Julkaistiin 7. kesäkuuta 2018 mennessä Karen Walsh • 4 min lue
HIPAA rikkomisesta työpaikalla sovelletaan kaikkiin yrityksiin, ei vain terveydenhuollon tarjoajat, mutta myös katettujen tahojen ja niiden liikekumppaneita. Työnantajat, jotka tarjoavat terveydenhuoltoa työntekijöilleen tai vaativat terveystietoa osana työkyvyttömyysetuuksia, voivat rikkoa HIPAA. Kanssa kyky HIPAA työpaikalla rikkomus tapahtuu osana arjen henkilöstöhallinnon toimintaa, kaikki yritykset täytyy olla tietoinen siitä, miten suojella itseään ja heidän työntekijät.,
mikä on HIPAA?
Sääti vuonna 1996 sairausvakuutuslain Siirrettävyyden ja Accountability Act (HIPAA) tarkoituksena on suojella ihmisten terveyttä koskevia tietoja, kun he siirtynyt työpaikasta toiseen. YHDYSVALTAIN Department of Health and Human Services (HHS) lisäksi kulunut Yksityisyyden Sääntö vuonna 2003, jossa määritellään Suojattuja potilastietoja (PHI), koska ”kaikki tieto hallussa katettu kokonaisuus, joka koskee terveydentilan, terveydenhuoltoon tai maksu terveydenhuoltoon, joka voi olla yksilöön.,”Vuonna 2005 HIPAA: n Turvallisuussääntöpäivityksessä keskityttiin elektronisesti tallennettuun PHI: hon (ePHI). Vaikka erillään Yksityisyyden Sääntö, lisääntynyt käyttö digitaalisten alustojen jakaa terveydenhuollon tietoja viittaa enemmän tietojärjestelmien kuin ennen.
mitä työntekijän tietoja voidaan pitää PHI: n tai EFI: nä?
HIPAA Privacy Rule sisältää kaikki potilastiedot tai terveyssuunnitelmat, jotka keräät työntekijöiden terveydenhoitosuunnitelmien hallinnoimiseksi. Se ei koske työllisyystietoja, vaikka ne sisältävät terveyteen liittyvää tietoa.,
jos olet esimerkiksi pyytää työntekijää antamaan terveystietoa asiakirja sairausloman tai tapaturmavakuutuksen, tämä tieto ei kuulu Yksityisyyden Sääntö. Jos kuitenkin otat yhteyttä työntekijäsi terveydenhuollon tarjoajaan, palveluntarjoajan antamat tiedot kuuluvat Tietosuojasäännön piiriin.
mitä henkilöstöosaston pitää tietää?
monet henkilöstöosastot sisällyttävät työntekijöilleen lääketieteellisiä etuja., Jos yrityksesi tarjoaa työntekijöille kattavaa terveyssuunnitelmaa, sinun on selvitettävä, täytätkö kynnyksen noudattaa turvallisuussääntöä.
ensin pitää katsoa, millaisen suunnitelman annat ja kuinka monta henkilöä siihen osallistuu.
kattaako suunnitelmasi vähintään 50 osallistujaa?
Jos vastaus on kyllä, sovelletaan turvallisuussääntöä.
Jos vastaus on ei:
hallinnoiko kolmas osapuoli sairausvakuutussuunnitelmaasi?
Jos vastaus tähän kysymykseen on kyllä, sinun täytyy huolehtia HIPAA Security Sääntö rikkomuksia.,
Onko teidän toiminta suunnitelma sponsori ryhmä terveydenhuollon suunnitelma (tämä sisältää käyttämällä toimittajan joustava menojen tilit ja työntekijän avun ohjelmia)?
todennäköisesti vastaus tähän viimeiseen kysymykseen on kuitenkin ”kyllä.”Hämmentävä osa tässä on, että vaikka vain sponsoroida suunnitelma, saatat silti toimia suunnitelman ylläpitäjä tai joku, joka tarvitsee tarkistaa kolmannen osapuolen myyjä. Jos esimerkiksi tarjoat työntekijöillesi joustavaa menotiliä tai työntekijöiden avustusohjelmaa, sovelletaan turvallisuussääntöä.
mikä on turvallisuusjohtamisprosessi?,
ensimmäinen askel suojaamaan yrityksen työpaikalla HIPAA rikkomisesta on luoda riskianalyysi. Sinun täytyy määrittää kaikki tiedot organisaation taloja, missä data sijaitsee, ja mahdolliset riskit ja haavoittuvuudet, jotka voivat vaikuttaa luottamuksellisuus, eheys ja saatavuus ePHI.
kun olet suorittanut riskianalyysin, sinun on luotava turvatoimia näiden riskien ja haavoittuvuuksien todennäköisyyden vähentämiseksi. Näiden riskien vähentämiseksi sinun on luotava politiikkaa, menettelyjä ja prosesseja, jotka turvaavat tietoa., Esimerkiksi, saatat haluta luoda fyysisiä suojauksia, kuten lukko, joka vähentää riskiä asiakirja varkaus tai sisällyttämään multi-factor authentication suojaamaan laitteita luvattomalta käytöltä.
turvatoimien käyttöönoton jälkeen on varmistettava, että ne toimivat. Kun tarkastelet turvatoimiasi, haluat tarkastella niitä sekä tekniseltä että ei-tekniseltä kannalta., Tänä arviointi, saatat huomata, että turvallisuussyistä ei enää suojaa organisaation, ja siksi, sinun täytyy säätää teidän valvontaa vastaamaan työntekijä, ympäristö -, ja teknologiset muutokset.
mitä työntekijöiden tietoja on suojattava HIPAA-työpaikkarikkomuksen estämiseksi?
Vaikka voit palkata kolmannen osapuolen ylläpitäjä hallita sairausvakuutus-ohjelma, human resources osasto on edelleen pääsy PHI ja ePHI., Jos HR-osasto ja hyödyt henkilöstön koordinoida terveydenhuollon suunnitelma teidän toimittajan tiedot sisältyvät nämä keskustelut voidaan soveltaa HIPAA.
Miten organisaatio suojata PHI ja ePHI että sen HR-osasto käyttää?
Ensimmäinen, HR ja hyödyt henkilöstön tulisi katalogin tiedot lähetetään, miten ne tallentaa sen, ja miten he käyttävät sitä hoitamaan hallinnollisia tehtäviä.,
Lisäksi HR-osasto ja hyödyt henkilöstön täytyy ymmärtää, että viestinnän kolmannen osapuolen palveluntarjoajan kuuluvat Turvallisuus Sääntö, niin ei mitään tietoa, työntekijät voivat lähettää kautta intranetissä. Näin sinun täytyy luoda politiikkoja ja prosesseja, jotka suojaavat tietoa levossa ja kauttakulussa. Nämä suojaukset on sisällytettävä intranet, internet,ja sähköpostit toimittajien.
lopuksi IT-osastosi on luotava kulunvalvonta., Näiden tulisi sisältää erilaisia hallinnollisia tehtäviä, käytettäviä järjestelmiä, sovelluksia, järjestelmiä, toimintoja, sovelluksia, tiedostoja, ja kenttien sisällä tiedostoja. Sitten, HR ja SE pitäisi yhdessä päättää, mitä työntekijä ryhmät tarvitsevat kukin niistä, ja voit määrittää, kuka voi lukea, luoda, muokata, poistaa, etsiä ja muuttaa turva-asetukset-tiedostot.
Miten voin suojautua koettu HIPAA rikkomisesta?,
vaikeinta määritetään, onko HIPAA rikkomisesta tapahtui yritys on ymmärrystä, joka jakoi tietoa ja miten he ovat hankkineet tietoa.
HIPAA ei pidä henkilötiedostoja ja kirjaa PHI: ta. Vaikka rekistereissä olisikin tietoa työntekijän terveydestä, HIPAA ei koske. Työntekijät eivät kuitenkaan välttämättä ymmärrä tätä. Sekavat työntekijät voivat tehdä rikkomuksia Kansalaisoikeusvirastoon (OCR). Tämän jälkeen tutkinta maksaa aikaa ja rahaa puolustamiseen.,
HR-osasto olisi kehittää toimintatapoja ja menettelyjä, jotka kiinnittävät kirjaa työntekijät pitävät suojattu. Esimerkiksi, voit haluta kouluttaa johdon epäasiallisia kysymyksiä, jotka näyttävät vetoavan PHI. Vaikka HIPAA ei säätele näitä, työntekijät eivät välttämättä tajua sitä ja yritä perustaa väitettä.
Miten ZenGRC Mahdollistaa HIPAA Noudattaminen
ZenGRC helpottaa noudattamisen taakkaa tarjoamalla organisaatiot siemen sisällön kartoitus niiden valvontaa eri standardit ja viitekehykset. Tämä nopeuttaa onboarding prosessi ja mahdollistaa myös kuilun analysointi.,
Terveydenhuollon tarjoajat voivat valita HITRUST, COBIT, COSO, ISO, PCI DSS, ja NIST puitteet, joilla varmistetaan asianmukaisen SE HIPAA noudattaminen. Lisäksi liikekumppaneita haluavat tulla HIPAA yhteensopiva, koska ne mittakaavassa voi nopeasti tarkastella nykyisen noudattaminen käyttämällä gap-analyysi työkalu ja määrittää, kuinka paljon ylimääräistä työtä heidän täytyy tehdä.
lisätietoja ZENGRC: n käytöstä HIPAA-vaatimusten täyttämisen helpottamiseksi ja skaalautuvuuden nopeuttamiseksi, ajoittaa demo.