opublikowano czerwiec 7 • 2018 przez Karen Walsh * 4 min przeczytaj
naruszenia przepisów HIPAA w miejscu pracy dotyczą wszystkich firm, nie tylko świadczeniodawców, ale także podmiotów objętych przepisami i ich współpracowników. Pracodawcy świadczący opiekę zdrowotną swoim pracownikom lub wymagający informacji zdrowotnych w ramach świadczeń z tytułu niepełnosprawności mogą naruszać HIPAA. Z możliwością naruszenia przepisów HIPAA w miejscu pracy w ramach codziennych działań związanych z zasobami ludzkimi, wszystkie firmy muszą być świadome, jak chronić siebie i swoich pracowników.,
czym jest HIPAA?
uchwalona w 1996 r.Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) ma na celu ochronę informacji zdrowotnych osób, które przeniosły się z jednej pracy do drugiej. Amerykański Departament Zdrowia i usług ludzkich (HHS) dodatkowo uchwalił zasadę prywatności w 2003, definiując chronione informacje zdrowotne (Phi) jako „wszelkie informacje przechowywane przez objęty podmiot, które dotyczą stanu zdrowia, świadczenia opieki zdrowotnej lub płatności za opiekę zdrowotną, które mogą być powiązane z osobą fizyczną.,”W 2005 roku Aktualizacja zasad bezpieczeństwa do HIPAA skupiła się na elektronicznym przechowywaniu PHI (ePHI). Mimo że jest to oddzielone od Zasady Prywatności, Zwiększone wykorzystanie platform cyfrowych do udostępniania informacji dotyczących opieki zdrowotnej wiąże się z większą liczbą systemów informacyjnych niż wcześniej.
jakie informacje o pracownikach kwalifikują się jako PHI czy ePHI?
reguła prywatności HIPAA zawiera wszelkie zapisy medyczne lub zapisy planu zdrowotnego, które zbierasz w celu administrowania planami opieki zdrowotnej pracowników. Nie ma ona zastosowania do ewidencji zatrudnienia, nawet jeśli zawierają one informacje dotyczące zdrowia.,
na przykład, jeśli poprosisz pracownika o dostarczenie informacji zdrowotnych w celu udokumentowania zwolnienia chorobowego lub odszkodowania dla pracowników, informacje te nie podlegają zasadzie Prywatności. Jeśli jednak skontaktujesz się z dostawcą opieki zdrowotnej swojego pracownika, Informacje przekazane przez dostawcę podlegają zasadom prywatności.
co musi wiedzieć Dział Kadr?
wiele działów kadr włącza świadczenia medyczne dla pracowników., Jeśli Twoja firma oferuje pracownikom objęty plan ochrony zdrowia, musisz ustalić, czy spełniasz próg zgodności z zasadą bezpieczeństwa.
najpierw musisz przyjrzeć się rodzajowi zarządzanego planu i liczbie zaangażowanych osób.
Czy twój plan obejmuje 50 lub więcej uczestników?
Jeśli odpowiedź jest twierdząca, wtedy obowiązuje zasada bezpieczeństwa.
Jeśli odpowiedź brzmi nie:
Czy osoba trzecia zarządza Twoim planem ubezpieczenia zdrowotnego?
Jeśli odpowiedź na to pytanie brzmi tak, musisz martwić się o naruszenia zasad bezpieczeństwa HIPAA.,
czy działasz jako sponsor planu dla grupowego planu opieki zdrowotnej (obejmuje to Korzystanie z dostawcy dla elastycznych kont wydatków i programów pomocy pracowniczej)?
najprawdopodobniej jednak odpowiedź na to ostatnie pytanie brzmi „tak.”Mylące jest to, że nawet jeśli sponsorujesz tylko plan, możesz nadal działać jako administrator planu lub ktoś, kto musi sprawdzić zewnętrznego dostawcę. Na przykład, jeśli oferujesz swoim pracownikom elastyczne konto wydatków lub program pomocy pracowniczej, obowiązuje zasada bezpieczeństwa.
Co to jest proces zarządzania bezpieczeństwem?,
Twój pierwszy krok do ochrony firmy przed naruszeniem HIPAA w miejscu pracy polega na stworzeniu analizy ryzyka. Musisz określić wszystkie informacje, które przechowuje Twoja organizacja, gdzie znajdują się dane, a także potencjalne zagrożenia i luki w zabezpieczeniach, które mogą mieć wpływ na poufność, integralność i dostępność ePHI.
Po zakończeniu analizy ryzyka należy utworzyć środki bezpieczeństwa, aby zmniejszyć prawdopodobieństwo wystąpienia tych zagrożeń i luk w zabezpieczeniach. Aby zmniejszyć te zagrożenia, należy ustanowić zasady, procedury i procesy zabezpieczające informacje., Możesz na przykład utworzyć zabezpieczenia fizyczne, takie jak blokada, która zmniejsza ryzyko kradzieży dokumentów lub wdrożyć uwierzytelnianie wieloskładnikowe w celu ochrony urządzeń przed nieautoryzowanym użyciem.
po ustanowieniu środków bezpieczeństwa należy upewnić się, że działają. Przeglądając środki bezpieczeństwa, chcesz spojrzeć na nie zarówno z technicznego, jak i nietechnicznego punktu widzenia., Podczas tej oceny może się okazać, że środek bezpieczeństwa nie chroni już Twojej organizacji, dlatego musisz dostosować swoje środki kontroli, aby reagować na zmiany pracownicze, środowiskowe i technologiczne.
jakie informacje o pracownikach muszą być chronione, aby zapobiec naruszeniu przepisów HIPAA w miejscu pracy?
nawet jeśli zatrudnisz zewnętrznego administratora do zarządzania programem ubezpieczeń zdrowotnych, Twój dział kadr nadal ma dostęp do PHI i ePHI., Jeśli twój dział HR i pracownicy świadczeń koordynują plan opieki zdrowotnej z Twoim dostawcą, informacje zawarte w tych rozmowach mogą podlegać HIPAA.
jak organizacja może chronić PHI i ePHI w dostępie do działu HR?
Po pierwsze, pracownicy Działu Kadr i świadczeń powinni skatalogować przekazywane informacje, jak je przechowują i jak wykorzystują je do wykonywania swoich funkcji administracyjnych.,
ponadto Twój dział HR i pracownicy świadczeń muszą zrozumieć, że komunikacja z zewnętrznym dostawcą usług podlega zasadzie bezpieczeństwa, podobnie jak wszelkie informacje, które pracownicy mogą przekazywać za pośrednictwem Twojego intranetu. Dlatego musisz stworzyć zasady i procesy, które chronią informacje w stanie spoczynku i w tranzycie. Zabezpieczenia te muszą obejmować intranet, internet i wiadomości e-mail u dostawców.
wreszcie Twój dział IT musi ustanowić kontrolę dostępu., Powinny one obejmować rodzaje wykonywanych funkcji administracyjnych, używanych systemów, aplikacji z systemami, funkcji w aplikacjach, plików danych i pól w plikach. Następnie dział HR i IT powinny współpracować, aby określić, które grupy pracowników potrzebują dostępu do każdego z nich i zdefiniować, kto może czytać, tworzyć, modyfikować, usuwać, wyszukiwać i zmieniać ustawienia zabezpieczeń plików.
Jak mogę chronić się przed zauważonymi naruszeniami HIPAA?,
najtrudniejszą częścią określenia, czy doszło do naruszenia przepisów HIPAA w Twojej firmie, jest zrozumienie, kto udostępnił informacje i w jaki sposób je uzyskał.
HIPAA nie bierze pod uwagę akt osobowych i zapisów. Tak więc, nawet jeśli zapisy zawierają informacje o stanie zdrowia Twojego pracownika, HIPAA nie ma zastosowania. Jednak pracownicy mogą tego nie rozumieć. Zdezorientowani pracownicy mogą zgłaszać naruszenia do urzędu Praw Obywatelskich (OCR). To dochodzenie kosztuje wtedy czas i pieniądze na obronę.,
Twój dział HR powinien opracować zasady i procedury zabezpieczające dane, które pracownicy postrzegają jako chronione. Na przykład możesz trenować zarządzanie w zakresie niewłaściwych pytań, które wydają się wywoływać PHI. Chociaż HIPAA nie reguluje tych kwestii, pracownicy mogą nie zdawać sobie z tego sprawy i próbować ustalić roszczenie.
jak ZenGRC umożliwia zgodność z przepisami HIPAA
ZenGRC zmniejsza obciążenie zgodnością, dostarczając organizacjom treści zalążkowe do mapowania ich kontroli w różnych standardach i ramach. Przyspiesza to proces wdrażania i umożliwia analizę luk.,
świadczeniodawcy mogą wybierać spośród RAM HITRUST, COBIT, COSO, ISO, PCI DSS i NIST, aby zapewnić odpowiednią zgodność z HIPAA. Co więcej, partnerzy biznesowi, którzy chcą uzyskać zgodność z HIPAA w miarę ich skalowania, mogą szybko sprawdzić swoją aktualną zgodność za pomocą naszego narzędzia do analizy luk i określić, ile dodatkowej pracy muszą wykonać.
aby uzyskać więcej informacji na temat korzystania z ZenGRC w celu zmniejszenia obciążenia HIPAA i przyspieszenia procesu skalowalności, zaplanuj demo.