Index · Nachrichten · Wo ist die Zukunft der HIPAA-Vollstreckung?

Wo ist die Zukunft der HIPAA-Vollstreckung?

2018-12-08 0
   
Advertisement
résuméDie Vollstreckungsaktivitäten im Rahmen der HIPAA Sicherheitsregel haben in den letzten Jahren Dampf gewonnen. HIPAA schafft verschiedene Datenschutz-, Informationssicherheit und verletzt Notifizierungsanforderungen für Gesundheitsdienstleister und a
Advertisement

Wo ist die Zukunft der HIPAA-Vollstreckung?

Die Vollstreckungsaktivitäten im Rahmen der HIPAA Sicherheitsregel haben in den letzten Jahren Dampf gewonnen. HIPAA schafft verschiedene Datenschutz-, Informationssicherheit und verletzt Notifizierungsanforderungen für Gesundheitsdienstleister und andere abgedeckte Unternehmen. In seinen frühen HIPAA-Vollstreckungstagen konzentrierte sich das Amt für Bürgerrechte der Abteilung für Gesundheit und menschliche Dienste (OCR) in der Regel auf die HIPAA-Datenschutzregel, doch in den vergangenen Jahren wurde auch der Schwerpunkt auf die Sicherheitsregelungen gesetzt. Dieser Artikel bietet einige kurze Gedanken zu den sicherheitsregelbezogenen Abrechnungsvereinbarungen, die die OCR in letzter Zeit eingegangen ist und was sie für die Zukunft der HIPAA-Durchsetzung angeben könnten.

Seit Januar 2016 hat die OCR in mindestens zwölf Angelegenheiten, die die Sicherheitsregel einbeziehen, Beschlussvereinbarungen mit den Absichtserklärungen (CAPs), den Anbietern und anderen Personen eingeleitet. Es hat auch eine Zivil-Geldstrafe auf eine Einheit verhängt. Die meisten dieser Fälle beinhalten gestohlene, unverschlüsselte Laptop-Computer (mindestens sechs Fälle), mobile Geräte wie iPads oder iPhones, Bürocomputer oder tragbare Speichergeräte.

Eine kleinere Anzahl dieser Fälle beinhaltet einen unbefugten Zugriff auf Informationsnetze durch Dritte oder Mitarbeiter, Malware-Infektionen, den Verlust von Backup-Bändern oder Berichte mit medizinischen Informationen, die im Internet öffentlich zugänglich sind. (Einige dieser Fälle beinhalten mehr als einen Bruch.) Zu den beteiligten Unternehmen gehören Krankenhäuser, akademische medizinische Zentren, ein drahtloser Gesundheitsdienstleister, eine Lebensversicherungsgesellschaft und ein föderal qualifiziertes Gesundheitszentrum. Die Geldbußen auferlegt reichen von $ 400.000 bis $ 5.55.000.000, mit den bescheideneren Geldstrafen oft auf Entitäten von begrenzten finanziellen Mittel erhoben werden.

Werbung

Vor allem, während die zugrunde liegenden Tatsachen dieser Fälle etwas variieren, ihre CAPs nicht. Alle 12 der CAPs haben sich auf die Verpflichtung aus der Sicherheitsregel gesetzt, einen jährlichen Risikoanalyse- und Risikomanagementplan durchzuführen. Die CAP beschreibt diese Verpflichtung in expansiver Hinsicht. Es könnte eine Voraussetzung für eine "umfassende und gründliche Risikoanalyse der potenziellen Risiken und Schwachstellen für die Vertraulichkeit, Integrität und Verfügbarkeit von" elektronischen geschützten Gesundheitsinformationen (ePHI) auf allen elektronischen Geräten, Datensystemen und Anwendungen kontrolliert, verwaltet werden Oder im Besitz der Entität, die ePHI enthalten, speichern, übertragen oder empfangen. Es erfordert in der Regel, dass das Unternehmen zuerst

Die CAP verlangt in der Regel, dass das Unternehmen zunächst ein vollständiges Inventar aller seiner Einrichtungen, elektronischen Geräte, Datensysteme und Anwendungen entwickelt, die ePHI enthalten oder speichern, die dann in die "Risikoanalyse" aufgenommen werden. Es beauftragt das Unternehmen, entweder eine Risikoanalyse durchzuführen oder die bestehende (unzureichende), typischerweise nach einer Zeitleiste, zu verbessern und stets der Überprüfung und Genehmigung von HHS zu unterziehen. Ebenso verlangen alle 12 CAPs das Unternehmen, einen unternehmensweiten Risikomanagementplan zu entwickeln und umzusetzen oder zu erweitern, um Sicherheitsanfälligkeiten in der Risikoanalyse zu adressieren und zu mildern, die wiederum der Überprüfung und Genehmigung von HHS unterliegen. Der Risikoanalyse- und Risikominderungsplan muss typischerweise jährlich überprüft und in Reaktion auf etwaige "umwelt- oder operative" Änderungen aktualisiert werden, die die Sicherheit des ePHI beeinträchtigen.

Es ist zu sagen, dass nicht eine einzige Risikoanalyse oder Risikominderung Plan in diesen Fällen überprüft wurde festgestellt, um regulatorischen muster passieren. Dies unterstreicht sicherlich die Beobachtung der OCR, dass sie den Risikoanalyse- und Risikominderungsplan als "Eckpfeiler der HIPAA-Sicherheitsregel" betrachtet. Außerdem signalisiert es, dass alle Anbieter, noch kleinere, ihre Risikobewertungen und ihr Risikomanagement genau verfolgen sollten Pläne; Sie regelmäßig und in einer sinnvollen, nicht flüchtigen Weise führen; Und dokumentieren sie entsprechend.

Richtlinienrevision

Ein weiteres wiederkehrendes Thema in diesen CAPs ist eine politische Revision. Alle 12 CAPs erfordern das Unternehmen, entweder neue Politiken zu entwickeln oder bestehende (unzureichende) zu überarbeiten. Viele weisen ausdrücklich die Entität an, die Policen zu verteilen und hochzuladen, ihre Mitarbeiter zu schulen und sie regelmäßig zu überprüfen. In manchen Fällen ist die Anforderung weitgehend formuliert, obwohl in anderen Fällen die OCR zahlreiche spezifische Themenbereiche (in einem Fall 15) vorlegt, in denen das Unternehmen eine Politik prüfen oder entwickeln muss.

Dieser Fokus auf die Politik ist auch bemerkenswert. Es signalisiert, dass die OCR Gewicht auf die zahlreichen Richtlinien- und Verfahrensanforderungen von HIPAA legt, bei der sorgfältigen Umsetzung und Schulung von Mitarbeitern auf ihnen und bei der Sicherstellung und Dokumentation der Einhaltung von ihnen. Darüber hinaus, und wie die Betonung auf Risikoanalysen und Risikominimierung Pläne, schlägt es vor, dass, sobald die OCR eine Sicherheitsregel-bezogene Untersuchung durchführt, es "die Kapuze offen lässt" und sieht weit herum, untersucht und verhängt Sanierung in Bezug auf eine Breite Palette von Sicherheitsregelanforderungen, auch wenn die technische Ursache des fraglichen Sicherheitsvorfalls schmal ist.

Foto: turk_stock_photographer, Getty Images

TOP

  • Day/
  • Week/
  • Original/
  • Recommand

Updated

  • Der reale Wert der Bio-Lebensmittel

    Der reale Wert der Bio-Lebensmittel
    Foto von cogdogblog / Flickr CC Vor ein paar Wochen der Food Standards Agency des Vereinigten Königreichs einen Bericht veröffentlicht Schluss , dass Bio - Lebensmittel war nicht gesünder als konventionell erzeugte Lebensmittel. Die Befürworter von B
  • Bronchitis - Hat jemand Bronchiektasen und wenn ja, wie wird sie behandeln?

    Ich kaufte vor kurzem Talsical aber Angst, es zu nehmen, wie es aus Pakistan kamen und nicht Dänemark, wo es basiert ... sah auch eine Website im Internet sagen, dass es ein Betrug ist. Hat jemand Erfahrung mit diesem? Ich nehme auch Nebilet für mein
  • Wo haben Sie die Iressa?

    Mir wurde gesagt, dass Iressa nicht in den USA zugelassen ist, so würde ich gerne wissen, ob Ihr Arzt verschrieben oder wenn sie dich zu jemand bezeichnet. ----schneiden---- In Antwort auf die Marvell bei 2010-09-21 14.25 Tatsächlich entsprechend den
  • Hat jemand juckende, während auf Pristiq fühlen?

    Ich habe für etwa einen Monat jetzt auf 50 mg Pristiq gewesen für Angst ... meine Haut war so juckende Ich fühle mich fast wie ein "Schlange bereit zu vergießen" ... ----schneiden---- In Antwort auf jk13 bei 2011-01-06 22.17 Nee. Nichts für mich
  • Der Aufbau Akron Medizinprodukte-Industrie: Q & A mit Brian Davis

    Der Aufbau Akron Medizinprodukte-Industrie: Q & A mit Brian Davis
    Brian Davis Sie nicht die Austen Bioinnovation Institute in Akron (ABIA) an Ehrgeiz fehlt beschuldigen. Die ABIA, die im Jahr 2008 gegründet wurde , die Region Innovation im Gesundheitswesen zu stärken, hat es ein Ziel , innerhalb von 10 Jahren zu br
  • Cleveland Clinic Regierungschef sieht raue Gewässer im Jahr 2009

    Cleveland Clinic Regierungschef sieht raue Gewässer im Jahr 2009
    Oliver Henkel CLEVELAND, Ohio - Richtlinienänderungen Wonâ t früh genug kommen € das wirtschaftliche Schmerz für Gesundheits-Anbieter Toa verringern, sagt Thea Cleveland Clinica € s Vice President für Regierungsbeziehungen. â € œItâ € s wird ein groß
  • Es ist nicht nur schlechte Nachrichten für Avastin, dank NCCN Richtlinien-Ausschuss

    Es ist nicht nur schlechte Nachrichten für Avastin, dank NCCN Richtlinien-Ausschuss
    Sie taten das Richtige. Zwei klinische Studien zeigten keine Verbesserung der Mortalität bei Frauen mit metastasierendem Brustkrebs. Diese Studien haben replizieren nicht einmal die Verzögerung bei der Progression der Erkrankung, die in der ursprüngl
  • Fibromyalgie - ist es fms oder pd ... gibt es Ähnlichkeiten? kann jemand helfen?

    Druckstellen zB; Tempel, accross Schultern, Beine und Füße Krämpfe auch visuelle helle Lichter und vieles mehr ... ----schneiden---- In Antwort auf gailawan ... am 2011-11-27 08.39 Hallo Lagoona. Von pd, meinst du Parkinsons-Krankheit? Ich bin nicht
  • BuSpar - ist es empfehlenswert, mit einer Geschichte von TIA dieses Medikament zu einer älteren Person zu geben?

    Meine 84 Jahre alte Mutter hat eine Geschichte von TIA aufgrund kleiner Gefäßerkrankung des Gehirns. Sie hat Demenz aufgrund der TIA. Sie begann extrem ängstlich zu bekommen, und sie würde den Mädchen gemein mit ihr zu arbeiten und mein Vater. Die Dr
  • Die vier Arten der Anziehung

    Die vier Arten der Anziehung
    Sie kennen die Geschichte: Junge Mädchen trifft. Junge verliebt sich in Mädchen. Jungen und Mädchen haben ihre glücklich bis ans Ende-gut zumindest jene Beziehungen , die nicht tun , in einer Scheidung enden. Jeder Teil ist sinnvoll, mit Ausnahme der