megjelent június 7, 2018 által Karen Walsh * 4 min read
HIPAA megsértése a munkahelyen alkalmazni kell az összes vállalat, nem csak az egészségügyi szolgáltatók, hanem az érintett szervezetek és üzleti partnereik. Azok a munkáltatók, akik egészségügyi ellátást nyújtanak alkalmazottaiknak, vagy egészségügyi információkat igényelnek a rokkantsági ellátások részeként, megsérthetik a HIPAA-t. Azzal a képességgel, hogy a HIPAA munkahelyi megsértése a mindennapi emberi erőforrás tevékenységek részeként történjen, minden vállalatnak tisztában kell lennie azzal, hogyan védheti meg magát és alkalmazottait.,
mi az a HIPAA?
Az 1996-ban elfogadott egészségbiztosítási hordozhatóságról és elszámoltathatóságról szóló törvény (HIPAA) meg kívánja védeni az egyének egészségügyi információit, amikor egyik munkahelyről a másikra költöznek. Az Egyesült Államok Egészségügyi és emberi szolgáltatási Minisztériuma (HHS) 2003-ban emellett elfogadta az adatvédelmi szabályt, amely a védett egészségügyi információkat (PHI) “minden olyan információként határozza meg, amelyet egy fedett szervezet birtokol, amely az egészségi állapotra, az egészségügyi ellátás nyújtására vagy az egyénhez köthető egészségügyi ellátás kifizetésére vonatkozik.,”2005-ben a HIPAA biztonsági szabályának frissítése az elektronikusan tárolt PHI-re (ePHI) összpontosított. Bár elkülönül az Adatvédelmi szabálytól, a digitális platformok fokozott használata az egészségügyi információk megosztására több információs rendszert von maga után, mint korábban.
milyen munkavállalói információ minősül PHI-nek vagy ePHI-nek?
a HIPAA adatvédelmi szabály magában foglal minden olyan orvosi nyilvántartást vagy egészségügyi terv nyilvántartást, amelyet a munkavállalói egészségügyi tervek kezelésére gyűjt. Ez nem vonatkozik a foglalkoztatási nyilvántartásokra, még akkor sem, ha egészséggel kapcsolatos információkat tartalmaznak.,
például, ha arra kéri a munkavállalót, hogy adjon meg egészségügyi információkat a betegszabadság vagy a munkavállalók kompenzációjának dokumentálásához, ez az információ nem tartozik az Adatvédelmi szabályba. Ha azonban kapcsolatba lép a munkavállaló egészségügyi szolgáltatójával, a szolgáltató által megadott információk az Adatvédelmi szabály hatálya alá tartoznak.
mit kell tudnia az Emberi Erőforrások Minisztériumának?
sok humánerőforrás-osztály magában foglalja az alkalmazottak orvosi ellátását., Ha cége fedett egészségügyi tervet kínál az alkalmazottaknak, akkor meg kell határoznia, hogy megfelel-e a biztonsági szabály betartásának küszöbértékének.
először meg kell vizsgálnia az Ön által alkalmazott terv típusát és az érintettek számát.
a Terv 50 vagy több résztvevőre vonatkozik?
Ha a válasz igen, akkor a biztonsági szabály érvényes.
Ha a válasz nem:
harmadik fél kezeli az egészségbiztosítási tervet?
Ha a válasz erre a kérdésre igen, akkor aggódnia kell a HIPAA biztonsági szabályok megsértése miatt.,
Ön egy csoport egészségügyi tervének tervszponzoraként működik (ez magában foglalja az eladó használatát a rugalmas kiadási számlákhoz és a munkavállalói támogatási programokhoz)?
valószínűleg azonban az utolsó kérdésre a válasz: “igen.”A zavaró rész itt az, hogy még akkor is, ha csak szponzorálja a tervet, továbbra is tervadminisztrátorként működik, vagy valaki, akinek felül kell vizsgálnia egy harmadik fél eladóját. Például, ha rugalmas kiadási számlát vagy munkavállalói támogatási programot kínál alkalmazottainak, akkor a biztonsági szabály érvényes.
mi a biztonsági irányítási folyamat?,
az első lépés, hogy megvédje vállalatát a munkahelyi HIPAA megsértéstől, a kockázatelemzés létrehozásában rejlik. Meg kell határozni az összes információt a szervezet ad otthont, ahol az adatok, valamint a potenciális kockázatok és sebezhetőségek, amelyek hatással lehetnek a titoktartási, integritás, valamint a rendelkezésre álló ePHI.
a kockázatelemzés elvégzése után biztonsági intézkedéseket kell hoznia a kockázatok és a sebezhetőségek valószínűségének csökkentése érdekében. E kockázatok csökkentése érdekében olyan politikákat, eljárásokat és folyamatokat kell létrehoznia, amelyek biztosítják az információkat., Előfordulhat például, hogy olyan fizikai védelmet szeretne létrehozni, mint például egy zár, amely csökkenti a dokumentumlopás kockázatát, vagy többtényezős hitelesítést tartalmaz az eszközök jogosulatlan használat elleni védelme érdekében.
a biztonsági intézkedések létrehozása után gondoskodnia kell arról, hogy működjenek. Ha felülvizsgálja a biztonsági intézkedéseket, mind technikai, mind nem technikai szempontból meg akarja nézni őket., Az értékelés során előfordulhat, hogy egy biztonsági intézkedés már nem védi a szervezetet, ezért módosítania kell az ellenőrzéseket, hogy reagáljon a munkavállalói, környezeti és technológiai változásokra.
milyen munkavállalói információkat kell védeni a HIPAA munkahelyi megsértésének megelőzése érdekében?
még akkor is, ha egy harmadik fél adminisztrátort bérel az egészségbiztosítási program kezeléséhez, az Emberi Erőforrások Minisztériuma továbbra is hozzáférhet a PHI-hez és az ePHI-hez., Ha a HR részlege és az ellátások személyzete koordinálja az egészségügyi tervet az eladóval, az ezekben a beszélgetésekben szereplő információk HIPAA hatálya alá tartozhatnak.
hogyan védheti meg egy szervezet a PHI-t és az ePHI-t abban a tekintetben, hogy HR részlege hozzáfér?
Először is, a HR, illetve személyi juttatások kell katalógus a továbbított információért, hogy hogyan tartják, hogy arra használják, hogy végezze el a közigazgatási feladatokat.,
továbbá a HR részlegnek és a személyzetnek meg kell értenie, hogy a harmadik fél szolgáltatóval folytatott kommunikáció a biztonsági szabály hatálya alá tartozik, csakúgy, mint bármely olyan információ, amelyet az alkalmazottak az intraneten keresztül nyújthatnak be. Ezért olyan politikákat és folyamatokat kell létrehoznia, amelyek nyugalomban és tranzitban védik az információkat. Ezek a védelem kell beépíteni a intranet, az internet, valamint az e-maileket a gyártók.
végül az informatikai részlegnek hozzáférési vezérlőket kell létrehoznia., Ide tartoznak az elvégzett adminisztratív funkciók típusai, az alkalmazott rendszerek, a rendszerekkel rendelkező alkalmazások, az alkalmazásokon belüli funkciók, az adatfájlok és a fájlokon belüli mezők. Ezután a HR-nek és az IT-nek együtt kell működnie annak meghatározása érdekében, hogy milyen munkavállalói csoportoknak kell hozzáférniük mindegyikhez, és meg kell határoznia, hogy ki tudja olvasni, létrehozni, módosítani, törölni, keresni és megváltoztatni a fájlok biztonsági beállításait.
hogyan védhetek az észlelt HIPAA jogsértések ellen?,
a legnehezebb annak meghatározása, hogy a HIPAA megsértése történt-e a vállalatnál, annak megértése, hogy ki osztotta meg az információkat, és hogyan szerezte meg az információkat.
a HIPAA nem veszi figyelembe a személyi állományokat és a Phi-t. Így még akkor is, ha a nyilvántartások információkat tartalmaznak a munkavállaló egészségéről, a HIPAA nem vonatkozik. A munkavállalók azonban nem értik ezt. A zavaros alkalmazottak megsérthetik a Polgári Jogi Hivatalt (OCR). Ez a vizsgálat aztán időt és pénzt költ a védekezésre.,
A HR részlegnek olyan politikákat és eljárásokat kell kidolgoznia, amelyek biztosítják a biztonságos nyilvántartást, amelyet az alkalmazottak védettnek tartanak. Például, érdemes lehet, hogy a vonat menedzsment nem megfelelő kérdéseket, amelyek úgy tűnik, hogy hivatkoznak PHI. Bár a HIPAA nem szabályozza ezeket, a munkavállalók ezt nem veszik észre, és megpróbálnak igényt támasztani.
hogyan engedélyezi a ZenGRC a HIPAA megfelelést
a ZenGRC azáltal könnyíti meg a megfelelőségi terhet, hogy a szervezetek vetőmagtartalmat biztosítanak ellenőrzésük feltérképezésére számos szabvány és keretrendszer között. Ez felgyorsítja a fedélzeti folyamatot, valamint lehetővé teszi a gap analysist.,
az egészségügyi szolgáltatók a megfelelő it HIPAA megfelelés biztosítása érdekében a NITRUST, a COBIT, a COSO, az ISO, A PCI DSS és a NIST keretrendszerek közül választhatnak. Ezen túlmenően a HIPAA-megfelelőségre törekvő üzleti partnerek a méretarányuk alapján gyorsan megtekinthetik jelenlegi megfelelőségüket a gap analysis eszközünk segítségével, és meghatározhatják, hogy mennyi további munkát kell végezniük.
a ZenGRC használatával kapcsolatos további információkért a HIPAA megfelelőségi terhek enyhítése, valamint a skálázhatóság folyamatának felgyorsítása érdekében ütemezzen egy demót.