你知道如何处理HIPAA漏洞吗?

在电子健康记录、基于云的存储和IT黑客不断增长的世界中,知道如何处理受保护的健康信息(PHI)的泄露是至关重要的。

符合HIPAA下涵盖实体定义的个人,组织和机构必须符合保护保健信息隐私和安全的要求。卫生计划,如医疗保险公司或医疗保险和医疗补助等政府计划,符合有关实体。卫生保健提供者,如医生,诊所,牙医,脊椎治疗师和药剂师,如果他们以电子方式提交索赔或其他信息以开展与医疗保健有关的财务或行政活动,也有资格。

对于影响超过500人的违规行为,涵盖的实体,例如医生办公室,必须在没有不合理的延迟的情况下调查和报告违约,并且在发现违约后的60个日历日之后。如果它未能这样做,可能会受到HIPAA罚款。民权办公室刚刚解决了伊利诺伊最大的综合卫生系统之一的危机卫生一年的第一次案件,以“不合理的延误”报告HIPAA违约。该报告迟到了45天。罚款为475,000美元。

HIPAA违规通知规则要求涵盖的实体通知个人,如果违规涉及超过500人,则报告违反HHS和当地媒体,而不进行不合理的延误,并且在发现违约后的60个日历日之后。每天发生单独的HIPAA违规,所涵盖的实体未能在截止日期之后报告漏洞。

我们可以从Presence Health的失误中学到宝贵的一课:被覆盖的实体必须认真对待报告的最后期限。为通知受影响的个人,违反必须不得无故延误,且不得迟于发现违约后60个日历天报告。如果涉及500或500以上个人,则被覆盖实体必须在通知受影响的人的同时通知卫生和公众服务部。如果泄密涉及的个人少于500人,受保护实体可等到不迟于历年结束后60天才通知HHS。如果一个州的居民超过500人,被覆盖的实体必须在通知受影响个人的同时通知当地媒体。对覆盖实体有一个重要的澄清:60天的时间段从覆盖实体的任何员工(违反行为的人除外)知道或通过合理的努力应该知道发生了违反行为开始。

此外,当我们在讨论这个话题时,请允许我们提醒您一些避免HIPPA错误的最佳实践:

  1. 更新你的政策。被覆盖的实体应采用、实施、修订和更新您的政策和程序,以便及时和充分地通知HHS、个人和媒体违规。为避免内部误解,覆盖实体应确保这些政策和程序明确定义员工的角色和责任,包括以下人员:1)完成潜在违规风险评估;2)接收潜在违规相关报告并采取行动;3)准备并向个人发送通知;卫生与公众服务部和媒体不得无故拖延,并在规则规定的时间范围内,4)至少每年更新政策和程序。
  2. 训练你的员工。根据您更新的政策和程序提供年度和持续的培训是优先事项。最好至少每年为所有现有和新员工提供培训。这类培训应该是全面的,包括关于什么构成了违规,快速报告和对潜在违规报告采取行动的重要性的信息,并确定应向谁提供此类报告的关键人员。
  3. 激励员工的合规。对劳动力成员的制裁(例如,培训,赔偿/奖金影响和/或终止)实施有关HIPAA相关政策和程序,以确保雇员适当地激励遵守。因此,请确保您不仅仅是有政策和程序,而是对未能遵守的工作人员施加制裁。
  4. 准备并练习您的游戏计划。一旦你得知有人被入侵,时间就开始滴答作响,所以最好尽快做好准备投入行动。通知流程需要完成多项任务,比如调查违规行为、分析监管要求的任何变化、追踪受影响个人的姓名和地址、与相关决策者沟通和协调、设立呼叫中心回答数据主体的问题、准备和邮寄通知。因此,最佳实践是准备好事故响应计划;一个战斗计划。在发现和报告违规行为时,尽可能地落实和实践你的协调和沟通策略。这样的练习对您来说是确保您已经定义了时间表、协调的团队成员以及对法规遵循需求的全面认识的重要方法。

有关问题,请联系:

梅根霍普夫|律师
2105 Coronado St |爱达荷瀑布,ID 83404
(208) 523-5171 | mhopfer@beardstclair.com

本文旨在提供有关相关法律主题的一般信息。所作的陈述仅供教育用途。它们并不构成法律建议,也不一定反映Beard St. Clair Gaffney PA或其除作者以外的任何律师的观点。188金宝搏链接金宝搏188亚洲体育188体育官网网这条新闻更新并不打算在你和比尔德·圣克莱尔·加夫尼之间建立律师-客户关系。188金宝搏链接金宝搏188亚洲体育188体育官网网如果你对在你的活动中适用法律有具体问题,你应该寻求你的法律顾问的建议。