27. listopadu, 2018
Porušení PŘÍSAHY Oznámení Pravidlo vyžaduje HIPAA-zahrnuté subjekty a jejich obchodní partnery informovat, pacientů a jiných stran po porušení nezajištěné chráněné zdravotní informace (PHI). Podobná ustanovení zavedená a vynucená Federální obchodní komisí (FTC) se vztahují na prodejce osobních zdravotních záznamů a jejich poskytovatele služeb třetích stran.
porušení je definováno v oddíle 164 HIPAA.,402, jak je zdůrazněno v HIPAA Průvodce Přežití, jako:
„akvizice, přístup, použití nebo zveřejnění chráněných zdravotních informací způsobem, který není povolen, který ohrožuje bezpečnost nebo soukromí chráněných zdravotních informací.,jisti, že chráněné informace o zdravotním stavu je považována za porušení, pokud se vztahuje subjektu nebo obchodní partner prokáže, že je nízká pravděpodobnost, že PHI byly ohroženy na základě posouzení rizik alespoň následující faktory:
- povaha a rozsah PHI, včetně typů identifikátorů a pravděpodobnost re-identifikace;
- neoprávněná osoba, kteří používají PHI nebo do kterého je zveřejnění provedeno;
- Zda PHI byl vlastně získal, nebo prohlížet; a
- míry, V níž rizika pro PHI byla zmírněna.,
výzkum společnosti Beazley zjistil, že hlavním důvodem porušení došlo v roce 2017 bylo neúmyslné zveřejnění. Neúmyslné zveřejnění zahrnuje e-mail, že má důvěrné údaje o zdraví a je odeslán na nesprávný pacient, nebo nehodě, při níž server je neúmyslně nakonfigurován jako veřejně přístupné.
Co se nepovažuje za porušení HIPAA?
podle výjimek uvedených v HHS.,gov, jste utrpěl porušení PŘÍSAHY, pokud:
- expozice PHI byla náhodná a způsobená nevhodnou činnost pracovníků členských nebo individuální plnění úkolů jménem HIPAA-kompatibilní společností, tak dlouho, jak kompromisu došlo v rámci řádného orgánu, aniž by špatné úmysly, a bez očekávání opakování.,
- To bylo náhodné prozrazení tím, že jedinec, který má obecné oprávnění (a odborné přípravy) přístup k PHI na HIPAA-kompatibilní organizace, aby další jedinec, který je také obecně oprávnění pro přístup HIPAA informace.
- krytý subjekt nebo obchodní partner má dobrou víru v to, že neoprávněná osoba, které bylo nepřípustné zveřejnění provedeno, by nebyla schopna tyto informace uchovat.
dodržování HIPAA se změnilo, když v září 2013 vstoupilo v platnost konečné pravidlo HIPAA/HITECH Omnibus., Dříve byly za porušení zcela odpovědné subjekty kryté HIPAA (poskytovatelé zdravotní péče, plány a clearinghouses dat). Když byl v roce 2009 schválen americký zákon o oživení a Reinvesticích (ARRA), jeho název XIII byl zákon o zdravotnických informačních technologiích pro ekonomické a klinické zdraví (HITECH). HITECH uvedl, že obchodní partneři (poskytovatelé služeb, kteří zpracovávají PHI) nyní přebírají odpovědnost za ochranu informací spolu se zdravotnickými organizacemi.
prevence narušení HIPAA v komplexním zdravotnickém prostředí vyžaduje více než rutinní požadované hodnocení rizik., Zahrnuté subjekty musí zajistit provádění účinných politik pro vytvoření ochrany, školení, obchodní partner dohody (BAAs) a další prvky HIPAA-kompatibilní, bezpečnosti střed ekosystému.