Co je HIPAA? Rozsah, účel a jak dosáhnout souladu

Health Insurance Portability and Accountability Act (HIPAA) z roku 1996 je federální zákon, který vytvořil národní standardy pro ochranu citlivých zdravotních informací pacientů před zveřejněním bez vědomí nebo souhlasu pacienta. Přečtěte si více o tomto americkém předpisu a zjistěte, jak dosáhnout souladu.

V tomto článku se dozvíte: Co je HIPAA Účel HIPAA Rozsah HIPAA Pravidla HIPAA Práva jednotlivců Porušení HIPAA Jak zabezpečit data pro soulad s HIPAA Jak Safetica zabezpečí vaše data pro soulad s HIPAA Příběhy zákazníků: Jak Safetica pomáhá ve zdravotnictví

 

 

Co je HIPAA?

Health Insurance Portability and Accountability Act (HIPAA) byl primárně o řešení pojistného krytí pro jednotlivce, kteří jsou mezi zaměstnáními. Bez tohoto zákona by zaměstnanci čelili riziku ztráty pojistného krytí během období mezi zaměstnáními.

Dalším cílem bylo zajistit, aby všechna data byla řádně zabezpečena a aby k údajům o zdravotnictví neměly přístup žádné neoprávněné osoby.

HIPAA platí ve Spojených státech a je regulována Office for Civil Rights (OCR) Ministerstva zdravotnictví a sociálních služeb.

Účel HIPAA

HIPAA byla vytvořena s cílem modernizovat tok informací o zdravotnictví a zajistit, aby osobně identifikovatelné informace shromažďované ve zdravotnických a pojišťovacích společnostech byly chráněny před podvody a krádežemi a nemohly být zveřejněny bez souhlasu.

S informacemi o zdravotnictví pacientů se zachází citlivěji a mohou k nim rychle přistupovat různí poskytovatelé zdravotní péče. Předpisy HIPAA vyžadují, aby záznamy byly lépe zabezpečeny a chráněny před úniky. HIPAA Journal, skvělý zdroj pro informace o předpisech a souladu HIPAA, má komplexní kontrolní seznam pro společnosti během jejich cesty ke shodě.

Co jsou Chráněné zdravotní informace?

Jakákoli společnost nebo jednotlivec, který pracuje s Chráněnými zdravotními informacemi (PHI), musí být v souladu s HIPAA. PHI vznikají, když jsou jakákoli zdravotní data spojena s osobně identifikovatelnými informacemi, jako jsou následující:

Rozsah HIPAA

Existuje několik subjektů, které pravidelně pracují s Chráněnými zdravotními informacemi, a proto musí dodržovat Health Insurance Portability and Accountability Act:

• Poskytovatelé zdravotní péče
• Zdravotní plány
• Zdravotnické clearingové domy
• Obchodní partneři

Pravidla HIPAA

HIPAA Privacy Rule

Pravidlo o ochraně soukromí definuje, jak, kdy a za jakých okolností lze PHI použít a zveřejnit. Bez předchozího souhlasu pacienta je použití informací o pacientovi omezeno. Pacienti a jejich zástupci mohou získat kopii svých zdravotních záznamů a požadovat opravy v případě chyb.

HIPAA Security Rule

Pravidlo o zabezpečení stanoví standardy pro ochranu ePHI. Pravidlo o zabezpečení musí dodržovat každý, kdo pracuje s ePHI. Bezpečnostní úředníci a pověřenci pro ochranu soukromí musí provádět hodnocení rizik a audity, aby identifikovali jakékoli hrozby pro integritu PHI.

Breach Notification Rule

Ministerstvo zdravotnictví a sociálních služeb musí být informováno v případě úniku dat, stejně jako postižení jednotlivci. Pokud je v určité jurisdikci postiženo více než pět set pacientů, musí být vydána tisková zpráva v médiu pokrývajícím danou oblast.

Omnibus Rule

Omnibus Rule je součástí zákona HITECH Act (Health Information Technology for Economic and Clinical Health Act), který vstoupil v platnost v roce 2009 a byl vytvořen za účelem podpory používání elektronických zdravotních záznamů poskytovateli zdravotní péče.

Omnibus Rule zakazuje použití PHI pro marketingové nebo fundraisingové účely bez autorizace.

Enforcement Rule

Pravidlo o vymáhání se týká stanovení vhodné pokuty, když dojde k porušení. Pokuta může být nižší v případě nedbalosti; pokud však k porušení dojde z důvodu úmyslné nedbalosti, může být mnohem vyšší.

Práva jednotlivců

V rámci HIPAA Privacy Rule mají jednotlivci právní nárok vidět a obdržet kopie zdravotních informací.

Jednotlivci mají právo:

• Přistupovat k PHI
• Pozměnit PHI
• Požadovat omezení toho, kdo používá PHI a jak je zveřejněno
• Požadovat důvěrnou komunikaci
• Požadovat účetnictví zveřejnění
• Podat stížnost

I když mají pacienti právo přistupovat ke svým záznamům, některé typy informací jsou z práva na přístup vyloučeny. Vyloučeny jsou následující informace:

Vyloučené informace jsou následující:

• Záznamy o hodnocení nebo zlepšování kvality
• Záznamy o bezpečnostních činnostech
• Obchodní a manažerské záznamy
• Poznámky z psychoterapie
• Informace shromážděné pro použití v občanských, trestních nebo administrativních řízeních

Porušení HIPAA

K porušení HIPAA dochází, když subjekt HIPAA nebo obchodní partner nedodrží jakákoli pravidla HIPAA. Sankce za porušení HIPAA vydávají Office for Civil Rights (OCR) Ministerstva zdravotnictví a sociálních služeb a státní generální prokurátoři. HIPAA používá čtyři kategorie sankcí:

• Tier 1: Nedostatek znalostí

Krytý subjekt nebo obchodní partner nevěděl a nemohl rozumně vědět, že porušil HIPAA; proto se tomu nemohl vyhnout. Pokuta za takové porušení je 137—68 928 USD s ročním stropem 2 067 813 USD na stejné porušené ustanovení.

• Tier 2: Důvodná příčina

K porušení došlo z důvodu známé, ale rozumné příčiny, ne z důvodu úmyslné nedbalosti. Pokuta za takové porušení je 1 41—71 162 USD s ročním stropem 35 581 USD (na základě uvážení vymáhání OCR).

• Tier 3: Úmyslná nedbalost a opraveno do 30 dnů

Porušení vyplývá z úmyslné nedbalosti, ale problém byl rychle opraven (do 30 dnů). Pokuta za takové porušení je 14 232 – 71 162 USD s ročním stropem 355 808 USD.

• Tier 4: Úmyslná nedbalost a neopraveno do 30 dnů

Porušení vyplývá z úmyslné nedbalosti a zůstává neopraveno déle než 30 dnů. Pokuta za takové porušení je 71 162 – 2 134 831 USD s ročním stropem 2 134 831 USD.

Nejčastější rizika HIPAA

Vedení nezabezpečených záznamů

Zaměstnanci nechávají citlivé dokumenty na svých stolech nebo nepoužívají hesla pro přístup k digitálním datům. Ujistěte se, že je pracovní prostor zabezpečen a ve vaší společnosti se používají hesla.

Nešifrovaná data

Šifrování vašich dat není podle HIPAA povinné, ale je vysoce doporučeno. I když data uniknou, když jsou zašifrována, nelze k nim přistupovat bez autorizace.

Hackování nebo phishingové kampaně

Udržujte antivirový software aktuální, pravidelně měňte hesla a používejte řešení DLP k ochraně dat před úniky.

Ztráta nebo krádež zařízení

Cenná zařízení mohou být ztracena ve zlomku okamžiku. Zašifrujte svá data, aby k nim i v případě ztráty zařízení nemohl přistupovat nikdo neoprávněný.

Sdílení PHI

Vždy mějte na paměti, že lidé rádi mluví. Velmi často si zaměstnanci ani neuvědomují, že si mezi sebou sdíleli citlivé informace. Vzdělávejte je o nakládání s citlivými daty a zajistěte, aby k datům mohly přistupovat pouze oprávněné osoby.

Nedostatek školení zaměstnanců

Zaměstnanci si možná ani neuvědomují, že pracují s PHI, a porušení může být škodlivé jak pro společnost, tak pro pacienty. Vzdělávejte je pravidelně a zajistěte, aby rozuměli, co PHI a HIPAA jsou, a důsledkům porušení.

Neoprávněný přístup

Zaměstnanci, kteří nejsou oprávněni zpracovávat citlivé informace, k nim stále mohou přistupovat a procházet dokumenty. Nastavte správné bezpečnostní zásady a zajistěte, aby si jich vaši zaměstnanci byli vědomi.

Interní hrozby ve zdravotnictví

Jak je vidět výše, porušení často vyplývají z chyb zaměstnanců, ať už ztratí zařízení, kliknou na phishingovou kampaň nebo si jen povídají se svými kolegy o pacientech. K porušení HIPAA může dojít snadno. Interní hrozby mohou být buď neúmyslné, nebo zlomyslné. 56 % incidentů s interními hrozbami je však způsobeno nedbalostními zaměstnanci.

A podle Ponemon Institute průměrné celkové náklady na únik dat pro zdravotnické společnosti vzrostly o 29 % na 9,23 milionu USD. Zdravotnictví a farmacie patří mezi odvětví s nejvyššími ročními náklady na interní hrozby, přesahující 10 milionů USD ročně (Ponemon Institute, 2022).

Přečtěte si zde více o interních hrozbách.

Jak zabezpečit data pro soulad s HIPAA?

1. Přijměte bezpečnostní zásady a definujte oprávněné zaměstnance pro přístup k vašim PHI.
2. Použijte řešení DLP k ochraně dat před interními hrozbami a k vynucování bezpečnostních zásad.
3. Vzdělávejte své zaměstnance pravidelně.
4. Zabezpečte své pracoviště a přijměte zásady, jak pracovat s citlivými dokumenty.

Spojte se s námi

Jak Safetica zabezpečí vaše data pro soulad s HIPAA?

1. Safetica šifruje vaše data a chrání je v případě ztráty nebo krádeže zařízení.
2. Safetica je řešení DLP, které chrání vaše data před interními hrozbami. Definujte, které operace mohou být rizikové, a blokujte je nebo nechte Safetica upozorňovat vás a vaše zaměstnance na potenciální rizika.
3. Se Safetica je snadné přijmout bezpečnostní zásady a definovat oprávněné zaměstnance, kteří mohou pracovat s PHI. Můžete nastavit své bezpečnostní zásady a monitorovat, zda jsou citlivá data vaší společnosti zneužívána, a povolit přístup pouze oprávněným osobám.
4. Vzdělávejte své zaměstnance pravidelně. Safetica upozorňuje vaše zaměstnance v případě rizikových operací, takže jsou více informováni o zabezpečení dat.
5. Zabezpečte své pracoviště a přijměte zásady, jak pracovat s citlivými dokumenty. Safetica provádí bezpečnostní audity a poskytuje vám pravidelné reporty, které vám umožňují upravovat bezpečnostní zásady.

Příběhy zákazníků:
Jak Safetica pomáhá ve zdravotnictví

Klinika Gyncentrum chrání citlivá data svých klientů se Safetica. Přečtěte si více zde.

Náš personál, jak administrativní, tak lékařský, má denně přístup k citlivým údajům našich pacientů. Jsou to osobní a lékařské informace, výsledky vyšetření a psychologická hodnocení. Díky Safetica mohu jako osoba odpovědná za ochranu dat na klinice rozhodovat, kdo má přístup, jak jsou data zpracovávána a zda mohou být sdílena se třetími stranami či nikoli. Aktivity zaměstnanců jsou hlášeny a údaje pacientů chráněny.

Říká Paweł Czerwiński, majitel Gyncentrum.