November 27, 2018
Anmälningsregeln för HIPAA-brott kräver att HIPAA-täckta enheter och deras affärsbekanta meddelar patienter och andra parter efter ett brott mot skyddad hälsoinformation (PHI). Liknande bestämmelser som genomförts och verkställts av Federal Trade Commission (FTC) gäller för leverantörer av personliga hälsoregister och deras tredjepartsleverantörer.
ett brott definieras i HIPAA avsnitt 164.,402, vilket framhålls i HIPAA Survival Guide, som:
” förvärv, åtkomst, användning eller utlämnande av skyddad hälsoinformation på ett sätt som inte är tillåtet vilket äventyrar den skyddade hälsoinformationens säkerhet eller integritet.,säker på skyddad hälsoinformation antas vara ett brott om inte den täckta enheten eller affärspartnern visar att det finns en låg sannolikhet för att PHI har äventyrats på grundval av en riskbedömning av åtminstone följande faktorer:
- arten och omfattningen av den berörda PHI, inklusive typerna av identifierare och sannolikheten för återidentifiering;
- den obehöriga person som använde PHI eller till vilken utlämnandet gjordes;
- Om PHI faktiskt förvärvades eller betraktades; och
- omfattningen av till vilken risken för Phi har mildrats.,
forskning från Beazley fann att den främsta orsaken överträdelser inträffade i 2017 var oavsiktlig avslöjande. Oavsiktligt avslöjande innehåller ett e-postmeddelande som har konfidentiella hälsodata i det och skickas till den felaktiga patienten eller en incident där en server oavsiktligt konfigureras som offentligt tillgänglig.
vad anses inte vara ett HIPAA-brott?
enligt undantag som anges vid HHS.,gov, du har inte lidit en HIPAA-överträdelse om:
- exponeringen av PHI var oavsiktlig och orsakades av en olämplig åtgärd av en anställd eller individ som utför uppgifter på uppdrag av HIPAA-kompatibelt företag, så länge kompromissen inträffade inom den korrekta myndigheten, utan dåliga avsikter och utan förväntan om upprepning.,
- Det var en oavsiktlig avslöjande av en person som har allmän behörighet (och utbildning) för att få tillgång till PHI i en HIPAA-kompatibel organisation till en ytterligare individ som också är generellt behörig att få tillgång till HIPAA-information.
- den täckta enheten eller affärspartnern har en god tro på att den obehöriga person till vilken det otillåtna utlämnandet gjordes inte skulle ha kunnat behålla informationen.
HIPAA-överensstämmelse ändrades när HIPAA / HITECH Omnibus slutliga regel trädde i kraft i September 2013., Tidigare var överträdelser helt och hållet HIPAA-täckta enheters ansvar (vårdgivare, planer och data Clearinghouse). När American Recovery and Reinvestment Act (ARRA) antogs i 2009, dess Avdelning XIII var Hälso-och informationsteknik för Ekonomiska och Kliniska Hälso-och sjukvårdslag (HITECH). HITECH uppgav att business associates (tjänsteleverantörer som hanterar PHI) Nu tar ansvar för informationsskydd tillsammans med hälso-och sjukvårdsorganisationer.
För att förhindra HIPAA-överträdelser i ett komplext vårdlandskap krävs mer än rutinmässiga riskbedömningar., Täckta enheter måste säkerställa genomförandet av en stark politik för inrättande av skydd, utbildning, affärsassocierade avtal (BAAs) och andra delar av ett HIPAA-kompatibelt, säkerhetscentrerat ekosystem.