De Wet draagbaarheid en verantwoording zorgverzekering is sinds 1996 van kracht. Het vereiste de ontwikkeling van nationale normen om de privacy van patiënten te waarborgen. Volgens deze federale wet mag de beschermde gezondheidsinformatie (PHI) van een patiënt niet worden gedeeld of gebruikt zonder hun medeweten of toestemming.
Wetten zo groot en complex als de HIPAA zullen problemen tegenkomen. HIPAA-schendingen worden verwacht en onvermijdelijk. Zelfs de meest competente faciliteit of hoog opgeleid personeel zal fouten maken. Kleine overtredingen horen bij het parcours en worden snel opgelost.
Een datalek is een andere zaak. In een rapport staat dat tussen 250 en 2005 ongeveer 2019 miljoen Amerikanen zijn getroffen door beveiligingsinbreuken. Schendingen als gevolg van menselijke fouten en gebrek aan training kunnen ook ernstige problemen veroorzaken voor zorgorganisaties en patiënten.
HIPAA-schendingen Kan vermeden worden. In dit artikel worden de veelgestelde vragen over HIPAA-schendingen besproken. De verstrekte informatie zal hopelijk bedrijven helpen HIPAA-compliant te zijn.
Wat is een HIPAA-overtreding?
Een HIPAA-overtreding is het nalaten van een gedekte entiteit of zakenpartner om de HIPAA-regels te volgen. De normen en bepalingen voor deze wet worden uitgelegd in 45 CFR delen 160, 162 en 164.
HIPAA-schendingen doen zich voornamelijk voor wanneer het verzamelen, openen, gebruiken, delen of bespreken van beschermde gezondheidsinformatie ertoe leidt dat de patiënt gevaar loopt.
De HIPAA heeft verschillende specifieke regels die elke zorgorganisatie, werknemer en zakenpartner moet leren en naleven. Dit zijn:
- HIPAA Privacyregel
- HIPAA-beveiligingsregel
- HIPAA handhavingsregel
- HITECH-wet
- HIPAA-omnibusregel
Wat zijn de meest voorkomende overtredingen?
HIPAA-overtredingen variëren. De meest voorkomende betreft het gebruik en de openbaarmaking van PHI. Maar er zijn andere overtredingen die een zakenpartner of gedekte entiteit kan begaan. Hier zijn voorbeelden van veelvoorkomende HIPAA-overtredingen:
- Ongepaste toegang, openbaarmaking of gebruik van persoonlijke gezondheidsinformatie
- Ongeautoriseerde PHI-toegang
- Verkeerde verwijdering van PHI
- Het niet uitvoeren van de juiste risicoanalyses
- Geen toezicht houden op de risico's voor de beschikbaarheid, vertrouwelijkheid en integriteit van PHI
- Het niet implementeren van preventieve maatregelen om de beschikbaarheid, vertrouwelijkheid en integriteit van PHI . te waarborgen
- Het niet controleren en onderhouden van toegangslogboeken tot PHI
- Er niet in slagen om een HIPAA-conforme Business Associate Agreement (BAA) te verkrijgen voordat PHI wordt gedeeld
- Patiënten geen boekhouding geven van de gevraagde openbaarmakingen
- Het niet beëindigen van de toegangsrechten van werknemers tot PHI wanneer ze niet langer bij het bedrijf zijn
- Het niet geven van verplichte training voor beveiligingsbewustzijn
- PHU delen op sociale media zonder schriftelijke toestemming van de patiënt
- Niet-versleutelde PHI . sms'en
- Kan PHI . niet versleutelen
Wat gebeurt er als een bedrijf/individuen de HIPAA-regels overtreden?
Wat er gebeurt als iemand de HIPAA-regels overtreedt, hangt af van het type overtreding en de ernst ervan. Er zijn vier mogelijke gevolgen:
- Het bedrijf zal de overtreding intern afhandelen.
- Het contract van de overtreder wordt ontbonden.
- Het bedrijf of de werknemer wordt gesanctioneerd door professionele raden.
- Het bedrijf of de werknemer wordt strafrechtelijk vervolgd. Het onderzoek naar de overtreding kan leiden tot boetes of gevangenisstraf.
Verschillende factoren zullen de gevolgen van HIPAA-overtredingen bepalen. De betrokken organisatie, federale toezichthouders, professionele raden, het Office of Civil Rights (OCR) en het ministerie van Justitie zullen het volgende in overweging nemen:
- Aard van de HIPAA-overtreding
- Of er een duidelijke indicatie is dat de HIPAA-regels zijn geschonden of dat uit onderzoek is gebleken dat er een overtreding heeft plaatsgevonden?
- Er wordt actie ondernomen om de fout te corrigeren
- Bewijs dat de overtreding van de HIPAA-regels is gedaan met kwade bedoelingen of voor persoonlijk gewin
- Bewijs van de schade veroorzaakt door de overtreding
- Aantal mensen dat getroffen is door de HIPAA-schending
- Bewijs van schending van de strafrechtelijke bepalingen van HIPAA
Als handhavend orgaan voor HIPAA zal de OCR de vermeende HIPAA-schendingen onderzoeken, zoals gerapporteerd door zorgorganisaties en patiënten. De afdeling onderzoekt ook klachten tegen Covered Entities. Ook de rijksadvocaten kunnen meldingen van datalekken onderzoeken.
Wat zijn de straffen voor HIPAA-overtredingen?
HIPAA-schendingen vallen onder twee categorieën - civiel of strafrechtelijk. Elke categorie heeft zijn strafstructuur.
- Civiele sancties: deze zijn van toepassing op gevallen waarin de overtreding plaatsvond zonder kwade bedoelingen. De werknemer wist bijvoorbeeld niet dat zijn actie verkeerd was. Ook fouten veroorzaakt door onzorgvuldigheid of nalatigheid vallen onder deze strafstructuur. Dit kan het individu overal van $ 100 tot $ 50,000 aan boetes kosten.
- Strafrechtelijke sancties: HIPAA-overtredingen met kwade bedoelingen vallen onder deze categorie. Een persoon die willens en wetens toegang heeft tot PHI en deze deelt, kan een boete van $ 50,000 krijgen en een gevangenisstraf van een jaar krijgen. De straf voor overtredingen voor persoonlijk gewin, zoals het verkopen van PHI, kan $ 250,000 aan boetes en een gevangenisstraf van 10 jaar zijn.
Bron: Plato Data Intelligence: PlatoData.io
