Index · Nachrichten · Wo ist die Zukunft der HIPAA-Vollstreckung?

Wo ist die Zukunft der HIPAA-Vollstreckung?

2018-12-08 0
   
Advertisement
résuméDie Vollstreckungsaktivitäten im Rahmen der HIPAA Sicherheitsregel haben in den letzten Jahren Dampf gewonnen. HIPAA schafft verschiedene Datenschutz-, Informationssicherheit und verletzt Notifizierungsanforderungen für Gesundheitsdienstleister und a
Advertisement

Wo ist die Zukunft der HIPAA-Vollstreckung?

Die Vollstreckungsaktivitäten im Rahmen der HIPAA Sicherheitsregel haben in den letzten Jahren Dampf gewonnen. HIPAA schafft verschiedene Datenschutz-, Informationssicherheit und verletzt Notifizierungsanforderungen für Gesundheitsdienstleister und andere abgedeckte Unternehmen. In seinen frühen HIPAA-Vollstreckungstagen konzentrierte sich das Amt für Bürgerrechte der Abteilung für Gesundheit und menschliche Dienste (OCR) in der Regel auf die HIPAA-Datenschutzregel, doch in den vergangenen Jahren wurde auch der Schwerpunkt auf die Sicherheitsregelungen gesetzt. Dieser Artikel bietet einige kurze Gedanken zu den sicherheitsregelbezogenen Abrechnungsvereinbarungen, die die OCR in letzter Zeit eingegangen ist und was sie für die Zukunft der HIPAA-Durchsetzung angeben könnten.

Seit Januar 2016 hat die OCR in mindestens zwölf Angelegenheiten, die die Sicherheitsregel einbeziehen, Beschlussvereinbarungen mit den Absichtserklärungen (CAPs), den Anbietern und anderen Personen eingeleitet. Es hat auch eine Zivil-Geldstrafe auf eine Einheit verhängt. Die meisten dieser Fälle beinhalten gestohlene, unverschlüsselte Laptop-Computer (mindestens sechs Fälle), mobile Geräte wie iPads oder iPhones, Bürocomputer oder tragbare Speichergeräte.

Eine kleinere Anzahl dieser Fälle beinhaltet einen unbefugten Zugriff auf Informationsnetze durch Dritte oder Mitarbeiter, Malware-Infektionen, den Verlust von Backup-Bändern oder Berichte mit medizinischen Informationen, die im Internet öffentlich zugänglich sind. (Einige dieser Fälle beinhalten mehr als einen Bruch.) Zu den beteiligten Unternehmen gehören Krankenhäuser, akademische medizinische Zentren, ein drahtloser Gesundheitsdienstleister, eine Lebensversicherungsgesellschaft und ein föderal qualifiziertes Gesundheitszentrum. Die Geldbußen auferlegt reichen von $ 400.000 bis $ 5.55.000.000, mit den bescheideneren Geldstrafen oft auf Entitäten von begrenzten finanziellen Mittel erhoben werden.

Werbung

Vor allem, während die zugrunde liegenden Tatsachen dieser Fälle etwas variieren, ihre CAPs nicht. Alle 12 der CAPs haben sich auf die Verpflichtung aus der Sicherheitsregel gesetzt, einen jährlichen Risikoanalyse- und Risikomanagementplan durchzuführen. Die CAP beschreibt diese Verpflichtung in expansiver Hinsicht. Es könnte eine Voraussetzung für eine "umfassende und gründliche Risikoanalyse der potenziellen Risiken und Schwachstellen für die Vertraulichkeit, Integrität und Verfügbarkeit von" elektronischen geschützten Gesundheitsinformationen (ePHI) auf allen elektronischen Geräten, Datensystemen und Anwendungen kontrolliert, verwaltet werden Oder im Besitz der Entität, die ePHI enthalten, speichern, übertragen oder empfangen. Es erfordert in der Regel, dass das Unternehmen zuerst

Die CAP verlangt in der Regel, dass das Unternehmen zunächst ein vollständiges Inventar aller seiner Einrichtungen, elektronischen Geräte, Datensysteme und Anwendungen entwickelt, die ePHI enthalten oder speichern, die dann in die "Risikoanalyse" aufgenommen werden. Es beauftragt das Unternehmen, entweder eine Risikoanalyse durchzuführen oder die bestehende (unzureichende), typischerweise nach einer Zeitleiste, zu verbessern und stets der Überprüfung und Genehmigung von HHS zu unterziehen. Ebenso verlangen alle 12 CAPs das Unternehmen, einen unternehmensweiten Risikomanagementplan zu entwickeln und umzusetzen oder zu erweitern, um Sicherheitsanfälligkeiten in der Risikoanalyse zu adressieren und zu mildern, die wiederum der Überprüfung und Genehmigung von HHS unterliegen. Der Risikoanalyse- und Risikominderungsplan muss typischerweise jährlich überprüft und in Reaktion auf etwaige "umwelt- oder operative" Änderungen aktualisiert werden, die die Sicherheit des ePHI beeinträchtigen.

Es ist zu sagen, dass nicht eine einzige Risikoanalyse oder Risikominderung Plan in diesen Fällen überprüft wurde festgestellt, um regulatorischen muster passieren. Dies unterstreicht sicherlich die Beobachtung der OCR, dass sie den Risikoanalyse- und Risikominderungsplan als "Eckpfeiler der HIPAA-Sicherheitsregel" betrachtet. Außerdem signalisiert es, dass alle Anbieter, noch kleinere, ihre Risikobewertungen und ihr Risikomanagement genau verfolgen sollten Pläne; Sie regelmäßig und in einer sinnvollen, nicht flüchtigen Weise führen; Und dokumentieren sie entsprechend.

Richtlinienrevision

Ein weiteres wiederkehrendes Thema in diesen CAPs ist eine politische Revision. Alle 12 CAPs erfordern das Unternehmen, entweder neue Politiken zu entwickeln oder bestehende (unzureichende) zu überarbeiten. Viele weisen ausdrücklich die Entität an, die Policen zu verteilen und hochzuladen, ihre Mitarbeiter zu schulen und sie regelmäßig zu überprüfen. In manchen Fällen ist die Anforderung weitgehend formuliert, obwohl in anderen Fällen die OCR zahlreiche spezifische Themenbereiche (in einem Fall 15) vorlegt, in denen das Unternehmen eine Politik prüfen oder entwickeln muss.

Dieser Fokus auf die Politik ist auch bemerkenswert. Es signalisiert, dass die OCR Gewicht auf die zahlreichen Richtlinien- und Verfahrensanforderungen von HIPAA legt, bei der sorgfältigen Umsetzung und Schulung von Mitarbeitern auf ihnen und bei der Sicherstellung und Dokumentation der Einhaltung von ihnen. Darüber hinaus, und wie die Betonung auf Risikoanalysen und Risikominimierung Pläne, schlägt es vor, dass, sobald die OCR eine Sicherheitsregel-bezogene Untersuchung durchführt, es "die Kapuze offen lässt" und sieht weit herum, untersucht und verhängt Sanierung in Bezug auf eine Breite Palette von Sicherheitsregelanforderungen, auch wenn die technische Ursache des fraglichen Sicherheitsvorfalls schmal ist.

Foto: turk_stock_photographer, Getty Images

TOP

  • Day/
  • Week/
  • Original/
  • Recommand

Updated