Index · Nachrichten · Wo ist die Zukunft der HIPAA-Vollstreckung?

Wo ist die Zukunft der HIPAA-Vollstreckung?

2018-12-08 0
   
Advertisement
résuméDie Vollstreckungsaktivitäten im Rahmen der HIPAA Sicherheitsregel haben in den letzten Jahren Dampf gewonnen. HIPAA schafft verschiedene Datenschutz-, Informationssicherheit und verletzt Notifizierungsanforderungen für Gesundheitsdienstleister und a
Advertisement

Wo ist die Zukunft der HIPAA-Vollstreckung?

Die Vollstreckungsaktivitäten im Rahmen der HIPAA Sicherheitsregel haben in den letzten Jahren Dampf gewonnen. HIPAA schafft verschiedene Datenschutz-, Informationssicherheit und verletzt Notifizierungsanforderungen für Gesundheitsdienstleister und andere abgedeckte Unternehmen. In seinen frühen HIPAA-Vollstreckungstagen konzentrierte sich das Amt für Bürgerrechte der Abteilung für Gesundheit und menschliche Dienste (OCR) in der Regel auf die HIPAA-Datenschutzregel, doch in den vergangenen Jahren wurde auch der Schwerpunkt auf die Sicherheitsregelungen gesetzt. Dieser Artikel bietet einige kurze Gedanken zu den sicherheitsregelbezogenen Abrechnungsvereinbarungen, die die OCR in letzter Zeit eingegangen ist und was sie für die Zukunft der HIPAA-Durchsetzung angeben könnten.

Seit Januar 2016 hat die OCR in mindestens zwölf Angelegenheiten, die die Sicherheitsregel einbeziehen, Beschlussvereinbarungen mit den Absichtserklärungen (CAPs), den Anbietern und anderen Personen eingeleitet. Es hat auch eine Zivil-Geldstrafe auf eine Einheit verhängt. Die meisten dieser Fälle beinhalten gestohlene, unverschlüsselte Laptop-Computer (mindestens sechs Fälle), mobile Geräte wie iPads oder iPhones, Bürocomputer oder tragbare Speichergeräte.

Eine kleinere Anzahl dieser Fälle beinhaltet einen unbefugten Zugriff auf Informationsnetze durch Dritte oder Mitarbeiter, Malware-Infektionen, den Verlust von Backup-Bändern oder Berichte mit medizinischen Informationen, die im Internet öffentlich zugänglich sind. (Einige dieser Fälle beinhalten mehr als einen Bruch.) Zu den beteiligten Unternehmen gehören Krankenhäuser, akademische medizinische Zentren, ein drahtloser Gesundheitsdienstleister, eine Lebensversicherungsgesellschaft und ein föderal qualifiziertes Gesundheitszentrum. Die Geldbußen auferlegt reichen von $ 400.000 bis $ 5.55.000.000, mit den bescheideneren Geldstrafen oft auf Entitäten von begrenzten finanziellen Mittel erhoben werden.

Werbung

Vor allem, während die zugrunde liegenden Tatsachen dieser Fälle etwas variieren, ihre CAPs nicht. Alle 12 der CAPs haben sich auf die Verpflichtung aus der Sicherheitsregel gesetzt, einen jährlichen Risikoanalyse- und Risikomanagementplan durchzuführen. Die CAP beschreibt diese Verpflichtung in expansiver Hinsicht. Es könnte eine Voraussetzung für eine "umfassende und gründliche Risikoanalyse der potenziellen Risiken und Schwachstellen für die Vertraulichkeit, Integrität und Verfügbarkeit von" elektronischen geschützten Gesundheitsinformationen (ePHI) auf allen elektronischen Geräten, Datensystemen und Anwendungen kontrolliert, verwaltet werden Oder im Besitz der Entität, die ePHI enthalten, speichern, übertragen oder empfangen. Es erfordert in der Regel, dass das Unternehmen zuerst

Die CAP verlangt in der Regel, dass das Unternehmen zunächst ein vollständiges Inventar aller seiner Einrichtungen, elektronischen Geräte, Datensysteme und Anwendungen entwickelt, die ePHI enthalten oder speichern, die dann in die "Risikoanalyse" aufgenommen werden. Es beauftragt das Unternehmen, entweder eine Risikoanalyse durchzuführen oder die bestehende (unzureichende), typischerweise nach einer Zeitleiste, zu verbessern und stets der Überprüfung und Genehmigung von HHS zu unterziehen. Ebenso verlangen alle 12 CAPs das Unternehmen, einen unternehmensweiten Risikomanagementplan zu entwickeln und umzusetzen oder zu erweitern, um Sicherheitsanfälligkeiten in der Risikoanalyse zu adressieren und zu mildern, die wiederum der Überprüfung und Genehmigung von HHS unterliegen. Der Risikoanalyse- und Risikominderungsplan muss typischerweise jährlich überprüft und in Reaktion auf etwaige "umwelt- oder operative" Änderungen aktualisiert werden, die die Sicherheit des ePHI beeinträchtigen.

Es ist zu sagen, dass nicht eine einzige Risikoanalyse oder Risikominderung Plan in diesen Fällen überprüft wurde festgestellt, um regulatorischen muster passieren. Dies unterstreicht sicherlich die Beobachtung der OCR, dass sie den Risikoanalyse- und Risikominderungsplan als "Eckpfeiler der HIPAA-Sicherheitsregel" betrachtet. Außerdem signalisiert es, dass alle Anbieter, noch kleinere, ihre Risikobewertungen und ihr Risikomanagement genau verfolgen sollten Pläne; Sie regelmäßig und in einer sinnvollen, nicht flüchtigen Weise führen; Und dokumentieren sie entsprechend.

Richtlinienrevision

Ein weiteres wiederkehrendes Thema in diesen CAPs ist eine politische Revision. Alle 12 CAPs erfordern das Unternehmen, entweder neue Politiken zu entwickeln oder bestehende (unzureichende) zu überarbeiten. Viele weisen ausdrücklich die Entität an, die Policen zu verteilen und hochzuladen, ihre Mitarbeiter zu schulen und sie regelmäßig zu überprüfen. In manchen Fällen ist die Anforderung weitgehend formuliert, obwohl in anderen Fällen die OCR zahlreiche spezifische Themenbereiche (in einem Fall 15) vorlegt, in denen das Unternehmen eine Politik prüfen oder entwickeln muss.

Dieser Fokus auf die Politik ist auch bemerkenswert. Es signalisiert, dass die OCR Gewicht auf die zahlreichen Richtlinien- und Verfahrensanforderungen von HIPAA legt, bei der sorgfältigen Umsetzung und Schulung von Mitarbeitern auf ihnen und bei der Sicherstellung und Dokumentation der Einhaltung von ihnen. Darüber hinaus, und wie die Betonung auf Risikoanalysen und Risikominimierung Pläne, schlägt es vor, dass, sobald die OCR eine Sicherheitsregel-bezogene Untersuchung durchführt, es "die Kapuze offen lässt" und sieht weit herum, untersucht und verhängt Sanierung in Bezug auf eine Breite Palette von Sicherheitsregelanforderungen, auch wenn die technische Ursache des fraglichen Sicherheitsvorfalls schmal ist.

Foto: turk_stock_photographer, Getty Images

TOP

  • Day/
  • Week/
  • Original/
  • Recommand

Updated

  • Fluktuations in tsh Ebene auf Levothyroxin?

    Ich hatte meine thuroid letzte FEBRUAR entfernt. für Schilddrüsenkrebs. Ich bin auf Levothyroxin 275 mcg / Tag. Ich hatte einen tsh vor 2 Monaten gezogen und es war .04. Ich hatte eine Wiederholung auf gezogen letzte Woche und es war 1,7. Warum die H
  • Ich habe Bullus Pemphigoid, klare Blasen auf der Haut. Hat jemand diese Hautkrankheit haben?

    Ich habe unter mmethotrexate 2,5 mg 8tab.at einer Zeit einmal pro Woche. Es machte mich so Übelkeit ist und so schwach. Ich höre es jetzt der Dermatologe nehmen will, dass ich auf Azathioprin zu setzen. Hat jemand diese Krankheit haben und welche Med
  • Wird meine 7-jährige 10mg Prozac verletzt?

    Meine 7-jährige Tochter nimmt 10mg Prozac Ich muss wissen, wenn diese sie verletzt wird, und wenn es hilft, wenn jemand weiß? Vielen Dank. ----schneiden---- In Antwort auf DzooBaby bei 2011-01-20 18.35 Mein Sohn nahm Prozac nicht, aber wir haben vers
  • Best of MedCitizens: sinnvolle Nutzung und Innovation

    Best of MedCitizens: sinnvolle Nutzung und Innovation
    Jede Woche MedCity Nachrichten hebt das Beste seiner MedCitizens: Syndizierungspartnern und MedCity Nachrichten Leser, die auch zu MedCityNews.com beitragen. Die MedCitizens werden gesponsert von MyPRGenie , die einzige Do-It-Yourself, PR - Plattform
  • Buspirone - meine Beine ach sehr schlecht, dass icant Schlaf?

    Ich nehme buspar 15mg. Eine Hälfte am Morgen ein, die andere Hälfte zu Bett Zeit ich auch Zoloft 50mg. Eine Hälfte am Morgen ein, die andere Hälfte zu Bett Zeit, als ich meinen Kopf eine Decke aufwachen, sind ein pj Kissen nass von einem meine Beine
  • Bouncing auf dem Mond

    Bouncing auf dem Mond
    Von all die erstaunlichen Bilder vom Mond von der Lunar Reconnaissance Orbiter zurückgekehrt, und ich kann die Apollo Landestellen unter gehören sie, ich glaube, meine Favoriten diejenigen zeigt Geröll sind die Hänge rollten. Habe ich gerollt? Ich me
  • Wie Vogelgrippe Menschen infiziert und warum Verbreiten wir es nicht

    Wie Vogelgrippe Menschen infiziert und warum Verbreiten wir es nicht
    H5N1-Virus nicht anhängen nicht für die menschliche Luftröhre (der oberen Atemwege), aber infiziert menschliche Alveolen (der unteren Atemwege). Credit: Â Wissenschaft Mehr als 100 Menschen haben vor einer Infektion mit dem Vogelgrippe-Virus gestorbe
  • Der Fahrradhelm Paradox

    Der Fahrradhelm Paradox
    Plastikschalen halten unsere Köpfe kommen offen, aber sie uns auch von Fahrrädern abzuschrecken. Und Fahrrad fahren ist gut für die Menschen und die Erde. (Jonathan Hayward / AP) ein Teenager für das Rauchen mahnenden alltäglich. Rügens Menschen für
  • Die neuen Regeln der Arbeit - Part One

    Die neuen Regeln der Arbeit - Part One
    Die Regeln der Arbeit haben sich geändert. Und wenn Sie noch nach den alten Regeln arbeiten, werden Sie scheitern. Haben Sie Ihre Aufmerksamkeit, habe ich? Die alten Regeln Die alten Regeln ging ungefähr so: Sie nehmen einen Job in einer hierarchisch
  • Ich nehme Glycomet 500 mg SR zweimal am Tag. Vor kurzem kommt die Tablette aus meinem Magen ohne?

    immer gelöst. ----schneiden---- In Antwort auf 2013.08.07 10.27 bis amalnath Wahrscheinlich, was Sie sehen, ist die Tablette Schalen. Für Formulierung mit verzögerter Freisetzung, ist es üblich, dass man leere Kapsel / Tablette Schalen im Kot können