27.November 2018
HIPAA-Brudmeddelelsesreglen kræver, at HIPAA-dækkede enheder og deres forretningsforbindelser underretter patienter og andre parter efter et brud på usikrede beskyttede sundhedsoplysninger (PHI). Lignende bestemmelser implementeret og håndhævet af Federal Trade Commission (FTC) gælder for leverandører af personlige patientjournaler og deres tredjeparts tjenesteudbydere.
et brud er defineret i HIPAA afsnit 164.,402, som fremhævet i HIPAA Survival Guide, som:
“erhvervelse, adgang, brug eller videregivelse af beskyttede sundhedsoplysninger på en måde, der ikke er tilladt, hvilket kompromitterer sikkerheden eller privatlivets fred for de beskyttede sundhedsoplysninger.,sikker på, der er beskyttet information om sundhed er formodes at være en misligholdelse, medmindre de er omfattet enhed eller en forretningsforbindelse, viser, at der er en lav sandsynlighed for, at PHI er blevet kompromitteret, der er baseret på en risikovurdering af mindst følgende faktorer:
- arten og omfanget af PHI, der er involveret, herunder de typer af identifikatorer, og sandsynligheden for at re-identifikation;
- uautoriseret person, der brugte den PHI eller den, til hvem offentliggørelse blev foretaget;
- Om PHI blev faktisk købt eller set; og
- i hvilket omfang risikoen for, at PHI er blevet mindsket.,
forskning fra BEA .ley fandt, at den primære årsag brud forekom i 2017 var utilsigtet afsløring. Utilsigtet offentliggørelse inkluderer en e-mail, der har fortrolige sundhedsdata i den og sendes til den forkerte patient, eller en hændelse, hvor en server utilsigtet er konfigureret som offentligt tilgængelig.
Hvad betragtes ikke som en HIPAA-overtrædelse?
i henhold til udelukkelser specificeret ved HHS.,gov, du har IKKE været udsat for en HIPAA misligholdelse, hvis:
- eksponering af PHI var et uheld og er forårsaget af en uhensigtsmæssig handling af en arbejdsstyrke, der er medlem eller en person, der udfører opgaver på vegne af HIPAA-kompatibel selskab, så længe det kompromis, der er sket inden for den rette myndighed, uden at syge intentioner, og uden forventning om gentagelse.,
- Det var en utilsigtet offentliggørelse af en person, der ikke har generel tilladelse (og uddannelse) til at få adgang til PHI på en HIPAA-kompatibel organisation til en ekstra person, som også er generelt bemyndiget til at få adgang HIPAA oplysninger.
- den dækkede enhed eller forretningspartner er i god tro overbevist om, at den uautoriserede person, som den uacceptable videregivelse blev foretaget til, ikke ville have været i stand til at opbevare oplysningerne.
HIPAA-overholdelse ændrede sig, da HIPAA / HITECH Omnibus-Slutreglen trådte i kraft i September 2013., Tidligere var overtrædelser ansvaret for HIPAA-dækkede enheder helt (sundhedsudbydere, planer og data clearinghouses). Når den amerikanske Recovery and Reinvestment Act (ARRA) blev vedtaget i 2009, dens titel .iii var Health Information Technology for Economic and Clinical Health Act (HITECH). HITECH erklærede, at forretningsforbindelser (tjenesteudbydere, der håndterer PHI) Nu påtager sig ansvaret for informationsbeskyttelse sammen med sundhedsorganisationer.
forebyggelse af HIPAA-brud i et komplekst sundhedslandskab kræver mere end rutinemæssige nødvendige risikovurderinger., Dækkede enheder skal sikre gennemførelsen af stærke politikker for etablering af beskyttelse, Uddannelse, business associate agreements (BAAs) og andre elementer i et HIPAA-kompatibelt, sikkerhedscentreret økosystem.