Directrizes HIPAA Para os Funcionários

Embora a HIPAA tenha tido impacto na indústria da saúde desde o final dos anos 90, demasiadas empresas ainda lutam para cumprir com as várias facetas da lei. Uma área particular de fraqueza para as entidades abrangidas envolve a protecção da informação sanitária protegida dos seus pacientes . Uma e outra vez, não conseguem salvaguardar adequadamente a informação pessoalmente identificável que foi confiada à sua guarda. Naturalmente, tais defesas laxistas podem resultar numa série de questões tais como roubo de dados, fraude, perda de confiança dos clientes, multas, e até mesmo pena de prisão.

Acontece que, ao longo dos anos, uma das principais causas do não cumprimento da HIPAA é o resultado de erro humano. Na maioria dos casos, os empregados abrem, sem o saberem, as comportas a olhos curiosos ou a cibercriminosos devido a uma simples falta de compreensão, educação, ou premeditação. Embora tais acções sejam raramente maliciosas, a ignorância não é uma desculpa prontamente aceite pelos Serviços de Saúde e Humanos . Portanto, é crucial que assegure que os membros da sua equipa estão a cumprir as regras e regulamentos da HIPAA.

p>Cheque aqui as nossas directrizes HIPAA para funcionários!

Os Empregadores estão vinculados pela HIPAA?

Se o seu negócio estiver fora do domínio dos cuidados de saúde, pode estar a perguntar à sua equipa de RH: “Os empregadores estão vinculados pela HIPAA? Embora possa não ser uma entidade coberta, ainda assim recolhe as informações de saúde do seu empregado para coisas como a Workers Comp ou a American with Disabilities Act .

Geralmente falando, HIPAA só se aplica a “entidades abrangidas”. Estas são definidas como:

  1. Planos de saúde
  2. Prestadores de cuidados de saúde que armazenam, partilham, ou enviam electronicamente PHI
  3. Câmaras de compensação de cuidados de saúde

Em suma, HIPAA normalmente não se aplica ao acto directo de recolha de informações pessoais de saúde do seu empregado; no entanto, aplicar-se-á à entidade de cuidados de saúde de quem está a recolher tais informações.

Avalie a sua conformidade HIPAA / HITECH

De acordo com os limites estabelecidos pela HIPAA, as entidades abrangidas só estão autorizadas a revelar informações de saúde protegidas do paciente quando autorizadas pelo indivíduo. Num sentido lato, uma entidade coberta pode divulgar DCC para efeitos de tratamento; depois disso, as limitações à revelação tornam-se mais rigorosas. Normalmente, o que pode ser divulgado está sujeito à limitação “mínima necessária” estabelecida na HIPAA. Por HIPAA Secção 164.512:

Uma entidade coberta pode utilizar ou divulgar informações de saúde protegidas sem a autorização escrita do indivíduo, como descrito no § 164.508, ou a oportunidade para o indivíduo concordar ou objectar como descrito no § 164.510, nas situações cobertas por esta secção, sujeito aos requisitos aplicáveis desta secção. Quando a entidade coberta é obrigada por esta secção a informar o indivíduo sobre, ou quando o indivíduo pode concordar com a utilização ou divulgação permitida por esta secção, as informações da entidade coberta e o acordo do indivíduo podem ser dadas oralmente.

Associados Empresariais

Em 2009, o American Reinvestment and Recovery Act (ARRA) expandiu o guarda-chuva da HIPAA para abranger os associados empresariais, que são definidos pela HHS como: “Uma pessoa ou entidade que desempenha determinadas funções ou actividades que envolvem a utilização ou divulgação de informações sanitárias protegidas em nome de, ou que presta serviços a, uma entidade coberta”. Um membro da força de trabalho da entidade coberta não é um associado comercial. Um prestador de cuidados de saúde coberto, plano de saúde, ou centro de compensação de cuidados de saúde pode ser um associado comercial de outra entidade coberta”.

Exemplos de funções e actividades do associado de uma empresa podem incluir:

  • Análise de dados
  • Processamento de dados
  • Administração de dados
  • Processamento de reclamações
  • Administração de reclamações
  • Utilização revisão
  • Garantia de qualidade
  • Facturação
  • Gestão de benefícios
  • Gestão de práticas
  • Repricing

Por isso, os serviços de associados comerciais podem cobrir qualquer uma das seguintes profissões:

  • Legal
  • Contabilidade
  • Administração
  • Consultoria
  • Agregação de dados
  • Dados gestão
  • Credenciamento de dados
  • Financeiro

HIPAA Guidelines for Employees

O que é PHI?

Se o seu negócio é uma entidade coberta ou um associado comercial, é essencial que você e os seus empregados tomem especial cuidado com a informação de saúde protegida do seu cliente. Mas o que é considerado PHI? Pelo Jornal HIPAA é considerado:

Numa informação de saúde identificável que é utilizada, mantida, armazenada ou transmitida por uma entidade coberta pela HIPAA ou um associado comercial de uma entidade coberta pela HIPAA, em relação à prestação de cuidados de saúde ou ao pagamento de serviços de saúde. Não é apenas a informação de saúde passada e actual que é considerada PHI ao abrigo das Regras HIPAA, mas também informação futura sobre condições médicas ou de saúde física e mental relacionadas com a prestação de cuidados ou pagamento por cuidados de saúde. Os DCC são informação de saúde sob qualquer forma, incluindo registos físicos, registos electrónicos, ou informação oral.

Os 18 identificadores que se qualificam como DCC são:

  • Números de conta
  • Um número ou código de identificação único
  • Identificadores biométricos (impressões digitais, digitalização da retina)

    • li>Números de certificado/licença

  • Datas, excepto o ano
  • Identificadores de dispositivos e números de série
  • Endereços de correio
  • Números deFAX
  • Fotos de rosto completas e imagens comparáveis
  • Dados geográficos
  • Números beneficiários do plano de saúde
  • Endereços do protocolo da Internet
  • Medicinais números de registo
  • Nomes
  • Números de segurança social
  • Números de telefone
  • Identificadores de veículos e números de série incluindo matrículas
  • URLs da Web

Salvaguardas administrativas

Se for uma entidade ou associado comercial coberto, a Regra de Segurança dita que o seu negócio introduza as seguintes salvaguardas administrativas:

    li> Processo de Gestão de Segurança – São necessárias entidades cobertas para identificar e analisar potenciais riscos para o ePHI. Uma vez feitas, são obrigadas a acrescentar protocolos e procedimentos de segurança para diminuir os referidos riscos.
    li> Oficial de Segurança – É necessário designar um oficial de segurança que será responsável pela criação e aplicação de protocolos e procedimentos de segurança.
    li> Gestão do Acesso à Informação – É-lhe exigido que limite a utilização e divulgação de PHI ao “mínimo necessário”.
    li> Formação e gestão da força de trabalho – É-lhe exigido por lei que assegure tanto a supervisão adequada como a formação de qualquer funcionário que lide com o ePHI. Isto inclui instruí-los sobre políticas de segurança, procedimentos e sanções por não cumprimento. /ul>

    Se o seu negócio lida regularmente com informações sensíveis de clientes, está obrigado por lei a proteger essas informações. Ao exigir formação de conformidade HIPAA, toma as devidas precauções preventivas e, em caso de falhas, pode então demonstrar a fontes externas que fez tudo o que estava ao seu alcance para treinar os seus funcionários a agir correctamente.

    Violações e Falsas Pas

    Como mencionado, os funcionários são a causa mais comum de violações da HIPAA. A grande maioria de tais casos de malfeitorias são simplesmente o resultado de preguiça e falta de formação. Os empregados não sabem melhor, ainda que devam, e depois agem por incompetência. Com isto em mente, é seu dever educar regularmente os seus empregados sobre os perigos do incumprimento da HIPAA tanto para eles pessoalmente como para o negócio para o qual trabalham.

    A formação em conformidade HIPAA destina-se a ensinar os funcionários a lidar adequadamente com o ePHI para que eles:

  1. Asegurar a confidencialidade, integridade, e disponibilidade de todas as e-PHI que criam, recebem, mantêm ou transmitem;

    2. I> Identificar e proteger contra ameaças razoavelmente previstas à segurança ou integridade da informação; I>Proteger contra utilizações ou divulgações razoavelmente previstas, inadmissíveis; e I>Asegurar o cumprimento pelos seus trabalhadores.

Para o ajudar na tarefa de criar uma lista de verificação de conformidade HIPAA do empregador, é crucial que esteja ciente das violações comuns que os empregados tipicamente praticam, bem como das acções preventivas que pode tomar. Estas incluem:

  • bisbilhotar os ficheiros dos pacientes – de acordo com o Jornal HIPAA:

Snooping foi a maior causa única de exposição da informação sobre saúde dos pacientes, de acordo com o inquérito, com 27% de ter sofrido uma violação quando um funcionário viu os registos médicos de amigos e familiares, enquanto 35% ocorreram quando os funcionários verificaram os registos médicos dos seus colegas de trabalho.

Um funcionário que acede ilegalmente aos PHI dos clientes para fins não relacionados com o trabalho está a agir de forma pouco profissional e cavalheiresca. Quer o façam por malícia, curiosidade, ou amizade, fazê-lo é ilegal e pode causar sérios danos ao seu negócio.

P>As medidas que pode tomar para evitar tais acções incluem a restrição do acesso aos registos dos pacientes ou dos funcionários, a menos que tal seja explicitamente exigido para fins de trabalho.

  • Mau tratamento de registos médicos – HIPAA exige que quaisquer registos médicos impressos contendo PHI sejam mantidos num local seguro. Se uma enfermeira deixar o ficheiro de um paciente anterior na sala de exames e esse ficheiro puder ser lido, acedido, ou roubado por outro paciente, isso constitui uma clara violação da HIPAA. Além disso, não deixar registos ou PHI semelhantes sem vigilância; em vez disso, introduzir uma política de armazenamento imediato de fichas, testes e outros documentos do paciente após a conclusão de um exame.
    li> Meios de comunicação social – A inépcia nos meios de comunicação social causou a sua quota-parte de dores de cabeça tanto a empresas como a indivíduos. A publicação de fotografias dos rostos dos clientes, especialmente sem o seu consentimento expresso, é uma das formas mais simples de violar a HIPAA. A menos que o paciente lhe dê luz verde, afixar uma fotografia deles expô-los-ia potencialmente a outros descobrindo que vão a esse médico específico pelo que pode ser uma razão privada e/ou embaraçosa. Se desejar evitar erros nas redes sociais, deixe bem claro à pessoa responsável pelas suas redes sociais e/ou empregados que deve ter muito cuidado com o que faz ou não afixar. Informe-os de como mesmo um posto inocente poderia potencialmente causar-lhes uma série de ramificações negativas, o negócio, e o mais importante, o paciente./ul>>>li> Funcionários que discutam informações sobre pacientes – Quer seja no trabalho ou em casa, os funcionários não devem nunca falar ou fofocar sobre um paciente anteriormente visto, a menos que estejam actualmente a trabalhar no seu caso. Isto é particularmente verdade para ter tais conversas em locais onde empregados ou pacientes não relacionados possam ouvir e, assim, obter PHI. Muitos empregados cometem o erro de discutir pacientes com amigos, familiares, ou outros colegas de trabalho, o que constitui uma grave violação da HIPAA.Encoraje os seus empregados a evitar falar sobre pacientes ou mesmo referir-se a eles pelo apelido quando na presença de outros que não têm qualquer relação com o seu caso. Além disso, sublinhe o facto de que a divulgação verbal de PHI é tanto uma violação como o acto de partilhar fisicamente os papéis dos pacientes./ul>>>ul>>li> Dispositivos perdidos ou roubados – Telefones de trabalho, comprimidos, ou computadores portáteis são um tipo especial de ameaça à segurança, particularmente porque são muito mais vulneráveis ao roubo, perda, ou ciber-intrusão.Se um funcionário perder ou tiver um dispositivo de trabalho roubado, é crucial que o comunique imediatamente. Além disso, qualquer dispositivo relacionado com o trabalho com acesso a PHI deve ter medidas de segurança instaladas, a fim de evitar o acesso indevido. As medidas que podem ser tomadas incluem:/li>/ul>

    • I>Criptação
    • Senhas de autenticação manual
    • Biometric scans
    • Sinais de VPN

    /li>

  • Mensagens de informação ao paciente – Algumas entidades abrangidas utilizarão sistemas de mensagens ou os seus telefones para partilhar informação específica. Mesmo que isto seja feito simplesmente por conveniência e rapidez, incluindo PHI através de uma aplicação de mensagens expõe essa informação a olhares curiosos. Se quiser que os funcionários possam discutir a informação do paciente através de mensagens ou textos, é essencial que cada funcionário instale uma aplicação de encriptação a fim de proteger esses dados.

    li> Expor PHI em computadores domésticos – Naturalmente, os médicos precisam de ser capazes de rever o trabalho de casos a partir do conforto das suas casas. Isto pode significar que o seu computador ou portátil contém PHI. Por si só, tal acção não constitui uma violação da HIPAA; contudo, se deixassem essa informação no ecrã sem vigilância, ela poderia ser vista por olhos indesejados. Isto é uma violação da HIPAA. /ul>

    Como empregador, encoraje os seus empregados a fecharem os seus computadores se estiverem a trabalhar a partir de casa e precisarem de se afastar das suas tarefas. Além disso, assegure-se de que todos os dispositivos possuem palavras-passe de autenticação dupla, encriptação, e outros protocolos de segurança deste tipo.

    Alertar e Treinar os seus empregados

    É vital que os seus empregados estejam cientes de que as suas acções, intencionais ou não, podem ter sérias ramificações não só sobre eles próprios mas também sobre a empresa e os seus pacientes. Se forem considerados culpados de uma violação da HIPAA, particularmente de uma violação de que estivessem plenamente conscientes, poderão ser confrontados com sanções severas, tais como multas monetárias e pena de prisão.

    Se desejar proteger o seu negócio, terá de tomar as devidas precauções para assegurar que os seus funcionários tenham recebido formação adequada, de acordo com as directrizes da HIPAA. Pode fazê-lo, recrutando segurança RSI para avaliar o processo, controlos, políticas, e procedimentos de formação da sua organização. A nossa auditoria abrangente pode ajudá-lo a identificar lacunas entre as práticas e os requisitos HIPAA e depois fornecer acções prescritivas e formação de funcionários.

    Interessado? Alcance-o hoje e podemos ajudá-lo a garantir que os empregados não são uma banalidade para a sua empresa.

    Download do nosso Guia Completo para Navegar no Livro Branco de Conformidade dos Cuidados de Saúde

    Não tem a certeza se os seus esforços de conformidade HIPAA ou de cuidados de saúde estão à altura do snuff? Não tem a certeza de por onde começar? Descarregue o guia completo da RSI Security para navegar no labirinto de conformidade dos cuidados de saúde e HIPAA. Ao preencher este breve formulário, receberá o whitepaper por correio electrónico.

    Sources

    Cornell Law School. 45 CFR 164.512. Utilizações e divulgações. https://www.law.cornell.edu/cfr/text/45/164.512

    HHS. Associados Comerciais. https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/business-associates/index.html

    HHS. Resumo da Regra de Segurança HIPAA. https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html

    Northern Illinois University Division of Information Technology. Regra de Segurança da HIPAA: Explicação e Orientação. https://www.niu.edu/doit/policies_root/HIPAA%20Security%20Rule.shtml

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *