HIPAA-Richtlinien für Mitarbeiter

Obwohl der HIPAA seit den späten 90er Jahren Auswirkungen auf das Gesundheitswesen hat, haben immer noch viel zu viele Unternehmen Schwierigkeiten, die verschiedenen Facetten des Gesetzes einzuhalten. Ein besonderer Schwachpunkt für die betroffenen Unternehmen ist der Schutz der geschützten Gesundheitsinformationen ihrer Patienten. Immer wieder versäumen sie es, die ihnen anvertrauten personenbezogenen Daten angemessen zu schützen. Natürlich können solche laxen Schutzmaßnahmen zu einer Reihe von Problemen wie Datendiebstahl, Betrug, Verlust des Kundenvertrauens, Geld- und sogar Gefängnisstrafen führen.

Im Laufe der Jahre hat sich gezeigt, dass eine der Hauptursachen für die Nichteinhaltung des HIPAA in menschlichem Versagen liegt. In den meisten Fällen öffnen Mitarbeiter unwissentlich die Schleusen für neugierige Augen oder Cyber-Kriminelle, weil es ihnen einfach an Verständnis, Bildung oder Voraussicht fehlt. Obwohl solche Handlungen selten böswillig sind, ist Unwissenheit keine Entschuldigung, die von den Gesundheitsbehörden gerne akzeptiert wird. Daher ist es wichtig, dass Sie sicherstellen, dass Ihre Teammitglieder die Regeln und Vorschriften des HIPAA einhalten.

Hier finden Sie unsere HIPAA-Richtlinien für Mitarbeiter!

Sind Arbeitgeber an den HIPAA gebunden?

Wenn Ihr Unternehmen nicht in den Bereich des Gesundheitswesens fällt, fragen Sie vielleicht Ihr HR-Team: „Sind Arbeitgeber an den HIPAA gebunden?“ Auch wenn Sie kein betroffenes Unternehmen sind, sammeln Sie dennoch die Gesundheitsdaten Ihrer Mitarbeiter für Dinge wie Workers Comp oder Americans with Disabilities Act .

Generell gilt der HIPAA nur für „covered entities“. Diese sind definiert als:

  1. Gesundheitspläne
  2. Gesundheitsdienstleister, die PHI elektronisch speichern, weitergeben oder versenden
  3. Gesundheitsverrechnungsstellen

Kurz gesagt, HIPAA gilt normalerweise nicht für den direkten Akt der Erfassung der persönlichen Gesundheitsinformationen Ihres Mitarbeiters; es gilt jedoch für die Gesundheitsdienstleister, von denen Sie solche Informationen erfassen.

Beurteilen Sie Ihre HIPAA / HITECH-Konformität

Nach den Grenzen, die der HIPAA vorgibt, ist es abgedeckten Einrichtungen nur erlaubt, geschützte Gesundheitsinformationen von Patienten offenzulegen, wenn die Person dies erlaubt. Im weitesten Sinne kann eine betroffene Einrichtung PHI für die Zwecke der Behandlung offenlegen; danach werden die Beschränkungen der Offenlegung strenger. Typischerweise unterliegt das, was offengelegt werden kann, der im HIPAA festgelegten Einschränkung „minimal notwendig“. Gemäß HIPAA-Abschnitt 164.512:

Eine betroffene Einrichtung kann geschützte Gesundheitsinformationen ohne die schriftliche Genehmigung der Einzelperson, wie in § 164.508 beschrieben, oder die Möglichkeit für die Einzelperson, zuzustimmen oder Widerspruch einzulegen, wie in § 164.510 beschrieben, in den von diesem Abschnitt abgedeckten Situationen verwenden oder offenlegen, vorbehaltlich der geltenden Anforderungen dieses Abschnitts. Wenn die betroffene Einrichtung nach diesem Abschnitt verpflichtet ist, die Einzelperson über die nach diesem Abschnitt zulässige Verwendung oder Offenlegung zu informieren, oder wenn die Einzelperson dieser zustimmen kann, können die Informationen der betroffenen Einrichtung und die Zustimmung der Einzelperson mündlich erteilt werden.

Geschäftspartner

Im Jahr 2009 erweiterte der American Reinvestment and Recovery Act (ARRA) den Geltungsbereich des HIPAA auf Geschäftspartner, die vom HHS wie folgt definiert werden: „Eine natürliche oder juristische Person, die bestimmte Funktionen oder Aktivitäten ausführt, die die Verwendung oder Offenlegung geschützter Gesundheitsinformationen im Namen einer betroffenen Einrichtung beinhalten, oder die Dienstleistungen für eine betroffene Einrichtung erbringt. Ein Mitglied der Belegschaft der betroffenen Einrichtung ist kein Geschäftspartner. Ein abgedeckter Gesundheitsdienstleister, ein Gesundheitsplan oder eine Clearingstelle für das Gesundheitswesen kann ein Geschäftspartner einer anderen abgedeckten Einrichtung sein.“

Beispiele für die Funktionen und Aktivitäten eines Geschäftspartners können sein:

  • Datenanalyse
  • Datenverarbeitung
  • Datenverwaltung
  • Fallbearbeitung
  • Fallverwaltung
  • Nutzung prüfung
  • Qualitätssicherung
  • Abrechnung
  • Leistungsverwaltung
  • Praxisverwaltung
  • Preisgestaltung

Daher Business Associate Services können alle der folgenden Tätigkeiten abdecken:

  • Rechtswesen
  • Buchhaltung
  • Verwaltung
  • Beratung
  • Datenaggregation
  • Daten Management
  • Datenakkreditierung
  • Finanzen

HIPAA-Richtlinien für Mitarbeiter

Was ist PHI?

Wenn Ihr Unternehmen ein „Covered Entity“ oder ein „Business Associate“ ist, ist es wichtig, dass Sie und Ihre Mitarbeiter besonders sorgfältig mit den geschützten Gesundheitsinformationen Ihrer Kunden umgehen. Aber was wird als PHI betrachtet? Laut dem HIPAA Journal sind es:

Jede identifizierbare Gesundheitsinformation, die von einer HIPAA-abgedeckten Entität oder einem Geschäftspartner einer HIPAA-abgedeckten Entität im Zusammenhang mit der Bereitstellung von Gesundheitsleistungen oder der Bezahlung von Gesundheitsleistungen verwendet, gepflegt, gespeichert oder übertragen wird. Es sind nicht nur vergangene und aktuelle Gesundheitsinformationen, die unter den HIPAA-Regeln als PHI gelten, sondern auch zukünftige Informationen über den Gesundheitszustand oder die körperliche und geistige Gesundheit im Zusammenhang mit der Bereitstellung von Pflege oder der Bezahlung von Pflege. PHI sind Gesundheitsinformationen in jeder Form, einschließlich physischer Aufzeichnungen, elektronischer Aufzeichnungen oder gesprochener Informationen.

Die 18 Identifikatoren, die als PHI gelten, sind:

  • Kontonummern
  • Jede eindeutige Identifikationsnummer oder -code
  • Biometrische Identifikatoren (Fingerabdrücke, Netzhautscan)
  • Zertifikat-/Lizenznummern
  • Daten, außer dem Jahr
  • Gerätekennungen und Seriennummern
  • E-Mail-Adressen
  • FAX-Nummern
  • Gesichtsfotos und vergleichbare Bilder
  • Geografische Daten
  • Nummern von Leistungsempfängern im Gesundheitswesen
  • Internetprotokolladressen
  • Medizinische Nummern von Krankenakten
  • Namen
  • Sozialversicherungsnummern
  • Telefonnummern
  • Fahrzeugkennungen und Seriennummern einschließlich Nummernschildern
  • Web-URLs

Administrative Schutzmaßnahmen

Wenn Sie eine betroffene Einrichtung oder ein Geschäftspartner sind, schreibt die Sicherheitsrichtlinie vor, dass Ihre schreibt die Security Rule vor, dass Ihr Unternehmen die folgenden administrativen Sicherheitsvorkehrungen treffen muss:

  • Sicherheitsmanagementprozess – Abgedeckte Stellen sind verpflichtet, potenzielle Risiken für ePHI zu identifizieren und zu analysieren. Sobald dies geschehen ist, sind sie verpflichtet, Sicherheitsprotokolle und Verfahren einzuführen, um diese Risiken zu verringern.
  • Sicherheitsbeauftragter – Sie müssen einen Sicherheitsbeauftragten benennen, der für die Erstellung und Anwendung von Sicherheitsprotokollen und -verfahren verantwortlich ist.
  • Informationszugriffsmanagement – Sie sind verpflichtet, die Nutzung und Offenlegung von PHI auf das „notwendige Minimum“ zu beschränken.
  • Mitarbeiterschulung und -management – Sie sind gesetzlich verpflichtet, sicherzustellen, dass Sie alle Mitarbeiter, die mit ePHI umgehen, angemessen beaufsichtigen und schulen. Dazu gehört, dass Sie sie über Sicherheitsrichtlinien, Verfahren und Sanktionen bei Nichteinhaltung unterrichten.

Wenn Ihr Unternehmen regelmäßig mit sensiblen Kundendaten umgeht, sind Sie gesetzlich dazu verpflichtet, diese Informationen zu schützen. Indem Sie eine HIPAA-Compliance-Schulung vorschreiben, treffen Sie angemessene präventive Vorkehrungen und können im Falle von Fehlern nach außen hin nachweisen, dass Sie alles in Ihrer Macht Stehende getan haben, um Ihre Mitarbeiter zu korrektem Verhalten zu schulen.

Gängige HIPAA-Verstöße und Fauxpas von Mitarbeitern

Wie bereits erwähnt, sind Mitarbeiter die häufigste Ursache für HIPAA-Verstöße. Die überwiegende Mehrheit solcher Fälle von Fehlverhalten sind einfach das Ergebnis von Faulheit und mangelndem Training. Mitarbeiter wissen es nicht besser, obwohl sie es sollten, und handeln dann aus Inkompetenz. In diesem Sinne ist es Ihre Pflicht, Ihre Mitarbeiter regelmäßig über die Gefahren der HIPAA-Nichtkonformität aufzuklären, sowohl für sie persönlich als auch für das Unternehmen, für das sie arbeiten.

Die HIPAA-Compliance-Schulung soll den Mitarbeitern den richtigen Umgang mit ePHI vermitteln, damit sie:

  1. Gewährleisten Sie die Vertraulichkeit, Integrität und Verfügbarkeit aller e-PHI, die sie erstellen, empfangen, pflegen oder übertragen;
  2. Identifizieren und schützen Sie sich vor vernünftigerweise erwarteten Bedrohungen der Sicherheit oder Integrität der Informationen;
  3. Schützen Sie sich vor vernünftigerweise erwarteten, unzulässigen Verwendungen oder Offenlegungen; und
  4. Gewährleisten Sie die Einhaltung der Compliance durch Ihre Mitarbeiter.

Um Ihnen bei der Erstellung einer HIPAA-Compliance-Checkliste für Arbeitgeber zu helfen, ist es wichtig, dass Sie sich über häufige Verstöße, die Mitarbeiter typischerweise begehen, sowie über vorbeugende Maßnahmen, die Sie ergreifen können, im Klaren sind. Dazu gehören:

  • Schnüffeln in Patientenakten – Laut dem HIPAA Journal:

Schnüffeln war laut der Umfrage die größte Einzelursache für die Offenlegung von Gesundheitsinformationen von Patienten: 27 % der Befragten hatten einen Verstoß erlebt, als ein Mitarbeiter die Krankenakten von Freunden und Familienmitgliedern eingesehen hatte, während 35 % der Fälle auftraten, als Mitarbeiter die Krankenakten ihrer Arbeitskollegen einschauten.

Ein Mitarbeiter, der illegal auf PHI von Kunden zu nicht arbeitsbezogenen Zwecken zugreift, handelt sowohl unprofessionell als auch leichtfertig. Egal, ob sie dies aus Böswilligkeit, Neugier oder Freundschaft tun, es ist illegal und kann Ihrem Unternehmen ernsthaften Schaden zufügen.

Zu den Maßnahmen, die Sie ergreifen können, um solche Handlungen zu verhindern, gehört, dass Sie den Zugang zu Patienten- oder Mitarbeiterakten einschränken, sofern er nicht ausdrücklich für Arbeitszwecke erforderlich ist.

  • Falsche Handhabung von Krankenakten – Der HIPAA verlangt, dass alle gedruckten Krankenakten, die PHI enthalten, an einem sicheren Ort aufbewahrt werden. Wenn eine Krankenschwester die Akte eines früheren Patienten im Untersuchungsraum zurücklässt und diese Akte von einem anderen Patienten gelesen, eingesehen oder gestohlen werden kann, ist das ein klarer Verstoß gegen den HIPAA.Decken Sie daher Krankenblätter ab, so dass Patientennamen oder identifizierbare Informationen nicht sichtbar sind. Lassen Sie auch keine Aufzeichnungen oder ähnliche PHI unbeaufsichtigt; geben Sie stattdessen eine Richtlinie ein, die besagt, dass Diagramme, Tests und andere Patientendokumente sofort nach Abschluss einer Untersuchung aufbewahrt werden.
  • Soziale Medien – Ungeschicklichkeit in den sozialen Medien hat sowohl Unternehmen als auch Einzelpersonen einiges an Kopfzerbrechen bereitet. Das Posten von Bildern von Kundengesichtern, insbesondere ohne deren ausdrückliche Zustimmung, ist eine der einfachsten Möglichkeiten, wie Sie gegen den HIPAA verstoßen können. Es sei denn, der Patient gibt Ihnen grünes Licht, ein Bild von ihm zu posten, würde ihn potenziell anderen aussetzen, die herausfinden, dass er aus einem privaten und/oder peinlichen Grund zu diesem speziellen Arzt geht.Wenn Sie Fehler in den sozialen Medien vermeiden möchten, machen Sie der Person, die für Ihre sozialen Medien verantwortlich ist, und/oder den Mitarbeitern sehr deutlich, dass sie sehr vorsichtig sein müssen, was sie posten oder nicht. Vermitteln Sie ihnen, dass selbst ein unschuldiges Posting potenziell eine Vielzahl negativer Folgen für sie, das Unternehmen und vor allem für den Patienten haben kann.

  • Mitarbeiter besprechen Patienteninformationen – Ob am Arbeitsplatz oder zu Hause, Mitarbeiter sollten niemals über einen bereits gesehenen Patienten sprechen oder tratschen, es sei denn, sie arbeiten gerade an dessen Fall. Dies gilt insbesondere für solche Gespräche an Orten, an denen nicht verwandte Mitarbeiter oder Patienten mithören und somit PHI sammeln könnten. Viele Mitarbeiter machen den Fehler, Patienten mit Freunden, Familienangehörigen oder anderen Kollegen zu besprechen, was eine ernsthafte Verletzung des HIPAA darstellt. Ermutigen Sie Ihre Mitarbeiter, es zu vermeiden, über Patienten zu sprechen oder sie sogar mit dem Nachnamen anzusprechen, wenn andere Personen anwesend sind, die keinen Bezug zu ihrem Fall haben. Weisen Sie auch darauf hin, dass die verbale Weitergabe von PHI ebenso ein Verstoß ist wie die physische Weitergabe von Patientenunterlagen.
  • Verlorene oder gestohlene Geräte – Arbeitshandys, Tablets oder Laptops stellen eine besondere Art von Sicherheitsbedrohung dar, zumal sie weitaus anfälliger für Diebstahl, Verlust oder Cyberangriffe sind.
  • Wenn ein Mitarbeiter ein Arbeitsgerät verliert oder es gestohlen wird, ist es wichtig, dass er es sofort meldet. Darüber hinaus sollte jedes arbeitsbezogene Gerät mit Zugriff auf PHI mit Sicherheitsmaßnahmen ausgestattet sein, um unberechtigten Zugriff zu verhindern. Zu den Maßnahmen, die Sie ergreifen können, gehören:
    • Verschlüsselung
  • Passwörter mit doppelter Authentifizierung
  • Biometrische Scans
  • VPN-Anmeldungen
  • Nachrichtenübermittlung von Patienteninformationen – Einige betroffene Unternehmen werden Nachrichtensysteme oder ihre Telefone verwenden, um bestimmte Informationen auszutauschen. Selbst wenn dies nur aus Bequemlichkeit und Schnelligkeit geschieht, setzt die Einbeziehung von PHI über eine Messaging-Anwendung diese Informationen neugierigen Augen aus.
  • Wenn Sie möchten, dass Mitarbeiter Patienteninformationen über Nachrichten oder Texte besprechen können, ist es wichtig, dass jeder Mitarbeiter eine Verschlüsselungsanwendung installiert, um diese Daten zu schützen.

    • Offenlegung von PHI auf Heimcomputern – Natürlich müssen Ärzte in der Lage sein, Fälle bequem von zu Hause aus zu überprüfen. Das kann bedeuten, dass ihr Computer oder Laptop PHI enthält. An sich ist eine solche Aktion kein Verstoß gegen den HIPAA; wenn sie diese Informationen jedoch unbeaufsichtigt auf dem Bildschirm lassen, könnten sie von ungebetenen Augen gesehen werden. Dies ist ein Verstoß gegen den HIPAA.

    Als Arbeitgeber sollten Sie Ihre Mitarbeiter ermutigen, ihre Computer zu schließen, wenn sie von zu Hause aus arbeiten und sich von ihren Aufgaben entfernen müssen. Stellen Sie außerdem sicher, dass alle Geräte mit Passwörtern zur doppelten Authentifizierung, Verschlüsselung und anderen derartigen Sicherheitsprotokollen ausgestattet sind.

    Warnen und schulen Sie Ihre Mitarbeiter

    Es ist wichtig, dass sich Ihre Mitarbeiter bewusst sind, dass ihre Handlungen, ob absichtlich oder nicht, nicht nur für sie selbst, sondern auch für das Unternehmen und seine Patienten schwerwiegende Folgen haben können. Sollten sie eines Verstoßes gegen den HIPAA für schuldig befunden werden, insbesondere eines Verstoßes, dessen sie sich voll bewusst waren, können sie mit harten Strafen wie Geld- und Gefängnisstrafen konfrontiert werden.

    Wenn Sie Ihr Unternehmen schützen möchten, müssen Sie angemessene Vorkehrungen treffen, um sicherzustellen, dass Ihre Mitarbeiter gemäß den HIPAA-Richtlinien angemessen geschult wurden. Dies können Sie tun, indem Sie RSI Security beauftragen, die Prozesse, Kontrollen, Richtlinien und Schulungsverfahren Ihres Unternehmens zu bewerten. Unser umfassendes Audit kann Ihnen dabei helfen, Lücken zwischen den Praktiken und den HIPAA-Anforderungen zu identifizieren und dann entsprechende Maßnahmen und Mitarbeiterschulungen anzubieten.

    Interessiert? Sprechen Sie uns noch heute an und wir helfen Ihnen dabei, dass Ihre Mitarbeiter nicht zum Fluch für Ihr Unternehmen werden.

    Laden Sie unser Whitepaper zur Einhaltung von Vorschriften im Gesundheitswesen herunter

    Sind Sie sich nicht sicher, ob Ihre Bemühungen um die Einhaltung von HIPAA oder des Gesundheitswesens ausreichend sind? Sind Sie unsicher, wo Sie anfangen sollen? Laden Sie den umfassenden Leitfaden von RSI Security herunter, um sich im Labyrinth von HIPAA und Healthcare Compliance zurechtzufinden. Wenn Sie dieses kurze Formular ausfüllen, erhalten Sie das Whitepaper per E-Mail.

    Quellen

    Cornell Law School. 45 CFR 164.512. Uses and disclosures. https://www.law.cornell.edu/cfr/text/45/164.512

    HHS. Business Associates. https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/business-associates/index.html

    HHS. Zusammenfassung der HIPAA Security Rule. https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html

    Northern Illinois University Division of Information Technology. HIPAA Security Rule: Explanation and Guidance. https://www.niu.edu/doit/policies_root/HIPAA%20Security%20Rule.shtml

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.