November 27, 2018
Die HIPAA Breach Notification Rule verpflichtet HIPAA-Covered Entities und ihre Geschäftspartner, Patienten und andere Parteien nach einem Verstoß gegen ungesicherte geschützte Gesundheitsinformationen (PHI) zu benachrichtigen. Ähnliche Bestimmungen, die von der Federal Trade Commission (FTC) umgesetzt und durchgesetzt werden, gelten für Anbieter persönlicher Gesundheitsakten und deren Drittanbieter.
Ein Verstoß ist in HIPAA Abschnitt 164 definiert.,402, wie im HIPAA Survival Guide hervorgehoben, als:
“ Erwerb, Zugriff, Verwendung oder Offenlegung geschützter Gesundheitsinformationen auf eine Weise, die nicht zulässig ist und die Sicherheit oder Privatsphäre der geschützten Gesundheitsinformationen beeinträchtigt.,der Schutz geschützter Gesundheitsinformationen wird als Verstoß vermutet, es sei denn, das abgedeckte Unternehmen oder Geschäftspartner weist nach, dass eine geringe Wahrscheinlichkeit besteht, dass der PHI aufgrund einer Risikobewertung von mindestens folgenden Faktoren kompromittiert wurde:
- Die Art und das Ausmaß des PHI, einschließlich der Arten von Kennungen und der Wahrscheinlichkeit einer erneuten Identifizierung;
- Die unbefugte Person, die den PHI verwendet hat oder an die die Offenlegung vorgenommen wurde;
- Ob der PHI tatsächlich erworben oder angesehen wurde; und
- zu dem das Risiko für die PHI gemildert wurde.,
Untersuchungen von Beazley ergaben, dass der Hauptgrund für Verstöße im Jahr 2017 die unbeabsichtigte Offenlegung war. Unbeabsichtigte Offenlegung umfasst eine E-Mail, die vertrauliche Gesundheitsdaten enthält und an den falschen Patienten gesendet wird, oder einen Vorfall, bei dem ein Server unbeabsichtigt als öffentlich zugänglich konfiguriert ist.
Was gilt NICHT als HIPAA-Verstoß?
Gemäß Ausschlüssen, die bei HHS angegeben sind.,gov, Sie haben KEINEN HIPAA-Verstoß erlitten, wenn:
- Die Exposition von PHI zufällig war und durch eine unangemessene Handlung eines Mitarbeiters oder einer Person verursacht wurde, die Aufgaben im Namen des HIPAA-konformen Unternehmens ausführte, solange der Kompromiss innerhalb der richtigen Behörde erfolgte, ohne schlechte Absichten und ohne die Erwartung einer Wiederholung.,
- Es war eine versehentliche Offenlegung durch eine Person, die über eine allgemeine Berechtigung (und Schulung) für den Zugriff auf PHI in einer HIPAA-konformen Organisation verfügt, an eine zusätzliche Person, die im Allgemeinen auch zum Zugriff auf HIPAA-Informationen berechtigt ist.
- Die abgedeckte Stelle oder der Geschäftspartner ist in gutem Glauben davon überzeugt, dass die unbefugte Person, an die die unzulässige Offenlegung vorgenommen wurde, die Informationen nicht aufbewahren konnte.
Einhaltung der HIPAA-Vorschriften geändert werden, wenn die HIPAA/HITECH Omnibus Letzte Regel, die in Kraft trat im September 2013., Zuvor lagen Verstöße vollständig in der Verantwortung von HIPAA-gedeckten Stellen (Gesundheitsdienstleister, Pläne und Datenclearinghouses). Als der American Recovery and Reinvestment Act (ARRA) 2009 verabschiedet wurde, war sein Titel XIII der Health Information Technology for Economic and Clinical Health Act (HITECH). HITECH erklärte, dass Geschäftspartner (Dienstleister, die mit PHI umgehen) jetzt zusammen mit Gesundheitsorganisationen die Verantwortung für den Informationsschutz übernehmen.
Die Verhinderung von HIPAA-Verletzungen in einer komplexen Gesundheitslandschaft erfordert mehr als routinemäßige Risikobewertungen., Abgedeckte Stellen müssen die Umsetzung strenger Richtlinien für die Einrichtung von Schutz -, Schulungs -, Business Associate Agreements (BaaS) und anderen Elementen eines HIPAA-konformen, sicherheitszentrierten Ökosystems sicherstellen.