27. November 2018
FORSKRIFTER Brudd Varsling Regel krever FORSKRIFTER-dekket enheter og deres forretningsforbindelser til å informere pasienter og andre parter følgende brudd på usikrede beskyttet helseinformasjon (PHI). Lignende bestemmelser implementeres og håndheves av den amerikanske Federal Trade Commission (FTC) gjelder for leverandører av personlig helse records og deres tredjeparts tjenesteleverandører.
Et brudd er definert i FORSKRIFTER § 164.,402, som fremhevet i FORSKRIFTER Survival Guide, som:
«oppkjøpet, tilgang, bruk eller utlevering av beskyttet helseinformasjon på en måte som ikke er tillatt som truer sikkerheten eller personvernet av beskyttet helseinformasjon.,at av beskyttet helseinformasjon er antatt å være et brudd med mindre dekket enhet eller medarbeider, viser at det er en lav sannsynlighet for at PHI har blitt kompromittert basert på en vurdering av risiko for minst følgende faktorer:
- arten og omfanget av PHI som er involvert, inkludert typer av identifikatorer og sannsynligheten for re-identifisering;
- uautorisert person som brukte PHI eller som avsløring ble laget;
- Om PHI var faktisk kjøpte eller sett på; og
- Den grad risiko for å PHI har blitt redusert.,
Forskning fra Beazley fant at den primære årsaken brudd skjedde i 2017 var uventet avsløring. Utilsiktet offentliggjøring inkluderer en e-post som har konfidensielle data helse i den, og den er sendt til feil pasient, eller en hendelse der en server er ofte konfigurert som er offentlig tilgjengelig.
Det er IKKE ansett som en FORSKRIFTER Brudd?
i Henhold til unntakene som er spesifisert i HHS.,gov, du har IKKE lidd en FORSKRIFTER brudd hvis:
- eksponering av PHI var tilfeldig og skyldes en upassende handling av en arbeidsstyrke medlem eller individuelle utføre oppgaver på vegne av og FORSKRIFTER-kompatibelt selskap, så lenge kompromiss oppstod i riktig myndighet, uten syk intensjoner, og uten forventning om repetisjon.,
- Det var en utilsiktet utlevering av en person som ikke har en generell godkjenning (og trening) til å få tilgang til PHI på en FORSKRIFTER-kompatibel organisasjon til en annen person som også vanligvis er autorisert til å få tilgang til og FORSKRIFTER informasjon.
- dekket enhet eller en medarbeider som har en god tro om at uautorisert person som utillatelig avsløring var laget ikke ville ha vært i stand til å beholde informasjonen.
FORSKRIFTER samsvar endres når FORSKRIFTER/HITECH-Omnibus Siste Regelen trådte i kraft i September 2013., Tidligere brudd ble ansvar og FORSKRIFTER-dekket enheter helt (helsepersonell, planer, og data clearinghouses). Når den Amerikanske Utvinning og Reinvestering Act (ARRA) ble vedtatt i 2009, dens Tittel XIII Helse informasjonsteknologi for Økonomisk og Klinisk Helse Act (HITECH). HITECH uttalt at forretningsforbindelser (tjenesteleverandører som håndterer PHI) anta nå ansvar for informasjon beskyttelse sammen med helseorganisasjoner.
å Forebygge og FORSKRIFTER brudd i et komplekst helsevesen landskapet krever mer enn rutinemessig nødvendige risikovurderinger., Dekket enheter skal sikre gjennomføringen av sterke politikk for etablering av beskyttelse, opplæring, business associate avtaler (BAAs) og andre elementer av en FORSKRIFTER-kompatibel, sikkerhet sentrert økosystemet.