Hoewel de HIPAA al sinds eind jaren ’90 van invloed is op de gezondheidszorg, worstelen nog veel te veel bedrijven met de naleving van de verschillende facetten van de wet. Een bijzonder zwak punt van de betrokken entiteiten betreft de bescherming van de beschermde gezondheidsinformatie van hun patiënten. Keer op keer verzuimen zij de persoonlijk identificeerbare informatie die hun is toevertrouwd, afdoende te beschermen. Het spreekt vanzelf dat een dergelijke lakse verdediging kan leiden tot een groot aantal problemen, zoals gegevensdiefstal, fraude, verlies van vertrouwen van de klant, boetes en zelfs gevangenisstraf.
In de loop der jaren is een van de belangrijkste oorzaken van niet-naleving van de HIPAA-regels het gevolg van menselijke fouten. In de meeste gevallen zetten werknemers onbewust de deur open voor nieuwsgierige blikken of cybercriminelen door een gebrek aan inzicht, opleiding of voorbedachtheid. Hoewel dergelijke acties zelden kwaadwillig zijn, is onwetendheid geen excuus dat door Health and Human Services wordt aanvaard. Daarom is het van cruciaal belang dat u ervoor zorgt dat uw teamleden zich houden aan de regels en voorschriften van HIPAA.
Bekijk hier onze HIPAA-richtlijnen voor werknemers!
Zijn werkgevers gebonden aan HIPAA?
Als uw bedrijf buiten de gezondheidszorg valt, vraagt u uw HR-team wellicht: “Zijn werkgevers gebonden aan HIPAA?” Hoewel u misschien geen gedekte entiteit bent, verzamelt u toch gezondheidsinformatie over uw werknemers voor zaken als Workers Comp of Americans with Disabilities Act .
In het algemeen geldt de HIPAA alleen voor “gedekte entiteiten”. Deze worden gedefinieerd als:
- Gezondheidsplannen
- Gezondheidszorgaanbieders die PHI elektronisch opslaan, delen of verzenden
- Gezondheidszorg clearinghouses
Kortom, HIPAA is meestal niet van toepassing op de directe handeling van het verzamelen van de persoonlijke gezondheidsinformatie van uw werknemer; het is echter wel van toepassing op de gezondheidszorgentiteit van wie u dergelijke informatie verzamelt.
Beoordeel uw HIPAA / HITECH-naleving
Volgens de grenzen die door de HIPAA zijn vastgesteld, mogen gedekte entiteiten alleen beschermde gezondheidsinformatie van patiënten openbaar maken wanneer dit door de persoon is toegestaan. In brede zin kan een bevoegde instantie PHI openbaar maken ten behoeve van behandeling; daarna worden de beperkingen op openbaarmaking strenger. Wat openbaar mag worden gemaakt, is doorgaans onderworpen aan de “minimaal noodzakelijke” beperking die in de HIPAA is vastgelegd. Volgens HIPAA Sectie 164.512:
Een gedekte entiteit kan beschermde gezondheidsinformatie gebruiken of openbaar maken zonder de schriftelijke toestemming van de persoon, zoals beschreven in § 164.508, of de mogelijkheid voor de persoon om in te stemmen of bezwaar te maken, zoals beschreven in § 164.510, in de situaties die onder deze sectie vallen, met inachtneming van de van toepassing zijnde vereisten van deze sectie. Wanneer de betrokken entiteit op grond van deze afdeling verplicht is de betrokkene in te lichten over, of wanneer de betrokkene kan instemmen met, het gebruik of de openbaarmaking die op grond van deze afdeling zijn toegestaan, kunnen de informatie van de betrokken entiteit en de instemming van de betrokkene mondeling worden verstrekt.
Business Associates
In 2009 heeft de American Reinvestment and Recovery Act (ARRA) de paraplu van de HIPAA uitgebreid tot business associates, die door de HHS worden gedefinieerd als: “Een persoon of entiteit die bepaalde functies of activiteiten uitvoert die het gebruik of de openbaarmaking van beschermde gezondheidsinformatie inhouden namens, of diensten verleent aan, een gedekte entiteit. Een personeelslid van de betrokken entiteit is geen zakenpartner. Een gedekte zorgaanbieder, een gezondheidsplan of een clearinghouse voor gezondheidszorg kan een business associate van een andere gedekte entiteit zijn.”
Voorbeelden van functies en activiteiten van de business associate kunnen zijn:
- Gegevensanalyse
- Gegevensverwerking
- Gegevensadministratie
- Verwerking van declaraties
- Behandeling van declaraties
- Gebruik review
- Quality assurance
- Billing
- Benefit management
- Practice management
- Repricing
Daarom, kunnen business associate services betrekking hebben op elk van de volgende beroepen:
- Legal
- Accounting
- Administratie
- Consulting
- Data aggregation
- Data management
- Data accreditatie
- Financieel
HIPAA richtlijnen voor werknemers
Wat is PHI?
Als uw bedrijf een gedekte entiteit of een businesspartner is, is het van essentieel belang dat u en uw werknemers zorgvuldig omgaan met de beschermde gezondheidsinformatie van uw klanten. Maar wat wordt als PHI beschouwd? Volgens de HIPAA Journal is dat:
Alle identificeerbare gezondheidsinformatie die wordt gebruikt, onderhouden, opgeslagen of verzonden door een HIPAA-gedekte entiteit of een business associate van een HIPAA-gedekte entiteit, met betrekking tot de levering van gezondheidszorg of de betaling voor gezondheidszorgdiensten. Niet alleen vroegere en huidige gezondheidsinformatie wordt onder de HIPAA-regels als PHI beschouwd, maar ook toekomstige informatie over medische aandoeningen of lichamelijke en geestelijke gezondheid in verband met de verstrekking van zorg of de betaling van zorg. PHI is gezondheidsinformatie in elke vorm, inclusief fysieke dossiers, elektronische dossiers of gesproken informatie.
De 18 identificatoren die als PHI in aanmerking komen, zijn:
- Rekeningnummers
- Elk uniek identificerend nummer of code
- Biometrische identificatiemiddelen (vingerafdrukken, netvliesscan)
- Certificaat-/vergunningsnummers
- Data, behalve het jaartal
- ID’s van apparaten en serienummers
- Emailadressen
- FAX-nummers
- Geografische gegevens
- Nummers van begunstigden van ziektekostenverzekering
- Internetprotocoladressen
- Nummers van medische medische dossiernummers
- namen
- sociale zekerheidsnummers
- telefoonnummers
- identificatiegegevens van voertuigen en serienummers, waaronder kentekens
- Web-URL’s
Administratieve Beveiligingen
Als u een gedekte entiteit of businesspartner bent, schrijft de beveiligingsregel voor dat uw bedrijf de volgende administratieve voorzorgsmaatregelen moet nemen:
- Beveiligingsbeheerproces – De entiteiten die onder de regelgeving vallen moeten potentiële risico’s voor ePHI inventariseren en analyseren. Vervolgens moeten zij beveiligingsprotocollen en -procedures invoeren om deze risico’s te beperken.
- Beveiligingsfunctionaris – U moet een beveiligingsfunctionaris aanwijzen die wordt belast met de opstelling en toepassing van beveiligingsprotocollen en -procedures.
- Beheer van de toegang tot informatie – U bent verplicht het gebruik en de openbaarmaking van PHI te beperken tot het “minimaal noodzakelijke”.
- Opleiding en beheer van personeel – U bent wettelijk verplicht ervoor te zorgen dat u voldoende toezicht houdt op en opleiding geeft aan alle werknemers die met ePHI omgaan. Dit houdt onder meer in dat zij moeten worden geïnstrueerd over het beveiligingsbeleid, de beveiligingsprocedures en de sancties bij niet-naleving.
Als uw bedrijf regelmatig met gevoelige klantgegevens omgaat, bent u wettelijk verplicht deze gegevens te beschermen. Door HIPAA-nalevingscursussen verplicht te stellen, neemt u de juiste preventieve voorzorgsmaatregelen en kunt u, in geval van fouten, aan externe bronnen aantonen dat u alles in het werk hebt gesteld om uw werknemers te trainen in correct handelen.
Gemeenschappelijke HIPAA-overtredingen en faux pas door werknemers
Zoals gezegd, zijn werknemers de meest voorkomende oorzaak van HIPAA-overtredingen. De overgrote meerderheid van deze overtredingen is gewoon het gevolg van luiheid en een gebrek aan opleiding. Werknemers weten niet beter, hoewel ze dat wel zouden moeten weten, en handelen dan uit onbekwaamheid. Met dit in gedachten is het uw plicht om uw werknemers regelmatig voor te lichten over de gevaren van niet-naleving van de HIPAA-regels, zowel voor hen persoonlijk als voor het bedrijf waarvoor zij werken.
HIPAA compliance training is bedoeld om werknemers te leren op de juiste manier om te gaan met ePHI, zodat zij:
- Zorg voor de vertrouwelijkheid, integriteit en beschikbaarheid van alle e-PHI die zij creëren, ontvangen, onderhouden of doorgeven;
- Identificeer en bescherm tegen redelijkerwijs te verwachten bedreigingen voor de veiligheid of integriteit van de informatie;
- Bescherm tegen redelijkerwijs te verwachten, ontoelaatbare gebruiken of openbaarmakingen; en
- Zorg voor naleving door hun personeel.
Om u te helpen bij het opstellen van een checklist voor HIPAA-naleving door de werkgever, is het van cruciaal belang dat u zich bewust bent van veelvoorkomende overtredingen die werknemers gewoonlijk begaan, evenals preventieve maatregelen die u kunt nemen. Hiertoe behoren:
- Snuffelen in patiëntendossiers – Volgens het HIPAA Journal:
Snuffelen was volgens het onderzoek de belangrijkste oorzaak van het openbaar worden van gezondheidsinformatie van patiënten: 27% van de ondervraagden had te maken met een inbreuk toen een werknemer medische dossiers van vrienden en familie bekeek, terwijl 35% van de ondervraagden de medische dossiers van collega’s bekeek.
Een werknemer die illegaal toegang heeft tot PHI van klanten voor niet-werkgerelateerde doeleinden, handelt zowel onprofessioneel als nonchalant. Of zij dit nu doen uit boosaardigheid, nieuwsgierigheid of vriendschap, het is illegaal en kan uw bedrijf ernstige schade toebrengen.
De maatregelen die u kunt nemen om dergelijk handelen te voorkomen, zijn onder meer het beperken van de toegang tot dossiers van patiënten of werknemers, tenzij dit expliciet voor werkdoeleinden is vereist.
- Verkeerd gebruik van medische dossiers – HIPAA vereist dat alle afgedrukte medische dossiers met PHI op een veilige plaats worden bewaard. Als een verpleegkundige het dossier van een vorige patiënt in de onderzoekskamer laat liggen en dat dossier kan worden gelezen, geopend of gestolen door een andere patiënt, is dat een duidelijke schending van de HIPAA. Dek daarom dossiers af zodat namen van patiënten of identificeerbare informatie niet zichtbaar zijn. Laat geen dossiers of vergelijkbare informatie onbeheerd achter; voer in plaats daarvan een beleid in waarbij dossiers, tests en andere patiëntendocumenten na afloop van een onderzoek onmiddellijk worden opgeborgen.
- Sociale media – Ondeskundigheid op sociale media heeft zowel bedrijven als particulieren heel wat hoofdpijn bezorgd. Het plaatsen van foto’s van het gezicht van klanten, vooral zonder hun uitdrukkelijke toestemming, is een van de eenvoudigste manieren waarop u de HIPAA kunt schenden. Tenzij de patiënt u groen licht geeft, kan het plaatsen van een foto van hem of haar anderen blootstellen aan de ontdekking dat hij of zij naar die specifieke arts gaat voor wat een privé- en/of gênante reden kan zijn.Als u blunders op sociale media wilt voorkomen, maak het dan heel duidelijk aan de persoon die verantwoordelijk is voor uw sociale media en/of werknemers dat ze heel voorzichtig moeten zijn met wat u wel of niet plaatst. Vertel hen dat zelfs een onschuldige post een groot aantal negatieve gevolgen kan hebben voor hen, het bedrijf en vooral voor de patiënt.
- Medewerkers die informatie over patiënten bespreken – Of dit nu op het werk of thuis is, medewerkers mogen nooit praten of roddelen over een patiënt die ze eerder hebben gezien, tenzij ze op dat moment met de zaak bezig zijn. Dit geldt met name voor het voeren van dergelijke gesprekken op plaatsen waar niet-verwante werknemers of patiënten dit kunnen opvangen en zo informatie over de patiënt kunnen achterhalen. Veel medewerkers maken de fout patiënten te bespreken met vrienden, familie of andere collega’s, wat een ernstige schending van de HIPAA is. Moedig uw medewerkers aan niet over patiënten te praten of ze zelfs maar bij hun achternaam te noemen in aanwezigheid van anderen die geen relatie met hun zaak hebben. Benadruk ook dat het mondeling verspreiden van informatie over patiënten net zo goed een schending is als het fysiek delen van patiëntpapieren.
- Verloren of gestolen apparaten – Werktelefoons, -tablets of -laptops vormen een speciale bedreiging voor de veiligheid, vooral omdat ze veel kwetsbaarder zijn voor diefstal, verlies of cyberinbraak.Als een werknemer een werkapparaat verliest of laat stelen, is het van cruciaal belang dat hij of zij dit onmiddellijk meldt. Bovendien moeten op elk werkgerelateerd apparaat met toegang tot PHI beveiligingsmaatregelen worden geïnstalleerd om ongerechtvaardigde toegang te voorkomen. Mogelijke maatregelen zijn:
-
- Encryptie
- Dual-authentication passwords
- Biometrische scans
- VPN sign-ins
- Messaging van patiëntgegevens – Sommige bevoegde entiteiten gebruiken messaging-systemen of hun telefoons om bepaalde informatie te delen. Als u wilt dat werknemers patiëntgegevens via berichten of sms-berichten kunnen bespreken, is het essentieel dat elke werknemer een coderingsapplicatie installeert om die gegevens te beschermen.
- Openbaarmaking van persoonlijke informatie op thuiscomputers – Artsen moeten hun dossiers natuurlijk ook thuis kunnen bekijken. Dit kan betekenen dat hun computer of laptop PHI bevat. Op zich is dit geen schending van de HIPAA, maar als ze die informatie onbeheerd op het scherm laten staan, kan deze worden bekeken door onwelkome ogen. Dit is een schending van de HIPAA.
Als werkgever moet u uw werknemers aanmoedigen hun computers af te sluiten als ze thuiswerken en even afstand van hun taken moeten nemen. Zorg er bovendien voor dat alle apparaten zijn voorzien van dubbele authenticatiewachtwoorden, encryptie en andere dergelijke beveiligingsprotocollen.
Waarschuw en train uw werknemers
Het is van vitaal belang dat uw werknemers zich ervan bewust zijn dat hun acties, al dan niet opzettelijk, ernstige gevolgen kunnen hebben, niet alleen voor henzelf, maar ook voor het bedrijf en zijn patiënten. Als zij schuldig worden bevonden aan een schending van de HIPAA, met name een schending waarvan zij zich volledig bewust waren, kunnen zij worden geconfronteerd met zware straffen, zoals geldboetes en gevangenisstraf.
Als u uw bedrijf wilt beschermen, moet u de juiste voorzorgsmaatregelen nemen om ervoor te zorgen dat uw werknemers voldoende zijn opgeleid volgens de HIPAA-richtlijnen. U kunt dit doen door RSI security in te schakelen om de processen, controles, beleidsregels en opleidingsprocedures van uw organisatie te evalueren. Onze uitgebreide audit kan u helpen bij het identificeren van hiaten tussen uw praktijken en de HIPAA-vereisten en vervolgens prescriptieve acties en personeelstraining bieden.
Geïnteresseerd? Neem dan vandaag nog contact met ons op en wij kunnen u helpen ervoor te zorgen dat uw werknemers niet de dupe worden van uw bedrijf.
Download onze complete gids voor het navigeren door Healthcare Compliance
Niet zeker of uw HIPAA- of healthcare compliance-inspanningen van voldoende niveau zijn? Weet u niet zeker waar u moet beginnen? Download de uitgebreide gids van RSI Security voor het navigeren door het labyrint van HIPAA en naleving van de gezondheidszorg. Na het invullen van dit korte formulier ontvangt u de whitepaper per e-mail.
Bronnen
Cornell Law School. 45 CFR 164.512. Gebruik en openbaarmaking. https://www.law.cornell.edu/cfr/text/45/164.512
HHS. Zakenpartners. https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/business-associates/index.html
HHS. Samenvatting van de HIPAA-beveiligingsregel. https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html
Northern Illinois University Division of Information Technology. HIPAA Beveiligingsregel: Uitleg en richtlijnen. https://www.niu.edu/doit/policies_root/HIPAA%20Security%20Rule.shtml