gepubliceerd 7 juni 2018 door Karen Walsh • 4 min read
HIPAA schendingen op de werkplek gelden voor alle bedrijven, niet alleen zorgverleners, maar ook onder de richtlijn vallende entiteiten en hun zakenpartners. Werkgevers die gezondheidszorg bieden aan hun werknemers of die gezondheidsinformatie nodig hebben als onderdeel van een arbeidsongeschiktheidsuitkering, kunnen HIPAA schenden. Met de mogelijkheid voor een HIPAA werkplek overtreding op te treden als onderdeel van de dagelijkse human resources activiteiten, alle bedrijven moeten zich bewust zijn van hoe om zichzelf en hun werknemers te beschermen.,
Wat is HIPAA?
De Health Insurance Portability and Accountability Act (HIPAA), die in 1996 werd ingevoerd, is bedoeld om de gezondheidsinformatie van personen te beschermen wanneer zij van de ene baan naar de andere overstappen. Het US Department of Health and Human Services (HHS) heeft bovendien de privacyregel in 2003 aangenomen, waarbij Protected Health Information (PHI) wordt gedefinieerd als “alle informatie in het bezit van een gedekte entiteit die betrekking heeft op de gezondheidstoestand, het verstrekken van gezondheidszorg of betaling voor gezondheidszorg die kan worden gekoppeld aan een individu.,”In 2005, de Security Rule update naar HIPAA gericht op elektronisch opgeslagen PHI (ePHI). Hoewel dit losstaat van de privacyregel, brengt het toegenomen gebruik van digitale platforms voor het delen van gezondheidsinformatie meer informatiesystemen met zich mee dan voorheen.
welke informatie over werknemers is PHI of ePHI?
de HIPAA-privacyregel bevat alle medische dossiers of gezondheidszorgregisters die u verzamelt om uw werknemersgezondheidszorgplannen te beheren. Zij is niet van toepassing op arbeidsregisters, zelfs niet als zij gezondheidsgerelateerde informatie bevatten.,
bijvoorbeeld, als u een werknemer vraagt om gezondheidsinformatie te verstrekken om ziekteverlof of vergoeding van werknemers te documenteren, valt deze informatie niet onder de privacyregel. Als u echter contact opneemt met de zorgverlener van uw werknemer, valt de informatie die de provider u geeft onder de privacyregel.
Wat moet een afdeling Human Resources weten?
veel personeelsafdelingen hebben medische voordelen voor de werknemers., Als uw bedrijf biedt werknemers een Gedekt gezondheidsplan, dan moet u bepalen of u voldoet aan de drempel voor het voldoen aan de beveiligingsregel.
eerst moet u kijken naar het type plan dat u beheert en het aantal betrokkenen.
heeft uw plan betrekking op 50 of meer deelnemers?
als het antwoord ja is, dan is de beveiligingsregel van toepassing.
als het antwoord nee is:
beheert een derde uw ziektekostenverzekering?
als het antwoord op deze vraag ja is, moet u zich zorgen maken over schendingen van de HIPAA-beveiligingsregel.,
fungeert u als sponsor van een groepsgezondheidszorgplan (dit omvat het gebruik van een leverancier voor uw flexibele uitgavenrekeningen en programma ‘ s voor personeelsondersteuning)?
waarschijnlijk is het antwoord op deze laatste vraag echter ” Ja.”Het verwarrende deel hier is dat zelfs als alleen sponsor van het plan, kunt u nog steeds functioneren als een plan beheerder of iemand die nodig heeft om een derde partij leverancier te beoordelen. Als u uw werknemers bijvoorbeeld een flexibele uitgavenrekening of een programma voor personeelsondersteuning aanbiedt, is de beveiligingsregel van toepassing.
Wat is een beveiligingsbeheer?,
uw eerste stap om uw bedrijf te beschermen tegen een HIPAA-overtreding op de werkplek is het creëren van een risicoanalyse. U moet bepalen welke informatie uw organisatie huisvest, waar de gegevens zich bevinden, en potentiële risico ‘ s en kwetsbaarheden die van invloed kunnen zijn op de vertrouwelijkheid, integriteit en beschikbaarheid van ePHI.
zodra u de risicoanalyse hebt voltooid, moet u beveiligingsmaatregelen maken om de kans op die risico ‘ s en kwetsbaarheden te verkleinen. Om deze risico ‘ s te verminderen, moet u beleid, procedures en processen instellen die informatie beveiligen., U kunt bijvoorbeeld fysieke beveiligingen maken, zoals een vergrendeling die het risico op documentdiefstal beperkt, of multi-factor-verificatie gebruiken om apparaten te beschermen tegen ongeoorloofd gebruik.
na het instellen van beveiligingsmaatregelen, moet u ervoor zorgen dat ze werken. Wanneer u uw veiligheidsmaatregelen bekijkt, wilt u ze zowel vanuit een technisch als niet-technisch standpunt bekijken., Tijdens deze evaluatie kunt u merken dat een beveiligingsmaatregel uw organisatie niet langer beschermt en daarom moet u uw bedieningselementen aanpassen om te reageren op veranderingen in medewerkers, milieu en technologie.
welke werknemersinformatie moet worden beschermd om een HIPAA-overtreding op de werkplek te voorkomen?
zelfs als u een externe beheerder inhuurt om uw zorgverzekeringsprogramma te beheren, heeft uw personeelsafdeling nog steeds toegang tot PHI en ePHI., Als uw HR-afdeling en het personeel van de voordelen het zorgplan coördineren met uw leverancier, kan de informatie in die gesprekken onderhevig zijn aan HIPAA.
Hoe kan een organisatie PHI en ePHI beschermen als haar HR-afdeling toegankelijk is?
Ten eerste moeten uw HR-en benefits-personeel de verzonden informatie catalogiseren, hoe ze deze opslaan en hoe ze deze gebruiken om hun administratieve functies uit te voeren.,
bovendien moeten uw HR-afdeling en het personeel van de benefits begrijpen dat communicatie met de externe serviceprovider onder de beveiligingsregel valt, net als alle informatie die medewerkers via uw intranet kunnen indienen. Dus, je nodig hebt om beleid en processen die informatie te beschermen in rust en in doorvoer te creëren. Deze beveiligingen moeten uw intranet, het internet en e-mails met leveranciers op te nemen.
ten slotte moet uw IT-afdeling toegangscontroles instellen., Deze moeten omvatten soorten administratieve functies uitgevoerd, gebruikte systemen, toepassingen met systemen, functies binnen toepassingen, gegevensbestanden, en velden binnen bestanden. Vervolgens moeten HR en IT samenwerken om te bepalen welke werknemersgroepen toegang nodig hebben tot elk van deze groepen en te bepalen wie beveiligingsinstellingen voor bestanden kan lezen, maken, Wijzigen, Verwijderen, zoeken en wijzigen.
Hoe kan ik me beschermen tegen vermeende HIPAA-schendingen?,
het moeilijkste deel over het bepalen of er een HIPAA overtreding heeft plaatsgevonden in uw bedrijf is het begrijpen wie informatie heeft gedeeld en hoe zij de informatie hebben verkregen.
HIPAA houdt geen rekening met personeelsbestanden en records PHI. Dus zelfs als de gegevens informatie bevatten over de gezondheid van uw werknemer, is HIPAA niet van toepassing. Werknemers kunnen dit echter niet begrijpen. Verwarde werknemers kunnen schendingen indienen bij het Office for Civil Rights (OCR). Dit onderzoek kost dan tijd en geld om te verdedigen.,
uw HR-afdeling moet beleid en procedures ontwikkelen die secure records-medewerkers als beschermd beschouwen. Bijvoorbeeld, kunt u het management te trainen met betrekking tot ongepaste vragen die lijken te roepen PHI. Hoewel HIPAA deze niet reguleert, kunnen werknemers zich dat niet realiseren en proberen een claim vast te stellen.
hoe ZenGRC HIPAA Compliance mogelijk maakt
ZenGRC verlicht de compliance Last Door organisaties zaadinhoud te bieden voor het in kaart brengen van hun controles over een verscheidenheid aan normen en kaders. Dit versnelt het onboarding proces en maakt ook gap analyse.,
zorgverleners kunnen kiezen uit HITRUST, COBIT, COSO, ISO, PCI DSS en NIST frameworks om een goede IT HIPAA compliance te garanderen. Bovendien kunnen zakelijke partners die HIPAA-compliant willen worden naarmate ze opschalen, hun huidige compliance snel bekijken met behulp van onze gap analysis tool en bepalen hoeveel extra werk ze moeten doen.
voor meer informatie over het gebruik van ZenGRC om de HIPAA compliance Last te verlichten en het proces van schaalbaarheid te versnellen, kunt u een demo plannen.