletir.

taşeronlar

  • Bir iş ortağı adına korunan sağlık bilgilerini (PHI) oluşturan, sürdüren veya ileten bir taşeron, HIPAA kapsamında bir iş ortağı ile aynı yasal sorumluluklara sahiptir. Başka bir deyişle, gizlilik ve güvenlikle ilgili yasal sorumluluklar, bir iş ortağı için iş yapan taşeronlara "aşağı yönde" akar.

Hibrit varlıklar

  • Karma bir kuruluş, işinin bir parçası olarak hem HIPAA kapsamındaki hem de kapsam dışı işlevleri yerine getirir. Çalışanları için kendi kendini sigortalayan bir sağlık planına sahip olan büyük bir şirket, hibrit bir varlık olarak muamele görmeyi seçebilir. Diğer örnekler, tıp merkezi olan bir üniversite veya eczanesi olan bir bakkaldır.

PHI Neleri Kapsar?

Kişisel sağlık bilgileri (PHI), bir hastayı, müşteriyi veya başka bir varlığı tanımlamak için kullanılabilecek herhangi bir demografik bilgiyi ifade eder.

Sağlıkla ilgili bilgileri PHI olarak kabul eden 18 tanımlayıcı vardır. Bunlar:

  1. İsimler
  2. Tarihler, yıl hariç
  3. Coğrafi veriler
  4. FAKS numaraları
  5. Sosyal Güvenlik Numaraları
  6. E-mail adresleri
  7. Tıbbi kayıt numaraları
  8. Hesap numaraları
  9. Sağlık planı yararlanıcı numaraları
  10. Sertifika/lisans numaraları
  11. Plaka numaraları dahil olmak üzere araç tanımlayıcıları ve seri numaraları
  12. Telefon numaraları
  13. Web URL'leri
  14. Cihaz tanımlayıcıları ve seri numaraları
  15. İnternet protokolü (IP) adresleri
  16. Tam yüz fotoğraflar ve karşılaştırılabilir görüntüler
  17. Biyometrik tanımlayıcılar (örneğin parmak izleri)
  18. Birini benzersiz şekilde tanımlayan tüm numaralar veya kodlar

Bunlar, HIPAA uyumlu kalabilmek için korunması gereken veri ve bilgi türleridir.

HIPAA İhlali Olarak Kabul Edilen Nedir?

HIPAA ihlali, bir kuruluş tarafından uyumluluğa bağlı kalınmadığında meydana gelir ve bireylerin ve kuruluşların HIPAA uyumluluğunu bozabileceği yüzlerce yol vardır.

HIPAA'nın yaygın ihlalleri tipik olarak aşağıdakilerden birini içerir:

  • PHI'nin yetkisiz, izin verilmeyen veya gereksiz ifşası
  • PHI'ye yetkisiz erişim
  • PHI'nin yanlış imhası
  • Kurum tarafından yürütülen risk değerlendirmesi eksikliği
  • PHI ile ilgili risk yönetimi eksikliği
  • PHI'ya erişim sağlarken üçüncü taraflarla HIPAA uyumluluk sözleşmesinin kurulamaması
  • Çalışanlara HIPAA eğitiminin güvenlik bilincinin sağlanamaması
  • PHI hırsızlığı
  • PHI'nin önceden izin alınmadan paylaşılması
  • PHI'nin yanlış kullanımı/haksız postalanması
  • İhlalin keşfedilmesinden sonraki 60 gün içinde PHI'yi içeren bir güvenlik olayının bireye bildirilmemesi
  • Uyumluluk protokolleri, prosedürleri ve yönetimine ilişkin belge yok

HIPAA İhlal Edilirse Ne Olur?

HIPAA standartları ve hükümlerinin herhangi bir yönü ihlal edildiğinde bir HIPAA ihlali meydana gelir.

Sağlık ve İnsan Hizmetleri Departmanı Sivil Haklar Ofisi tarafından yayınlanan tüm HIPAA düzenlemelerinin tam bir özetini burada bulabilirsiniz.

Bir ihlal bildirilirse, kapsam dahilindeki kuruluş, ister hukuki ister cezai olsun, cezalara tabidir; cezalar, ihlale bağlı olarak önemli ölçüde değişebilir.

Tipik olarak, ABD Sağlık ve İnsan Hizmetleri Departmanı Sivil Haklar Ofisi (OCR) ihlalleri araştıracak ve 500'den fazla kaydın ihlal edildiğini bildiren tüm kapsam dahilindeki kuruluşları araştıracaktır.

OCR, belirli bir davanın medeni değil cezai olduğuna karar verirse, bunu Adalet Bakanlığı'na havale edecektir.

Vakaların çoğunda, bireyler ihlal başına 100 ABD doları ödemeyi bekleyebilir; tekrarlanan ihlaller 25.000 ABD Dolarına kadar para cezasına neden olabilir.

Bireylerin HIPAA düzenlemelerini kasıtlı olarak ihmal ettikleri ve politikalarını ve prosedürlerini düzeltmek için hiçbir girişimde bulunmadığı durumlarda, en fazla 1,5 milyon ABD Dolarına kadar minimum 50.000 ABD Doları tutarında bir ceza uygulanabilir.

Ceza davalarında, 50.000 ABD Doları ve bir yıla kadar hapis cezası gibi daha düşük cezalar ve en fazla 250.000 ABD Doları para cezası ve 10 yıla kadar hapis cezası mümkündür.

Hukuk davaları için ihlaller, 4'ü en şiddetli olmak üzere katmanlara ayrılır.

Bunlar aşağıdaki gibidir:

  • Aşama 1: Kapsam dahilindeki kuruluşun farkında olmadığı ve kaçınamayacağı bir ihlal.
  • Aşama 2: Kapsam dahilindeki kuruluşun bilmesi gereken ancak kaçınamadığı bir ihlal.
  • Aşama 3: Kasıtlı ihmalin doğrudan bir sonucu olarak meydana gelen ancak ihlali düzeltmeye yönelik bir girişimde bulunulan ihlal.
  • Aşama 4: İhlali düzeltmek için hiçbir girişimde bulunulmadığı halde kasıtlı ihmal oluşturan bir ihlal.

Her bir katman için HIPAA uyumsuzluğunun cezaları aşağıdaki gibidir:

  • Aşama 1: 50.000 ABD Dolarına kadar ihlal başına minimum 100 ABD Doları para cezası
  • 2. Aşama: 50.000 ABD Dolarına kadar ihlal başına minimum 1.000 ABD Doları para cezası
  • 3. Aşama: 50.000 ABD Dolarına kadar ihlal başına minimum 10.000 ABD Doları para cezası
  • Tier 4: Minimum 50.000$ para cezası

Ceza yargılamaları biraz farklıdır, üç aşamalıdır ve hukuk yargılamalarından çok daha ağır cezalar içerir.

Bunlar aşağıdaki gibidir:

  • Aşama 1: Makul sebep veya ihlal bilgisi yok
  • 2. Aşama: Sahte iddialarla PHI elde etmek
  • Aşama 3: Kişisel kazanç için veya kötü niyetle PHI elde etme

Suçlu cezaları:

  • Aşama 1: Bir (1) yıla kadar hapis cezası
  • 2. Aşama: Beş (5) yıla kadar hapis cezası
  • 3. Aşama: 10 yıla kadar hapis

Elini uzatmış bir adamın görüntüsü ve üzerinde HIPAA kelimesi | HIPAA nedir?

HIPAA Sertifikalı Olabilir miyim?

Bunu yazarken, HIPAA uyumluluk sertifikası veya doğrulaması diye bir şey yoktur.

Üçüncü taraflar bir tür "HIPAA sertifikası" sunabilir, ancak HHS tarafından sunulan resmi olarak onaylanmış veya zorunlu bir sertifika yoktur.

Kapsam dahilindeki bir kuruluşun uyumluluğu "onaylamasını" gerektiren hiçbir standart veya uygulama belirtimi yoktur. Değerlendirme standardı § 164.308(a)(8), kapsanan kuruluşların, bir kuruluşun güvenlik politikaları ve prosedürlerinin güvenlik gereksinimlerini ne ölçüde karşıladığını belirleyen periyodik teknik ve teknik olmayan bir değerlendirme gerçekleştirmesini gerektirir. Medeni Haklar Ofisi (OCR)

Bu nedenle, HIPAA sertifikası olmasa da, birçok üçüncü taraf MSSP gerektiğinde periyodik değerlendirmeler yapabilir ve HIPAA ile uyumlu olmanızı sağlayabilir.

HIPAA Görevlisi Nedir?

HIPAA görevlisi bir uyum görevlisidir.

İster şirket içinde ister üçüncü taraf olarak işe alınmış olsunlar, birincil görevleri, PHI verileri için güvenlik ve gizlilik protokollerinizin doğru bir şekilde uygulanmasını sağlayarak HIPAA uyumluluğunuzu sağlamak olacaktır.

Böyle bir politikanın bulunmadığı durumlarda, HIPAA görevlisi kişi veya kuruluş için bir uyum planı geliştirmekten ve uygulamaktan sorumlu olacaktır.

Daha sonra, programı sürdürmek ve izlemek, yasal olarak gerekli olduğunda araştırmak ve raporlamak ve hasta veya müşteri verilerinin eyalet ve federal yasaların gerektirdiği şekilde korunmasını sağlamaktan sorumlu olacaklardır.

HIPAA Uyumluluğu İçin Başarının Anahtarı Nedir?

Bu makaleyi okuyorsanız (veya gözden kaçırıyorsanız) ve uymamanın cezalarına bakarak nabzınızın biraz yükseldiğini hissettiyseniz, endişelenmeyin.

HIPAA ile uyumlu olduğunuzdan emin olmak çok fazla zaman almaz, ancak HIPAA uyumluluğu için başarının, kuruluşların izlemesi iyi olacak bazı anahtarları kesinlikle vardır.

İlk olarak, HIPAA uyumluluğu için gelip sistemlerinizi denetlemek için HIPAA değerlendirmeleri yapan bir yönetilen güvenlik hizmeti sağlayıcısı aramalısınız.

Risk değerlendirmesini gerçekleştirdikten sonra, uyumluluğu sürdürmek için mümkün olan her şeyi yaptığınızdan emin olmak için ihtiyaç duyduğunuz uygulamaları önerebilecek ve gerçekleştirebileceklerdir.

HIPAA Risk Değerlendirmesi Nedir?

İlgili Yazı: Siber Güvenlik Risk Denetimi Sırasında Ne Olur?

HIPAA uyumluluk denetimi, sistemlerinizi ve güvenlik protokollerinizi derinlemesine inceleyecek bir uyum görevlisi tarafından gerçekleştirilen değerlendirmedir.

İlk olarak, denetimin kapsamını belirlemede sizinle işbirliği yapmaları gerekecek - özellikle yükümlülüklerinizle ilgili (bu durumda, HIPAA ana önceliktir, ancak diğer düzenlemelere de uymanız gerekebilir).

Daha sonra denetim için bir program hazırlayacaklar ve bir sonraki aşamaya geçecekler; uygulamak. Bu bölüm, güvenlik açığı taraması, sızma testi ve boşluk analizini içerir.

HIPAA uyumluluğu için bir risk değerlendirmesi durumunda, HIPAA uyum görevlisinin sizi veya şirketinizi uyumluluğa getirmek için yapılması gerekenleri detaylandıracağı yer burası olduğundan, bir boşluk analizi gerekli olacaktır.

HIPAA uygunluk denetimi tamamlandıktan sonra, uyum görevlisi tavsiyelerini yapacak ve yapılması gerekenleri net bir şekilde anlayabileceksiniz.

Bu fırsatı, bu tavsiyelerin uygulanmasını MSSP'ye devretmek için de kullanabilirsiniz; bu durumda, onlarla uzun vadeli bir sözleşme imzalayabilirsiniz; bu, yönetilen güvenlik hizmeti sağlayıcısı uyumlulukla ilgilenirken işinizi sürdürmenize ve yürütmenize olanak tanır. .

HIPAA uyumluluğu ve yönetilen bir güvenlik hizmeti sağlayıcısının sizin için neler yapabileceği hakkında daha fazla bilgi edinmek istiyorsanız, Uyumluluk Hizmetleri sayfamıza göz atın.