Publisert 7 juni 2018 av Karen Walsh • 4 min lese
FORSKRIFTER brudd i arbeidslivet gjelder alle bedrifter, ikke bare helsepersonell, men også dekket enheter og deres forretningsforbindelser. Arbeidsgivere å gi helsehjelp til sine ansatte, eller krever at helse-informasjon som en del av funksjonshemming fordeler kan medføre brudd på FORSKRIFTER. Med muligheten for en FORSKRIFTER arbeidsplassen brudd oppstår som en del av hverdagen menneskelige ressurser, aktiviteter, alle bedrifter trenger for å bli klar over hvordan de skal beskytte seg selv og sine medarbeidere.,
Hva er INTERESSERT?
Vedtatt i 1996, Health Insurance Portability and Accountability Act (FORSKRIFTER) har til hensikt å beskytte individers helse informasjon når de flyttet fra én jobb til en annen. The US Department of Health and Human Services (HHS) i tillegg bestått Personvern Regelen i 2003, definere Beskyttet helseinformasjon (PHI) som «enhver informasjon som innehas av en dekket enhet som gjelder helsetilstand, tilbudet av helsetjenester, eller betaling for helsetjenester som kan knyttes til en enkeltperson.,»I 2005, Sikkerhet Regel oppdatering til FORSKRIFTER fokusert på elektronisk lagret PHI (ePHI). Selv om separat fra Privacy Rule, økt bruk av digitale plattformer for deling av helseinformasjon implicates mer informasjon systemer enn før.
Hva de ansatte informasjon kvalifiserer som PHI eller ePHI?
FORSKRIFTER Personvern Regelen omfatter alle medisinske poster eller helse i plan-poster som du samler inn, til å administrere dine ansatte helsevesenet planer. Det gjelder ikke å sysselsetting poster, selv om de inneholder helse-relatert informasjon.,
For eksempel, hvis du spør en ansatt å gi helseinformasjon til å dokumentere sykefravær eller sykelønn, er dette informasjon som ikke faller inn under Personvernet Regelen. Imidlertid, hvis du kontakte din ansattes helsepersonell, informasjon som leverandøren gir deg faller inn under Personvernet Regelen.
Hva gjør en personalavdeling trenger å vite?
Mange menneskelige ressurser avdelinger innlemme medisinske fordeler for de ansatte., Hvis firmaet ditt tilbyr de ansatte en dekket helse i plan, så må du finne ut om du oppfyller terskelen for å opptre i samsvar med Sikkerhet Regelen.
for det Første, du trenger å se på den typen plan du administrere og antall personer som er involvert.
Gjør din plan dekke 50 eller flere deltakere?
Hvis svaret er ja, da Sikkerheten Regelen gjelder.
Hvis svaret er nei:
– Gjør en tredjepart administrere din helseforsikring plan?
Hvis svaret på dette spørsmålet er ja, du trenger å bekymre deg og FORSKRIFTER Sikkerhets-regelbrot.,
vil du fungere som planen sponsor for en gruppe helse plan (dette inkluderer bruk av en leverandør for fleksibel å bruke kontoer og employee assistance program)?
Mest sannsynlig, men svaret på dette siste spørsmålet er «ja.»Den forvirrende del her, er at selv om bare sponsor planen, du kan fortsatt fungere som en plan administrator eller noen som har behov for å gjennomgå en tredjeparts leverandør. For eksempel, hvis du tilby dine ansatte en fleksibel å bruke kontoen eller employee assistance program, deretter Sikkerhet Regelen gjelder.
Hva er en security management-prosessen?,
Din første skritt for å beskytte selskapet fra en arbeidsplass og FORSKRIFTER brudd ligger i å skape en risikoanalyse. Du må finne all informasjonen din organisasjon hus, hvor dataene befinner seg, og mulige risikoer og sårbarheter som kan påvirke konfidensialitet, integritet og tilgjengelighet av ePHI.
Når du har fullført risikoanalyse, du trenger for å skape sikkerhet tiltak for å redusere sannsynligheten for at disse risikoer og sårbarheter. For å redusere disse risikoene, må du etablere retningslinjer, prosedyrer og prosesser som sikrer informasjon., For eksempel, ønsker du kanskje å opprette fysisk beskyttelse som en lås som reduserer faren for at dokumentet tyveri eller innlemme multi-faktor autentisering for å beskytte enheter fra uautorisert bruk.
Etter å etablere sikkerhetstiltak, du trenger for å sikre at de fungerer. Når du gjennomgå sikkerhetstiltak, du ønsker å se på dem, både fra et teknisk og ikke-teknisk ståsted., I løpet av denne evalueringen, kan du finne som et sikkerhetstiltak ikke lenger beskytter din organisasjon, og derfor må du justere kontrollene til å svare på ansatt, miljømessige og teknologiske endringer.
Hva de ansatte informasjon som må beskyttes for å hindre en FORSKRIFTER arbeidsplassen brudd?
Selv om du leier inn en tredje part som administrator for å administrere din helseforsikring program, personalavdelingen som fortsatt har tilgang til PHI og ePHI., Hvis din HR-avdeling og fordeler personell koordinere helse-plan med din leverandør, er opplysningene i disse samtalene kan være underlagt FORSKRIFTER.
Hvordan kan en organisasjon beskytte PHI og ePHI i at dens HR-avdelingen har tilgang til?
Først, HR og fordeler personell bør katalog informasjonen som overføres, hvordan de lagrer det, og hvordan de bruker den til å utføre sine administrative funksjoner.,
i Tillegg, HR-avdelingen og fordeler personell må forstå at kommunikasjon med tredjeparts tjenesteleverandør falle under Security-Regelen, som betyr noe informasjon som de ansatte kan sende inn gjennom ditt intranett. Dermed, du trenger for å lage retningslinjer, og prosesser som beskytter informasjon som er i ro og i transitt. Denne beskyttelsen trenger å innlemme ditt intranett, internett og e-post med leverandører.
til Slutt, IT-avdelingen er behov for å etablere tilgangskontroll., Disse bør omfatte typer av administrative funksjoner utføres, systemer som brukes, applikasjoner, systemer, funksjoner i programmer, datafiler, og på områder innenfor filer. Så, HR og DEN bør arbeide sammen for å finne ut hva de ansatte grupper trenger tilgang til hver av dem, og angi hvem som kan lese, opprette, endre, slette, søke og endre sikkerhetsinnstillinger for filer.
Hvordan kan jeg beskytte mot oppfattet FORSKRIFTER brudd?,
Den vanskeligste delen om fastsettelse av hvorvidt en FORSKRIFTER brudd skjedde i firmaet ditt er å forstå som felles informasjon og hvordan de har fått tak i informasjonen.
FORSKRIFTER ikke vurdere personell filer og registre PHI. Dermed, selv om postene som inneholder informasjon om dine ansattes helse, FORSKRIFTER gjelder ikke. Men de ansatte kan ikke forstå dette. Forvirret ansatte kan filen brudd med Office for Sivile Rettigheter (OCR). Denne undersøkelsen så koster tid og penger for å forsvare.,
Din HR-avdeling bør utvikle retningslinjer og prosedyrer som sikrer poster ansatte oppfatter som beskyttet. Du kan For eksempel ønsker å trene ledelsen om upassende spørsmål som ser ut til å påberope seg PHI. Selv om FORSKRIFTER ikke regulerer disse, ansatte kan ikke innse det, og prøve å etablere et krav.
Hvordan ZenGRC Gir FORSKRIFTER Samsvar
ZenGRC letter samsvar byrden ved å tilby organisasjoner frø innhold for å kartlegge deres kontroller på tvers av et utvalg av standarder og rammeverk. Dette gjør det onboarding prosessen og gjør det også mulig for gap-analyse.,
Helsepersonell kan velge fra HITRUST, COBIT, COSO, ISO, PCI-DSS, og NIST rammeverk for å sikre riktig DET og FORSKRIFTER overholdes. Videre samarbeidspartnere som ønsker å bli INTERESSERT i samsvar skala som de kan raskt vise sin nåværende samsvar med våre gap analyse verktøyet og finne ut hvor mye ekstra arbeid for de trenger å gjøre.
For mer informasjon om bruk av ZenGRC å lette FORSKRIFTER samsvar byrde, og for å få fart på prosessen med skalerbarhet, planlegge en demo.