Novembre 27, 2018
La regola di notifica delle violazioni HIPAA richiede che le entità coperte da HIPAA e i loro soci in affari notifichino i pazienti e le altre parti in seguito a una violazione delle informazioni sanitarie protette non protette (PHI). Disposizioni simili attuate e applicate dalla Federal Trade Commission (FTC) si applicano ai fornitori di cartelle cliniche personali e ai loro fornitori di servizi di terze parti.
Una violazione è definita nella sezione HIPAA 164.,402, come evidenziato nella Guida di sopravvivenza HIPAA, come:
“L’acquisizione, l’accesso, l’uso o la divulgazione di informazioni sanitarie protette in un modo non consentito che comprometta la sicurezza o la privacy delle informazioni sanitarie protette.,sicuro di informazioni sanitarie protette è una presunta violazione, a meno che il coperto entità o un socio in affari, dimostra che c’è una bassa probabilità che il PHI è stato compromesso basato su una valutazione del rischio, almeno i seguenti fattori:
- La natura e l’entità del PHI coinvolti, compresi i tipi di identificatori e il rischio di re-identificazione;
- non autorizzate persona che ha utilizzato il PHI o ai quali la comunicazione è stata fatta;
- Se il PHI è stato effettivamente acquistato o visto; e
- La misura in cui il rischio per il PHI è stato mitigato.,
La ricerca di Beazley ha rilevato che la ragione principale per cui le violazioni si sono verificate nel 2017 era la divulgazione non intenzionale. La divulgazione non intenzionale include un’e-mail contenente dati sanitari riservati e inviata al paziente non corretto o un incidente in cui un server viene configurato involontariamente come accessibile pubblicamente.
Cosa NON è considerato una violazione HIPAA?
In base alle esclusioni specificate in HHS.,gov, NON hai subito una violazione HIPAA se:
- L’esposizione di PHI è stata accidentale e causata da un’azione inappropriata da parte di un membro della forza lavoro o di un individuo che svolgeva compiti per conto della società conforme a HIPAA, purché il compromesso sia avvenuto all’interno dell’autorità appropriata, senza cattive intenzioni e senza aspettativa di ripetizione.,
- È stata una divulgazione accidentale da parte di un individuo che ha l’autorizzazione generale (e la formazione) per accedere a PHI presso un’organizzazione conforme a HIPAA a un altro individuo che è anche generalmente autorizzato ad accedere alle informazioni HIPAA.
- L’entità coperta o il socio in affari ritiene in buona fede che la persona non autorizzata a cui è stata fatta la divulgazione inammissibile non sarebbe stata in grado di conservare le informazioni.
La conformità HIPAA è cambiata quando la regola finale HIPAA / HITECH Omnibus è entrata in vigore nel settembre 2013., In precedenza, le violazioni erano interamente responsabilità delle entità coperte da HIPAA (fornitori di servizi sanitari, piani e stanze di compensazione dei dati). Quando l’American Recovery and Reinvestment Act (ARRA) è stato approvato nel 2009, il suo titolo XIII era la Health Information Technology for Economic and Clinical Health Act (HITECH). HITECH ha dichiarato che i business associates (fornitori di servizi che gestiscono PHI) ora si assumono la responsabilità della protezione delle informazioni insieme alle organizzazioni sanitarie.
Prevenire le violazioni HIPAA in un panorama sanitario complesso richiede più di valutazioni di rischio richieste di routine., Le entità coperte devono garantire l’attuazione di politiche forti per l’istituzione di protezioni, formazione, accordi di business associate (BAAS) e altri elementi di un ecosistema centrato sulla sicurezza conforme all’HIPAA.