publicerad 7 juni 2018 av Karen Walsh • 4 min läs
HIPAA kränkningar på arbetsplatsen gäller för alla företag, inte bara vårdgivare, men också omfattade enheter och deras affärspartners. Arbetsgivare som tillhandahåller vård till sina anställda eller kräver hälsoinformation som en del av funktionshinder kan bryta mot HIPAA. Med förmågan att en HIPAA-arbetsplatsöverträdelse ska ske som en del av den dagliga personalverksamheten måste alla företag vara medvetna om hur man skyddar sig själva och sina anställda.,
Vad är HIPAA?
Antogs 1996, Health Insurance Bärbarhet och Accountability Act (HIPAA) avser att skydda enskilda individers hälsa information när de flyttade från ett jobb till ett annat. US Department of Health and Human Services (HHS) passerade dessutom Integritetsregeln i 2003 och definierade skyddad hälsoinformation (PHI) som ”all information som innehas av en täckt enhet som gäller hälsostatus, tillhandahållande av sjukvård eller betalning för sjukvård som kan kopplas till en individ.,”I 2005, säkerhetsregeln uppdatering till HIPAA fokuserade på elektroniskt lagrade PHI (ePHI). Även om den ökade användningen av digitala plattformar för utbyte av hälso-och sjukvårdsinformation skiljer sig från Integritetsregeln, innebär det fler informationssystem än tidigare.
vilken anställd information kvalificerar som PHI eller ePHI?
HIPAA Privacy Rule innehåller alla journaler eller hälsoplansposter som du samlar in för att administrera dina anställdas hälso-och sjukvårdsplaner. Det gäller inte anställningsregister, även om de innehåller hälsorelaterad information.,
om du till exempel ber en anställd att tillhandahålla hälsoinformation för att dokumentera sjukskrivning eller arbetstagares ersättning, faller denna information inte under sekretessregeln. Men om du kontaktar din anställdes vårdgivare faller den information som leverantören ger dig under sekretessregeln.
vad behöver en personalavdelning veta?
många personalavdelningar innehåller medicinska fördelar för de anställda., Om ditt företag erbjuder anställda en täckt hälsoplan måste du avgöra om du uppfyller tröskeln för att följa säkerhetsregeln.
först måste du titta på vilken typ av plan du administrerar och antalet inblandade personer.
täcker din plan 50 eller fler deltagare?
om svaret är ja gäller säkerhetsregeln.
om svaret är nej:
administrerar en tredje part din sjukförsäkringsplan?
om svaret på denna fråga är ja, måste du oroa dig för HIPAA säkerhetsregler överträdelser.,
fungerar Du som plansponsor för en grupphälsovårdsplan (detta inkluderar att använda en leverantör för dina flexibla utgiftskonton och personalhjälpsprogram)?
troligtvis är svaret på denna sista fråga ” ja.”Den förvirrande delen här är att även om du bara sponsrar planen kan du fortfarande fungera som en planadministratör eller någon som behöver granska en tredjepartsleverantör. Om du till exempel erbjuder dina anställda ett flexibelt utgiftskonto eller personalhjälpsprogram gäller säkerhetsregeln.
Vad är en säkerhetshanteringsprocess?,
ditt första steg för att skydda ditt företag från en HIPAA-överträdelse på arbetsplatsen ligger i att skapa en riskanalys. Du måste bestämma all information din organisation hus, där data finns, och potentiella risker och sårbarheter som kan påverka sekretess, integritet och tillgänglighet av ePHI.
När du har slutfört riskanalysen måste du skapa säkerhetsåtgärder för att minska sannolikheten för dessa risker och sårbarheter. För att minska dessa risker måste du upprätta policyer, förfaranden och processer som säkerställer information., Till exempel kanske du vill skapa fysiska skydd som ett lås som minskar risken för dokumentstöld eller införliva multifaktorsautentisering för att skydda enheter från obehörig användning.
Efter att ha fastställt säkerhetsåtgärder måste du se till att de fungerar. När du granskar dina säkerhetsåtgärder vill du titta på dem ur både teknisk och icke-teknisk synvinkel., Under denna utvärdering kan du upptäcka att en säkerhetsåtgärd inte längre skyddar din organisation, och därför måste du justera dina kontroller för att svara på anställda, miljö och tekniska förändringar.
vilken information om anställda behöver skyddas för att förhindra en HIPAA-överträdelse på arbetsplatsen?
även om du hyr en tredjepartsadministratör för att hantera ditt sjukförsäkringsprogram har din personalavdelning fortfarande tillgång till PHI och ePHI., Om din HR-avdelning och förmånspersonal samordnar vårdplanen med din leverantör, kan informationen i dessa samtal vara föremål för HIPAA.
Hur kan en organisation skydda PHI och ePHI genom att dess HR-avdelning kommer åt?
För det första bör din HR-och förmånspersonal katalogisera den överförda informationen, hur de lagrar den och hur de använder den för att utföra sina administrativa funktioner.,
dessutom måste personal inom HR-avdelningen och ersättningar förstå att kommunikation med tredje parts tjänsteleverantör omfattas av säkerhetsregeln, liksom informationsanställda kan lämna in via intranätet. Således måste du skapa policyer och processer som skyddar information i vila och i transit. Dessa skydd måste införliva ditt intranät, internet och e-post med leverantörer.
slutligen måste din IT-avdelning upprätta åtkomstkontroller., Dessa bör omfatta typer av administrativa funktioner som utförs, system som används, applikationer med System, funktioner inom applikationer, datafiler och fält inom filer. Sedan, HR och det bör arbeta tillsammans för att avgöra vilka medarbetargrupper behöver tillgång till var och en av dem och definiera vem som kan läsa, Skapa, Ändra, Ta bort, söka och ändra säkerhetsinställningar för filer.
hur kan jag skydda mot upplevda HIPAA-överträdelser?,
det svåraste med att avgöra om en HIPAA-överträdelse inträffade i ditt företag är att förstå vem som delade information och hur de fick informationen.
HIPAA anser inte personalfiler och register PHI. Således, även om posterna innehåller information om din anställdes hälsa, gäller inte HIPAA. Anställda kan dock inte förstå detta. Förvirrade anställda kan lämna in överträdelser med Byrån för medborgerliga rättigheter (OCR). Denna undersökning kostar då tid och pengar att försvara.,
din HR-avdelning bör utveckla policyer och rutiner som säkra poster anställda uppfattar som skyddade. Till exempel kanske du vill träna ledningen om olämpliga frågor som verkar åberopa PHI. Även om HIPAA inte reglerar dessa, kan anställda inte inse det och försöka upprätta ett påstående.
hur ZenGRC möjliggör HIPAA-överensstämmelse
ZenGRC underlättar efterlevnadsbördan genom att tillhandahålla organisationer fröinnehåll för att kartlägga sina kontroller över en mängd olika standarder och ramar. Detta påskyndar ombordstigningsprocessen och möjliggör även gapanalys.,
vårdgivare kan välja från HITRUST, COBIT, COSO, ISO -, PCI DSS, och NIST ramar för att säkerställa korrekt DET HIPAA överensstämmelse. Dessutom kan affärspartners som vill bli HIPAA-kompatibla eftersom de skalar snabbt se sin nuvarande överensstämmelse med hjälp av vårt gapanalysverktyg och bestämma hur mycket extra arbete de behöver göra.
För mer information om att använda ZenGRC för att underlätta HIPAA compliance burden och för att påskynda processen för skalbarhet, schemalägga en demo.