Zveřejněny 7. června, 2018 Karen Walsh • 4 min přečtěte si
porušení HIPAA na pracovišti se vztahují na všechny společnosti, ne jen poskytovatelům zdravotní péče, ale i zahrnuté subjekty a jejich partnery v podnikání. Zaměstnavatelé poskytující zdravotní péči svým zaměstnancům nebo vyžadující zdravotní informace jako součást dávek v invaliditě mohou HIPAA porušit. Se schopností narušení pracoviště HIPAA dojít v rámci každodenních činností v oblasti lidských zdrojů, všechny společnosti si musí být vědomy toho, jak chránit sebe a své zaměstnance.,
co je HIPAA?
provedeny v roce 1996, Přenositelnost Zdravotní Pojištění a Accountability Act (HIPAA) hodlá chránit jednotlivce informace o zdraví, když se přestěhoval z jednoho zaměstnání do druhého. AMERICKÉ Ministerstvo Zdravotnictví a Lidských Služeb (HHS) navíc prošel Pravidlo ochrany Osobních údajů v roce 2003, definuje Chráněné Zdravotní Informace (PHI) jako „jakékoliv informace, které o něž se subjekt, který se týká zdravotní stav, poskytování zdravotní péče nebo platby za zdravotní péči, která může být spojena s individuální.,“V roce 2005 se aktualizace bezpečnostních pravidel společnosti HIPAA zaměřila na elektronicky uložené PHI (ePHI). I když oddělit od Soukromí Pravidlo, zvýšené používání digitálních platforem pro sdílení zdravotnických informací implikuje více informačních systémů, než dříve.
jaké informace o zaměstnancích se kvalifikují jako PHI nebo ePHI?
pravidlo ochrany osobních údajů HIPAA obsahuje všechny lékařské záznamy nebo záznamy o zdravotním plánu, které shromažďujete pro správu plánů zdravotní péče zaměstnanců. Nevztahuje se na záznamy o zaměstnání, i když obsahují informace týkající se zdraví.,
Pokud například požádáte zaměstnance o poskytnutí zdravotních informací k doložení nemocenské dovolené nebo odškodnění pracovníků, tyto informace nespadají do Pravidla ochrany osobních údajů. Pokud však kontaktujete poskytovatele zdravotní péče svého zaměstnance, informace, které vám poskytovatel poskytuje, spadají pod pravidlo ochrany osobních údajů.
co potřebuje oddělení lidských zdrojů vědět?
mnoho oddělení lidských zdrojů zahrnuje zdravotní výhody pro zaměstnance., Pokud vaše společnost nabízí zaměstnancům krytý zdravotní plán, musíte určit, zda splňujete práh pro dodržování bezpečnostního pravidla.
nejprve se musíte podívat na typ plánu, který spravujete, a počet zúčastněných osob.
zahrnuje váš plán 50 nebo více účastníků?
pokud je odpověď Ano, platí bezpečnostní pravidlo.
Pokud odpověď zní ne:
spravuje vaše zdravotní pojištění třetí strana?
pokud je odpověď na tuto otázku ano, musíte se obávat porušení bezpečnostních pravidel HIPAA.,
můžete fungovat jako sponzor plán pro skupinu plán zdravotní péče (to zahrnuje použití dodavatele pro své flexibilní výdaje účtů a zaměstnanců programy pomoci)?
s největší pravděpodobností je však odpověď na tuto poslední otázku “ ano.“Matoucí částí je, že i když plán sponzorujete, můžete stále fungovat jako správce plánu nebo někdo, kdo potřebuje zkontrolovat dodavatele třetí strany. Pokud například svým zaměstnancům nabídnete flexibilní výdajový účet nebo program pomoci zaměstnancům, platí bezpečnostní pravidlo.
co je proces správy zabezpečení?,
váš první krok k ochraně vaší společnosti před porušením HIPAA na pracovišti spočívá ve vytvoření analýzy rizik. Musíte zjistit všechny informace, které vaše organizace domy, kde jsou data uložena, a potenciální rizika a zranitelnosti, které mohou mít vliv na důvěrnost, integritu a dostupnost ePHI.
po dokončení analýzy rizik musíte vytvořit bezpečnostní opatření ke snížení pravděpodobnosti těchto rizik a zranitelností. Chcete-li snížit tato rizika, musíte vytvořit zásady, postupy a procesy, které zabezpečují informace., Například byste mohli chtít vytvořit fyzickou ochranu, jako je zámek, který zmírní riziko krádeže dokumentů nebo začlenit vícefaktorové ověřování k ochraně zařízení před neoprávněným použitím.
po zavedení bezpečnostních opatření je třeba zajistit, aby fungovaly. Když zkontrolujete bezpečnostní opatření, chcete se na ně podívat z technického i netechnického hlediska., Během tohoto hodnocení, možná zjistíte, že bezpečnostní opatření již chrání vaše organizace, a proto je třeba upravit ovládací prvky reagovat na zaměstnance, environmentální a technologické změny.
jaké informace o zaměstnancích je třeba chránit, aby se zabránilo narušení pracoviště HIPAA?
i když najmete správce třetí strany pro správu programu zdravotního pojištění, vaše oddělení lidských zdrojů má stále přístup k PHI a ePHI., Pokud vaše personální oddělení a pracovníci benefitů koordinují zdravotní plán s vaším prodejcem, informace obsažené v těchto rozhovorech mohou podléhat HIPAA.
jak může organizace chránit PHI a ePHI tím, že její HR oddělení přistupuje?
nejprve by měl váš personální a přínosný personál katalogizovat přenášené informace, jak je ukládají a jak je používají k plnění svých administrativních funkcí.,
personál personálního oddělení a benefitů musí navíc pochopit, že komunikace s poskytovatelem služeb třetích stran spadá pod bezpečnostní pravidlo, stejně jako jakékoli informace, které mohou zaměstnanci odeslat prostřednictvím intranetu. Musíte tedy vytvořit zásady a procesy, které chrání informace v klidu a v tranzitu. Tyto ochrany musí zahrnovat váš intranet, internet a e-maily s dodavateli.
konečně, vaše IT oddělení musí vytvořit ovládací prvky přístupu., Ty by měly zahrnovat typy prováděných administrativních funkcí, používané systémy, aplikace se systémy, funkce v aplikacích, datové soubory a pole v souborech. Poté by HR a IT měly spolupracovat na určení, jaké skupiny zaměstnanců potřebují přístup ke každému z nich, a definovat, kdo může číst, vytvářet, upravovat, mazat, vyhledávat a měnit nastavení zabezpečení souborů.
Jak mohu chránit před vnímanými porušeními HIPAA?,
nejtěžší část o určení, zda došlo k porušení HIPAA ve vaší společnosti, je pochopení toho, kdo sdílel informace a jak tyto informace získal.
HIPAA nepovažuje personální soubory a záznamy PHI. Takže i když záznamy obsahují informace o zdraví vašeho zaměstnance, HIPAA se nevztahuje. Zaměstnanci to však nemusí pochopit. Zmatení zaměstnanci mohou podat porušení u Úřadu pro občanská práva (OCR). Toto vyšetřování pak stojí čas a peníze na obranu.,
vaše personální oddělení by mělo vypracovat zásady a postupy, které zabezpečují záznamy, které zaměstnanci vnímají jako chráněné. Například, možná budete chtít trénovat řízení ohledně nevhodných otázek, které se zdají vyvolat PHI. Přestože je HIPAA nereguluje, zaměstnanci si to nemusí uvědomit a pokusit se uplatnit nárok.
jak ZenGRC umožňuje dodržování předpisů HIPAA
ZenGRC usnadňuje zátěž dodržování předpisů tím, že poskytuje organizacím obsah osiva pro mapování jejich kontrol v různých standardech a rámcích. To urychluje onboarding proces a také umožňuje analýzu mezery.,
poskytovatelé zdravotní péče si mohou vybrat z rámců HITRUST, COBIT, COSO, ISO, PCI DSS a NIST, aby zajistili řádnou shodu s IT HIPAA. Obchodní partneři, kteří se snaží stát HIPAA kompatibilní, protože měřítko může rychle zobrazit jejich aktuální shodu pomocí našeho nástroje pro analýzu mezer a určit, kolik další práce potřebují udělat.
pro více informací o používání ZenGRC ke zmírnění břemene shody HIPAA a urychlení procesu škálovatelnosti naplánujte demo.