Veröffentlicht 7. Juni 2018 von Karen Walsh • 4 min lesen
HIPAA Verletzungen am Arbeitsplatz gelten für alle Unternehmen, nicht nur Gesundheitsdienstleister, sondern auch juristische Personen und ihre Geschäftspartner. Arbeitgeber, die ihren Mitarbeitern eine Gesundheitsversorgung anbieten oder Gesundheitsinformationen im Rahmen von Invaliditätsleistungen benötigen, können gegen HIPAA verstoßen. Mit der Fähigkeit, dass eine HIPAA-Arbeitsplatzverletzung im Rahmen alltäglicher Personalaktivitäten auftritt, müssen sich alle Unternehmen bewusst sein, wie sie sich und ihre Mitarbeiter schützen können.,
Was ist HIPAA?
Das 1996 in Kraft getretene Health Insurance Portability and Accountability Act (HIPAA) soll die Gesundheitsinformationen von Personen schützen, wenn sie von einem Job in einen anderen wechseln. Das US Department of Health and Human Services (HHS) verabschiedete 2003 zusätzlich die Datenschutzregel und definierte geschützte Gesundheitsinformationen (Protected Health Information, PHI) als „alle Informationen, die von einer gedeckten Stelle gespeichert werden, die den Gesundheitszustand, die Bereitstellung von Gesundheitsversorgung oder die Bezahlung von Gesundheitsleistungen betreffen, die mit einer Person verbunden sein können.,“Im Jahr 2005 konzentrierte sich das Sicherheitsregel-Update für HIPAA auf elektronisch gespeicherte PHI (ePHI). Obwohl von der Datenschutzregel getrennt, impliziert die verstärkte Nutzung digitaler Plattformen für den Austausch von Gesundheitsinformationen mehr Informationssysteme als zuvor.
Welche Mitarbeiterinformationen gelten als PHI oder ePHI?
Die HIPAA-Datenschutzregel enthält alle medizinischen Aufzeichnungen oder Gesundheitsplanaufzeichnungen, die Sie zur Verwaltung Ihrer Mitarbeitergesundheitspläne sammeln. Es gilt nicht für Arbeitsunterlagen, auch wenn sie gesundheitsbezogene Informationen enthalten.,
Wenn Sie beispielsweise einen Mitarbeiter auffordern, Gesundheitsinformationen bereitzustellen, um Krankenstand oder Arbeitnehmerentschädigung zu dokumentieren, fallen diese Informationen nicht unter die Datenschutzregel. Wenn Sie sich jedoch an den Gesundheitsdienstleister Ihres Mitarbeiters wenden, fallen die Informationen, die der Anbieter Ihnen gibt, unter die Datenschutzregel.
Was muss eine Personalabteilung wissen?
Viele Personalabteilungen integrieren medizinische Vorteile für die Mitarbeiter., Wenn Ihr Unternehmen seinen Mitarbeitern einen gedeckten Gesundheitsplan anbietet, müssen Sie feststellen, ob Sie den Schwellenwert für die Einhaltung der Sicherheitsregel erfüllen.
Zunächst müssen Sie sich die Art des von Ihnen verwalteten Plans und die Anzahl der beteiligten Personen ansehen.
Deckt Ihr Plan 50 oder mehr Teilnehmer ab?
Wenn die Antwort ja ist, dann gilt die Sicherheitsregel.
Wenn die Antwort nein lautet:
Verwaltet ein Dritter Ihre Krankenversicherung?
Wenn die Antwort auf diese Frage ja ist, müssen Sie über HIPAA Sicherheitsregel Verletzungen kümmern.,
Fungieren Sie als Plansponsor für einen Gruppengesundheitsplan (dazu gehört auch die Verwendung eines Anbieters für Ihre flexiblen Ausgabenkonten und Mitarbeiterhilfeprogramme)?
Höchstwahrscheinlich lautet die Antwort auf diese letzte Frage jedoch “ Ja.“Der verwirrende Teil hier ist, dass Sie, auch wenn Sie nur den Plan sponsern, möglicherweise immer noch als Planadministrator oder als jemand fungieren, der einen Drittanbieter überprüfen muss. Wenn Sie Ihren Mitarbeitern beispielsweise ein flexibles Ausgabenkonto oder ein Mitarbeiterunterstützungsprogramm anbieten, gilt die Sicherheitsregel.
Was ist ein Sicherheitsverwaltungsprozess?,
Ihr erster Schritt zum Schutz Ihres Unternehmens vor einer HIPAA-Verletzung am Arbeitsplatz liegt in der Erstellung einer Risikoanalyse. Sie müssen alle Informationen ermitteln, die Ihr Unternehmen enthält, in denen sich die Daten befinden, sowie potenzielle Risiken und Schwachstellen, die sich auf die Vertraulichkeit, Integrität und Verfügbarkeit von ePHI auswirken können.
Sobald Sie die Risikoanalyse abgeschlossen haben, müssen Sie Sicherheitsmaßnahmen erstellen, um die Wahrscheinlichkeit dieser Risiken und Sicherheitslücken zu verringern. Um diese Risiken zu verringern, müssen Sie Richtlinien, Verfahren und Prozesse festlegen, die Informationen sichern., Beispielsweise möchten Sie physische Schutzfunktionen wie eine Sperre erstellen, die das Risiko eines Dokumentendiebstahls mindert, oder eine Multi-Faktor-Authentifizierung integrieren, um Geräte vor unbefugter Verwendung zu schützen.
Nachdem Sie Sicherheitsmaßnahmen festgelegt haben, müssen Sie sicherstellen, dass sie funktionieren. Wenn Sie Ihre Sicherheitsmaßnahmen überprüfen, möchten Sie sie sowohl aus technischer als auch aus nichttechnischer Sicht betrachten., Während dieser Bewertung stellen Sie möglicherweise fest, dass eine Sicherheitsmaßnahme Ihr Unternehmen nicht mehr schützt, und daher müssen Sie Ihre Kontrollen anpassen, um auf Mitarbeiter -, Umwelt-und technologische Veränderungen zu reagieren.
Welche Mitarbeiterinformationen müssen geschützt werden, um eine HIPAA-Verletzung am Arbeitsplatz zu verhindern?
Selbst wenn Sie einen Drittadministrator für die Verwaltung Ihres Krankenversicherungsprogramms beauftragen, hat Ihre Personalabteilung weiterhin Zugriff auf PHI und ePHI., Wenn Ihre Personalabteilung und Ihr Leistungspersonal den Gesundheitsplan mit Ihrem Anbieter abstimmen, unterliegen die in diesen Gesprächen enthaltenen Informationen möglicherweise der HIPAA.
Wie kann eine Organisation schützen PHI und ePHI, dass Ihre HR-Abteilung greift auf?
Zunächst sollten Ihre HR-und Benefits-Mitarbeiter die übermittelten Informationen katalogisieren, wie sie sie speichern und wie sie sie zur Ausführung ihrer Verwaltungsfunktionen verwenden.,
Darüber hinaus müssen Ihre Personalabteilung und Ihr Personal verstehen, dass die Kommunikation mit dem Drittanbieter unter die Sicherheitsregel fällt, ebenso wie alle Informationen, die Mitarbeiter über Ihr Intranet einreichen können. Daher müssen Sie Richtlinien und Prozesse erstellen, die Informationen im Ruhezustand und während der Übertragung schützen. Diese Schutzmaßnahmen müssen Ihr Intranet, das Internet und E-Mails mit Anbietern integrieren.
Schließlich muss Ihre IT-Abteilung Zugriffskontrollen einrichten., Dazu gehören Typen von ausgeführten Verwaltungsfunktionen, verwendete Systeme, Anwendungen mit Systemen, Funktionen in Anwendungen, Datendateien und Felder in Dateien. Anschließend sollten HR und IT zusammenarbeiten, um festzustellen, welche Mitarbeitergruppen Zugriff auf jede dieser Gruppen benötigen, und definieren, wer die Sicherheitseinstellungen für Dateien lesen, erstellen, ändern, löschen, suchen und ändern kann.
Wie kann ich mich vor wahrgenommenen HIPAA-Verletzungen schützen?,
Der schwierigste Teil bei der Bestimmung, ob in Ihrem Unternehmen eine HIPAA-Verletzung aufgetreten ist, besteht darin, zu verstehen, wer Informationen geteilt hat und wie sie die Informationen erhalten haben.
HIPAA berücksichtigt keine Personalakten und Datensätze PHI. Selbst wenn die Datensätze Informationen über den Gesundheitszustand Ihres Mitarbeiters enthalten, gilt HIPAA nicht. Mitarbeiter können dies jedoch nicht verstehen. Verwirrte Mitarbeiter können Verstöße beim Amt für Bürgerrechte (OCR) einreichen. Diese Untersuchung kostet dann Zeit und Geld zu verteidigen.,
Ihre Personalabteilung sollte Richtlinien und Verfahren entwickeln, die sichere Aufzeichnungen Mitarbeiter als geschützt wahrnehmen. Möglicherweise möchten Sie das Management beispielsweise in Bezug auf unangemessene Fragen schulen, die PHI aufzurufen scheinen. Obwohl HIPAA diese nicht regelt, erkennen die Mitarbeiter dies möglicherweise nicht und versuchen, einen Anspruch geltend zu machen.
Wie ZenGRC die HIPAA-Konformität ermöglicht
ZenGRC erleichtert den Compliance-Aufwand, indem es Organisationen Seed-Inhalte für die Zuordnung ihrer Kontrollen zu einer Vielzahl von Standards und Frameworks bereitstellt. Dies beschleunigt den Onboarding-Prozess und ermöglicht auch die Lückenanalyse.,
Gesundheitsdienstleister können aus den Frameworks HITRUST, COBIT, COSO, ISO, PCI DSS und NIST auswählen, um die ordnungsgemäße HIPAA-Konformität der IT sicherzustellen. Darüber hinaus können Geschäftspartner, die HIPAA-konform werden möchten, ihre aktuelle Compliance mithilfe unseres Gap-Analyse-Tools schnell einsehen und feststellen, wie viel zusätzliche Arbeit sie leisten müssen.
Weitere Informationen zur Verwendung von ZenGRC zur Erleichterung der HIPAA-Compliance und zur Beschleunigung des Skalierungsprozesses finden Sie in einer Demo.