November 27, 2018
de HIPAA-Inbreukkennisregel vereist dat entiteiten die onder HIPAA vallen en hun zakenpartners patiënten en andere partijen informeren na een inbreuk op onbeveiligde beschermde gezondheidsinformatie (PHI). Soortgelijke bepalingen die door de Federal Trade Commission (FTC) worden geïmplementeerd en gehandhaafd, zijn van toepassing op verkopers van persoonlijke gezondheidsdossiers en hun externe dienstverleners.
een inbreuk wordt gedefinieerd in HIPAA sectie 164.,402, zoals aangegeven in de HIPAA Survival Guide, Als:
“het verkrijgen, toegang, gebruik of vrijgeven van beschermde gezondheidsinformatie op een manier die niet is toegestaan en die de veiligheid of privacy van de beschermde gezondheidsinformatie in gevaar brengt.,zeker van beschermde gezondheidsinformatie wordt geacht een overtreding, tenzij de overdekte entiteit of relatie aantoont dat er een kleine kans dat de PHI aangetast is gebaseerd op een risicoanalyse van ten minste de volgende factoren:
- De aard en omvang van de PHI betrokken zijn, met inbegrip van de soorten van id ‘ s en de kans op re-identificatie;
- De onbevoegde persoon die de PHI of aan wie de openbaarmaking heeft plaatsgevonden;
- Of de PHI was eigenlijk gekocht of bekeken; en
- De mate waarin het risico voor de PHI is beperkt.,uit onderzoek van Beazley bleek dat de voornaamste reden voor inbreuken in 2017 onbedoelde openbaarmaking was. Onbedoelde openbaarmaking omvat een e-mail met vertrouwelijke gezondheidsgegevens en wordt verzonden naar de onjuiste patiënt, of een incident waarbij een server onbedoeld is geconfigureerd als openbaar toegankelijk.
wat wordt niet beschouwd als een HIPAA-inbreuk?
volgens uitsluitingen gespecificeerd in HHS.,gov, u heeft geen HIPAA-inbreuk gehad als:
- de blootstelling aan PHI per ongeluk was en werd veroorzaakt door een ongepaste actie van een medewerker of persoon die taken uitvoerde namens het HIPAA-conforme bedrijf, zolang het compromis binnen de juiste autoriteit plaatsvond, zonder kwade bedoelingen en zonder verwachting van herhaling.,
- het was een toevallige openbaarmaking door een persoon die wel algemene machtiging (en training) heeft om toegang te krijgen tot PHI bij een HIPAA-conforme organisatie aan een extra persoon die ook algemeen gemachtigd is om toegang te krijgen tot HIPAA-informatie.
- de gedekte entiteit of zakenpartner te goeder trouw van mening is dat de onbevoegde persoon aan wie de ontoelaatbare openbaarmaking werd gedaan, de informatie niet zou hebben kunnen bewaren.
HIPAA compliance veranderde toen de HIPAA / HITECH Omnibus Final Rule in September 2013 in werking trad., Voorheen waren inbreuken volledig de verantwoordelijkheid van door HIPAA gedekte entiteiten (zorgverleners, plannen en datacommunicatie). Toen de American Recovery and Reinvestment Act (ARRA) werd aangenomen in 2009, was de titel XIII de Health Information Technology for Economic and Clinical Health Act (HITECH). HITECH verklaarde dat business associates (dienstverleners die omgaan met PHI) nu de verantwoordelijkheid voor de bescherming van informatie, samen met zorgorganisaties.
Het Voorkomen van HIPAA-inbreuken in een complex zorglandschap vereist meer dan routinematige risicobeoordelingen., De gedekte entiteiten moeten zorgen voor de implementatie van een sterk beleid voor het opzetten van beveiligingen, training, business associate agreements (BAAs) en andere elementen van een HIPAA-compliant, security centered ecosysteem.