November27,2018
HIPAA違反通知ルールは、HIPAAの対象となる事業体およびそのビジネスアソシエイトが、保護されていない保護されていない健康情報(PHI)の違反後に患者およびその他の関係者に通知することを要求しています。 連邦取引委員会(FTC)によって実施および施行された同様の規定は、個人健康記録のベンダーおよびその第三者サービスプロバイダーに適用されます。
違反はHIPAAセクション164で定義されています。,402、HIPAAサバイバルガイドで強調されているように、
“保護された健康情報のセキュリティまたはプライバシーを損なうような許可されていない方法での保護された健康情報の取得、アクセス、使用、または開示。,保護された健康情報の確認は、対象事業体またはビジネスアソシエイトが、少なくとも以下の要因のリスク評価に基づいてPHIが侵害された可能性が低いことを示さない限り、侵害であると推定される。
- 関連するPHIの性質および範囲、識別子の種類および再識別の可能性を含む。
- PHIを使用した権限のない人または開示が行われた人。
- PHIが実際に取得または閲覧されたかどうか。
- PHIが実際に取得または閲覧されたかどうか。
- phiへのリスクは軽減されました。,
Beazleyの調査によると、2017年に違反が発生した主な理由は意図しない開示であることがわかりました。 意図しない開示には、機密の健康データが含まれており、誤った患者に送信される電子メール、またはサーバーが意図せずに公開されているように構成されている事件が含まれます。
HIPAA違反とはみなされないものは何ですか?
HHSで指定された除外に従います。,P>
- PHIの暴露が偶発的であり、HIPAA準拠企業に代わって作業を行う従業員または個人による不適切な行動によって引き起こされたものであり、妥協が適切な権限の範囲内で、悪意のない、繰り返しを期待することなく発生した限りである。,
- これは、HIPAA準拠の組織でPHIにアクセスするための一般的な許可(およびトレーニング)を持っている個人による、HIPAA情報にアクセスするための一般的
- 対象となる事業体またはビジネスアソシエイトは、許可されていない開示が行われた権限のない人が情報を保持することができなかったと
HIPAAコンプライアンスは、2013年にHIPAA/HITECH Omnibus最終ルールが発効したときに変更されました。, 以前は、違反はHIPAAの対象となる事業体(医療提供者、計画、およびデータクリアリングハウス)の責任でした。 2009年にアメリカの回復および再投資法(ARRA)が可決されたとき、そのタイトルXIIIは、経済および臨床健康法(HITECH)のための健康情報技術でした。 HITECHはビジネスアソシエイツ(サービス提供者を取り扱うPHI)の責任で情報の保護と医療機関
複雑な医療環境におけるHIPAA違反の防止には、日常的に必要とされるリスク評価以上のものが必要です。, 対象となる事業体は、HIPAA準拠のセキュリティ中心のエコシステムの保護、トレーニング、ビジネスアソシエイト契約(BAAs)およびその他の要素の確立のための強力な政策の実施を確保しなければならない。