Published June 7, 2018 by Karen Walsh • 4 min read
Le violazioni HIPAA sul posto di lavoro si applicano a tutte le aziende, non solo agli operatori sanitari, ma anche alle entità coperte e ai loro soci in affari. I datori di lavoro che forniscono assistenza sanitaria ai propri dipendenti o che richiedono informazioni sanitarie come parte delle prestazioni di invalidità possono violare HIPAA. Con la possibilità che una violazione del posto di lavoro HIPAA si verifichi come parte delle attività quotidiane delle risorse umane, tutte le aziende devono essere consapevoli di come proteggere se stesse e i propri dipendenti.,
Che cos’è HIPAA?
Emanato nel 1996, l’Health Insurance Portability and Accountability Act (HIPAA) intende proteggere le informazioni sanitarie degli individui quando si spostano da un lavoro all’altro. Il Dipartimento della Salute e dei servizi umani degli Stati Uniti (HHS) ha inoltre approvato la regola sulla privacy nel 2003, definendo le informazioni sanitarie protette (PHI) come “qualsiasi informazione detenuta da un’entità coperta che riguarda lo stato di salute, la fornitura di assistenza sanitaria o il pagamento per l’assistenza sanitaria che può essere collegata a un individuo.,”Nel 2005, l’aggiornamento delle regole di sicurezza di HIPAA si è concentrato sul PHI memorizzato elettronicamente (ePHI). Sebbene separato dalla regola sulla privacy, il maggiore uso delle piattaforme digitali per la condivisione delle informazioni sanitarie implica più sistemi informativi rispetto a prima.
Quali informazioni sui dipendenti si qualificano come PHI o ePHI?
La regola HIPAA Privacy incorpora tutte le cartelle cliniche o record di piano sanitario che si raccolgono per amministrare i piani di assistenza sanitaria dei dipendenti. Non si applica ai registri di lavoro, anche se contengono informazioni relative alla salute.,
Ad esempio, se chiedi a un dipendente di fornire informazioni sanitarie per documentare le assenze per malattia o il risarcimento dei lavoratori, queste informazioni non rientrano nella regola della privacy. Tuttavia, se contatti il fornitore di assistenza sanitaria del tuo dipendente, le informazioni fornite dal fornitore rientrano nella regola della privacy.
Cosa deve sapere un reparto Risorse umane?
Molti dipartimenti delle risorse umane incorporano benefici medici per i dipendenti., Se l’azienda offre ai dipendenti un piano sanitario coperto, è necessario determinare se si soddisfa la soglia per il rispetto della regola di sicurezza.
Innanzitutto, è necessario esaminare il tipo di piano che si amministra e il numero di persone coinvolte.
Il tuo piano copre 50 o più partecipanti?
Se la risposta è sì, si applica la regola di sicurezza.
Se la risposta è no:
Una terza parte amministra il tuo piano di assicurazione sanitaria?
Se la risposta a questa domanda è sì, è necessario preoccuparsi di violazioni delle regole di sicurezza HIPAA.,
Funzioni come sponsor del piano per un piano di assistenza sanitaria di gruppo (questo include l’utilizzo di un fornitore per i tuoi account di spesa flessibili e programmi di assistenza ai dipendenti)?
Molto probabilmente, tuttavia, la risposta a quest’ultima domanda è ” sì.”La parte confusa qui è che anche se sponsorizza solo il piano, potresti ancora funzionare come amministratore del piano o qualcuno che ha bisogno di rivedere un fornitore di terze parti. Ad esempio, se offri ai tuoi dipendenti un account di spesa flessibile o un programma di assistenza ai dipendenti, si applica la regola di sicurezza.
Che cos’è un processo di gestione della sicurezza?,
Il primo passo per proteggere la vostra azienda da una violazione HIPAA sul posto di lavoro sta nella creazione di un’analisi del rischio. È necessario determinare tutte le informazioni che l’organizzazione ospita, dove risiedono i dati e i potenziali rischi e vulnerabilità che possono influire sulla riservatezza, l’integrità e la disponibilità di ePHI.
Una volta completata l’analisi dei rischi, è necessario creare misure di sicurezza per ridurre la probabilità di tali rischi e vulnerabilità. Per ridurre questi rischi, è necessario stabilire politiche, procedure e processi che proteggano le informazioni., Ad esempio, potresti voler creare protezioni fisiche come un blocco che attenui il rischio di furto di documenti o incorporare l’autenticazione a più fattori per proteggere i dispositivi dall’uso non autorizzato.
Dopo aver stabilito le misure di sicurezza, è necessario assicurarsi che funzionino. Quando si esaminano le misure di sicurezza, si desidera esaminarle sia da un punto di vista tecnico che non tecnico., Durante questa valutazione, è possibile che una misura di sicurezza non protegga più l’organizzazione e, pertanto, è necessario regolare i controlli per rispondere ai cambiamenti dei dipendenti, ambientali e tecnologici.
Quali informazioni sui dipendenti devono essere protette per prevenire una violazione del posto di lavoro HIPAA?
Anche se assumi un amministratore di terze parti per gestire il tuo programma di assicurazione sanitaria, il tuo reparto risorse umane ha ancora accesso a PHI e ePHI., Se il reparto risorse umane e il personale benefit coordinano il piano sanitario con il fornitore, le informazioni contenute in tali conversazioni potrebbero essere soggette a HIPAA.
Come può un’organizzazione proteggere PHI e ePHI in quanto il suo reparto risorse umane accede?
In primo luogo, il personale HR e benefits dovrebbe catalogare le informazioni trasmesse, come memorizzarle e come le utilizzano per svolgere le loro funzioni amministrative.,
Inoltre, il personale del reparto risorse umane e dei benefici deve comprendere che le comunicazioni con il fornitore di servizi di terze parti rientrano nella regola di sicurezza, così come tutte le informazioni che i dipendenti possono inviare tramite la rete intranet. Pertanto, è necessario creare politiche e processi che proteggano le informazioni a riposo e in transito. Queste protezioni devono incorporare la tua intranet, Internet ed e-mail con i fornitori.
Infine, il reparto IT deve stabilire controlli di accesso., Questi dovrebbero includere tipi di funzioni amministrative eseguite, sistemi utilizzati, applicazioni con sistemi, funzioni all’interno di applicazioni, file di dati e campi all’interno di file. Quindi, HR e IT dovrebbero lavorare insieme per determinare quali gruppi di dipendenti hanno bisogno di accedere a ciascuno di questi e definire chi può leggere, creare, modificare, eliminare, cercare e modificare le impostazioni di sicurezza per i file.
Come posso proteggere dalle violazioni HIPAA percepite?,
La parte più difficile nel determinare se si è verificata una violazione HIPAA nella tua azienda è capire chi ha condiviso le informazioni e come hanno ottenuto le informazioni.
HIPAA non considera i file personali e i record PHI. Pertanto, anche se i record contengono informazioni sulla salute del tuo dipendente, HIPAA non si applica. Tuttavia, i dipendenti potrebbero non capirlo. I dipendenti confusi possono presentare violazioni all’Ufficio per i diritti civili (OCR). Questa indagine poi costa tempo e denaro per difendere.,
Il tuo reparto risorse umane dovrebbe sviluppare politiche e procedure che proteggano i record che i dipendenti percepiscono come protetti. Ad esempio, si consiglia di formare la gestione per quanto riguarda le domande inappropriate che sembrano invocare PHI. Sebbene HIPAA non li regoli, i dipendenti potrebbero non rendersene conto e cercare di stabilire un reclamo.
Come ZenGRC consente la conformità HIPAA
ZenGRC facilita l’onere della conformità fornendo alle organizzazioni contenuti seed per mappare i loro controlli in una varietà di standard e framework. Ciò accelera il processo di onboarding e consente anche l’analisi delle lacune.,
Gli operatori sanitari possono scegliere tra i framework HITRUST, COBIT, COSO, ISO, PCI DSS e NIST per garantire una corretta conformità IT HIPAA. Inoltre, i partner commerciali che cercano di diventare conformi a HIPAA man mano che scalano possono visualizzare rapidamente la loro attuale conformità utilizzando il nostro strumento di analisi delle lacune e determinare quanto lavoro aggiuntivo devono fare.
Per ulteriori informazioni sull’utilizzo di ZenGRC per facilitare l’onere di conformità HIPAA e per accelerare il processo di scalabilità, pianificare una demo.