27 listopada 2018 r.
reguła powiadamiania o naruszeniu przepisów HIPAA wymaga, aby podmioty objęte HIPAA i ich współpracownicy biznesowi powiadomili pacjentów i inne strony o naruszeniu niezabezpieczonych chronionych informacji zdrowotnych (PHI). Podobne przepisy wdrożone i egzekwowane przez Federalną Komisję Handlu (FTC) mają zastosowanie do sprzedawców osobistych kart zdrowia i ich dostawców usług stron trzecich.
naruszenie jest zdefiniowane w sekcji 164 HIPAA.,402, jak podkreślono w HIPAA Survival Guide, jako:
” nabycie, dostęp, wykorzystanie, lub ujawnienie chronionych informacji zdrowotnych w sposób niedozwolony, który narusza bezpieczeństwo lub Prywatność chronionych informacji zdrowotnych.,domniemywa się, że pewne chronione informacje zdrowotne stanowią naruszenie, chyba że podmiot objęty ochroną lub wspólnik biznesowy wykaże, że istnieje niskie prawdopodobieństwo, że PHI zostało naruszone na podstawie oceny ryzyka przynajmniej następujących czynników:
- charakter i zakres Phi, w tym rodzaje identyfikatorów i prawdopodobieństwo ponownej identyfikacji;
- nieautoryzowana osoba, która korzystała z PHI lub której ujawniono;
- czy PHI został faktycznie nabyty lub oglądany; i
- zakres, w jakim ryzyko dla Phi zostało ograniczone.,
badania Beazley wykazały, że głównym powodem naruszeń miało miejsce w 2017 było niezamierzone ujawnienie. Niezamierzone ujawnienie obejmuje wiadomość e-mail, która zawiera poufne dane zdrowotne i jest wysyłana do nieprawidłowego pacjenta lub incydent, w którym serwer jest przypadkowo skonfigurowany jako publicznie dostępny.
co nie jest uważane za naruszenie HIPAA?
zgodnie z wyjątkami określonymi w HHS.,jeśli:
- narażenie PHI było przypadkowe i Spowodowane niewłaściwym działaniem pracownika lub osoby wykonującej zadania w imieniu firmy zgodnej z HIPAA, o ile kompromis miał miejsce we właściwym organie, bez złych intencji i bez oczekiwania powtórzenia.,
- było to przypadkowe ujawnienie przez osobę, która ma ogólne upoważnienie (i szkolenie) do dostępu do PHI w organizacji zgodnej z HIPAA dodatkowej osobie, która jest również ogólnie upoważniona do dostępu do informacji HIPAA.
- podmiot objęty ubezpieczeniem lub podmiot powiązany w dobrej wierze uważa, że osoba nieupoważniona, której dokonano niedopuszczalnego ujawnienia, nie byłaby w stanie zachować tych informacji.
zgodność z HIPAA zmieniła się, gdy ostateczna zasada Omnibusa HIPAA / HITECH weszła w życie we wrześniu 2013 roku., Wcześniej za naruszenia odpowiedzialne były w całości podmioty objęte HIPAA (świadczeniodawcy, plany i centra przetwarzania danych). Kiedy w 2009 roku uchwalono American Recovery and Reinvestment Act (ARRA), jego tytuł XIII brzmiał Health Information Technology for Economic and Clinical Health Act (HITECH). HITECH stwierdził, że współpracownicy biznesowi (dostawcy usług obsługujący PHI) teraz przejmują odpowiedzialność za ochronę informacji wraz z organizacjami opieki zdrowotnej.
zapobieganie naruszeniom przepisów HIPAA w złożonym środowisku opieki zdrowotnej wymaga więcej niż rutynowej wymaganej oceny ryzyka., Podmioty objęte ochroną muszą zapewnić wdrażanie silnych polityk ustanawiania zabezpieczeń, szkoleń, umów stowarzyszonych w biznesie (BAAs) i innych elementów zgodnego z HIPAA, skoncentrowanego na bezpieczeństwie ekosystemu.