Co to jest zgodność z HIPAA i dlaczego jest to ważne?

Co oznacza HIPAA?

Czym dokładnie jest HIPAA i co musisz zrobić jako firma, aby pozostać po właściwej stronie związanych z nią przepisów?

HIPAA oznacza ustawę o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych, uchwaloną przez Kongres w 1996 roku.

Od tego czasu HIPAA został zaktualizowany i oparty, w szczególności na ustawie HITECH z 2009 r. (Technologia informacyjna w zakresie zdrowia gospodarczego i klinicznego) oraz na podstawie zasady zbiorczej z 2013 r.

Wspólnie rozszerzyły one odpowiedzialność wobec Współpracowników Biznesowych i ich podwykonawców, a także zaostrzyły ochronę w zakresie wykorzystania PHI w zakresie marketingu i sprzedaży.

Chociaż ustawa HIPAA dotyczy wielu obszarów, w tym ubezpieczenia zdrowotnego dla osób tracących lub zmieniających pracę oraz przepisów związanych z podatkami, skupimy się głównie na tytule II ustawy, który dotyczy wymiany, bezpieczeństwa i prywatności danych dotyczących zdrowia oraz co dotyczy zdecydowanej większości firm, jeśli chodzi o zgodność.

Przejdźmy od razu i przejrzyjmy wszystko, co musisz wiedzieć o HIPAA i jakie są klucze do sukcesu dla zgodności z HIPAA.

Jaki jest cel HIPAA?

Jak właśnie zauważyliśmy, HIPAA ma kilka celów poza ochroną danych — w szczególności związanych z reformą prawa ubezpieczeń zdrowotnych.

Jednak dla większości organizacji badających HIPAA ich głównym celem jest wiedza, co muszą zrobić, aby zachować zgodność z jego przepisami i uniknąć kar wynikających z nieprzestrzegania przepisów.

Ten obszar HIPAA dotyczy ochrony danych i prywatności w związku z ujawnianiem i wykorzystywaniem chronionych informacji zdrowotnych lub PHI.

Zgodność z HIPAA i bezpieczeństwo PHI mają dziś kluczowe znaczenie dla organizacji zdrowotnych.

Kto musi przestrzegać HIPAA?

Podmioty, które muszą przestrzegać zgodności z HIPAA, są znane jako podmioty objęte.

Podmioty objęte to osoby lub firmy, które przechowują, obsługują i przetwarzają PHI.

Podmioty objęte, oprócz przestrzegania przepisów HIPAA, są również odpowiedzialne za zgłaszanie naruszeń z nim związanych.

Następujące osoby i organizacje stanowią podmioty objęte ubezpieczeniem:

Służby zdrowia

• Lekarze
• Kliniki
• Psychologowie
• Dentyści
• Kręgarze
• Domy opieki
• Apteki
• Plany zdrowotne

Towarzystwa Ubezpieczeń Zdrowotnych

• HMO
• Firmowe plany zdrowotne
• Plany opieki zdrowotnej zapewniane przez rząd

Biura rozliczeniowe opieki zdrowotnej

• Są to podmioty, które ułatwiają przetwarzanie niestandardowych informacji zdrowotnych na standardowe elementy danych. Są to faktycznie pośrednicy między świadczeniodawcami a płatnikami ubezpieczeń.

Współpracownicy biznesowi

• „Współpracownik biznesowy” tworzy, otrzymuje, przechowuje lub przekazuje chronione informacje zdrowotne (PHI) w imieniu podmiotu objętego ubezpieczeniem lub innego partnera biznesowego działającego jako podwykonawca.

Podwykonawcy

• Podwykonawca, który tworzy, przechowuje lub przekazuje chronione informacje zdrowotne (PHI) w imieniu partnera biznesowego, ma takie same obowiązki prawne jak partner biznesowy zgodnie z ustawą HIPAA. Innymi słowy, obowiązki prawne związane z prywatnością i bezpieczeństwem spływają „w dół” na podwykonawców wykonujących pracę dla partnera biznesowego.

Podmioty hybrydowe

• W ramach swojej działalności podmiot hybrydowy wykonuje zarówno funkcje objęte, jak i nieobjęte ustawą HIPAA. Duża korporacja, która ma samoubezpieczony plan zdrowotny dla swoich pracowników, może zdecydować się na traktowanie jako podmiot hybrydowy. Inne przykłady to uniwersytet z centrum medycznym lub sklep spożywczy z apteką.

Co obejmuje PHI?

Osobiste informacje zdrowotne (PHI) odnoszą się do wszelkich informacji demograficznych, które można wykorzystać do identyfikacji pacjenta, klienta lub innego podmiotu.

Istnieje 18 identyfikatorów, które zawierają informacje dotyczące zdrowia uznawane za PHI. To są:

1. Nazwy
2. Daty, z wyjątkiem roku
3. Dane geograficzne
4. Numery faksów
5. Numery ubezpieczenia społecznego
6. Adresy e-mail
7. Numery dokumentacji medycznej
8. Numery kont
9. Numery beneficjentów planu zdrowotnego
10. Numery certyfikatów/licencji
11. Identyfikatory pojazdów i numery seryjne, w tym numery tablic rejestracyjnych
12. Numery telefoniczne
13. Adresy internetowe
14. Identyfikatory urządzeń i numery seryjne
15. Adresy protokołu internetowego (IP)
16. Zdjęcia całej twarzy i obrazy porównywalne
17. Identyfikatory biometryczne (np. odciski palców)
18. Wszelkie cyfry lub kody, które jednoznacznie identyfikują kogoś

Są to rodzaje danych i informacji, które muszą być chronione, aby zachować zgodność z HIPAA.

Co jest uważane za naruszenie HIPAA?

Naruszenie HIPAA ma miejsce, gdy podmiot nie przestrzega zgodności z HIPAA, a istnieją dosłownie setki sposobów, w jakie osoby i organizacje mogą naruszyć zgodność z HIPAA.

Typowe naruszenia HIPAA zazwyczaj obejmują jedno z poniższych:

• Nieautoryzowane, niedopuszczalne lub niepotrzebne ujawnienie PHI
• Nieautoryzowany dostęp do PHI
• Nieprawidłowa utylizacja PHI
• Brak przeprowadzonej oceny ryzyka przez podmiot
• Brak zarządzania ryzykiem w zakresie PHI
• Brak zawarcia umowy zgodności HIPAA ze stronami trzecimi podczas zapewniania dostępu do PHI
• Niezapewnienie pracownikom świadomości bezpieczeństwa szkolenia HIPAA
• kradzież PHI
• Udostępnianie PHI bez uprzedniej zgody
• Niewłaściwa obsługa/nieuzasadniona wysyłka PHI
• Brak powiadomienia osoby o incydencie związanym z bezpieczeństwem obejmującym PHI w ciągu 60 dni od wykrycia naruszenia
• Brak dokumentacji protokołów zgodności, procedur i zarządzania

Co się stanie, jeśli naruszona zostanie zasada HIPAA?

Naruszenie HIPAA ma miejsce, gdy jakikolwiek aspekt standardów i przepisów HIPAA jest naruszony.

Pełne zestawienie wszystkich przepisów HIPAA, opublikowanych przez Departament Zdrowia i Usług Społecznych Biura Praw Obywatelskich, można znaleźć tutaj.

W przypadku zgłoszenia naruszenia podmiot objęty ubezpieczeniem podlega sankcjom cywilnym lub karnym – kary mogą się znacznie różnić w zależności od naruszenia.

Zazwyczaj Biuro Praw Obywatelskich (OCR) Departamentu Zdrowia i Opieki Społecznej Stanów Zjednoczonych prowadzi dochodzenie w sprawie naruszeń — i bada wszystkie podmioty objęte ubezpieczeniem, które zgłaszają naruszenia ponad 500 zapisów.

Jeśli OCR stwierdzi, że dana sprawa ma charakter karny, a nie cywilny, skieruje ją do Departamentu Sprawiedliwości.

W większości przypadków osoby fizyczne mogą spodziewać się zapłaty 100 USD za naruszenie; powtarzające się naruszenia mogą skutkować grzywną w wysokości do 25 000 USD.

W przypadkach, gdy osoby umyślnie lekceważą przepisy HIPAA i nie podjęły próby poprawienia swoich zasad i procedur, może zostać nałożona minimalna kara w wysokości 50 000 USD, maksymalnie do 1,5 miliona USD.

W sprawach karnych możliwe są mniejsze wyroki – 50 000 USD i do jednego roku więzienia – przy czym maksymalna grzywna to 250 000 USD i do 10 lat więzienia.

W przypadku postępowań cywilnych naruszenia są podzielone na poziomy, z których 4 to najpoważniejsze.

Są to:

• Poziom 1: naruszenie, o którym podmiot objęty planem nie był świadomy i którego nie mógł uniknąć.
• Poziom 2: naruszenie, o którym podmiot objęty ubezpieczeniem powinien był wiedzieć, ale którego nie mógł uniknąć.
• Poziom 3: Naruszenie, które nastąpiło bezpośrednio w wyniku umyślnego zaniedbania, ale gdy podjęto próbę naprawienia naruszenia.
• Poziom 4: Naruszenie stanowiące umyślne zaniedbanie, w którym nie podjęto próby naprawienia naruszenia.

Kary za niezgodność z HIPAA dla każdego poziomu są następujące:

• Poziom 1: Minimalna grzywna w wysokości 100 USD za naruszenie do 50 000 USD
• Poziom 2: Minimalna grzywna w wysokości 1000 USD za naruszenie do 50 000 USD
• Poziom 3: Minimalna grzywna w wysokości 10 000 USD za naruszenie do 50 000 USD
• Poziom 4: Minimalna grzywna w wysokości 50 000 USD

Postępowanie karne jest nieco inne, z trzema poziomami io wiele surowszymi karami niż postępowanie cywilne.

Są to:

• Poziom 1: Uzasadniona przyczyna lub brak wiedzy o naruszeniu
• Poziom 2: Uzyskiwanie PHI pod fałszywymi pretekstami
• Poziom 3: Uzyskiwanie PHI dla osobistych korzyści lub w złych zamiarach

Kary karne:

• Poziom 1: Do jednego (1) roku w więzieniu
• Poziom 2: Do pięciu (5) lat więzienia
• Poziom 3: Do 10 lat więzienia

Czy mogę mieć certyfikat HIPAA?

W chwili pisania tego tekstu nie ma czegoś takiego jak certyfikacja lub weryfikacja zgodności z HIPAA.

Strony trzecie mogą oferować formę „certyfikatu HIPAA”, ale nie ma oficjalnie zatwierdzonej lub obowiązkowej certyfikacji oferowanej przez HHS.

Nie ma standardu ani specyfikacji implementacji, która wymagałaby od podmiotu objętego „certyfikacją” zgodności. Norma oceny § 164.308(a)(8) wymaga, aby podmioty objęte ubezpieczeniem przeprowadzały okresową ocenę techniczną i nietechniczną, która określa stopień, w jakim polityki i procedury bezpieczeństwa podmiotu spełniają wymogi bezpieczeństwa. – Biuro Praw Obywatelskich (OCR)

Tak więc, chociaż nie ma certyfikacji HIPAA, wielu zewnętrznych dostawców usług MSSP może w razie potrzeby przeprowadzać okresowe oceny i zapewniać zgodność z HIPAA.

Kim jest oficer HIPAA?

Funkcjonariusz HIPAA jest oficerem ds. zgodności.

Niezależnie od tego, czy pracują wewnętrznie, czy są zatrudnieni jako strona trzecia, ich głównym zadaniem będzie zapewnienie zgodności z HIPAA poprzez upewnienie się, że Twoje protokoły bezpieczeństwa i prywatności dla danych PHI są prawidłowo egzekwowane.

W przypadkach, w których nie ma takiej polityki, urzędnik HIPAA będzie odpowiedzialny za opracowanie i wdrożenie planu zgodności dla osoby lub organizacji.

Będą wtedy odpowiedzialni za utrzymanie i monitorowanie programu, badanie i raportowanie, jeśli jest to prawnie konieczne, oraz zapewnienie, że dane pacjenta lub klienta są chronione zgodnie z wymogami prawa stanowego i federalnego.

Jaki jest klucz do sukcesu dla zgodności z HIPAA?

Jeśli czytałeś ten artykuł (lub przeglądałeś) i poczułeś, że twój puls trochę podskoczył, patrząc na kary za nieprzestrzeganie przepisów, nie martw się.

Nie trzeba wiele, aby upewnić się, że jesteś zgodny z HIPAA, ale z pewnością istnieją pewne klucze do sukcesu w zakresie zgodności z HIPAA, które organizacje powinny stosować.

Po pierwsze, powinieneś poszukać dostawcy zarządzanych usług bezpieczeństwa, który przeprowadza oceny HIPAA i przeprowadza audyt systemów pod kątem zgodności z HIPAA.

Po przeprowadzeniu oceny ryzyka będą mogli zalecić i przeprowadzić wdrożenia, których potrzebujesz, aby upewnić się, że robisz wszystko, co możliwe, aby zachować zgodność.

Co to jest ocena ryzyka HIPAA?

Powiązany post: Co się dzieje podczas audytu ryzyka cyberbezpieczeństwa?

Audyt zgodności z HIPAA to ocena przeprowadzana przez specjalistę ds. zgodności, która dokładnie wniknie w Twoje systemy i protokoły bezpieczeństwa.

Po pierwsze, będą musieli współpracować z Tobą w określeniu zakresu audytu – głównie związanego z Twoimi obowiązkami (w tym przypadku HIPAA jest głównym priorytetem, choć może być również konieczne zachowanie zgodności z innymi przepisami).

Następnie sporządzą harmonogram audytu i przejdą do następnego etapu; wykonanie. Ta część obejmuje skanowanie podatności, testy penetracyjne i analizę luk.

W przypadku oceny ryzyka zgodności z HIPAA niezbędna będzie analiza luk, ponieważ w tym miejscu specjalista ds. zgodności z HIPAA szczegółowo określi, co należy zrobić, aby zapewnić zgodność z przepisami HIPAA.

Po zakończeniu audytu zgodności z ustawą HIPAA specjalista ds. zgodności przedstawi swoje zalecenia, a Ty będziesz mógł jasno zrozumieć, co należy zrobić.

Możesz również skorzystać z tej okazji, aby przekazać wdrożenie tych zaleceń MSSP, w którym to przypadku możesz podpisać z nimi długoterminową umowę — pozwalającą na rozpoczęcie i prowadzenie firmy, podczas gdy dostawca zarządzanych usług bezpieczeństwa dba o zgodność .

Jeśli chcesz dowiedzieć się więcej o zgodności z ustawą HIPAA oraz o tym, co dostawca zarządzanych usług bezpieczeństwa może dla Ciebie zrobić, zajrzyj na naszą stronę dotyczącą usług zgodności.