noiembrie 27, 2018
regula de notificare a încălcării HIPAA impune entităților acoperite de HIPAA și asociaților lor de afaceri să notifice pacienții și alte părți în urma unei încălcări a informațiilor de sănătate protejate negarantate (PHI). Dispoziții similare implementate și aplicate de Comisia Federală pentru comerț (FTC) se aplică furnizorilor de înregistrări medicale personale și furnizorilor de servicii terți.
o încălcare este definită în secțiunea HIPAA 164.,402, așa cum este evidențiat în ghidul de supraviețuire HIPAA, ca:
„achiziționarea, accesul, utilizarea sau dezvăluirea informațiilor de sănătate protejate într-un mod nepermis, care compromite securitatea sau confidențialitatea informațiilor de sănătate protejate.,sigur de informații medicale protejate se presupune a fi o încălcare excepția cazului în care entitatea acoperite sau partener de afaceri demonstrează că există o mică probabilitate ca PHI a fost compromis bazat pe o evaluare a riscului de cel puțin următorii factori:
- natura și amploarea PHI implicate, inclusiv tipuri de identificatori și probabilitatea de re-identificare;
- persoane neautorizate care au folosit PHI sau la care dezvăluirea a fost făcută;
- Dacă PHI a fost, de fapt, dobândite sau vizualizate; și
- măsura În care riscul pentru PHI a fost atenuate.,
cercetările de la Beazley au constatat că motivul principal pentru care au avut loc încălcări în 2017 a fost dezvăluirea neintenționată. Dezvăluirea neintenționată include un e-mail care conține date de sănătate confidențiale și este trimis pacientului incorect sau un incident în care un server este configurat neintenționat ca accesibil publicului.
ce nu este considerat o încălcare a HIPAA?
în conformitate cu excluderile specificate la HHS.,gov, NU ați suferit un HIPAA încălcare în cazul în care:
- expunerea PHI a fost accidentală și cauzat de o nepotrivite de acțiune de către un membru fortei de munca sau persoană care desfășoară activități pe numele HIPAA-conforme companie, atâta timp cât compromisul a avut loc în autoritatea corespunzătoare, fără intenții rele, și fără posibilitatea de repetare.,
- a fost o dezvăluire accidentală de către o persoană care are autorizație generală (și instruire) pentru a accesa PHI la o organizație conformă HIPAA către o persoană suplimentară care este, de asemenea, autorizată în general să acceseze informații HIPAA.
- entitatea acoperită sau asociatul de afaceri are convingerea de bună credință că persoana neautorizată căreia i-a fost făcută divulgarea nepermisă nu ar fi fost în măsură să păstreze informațiile.
conformitatea HIPAA s-a schimbat atunci când regula finală HIPAA/HITECH Omnibus a intrat în vigoare în septembrie 2013., Anterior, încălcările erau în întregime responsabilitatea entităților acoperite de HIPAA (furnizori de asistență medicală, planuri și case de compensare a datelor). Când legea americană de recuperare și Reinvestire (ARRA) a fost adoptată în 2009, titlul XIII a fost Tehnologia Informației în sănătate pentru Legea sănătății economice și clinice (HITECH). HITECH a declarat că asociații de afaceri (furnizorii de servicii care se ocupă de PHI) își asumă acum responsabilitatea pentru protecția informațiilor împreună cu organizațiile de asistență medicală.prevenirea încălcărilor HIPAA într-un peisaj complex de asistență medicală necesită mai mult decât evaluările de risc necesare de rutină., Entitățile acoperite trebuie să asigure punerea în aplicare a unor politici puternice pentru stabilirea protecției, formării, acordurilor de asociere în afaceri (BAAs) și a altor elemente ale unui ecosistem centrat pe securitate conform HIPAA.