publicado em 7 de junho de 2018 por Karen Walsh • 4 min ler
HIPAA violações no local de trabalho se aplicam a todas as empresas, não apenas prestadores de cuidados de saúde, mas também entidades abrangidas e seus associados de negócios. Os empregadores que fornecem cuidados de saúde aos seus empregados ou que exigem informações de saúde como parte dos benefícios de deficiência podem violar a HIPAA. Com a capacidade de uma violação HIPAA no local de trabalho para ocorrer como parte das atividades de Recursos Humanos cotidianos, todas as empresas precisam estar cientes de como proteger-se e seus funcionários.,o que é o HIPAA?
promulgada em 1996, a Lei de portabilidade e responsabilidade do seguro de saúde (HIPAA) pretende proteger as informações de saúde dos indivíduos quando eles se mudaram de um emprego para outro. O Departamento de Saúde e Serviços Humanos dos Estados Unidos (HHS) também aprovou a regra de Privacidade em 2003, definindo a informação de saúde protegida (PHI) como “qualquer informação detida por uma entidade coberta que diz respeito ao estado de saúde, à prestação de cuidados de saúde ou ao pagamento de cuidados de saúde que possam estar ligados a um indivíduo.,”Em 2005, a atualização da regra de segurança para o HIPAA focou-se em Phi (ePHI) eletronicamente armazenado. Embora separada da regra da privacidade, o aumento da utilização de plataformas digitais para a partilha de informações sobre cuidados de saúde implica mais sistemas de Informação do que antes.que informação do empregado qualifica como PHI ou ePHI?
a regra de privacidade HIPAA incorpora quaisquer registos médicos ou registos de planos de saúde que você recolhe para administrar os seus planos de saúde dos empregados. Não se aplica aos registos de emprego, mesmo que contenham informações relacionadas com a saúde.,por exemplo, se pedir a um empregado que forneça informações de saúde para documentar a licença por doença ou a compensação dos trabalhadores, estas informações não são abrangidas pela regra da privacidade. No entanto, se entrar em contacto com o prestador de cuidados de saúde do seu empregado, as informações que o prestador lhe dá são abrangidas pela regra da privacidade.o que é que um departamento de Recursos Humanos precisa de saber?muitos departamentos de Recursos Humanos incorporam benefícios médicos para os empregados., Se sua empresa oferece aos funcionários um plano de saúde coberto, então você precisa determinar se você cumpre o limite para cumprir com a regra de segurança.
primeiro, você precisa olhar para o tipo de plano que você administra e o número de pessoas envolvidas.o seu plano abrange 50 ou mais participantes?If the answer is yes, then the Security Rule applies.se a resposta for não: um terceiro administra o seu plano de seguro de saúde?se a resposta a esta pergunta é sim, você precisa se preocupar com violações da regra de segurança HIPAA.,
Você funciona como o patrocinador do plano para um plano de saúde de grupo (isto inclui a utilização de um fornecedor para as suas contas de gastos flexíveis e programas de assistência aos empregados)?
mais provável, no entanto, a resposta a esta última pergunta é “sim.”A parte confusa aqui é que mesmo que apenas patrocine o plano, você ainda pode estar funcionando como um administrador de plano ou alguém que precisa rever um fornecedor de terceiros. Por exemplo, se você oferecer aos seus funcionários uma conta de gastos flexível ou programa de assistência aos funcionários, então a regra de segurança se aplica.o que é um processo de gestão de segurança?,o seu primeiro passo para proteger a sua empresa de uma violação HIPAA no local de trabalho consiste em criar uma análise de risco. Você precisa determinar todas as informações que sua organização abriga, onde os dados residem, e potenciais riscos e vulnerabilidades que podem afetar a confidencialidade, integridade e disponibilidade do ePHI.uma vez concluída a análise de risco, você precisa criar medidas de segurança para reduzir a probabilidade desses riscos e vulnerabilidades. Para diminuir esses riscos, você precisa estabelecer políticas, procedimentos e processos que garantam a informação., Por exemplo, você pode querer criar proteções físicas, tais como um bloqueio que reduz o risco de roubo de documentos ou incorporar autenticação multi-fator para proteger os dispositivos de uso não autorizado.depois de estabelecer medidas de segurança, tem de garantir que funcionam. Quando você revê suas medidas de segurança, você quer olhar para elas do ponto de vista técnico e não técnico., Durante esta avaliação, você pode achar que uma medida de segurança já não protege sua organização e, portanto, você precisa ajustar seus controles para responder às mudanças de funcionários, ambientais e tecnológicas.que informação dos trabalhadores deve ser protegida para evitar uma violação do local de trabalho HIPAA?mesmo que contrate um administrador para gerir o seu programa de seguro de saúde, o seu departamento de recursos humanos ainda tem acesso a PHI e ePHI., Se o seu departamento de RH e pessoal de benefícios coordenarem o plano de saúde com o seu fornecedor, as informações contidas nessas conversas podem estar sujeitas a HIPAA.como uma organização pode proteger PHI e ePHI em que seu departamento de RH acessa?
Em Primeiro Lugar, O SEU Pessoal de RH e Benefícios deve catalogar as informações transmitidas, como as armazenam e como as utilizam para desempenhar as suas funções administrativas.,além disso, o seu departamento de RH e pessoal de benefícios precisam entender que as comunicações com o provedor de serviços de terceiros são abrangidas pela regra de segurança, assim como qualquer informação que os funcionários possam enviar através da sua intranet. Assim, você precisa criar políticas e processos que protejam a informação em repouso e em trânsito. Estas proteções precisam incorporar sua intranet, a internet e E-mails com fornecedores.finalmente, o seu departamento de TI precisa de estabelecer controlos de acesso., Estes devem incluir tipos de funções administrativas desempenhadas, sistemas utilizados, aplicações com sistemas, funções dentro de aplicações, ficheiros de dados e campos dentro de ficheiros. Em seguida, HR e ele deve trabalhar em conjunto para determinar que grupos de funcionários precisam de acesso a cada um desses e definir quem pode ler, Criar, Modificar, excluir, pesquisar e mudar configurações de segurança para arquivos.como posso proteger contra violações de HIPAA?,
a parte mais difícil sobre determinar se uma violação HIPAA ocorreu em sua empresa é compreender quem compartilhou informações e como elas obtiveram as informações.o HIPAA não considera os ficheiros e registos pessoais. Assim, mesmo que os registros contenham informações sobre a saúde do seu empregado, o HIPAA não se aplica. No entanto, os empregados podem não entender isso. Empregados confusos podem apresentar violações com o escritório de Direitos Civis (OCR). Esta investigação custa então tempo e dinheiro para defender.,o seu departamento de RH deve desenvolver políticas e procedimentos que garantam a segurança dos registos que os funcionários consideram protegidos. Por exemplo, você pode querer treinar a gestão em relação a questões inapropriadas que parecem invocar PHI. Embora a HIPAA não regulamente estes, os empregados podem não perceber isso e tentar estabelecer uma reivindicação.como a ZenGRC permite a conformidade da HIPAA, a ZenGRC alivia a carga de Conformidade, fornecendo às organizações conteúdo de sementes para mapear os seus controlos através de uma variedade de padrões e quadros. Isso acelera o processo de onboarding e também permite a análise de gap.,
prestadores de cuidados de saúde podem escolher entre HITRUST, COBIT, COSO, ISO, PCI DSS, e frameworks NIST para garantir a conformidade HIPAA adequada. Além disso, os parceiros de negócios que procuram tornar-se conformes com a HIPAA à medida que escalam podem ver rapidamente a sua conformidade atual usando a nossa ferramenta de análise de gap e determinar quanto trabalho adicional eles precisam fazer.
para mais informações sobre o uso do ZenGRC para aliviar a carga de conformidade do HIPAA e acelerar o processo de escalabilidade, programe uma demonstração.