Udgivet juni 7, 2018 af Karen .alsh • 4 min læs
HIPAA-overtrædelser på arbejdspladsen gælder for alle virksomheder, ikke kun sundhedsudbydere, men også dækkede enheder og deres forretningsforbindelser. Arbejdsgivere, der leverer sundhedsydelser til deres ansatte eller kræver sundhedsoplysninger som en del af invaliditetsydelser, kan krænke HIPAA. Med muligheden for, at en HIPAA-overtrædelse på arbejdspladsen finder sted som en del af hverdagens menneskelige ressourceaktiviteter, skal alle virksomheder være opmærksomme på, hvordan de kan beskytte sig selv og deres ansatte.,
Hvad er HIPAA?
vedtaget i 1996 har Health Insurance Portability and Accountability Act (HIPAA) til hensigt at beskytte enkeltpersoners sundhedsoplysninger, når de flyttede fra et job til et andet. Det AMERIKANSKE Department of Health og Human Services (HHS) derudover bestået Privacy Regel i 2003, at definere Beskyttet Information om Sundhed (PHI), som “alle oplysninger, der er omfattet af en enhed, som vedrører sundhed status, sundhedspleje, eller betaling for sundhedsydelser, der kan være knyttet til en enkelt.,”I 2005 fokuserede Sikkerhedsregelopdateringen til HIPAA på elektronisk lagret PHI (ePHI). Selvom den øgede brug af digitale platforme til deling af sundhedsoplysninger er adskilt fra Privatlivsreglen, indebærer den øgede brug af digitale platforme til deling af sundhedsoplysninger flere informationssystemer end før.
hvilke medarbejderoplysninger kvalificerer sig som PHI eller ePHI?
HIPAA-Privatlivsreglen indeholder alle medicinske journaler eller sundhedsplanoptegnelser, som du indsamler for at administrere dine medarbejderes sundhedsplaner. Det gælder ikke for stillingsfortegnelser, selv om de indeholder sundhedsrelaterede oplysninger.,for eksempel, hvis du beder en medarbejder om at give sundhedsoplysninger for at dokumentere sygefravær eller arbejdstagers kompensation, falder disse oplysninger ikke ind under Privatlivsreglen. Hvis du imidlertid kontakter din medarbejders sundhedsudbyder, falder de oplysninger, som udbyderen giver dig, under Fortrolighedsreglen.
Hvad skal en personaleafdeling vide?
mange personaleafdelinger indeholder medicinske fordele for medarbejderne., Hvis din virksomhed tilbyder medarbejdere en dækket sundhedsplan, skal du afgøre, om du opfylder tærsklen for at overholde Sikkerhedsreglen.
først skal du se på den type plan, du administrerer, og antallet af involverede personer.
dækker din plan 50 eller flere deltagere?
Hvis svaret er ja, gælder Sikkerhedsreglen.
Hvis svaret er nej:
administrerer en tredjepart din sygesikringsplan?
Hvis svaret på dette spørgsmål er ja, skal du bekymre dig om overtrædelser af HIPAA-sikkerhedsregler.,
fungerer du som plansponsor for en gruppesundhedsplan (dette inkluderer brug af en leverandør til dine fleksible udgiftskonti og medarbejderassistentprogrammer)?
sandsynligvis er svaret på dette sidste spørgsmål “ja.”Den forvirrende del her er, at selv om kun sponsorere planen, kan du stadig fungere som en plan administrator eller en person, der har brug for at gennemgå en tredjepart leverandør. For eksempel, hvis du tilbyder dine medarbejdere en fleksibel udgiftskonto eller medarbejderhjælpsprogram, gælder Sikkerhedsreglen.
Hvad er en sikkerhedsstyringsproces?,
dit første skridt til at beskytte din virksomhed mod en HIPAA-overtrædelse på arbejdspladsen ligger i at skabe en risikoanalyse. Du skal bestemme alle de oplysninger, som din organisation huser, hvor dataene findes, og potentielle risici og sårbarheder, der kan påvirke fortroligheden, integriteten og tilgængeligheden af ePHI.
Når du har gennemført risikoanalysen, skal du oprette sikkerhedsforanstaltninger for at reducere sandsynligheden for disse risici og sårbarheder. For at mindske disse risici skal du etablere politikker, procedurer og processer, der sikrer information., En lås, der mindsker risikoen for dokumenttyveri eller inkorporerer multifaktorautentisering for at beskytte enheder mod uautoriseret brug.
når du har etableret sikkerhedsforanstaltninger, skal du sikre dig, at de fungerer. Når du gennemgår dine sikkerhedsforanstaltninger, vil du se på dem fra både et teknisk og ikke-teknisk synspunkt., Under denne evaluering kan du opleve, at en sikkerhedsforanstaltning ikke længere beskytter din organisation, og derfor er du nødt til at justere dine kontroller for at reagere på medarbejder -, miljø-og teknologiske ændringer.
hvilke medarbejderoplysninger skal beskyttes for at forhindre en overtrædelse af HIPAA-arbejdspladsen?
selvom du ansætter en tredjepartsadministrator til at administrere dit sundhedsforsikringsprogram, har din personaleafdeling stadig adgang til PHI og ePHI., Hvis din HR-afdeling og personalefordele koordinerer sundhedsplanen med din leverandør, kan oplysningerne i disse samtaler være underlagt HIPAA.
Hvordan kan en organisation beskytte PHI og ePHI, idet dens HR-afdeling får adgang?
først skal dit HR-og ydelsespersonale katalogisere de transmitterede oplysninger, hvordan de gemmer dem, og hvordan de bruger dem til at udføre deres administrative funktioner.,
derudover er din HR-afdeling og personalefordele nødt til at forstå, at kommunikation med tredjepartsudbyderen falder ind under Sikkerhedsreglen, ligesom enhver information, som medarbejderne kan indsende via dit intranet. Således skal du oprette politikker og processer, der beskytter information i ro og transit. Disse beskyttelser skal inkorporere dit intranet, Internettet og e-mails med leverandører.
endelig skal din IT-afdeling etablere adgangskontrol., Disse bør omfatte typer af administrative funktioner, der udføres, anvendte systemer, applikationer med systemer, funktioner inden for applikationer, datafiler og felter i filer. Derefter skal HR og IT arbejde sammen for at bestemme, hvilke medarbejdergrupper der har brug for adgang til hver af dem og definere, hvem der kan læse, oprette, ændre, slette, søge og ændre sikkerhedsindstillinger for filer.
Hvordan kan jeg beskytte mod opfattede HIPAA-overtrædelser?,
den sværeste del ved at afgøre, om en HIPAA-overtrædelse opstod i din virksomhed, er at forstå, hvem der delte oplysninger, og hvordan de fik oplysningerne.
HIPAA overvejer ikke personalefiler og registrerer PHI. Selvom posterne indeholder oplysninger om din medarbejders helbred, gælder HIPAA ikke. Imidlertid forstår medarbejderne muligvis ikke dette. Forvirrede medarbejdere kan indgive overtrædelser til Office For Civil Rights (OCR). Denne undersøgelse koster derefter tid og penge at forsvare.,
din HR-afdeling skal udvikle politikker og procedurer, som sikre optegnelser medarbejdere opfatter som beskyttet. For eksempel kan du træne ledelsen vedrørende upassende spørgsmål, der ser ud til at påberåbe PHI. Selvom HIPAA ikke regulerer disse, kan medarbejderne ikke indse det og forsøge at etablere et krav.
hvordan Enablesengrc muliggør HIPAA-overholdelse
ZenGRC Letter overholdelsesbyrden ved at give organisationer frøindhold til kortlægning af deres kontroller på tværs af forskellige standarder og rammer. Dette fremskynder onboarding-processen og muliggør også gap-analyse.,sundhedsudbydere kan vælge mellem HITRUST, COBIT, COSO, ISO, PCI DSS og NIST rammer for at sikre korrekt it HIPAA overholdelse. Desuden kan forretningspartnere, der søger at blive HIPAA-kompatible, når de skalerer, hurtigt se deres nuværende overholdelse ved hjælp af vores gap-analyseværktøj og bestemme, hvor meget ekstra arbejde de skal udføre.for mere information om brug af HIENGRC for at lette HIPAA-overholdelsesbyrden og for at fremskynde processen med skalerbarhed, planlæg en demo.