2018. November 27.
a HIPAA megsértéséről szóló értesítési szabály előírja, hogy a HIPAA hatálya alá tartozó szervezetek és üzleti partnereik értesítsék a betegeket és más feleket a nem védett egészségügyi információk (PHI) megsértését követően. A Szövetségi Kereskedelmi Bizottság (FTC) által végrehajtott és végrehajtott hasonló rendelkezések vonatkoznak a személyes egészségügyi nyilvántartások szállítóira és harmadik fél szolgáltatóikra.
a HIPAA 164.,402, amint azt a HIPAA Survival Guide kiemeli, mint:
” a védett egészségügyi információk megszerzése, elérése, felhasználása vagy közzététele olyan módon, amely nem megengedett, ami veszélyezteti a védett egészségügyi információk biztonságát vagy magánéletét.,biztos, hogy a védett egészségügyi információk a vélelmezett megsértése, kivéve, ha az érintett gazdálkodó egység vagy üzleti partner bizonyítja, hogy alacsony a valószínűsége, hogy a PHI veszélybe került kockázatelemzés alapján legalább a következő tényezők:
- A természet mértéke a PHI-köztük a típusú azonosítókat, valamint a valószínűsége, újra-azonosító;
- A jogosulatlan személy, aki használta a PHI vagy kinek a nyilvánosságra került;
- – E a PHI ténylegesen megszerzett vagy megtekinthető; s
- A mértéke, hogy a kockázat, hogy a PHI csökkent.,
A Beazley kutatása megállapította, hogy a jogsértések 2017-ben történt elsődleges oka nem szándékos nyilvánosságra hozatal. A nem szándékos közzététel magában foglal egy olyan e-mailt, amelyben bizalmas egészségügyi adatok vannak, amelyeket a helytelen betegnek küldenek, vagy olyan eseményt, amelyben a kiszolgálót véletlenül nyilvánosan hozzáférhetőnek konfigurálják.
mi nem tekinthető HIPAA megsértésnek?
a HHS-ben meghatározott kizárások szerint.,gov, Ön nem szenvedett HIPAA-megsértést, ha:
- a PHI expozíciója véletlen volt, amelyet a munkaerő tagja vagy a HIPAA-kompatibilis vállalat nevében feladatokat ellátó egyén nem megfelelő fellépése okozott, mindaddig, amíg a kompromisszum a megfelelő hatóságon belül történt, rossz szándékok nélkül, ismétlés elvárása nélkül.,
- véletlen közzététel volt egy olyan személy által, aki általános felhatalmazással (és képzéssel) rendelkezik a Phi eléréséhez egy HIPAA-kompatibilis szervezetnél egy további személy számára, aki szintén általában jogosult a HIPAA információkhoz való hozzáférésre.
- az érintett gazdálkodó egység vagy üzleti partner jóhiszeműen úgy véli, hogy az illetéktelen személy, akinek a megengedhetetlen nyilvánosságra hozatalt tették, nem tudta volna megtartani az információkat.
HIPAA megfelelés megváltozott, amikor a HIPAA / HITECH Omnibus végső szabály 2013 szeptemberében hatályba lépett., Korábban a jogsértések teljes egészében a HIPAA hatálya alá tartozó szervezetek (egészségügyi szolgáltatók, tervek és adattisztítók) felelőssége volt. Amikor 2009-ben elfogadták az amerikai helyreállítási és újrabefektetési törvényt (Ara), XIII.címe a gazdasági és klinikai egészségügyi törvény (HITECH) Egészségügyi Információs technológiája volt. A HITECH megállapította, hogy az üzleti partnerek (a PHI-t kezelő szolgáltatók) most felelősséget vállalnak az információvédelemért az egészségügyi szervezetekkel együtt.
a HIPAA megsértésének megelőzése összetett egészségügyi környezetben több, mint a rutin szükséges kockázatértékelés., A fedett szervezeteknek biztosítaniuk kell a védelmet, képzést, üzleti partneri megállapodásokat (BAAs) és a HIPAA-kompatibilis, biztonságközpontú ökoszisztéma egyéb elemeit célzó erős politikák végrehajtását.