Publicat Iunie 7, 2018 de Karen Walsh • 4 min citește
HIPAA încălcări la locul de muncă se aplică tuturor companiilor, nu doar furnizorii de asistență medicală, dar, de asemenea, entități acoperite și asociații lor de afaceri. Angajatorii care oferă asistență medicală angajaților lor sau care solicită informații despre sănătate ca parte a prestațiilor de invaliditate pot încălca HIPAA. Având capacitatea ca o încălcare a locului de muncă HIPAA să apară ca parte a activităților de resurse umane de zi cu zi, toate companiile trebuie să fie conștiente de modul în care să se protejeze pe ele însele și pe angajații lor.,
ce este HIPAA?adoptat în 1996, Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA) intenționează să protejeze informațiile de sănătate ale persoanelor atunci când s-au mutat de la un loc de muncă la altul. Departamentul de sănătate și Servicii Umane al SUA (HHS) a adoptat în plus regula de confidențialitate în 2003, definind informațiile de sănătate protejate (PHI) ca „orice informație deținută de o entitate acoperită care se referă la starea de sănătate, furnizarea de asistență medicală sau plata pentru asistență medicală care poate fi legată de o persoană.,”În 2005, actualizarea regulilor de securitate la HIPAA sa concentrat pe Phi stocat electronic (ePHI). Deși separată de regula de Confidențialitate, Utilizarea sporită a platformelor digitale pentru schimbul de informații medicale implică mai multe sisteme de informații decât înainte.
ce informații angajat se califică ca PHI sau ePHI?
regula de confidențialitate HIPAA încorporează orice înregistrări medicale sau înregistrări ale planului de sănătate pe care le colectați pentru a vă administra planurile de îngrijire a sănătății angajaților. Nu se aplică înregistrărilor de angajare, chiar dacă conțin informații legate de sănătate.,de exemplu, dacă solicitați unui angajat să furnizeze informații de sănătate pentru a documenta concediul medical sau compensația lucrătorilor, aceste informații nu intră sub incidența regulii de Confidențialitate. Cu toate acestea, dacă contactați furnizorul de asistență medicală al angajatului dvs., informațiile pe care Furnizorul vă oferă se încadrează în regula de Confidențialitate.
ce trebuie să știe un departament de Resurse Umane?multe departamente de resurse umane includ beneficii medicale pentru angajați., Dacă compania dvs. oferă angajaților un plan de sănătate acoperit, atunci trebuie să stabiliți dacă îndepliniți pragul pentru respectarea regulii de securitate.în primul rând, trebuie să analizați tipul de plan pe care îl administrați și numărul de persoane implicate.planul tău acoperă 50 sau mai mulți participanți?
dacă răspunsul este da, atunci se aplică regula de securitate.
Dacă răspunsul este nu:
o terță parte vă administrează planul de asigurare de sănătate?
dacă răspunsul la această întrebare este da, trebuie să vă faceți griji cu privire la încălcarea regulilor de securitate HIPAA.,
funcționați ca sponsor al planului pentru un plan de îngrijire a sănătății de grup (aceasta include utilizarea unui furnizor pentru conturile dvs. flexibile de cheltuieli și programele de asistență a angajaților)?cel mai probabil, însă, răspunsul la această ultimă întrebare este „da.”Partea confuză aici este că, chiar dacă sponsorizați doar planul, este posibil să funcționați în continuare ca administrator de plan sau cineva care trebuie să revizuiască un furnizor terț. De exemplu, dacă oferiți angajaților dvs. un cont flexibil de cheltuieli sau un program de asistență pentru angajați, atunci se aplică regula de securitate.
ce este un proces de management al securității?,primul pas pentru a vă proteja compania de o încălcare a HIPAA la locul de muncă constă în crearea unei analize de risc. Trebuie să determinați toate informațiile pe care organizația dvs. le găzduiește, unde se află datele și potențialele riscuri și vulnerabilități care pot afecta confidențialitatea, integritatea și disponibilitatea ePHI.după ce finalizați analiza de risc, trebuie să creați măsuri de securitate pentru a reduce probabilitatea acestor riscuri și vulnerabilități. Pentru a diminua aceste riscuri, trebuie să stabiliți politici, proceduri și procese care să asigure securitatea informațiilor., De exemplu, este posibil să doriți să creați Protecții fizice, cum ar fi o blocare care să atenueze riscul de furt de documente sau să încorporați autentificarea cu mai mulți factori pentru a proteja dispozitivele împotriva utilizării neautorizate.după stabilirea măsurilor de securitate, trebuie să vă asigurați că acestea funcționează. Când revizuiți măsurile de securitate, doriți să le priviți atât din punct de vedere tehnic, cât și din punct de vedere non-tehnic., În timpul acestei evaluări, este posibil să constatați că o măsură de securitate nu vă mai protejează organizația și, prin urmare, trebuie să vă ajustați controalele pentru a răspunde schimbărilor angajaților, mediului și tehnologiei.
ce informații angajat trebuie să fie protejate pentru a preveni o încălcare la locul de muncă HIPAA?chiar dacă angajați un administrator terț pentru a vă gestiona programul de asigurări de Sănătate, Departamentul de resurse umane are în continuare acces la PHI și ePHI., Dacă departamentul de resurse umane și personalul de beneficii coordonează planul de asistență medicală cu furnizorul dvs., Informațiile conținute în aceste conversații pot fi supuse HIPAA.
cum poate o organizație să protejeze PHI și ePHI prin faptul că departamentul său de resurse umane accesează?în primul rând, personalul HR și beneficii ar trebui să catalogheze informațiile transmise, modul în care le stochează și modul în care le utilizează pentru a-și îndeplini funcțiile administrative.,în plus, departamentul de resurse umane și personalul pentru beneficii trebuie să înțeleagă că comunicările cu furnizorul de servicii terță parte se încadrează în regula de securitate, la fel ca orice informație pe care angajații o pot trimite prin intranetul Dvs. Astfel, trebuie să creați politici și procese care să protejeze informațiile în repaus și în tranzit. Aceste protecții trebuie să includă intranetul, internetul și e-mailurile cu furnizorii.în cele din urmă, departamentul IT trebuie să stabilească controale de acces., Acestea ar trebui să includă tipuri de funcții administrative efectuate, sisteme utilizate, aplicații cu sisteme, funcții în cadrul aplicațiilor, fișiere de date și câmpuri din fișiere. Apoi, HR și IT ar trebui să lucreze împreună pentru a determina ce grupuri de angajați au nevoie de acces la fiecare dintre acestea și să definească cine poate citi, crea, modifica, șterge, căuta și schimba setările de securitate pentru fișiere.
cum pot proteja împotriva încălcărilor HIPAA percepute?,
cum poate o organizație să protejeze PHI și ePHI prin faptul că departamentul său de resurse umane accesează?în primul rând, personalul HR și beneficii ar trebui să catalogheze informațiile transmise, modul în care le stochează și modul în care le utilizează pentru a-și îndeplini funcțiile administrative.,în plus, departamentul de resurse umane și personalul pentru beneficii trebuie să înțeleagă că comunicările cu furnizorul de servicii terță parte se încadrează în regula de securitate, la fel ca orice informație pe care angajații o pot trimite prin intranetul Dvs. Astfel, trebuie să creați politici și procese care să protejeze informațiile în repaus și în tranzit. Aceste protecții trebuie să includă intranetul, internetul și e-mailurile cu furnizorii.în cele din urmă, departamentul IT trebuie să stabilească controale de acces., Acestea ar trebui să includă tipuri de funcții administrative efectuate, sisteme utilizate, aplicații cu sisteme, funcții în cadrul aplicațiilor, fișiere de date și câmpuri din fișiere. Apoi, HR și IT ar trebui să lucreze împreună pentru a determina ce grupuri de angajați au nevoie de acces la fiecare dintre acestea și să definească cine poate citi, crea, modifica, șterge, căuta și schimba setările de securitate pentru fișiere.
cum pot proteja împotriva încălcărilor HIPAA percepute?,
cea mai grea parte despre a determina dacă o încălcare HIPAA a avut loc în compania dvs. este înțelegerea care a partajat informații și modul în care au obținut informațiile.HIPAA nu ia în considerare fișierele de personal și înregistrările PHI. Astfel, chiar dacă înregistrările conțin informații despre sănătatea angajatului dvs., HIPAA nu se aplică. Cu toate acestea, este posibil ca angajații să nu înțeleagă acest lucru. Angajații confuzi pot depune încălcări la Oficiul pentru Drepturi Civile (OCR). Această investigație costă apoi timp și bani pentru a apăra.,departamentul de resurse umane ar trebui să dezvolte politici și proceduri care securizează înregistrările pe care angajații le percep ca fiind protejate. De exemplu, poate doriți să instruiți Managementul cu privire la întrebările nepotrivite care par să invoce PHI. Deși HIPAA nu reglementează aceste, angajații nu își dau seama că și să încerce să stabilească o cerere.
Cum ZenGRC Permite Respectarea HIPAA
ZenGRC usureaza sarcina de conformitate de către organizațiile care oferă conținut de semințe pentru cartografierea lor controale într-o varietate de standarde și cadre. Acest lucru accelerează procesul de onboarding și permite, de asemenea, analiza gap.,furnizorii de servicii medicale pot alege dintre cadrele HITRUST, COBIT, COSO, ISO, PCI DSS și NIST pentru a asigura conformitatea it HIPAA adecvată. Mai mult, partenerii de afaceri care doresc să devină compatibili cu HIPAA pe măsură ce scalează pot vizualiza rapid conformitatea lor actuală folosind instrumentul nostru de analiză gap și pot determina cât de multă muncă suplimentară trebuie să facă.pentru mai multe informații despre utilizarea ZenGRC pentru a ușura sarcina de conformitate HIPAA și pentru a accelera procesul de scalabilitate, programați o demonstrație.