የ HIPAA ጥሰቶች ቅጣቶች እና ማስፈጸሚያዎች
| የ HIPAA ጥሰት | ዝቅተኛው ቅጣት | ከፍተኛ ቅጣት |
|---|---|---|
| ባለማወቅ | $ 100 በአንድ ጥሰትለተደጋጋሚ ጥሰቶች ዓመታዊ ከፍተኛው 25,000 ዶላር (ማስታወሻ፡ ከፍተኛው በመንግስት ጠቅላይ አቃቤ ህግ የሚጣልበት ዓይነት ጥሰት ምንም ይሁን ምን) | በአንድ ጥሰት 50,000 ዶላር፣ ዓመታዊ ከፍተኛው 1.5 ሚሊዮን ዶላር |
| ምክንያታዊ ምክንያት | በአንድ ጥሰት 1,000 ዶላርለተደጋጋሚ ጥሰቶች በየዓመቱ ከፍተኛው 100,000 ዶላር | በአንድ ጥሰት 50,000 ዶላር፣ ዓመታዊ ከፍተኛው 1.5 ሚሊዮን ዶላር |
| ሆን ተብሎ ቸልተኝነት | $ 10,000 በአንድ ጥሰትለተደጋጋሚ ጥሰቶች በየዓመቱ ከፍተኛው 250,000 ዶላር | በአንድ ጥሰት 50,000 ዶላር፣ ዓመታዊ ከፍተኛው 1.5 ሚሊዮን ዶላር |
| ሆን ተብሎ ቸልተኛ እና አልተስተካከለም። | በአንድ ጥሰት 50,000 ዶላርበዓመት ከፍተኛው 1.5 ሚሊዮን ዶላር | በአንድ ጥሰት 50,000 ዶላር፣ በአመት ከፍተኛው 1.5 ሚሊዮን ዶላር |
የ HIPAA ጥሰቶች ቅጣቶች እና ማስፈጸሚያዎች
የአሜሪካ መምሪያ እ.ኤ.አ. የጤና እና የሰብአዊ አገልግሎቶች (HHS) የዜጎች መብቶች ቢሮ (OCR) ያስፈጽማል የ HIPAA ግላዊነት እና የደህንነት ደንቦች.
OCR የግላዊነት እና የደህንነት ደንቦችን በተለያዩ መንገዶች ያስፈጽማል፡-
- ከእሱ ጋር የቀረቡ ቅሬታዎችን መመርመር
- የተሸፈኑ አካላት ተገዢ መሆናቸውን ለማወቅ የተገዢነት ግምገማዎችን ማካሄድ
- ለማዳበር ትምህርት እና ግንዛቤን ማካሄድ ተገዢነት ከህጎች መስፈርቶች ጋር
OCR የሚሰበስበውን መረጃ ይገመግማል። በአንዳንድ ሁኔታዎች፣ የተሸፈነው አካል ጥሰቱን እንዳልጣሰ ሊወስን ይችላል። ግላዊነት እና ደህንነት ደንቦች መስፈርቶች. ደንቡን የማያሟላ ከሆነ፣ OCR ጉዳዩን ከተሸፈነው አካል ጋር በማግኘት ለመፍታት ይሞክራል።
- በፈቃደኝነት ተገዢነት
- የማስተካከያ እርምጃ እና
- የመፍትሄው ስምምነት
HIPAAን አለማክበር የፍትሐ ብሔር እና የወንጀል ቅጣቶችንም ያስከትላል። ቅሬታ የ HIPAA ህገ-ወጥ ድንጋጌን የሚጥስ ድርጊትን የሚገልጽ ከሆነ፣ OCR ቅሬታውን ለፍትህ መምሪያ (DOJ) ለምርመራ ሊልክ ይችላል።
የዜጎች ጥሰቶች
ያልተሟሉ ሁኔታዎች ውስጥ የተሸፈነው አካል ጉዳዩን በአጥጋቢ ሁኔታ ካልፈታው, OCR በተሸፈነው አካል ላይ የሲቪል ገንዘብ ቅጣቶችን (ሲ.ኤም.ፒ.) ለመወሰን ሊወስን ይችላል.
CMPs ለ የ HIPAA ጥሰቶች በሲቪል የቅጣት መዋቅር ላይ ተመስርተው ይወሰናሉ. የኤች.ኤች.ኤስ. ፀሐፊ የቅጣቱን መጠን የመወሰን መብት አለው። ጥሰት እና የሚያስከትለውን ጉዳት ተፈጥሮ እና መጠን ጥሰት. ፀሐፊው ጥሰቱ በ30 ቀናት ውስጥ ከተስተካከለ (ይህ ጊዜ በHHS ውሳኔ ሊራዘም ይችላል) የፍትሐ ብሔር ቅጣቶችን ከመጣል የተከለከለ ነው (ሆን ተብሎ ችላ ከተባሉት በስተቀር)።
| የ HIPAA ጥሰት | ዝቅተኛው ቅጣት | ከፍተኛ ቅጣት |
|---|---|---|
| ባለማወቅ | በአንድ ጥሰት 100 ዶላር፣ ለተደጋጋሚ ጥሰቶች ዓመታዊ ከፍተኛው 25,000 ዶላር (ማስታወሻ፡ ከፍተኛው በመንግስት ጠቅላይ አቃቤ ህግ የሚጣልበት ዓይነት ጥሰት ምንም ይሁን ምን) | በአንድ ጥሰት 50,000 ዶላር፣ ዓመታዊ ከፍተኛው 1.5 ሚሊዮን ዶላር |
| ምክንያታዊ ምክንያት | በአንድ ጥሰት 1,000 ዶላር፣ ለተደጋጋሚ ጥሰቶች ዓመታዊ ከፍተኛው 100,000 ዶላር | በአንድ ጥሰት 50,000 ዶላር፣ ዓመታዊ ከፍተኛው 1.5 ሚሊዮን ዶላር |
| ሆን ተብሎ ቸልተኝነት | በአንድ ጥሰት 10,000 ዶላር፣ ለተደጋጋሚ ጥሰቶች ዓመታዊ ከፍተኛው 250,000 ዶላር | በአንድ ጥሰት 50,000 ዶላር፣ ዓመታዊ ከፍተኛው 1.5 ሚሊዮን ዶላር |
| ሆን ተብሎ ቸልተኛ እና አልተስተካከለም። | በአንድ ጥሰት 50,000 ዶላር፣ በአመት ከፍተኛው 1.5 ሚሊዮን ዶላር | በአንድ ጥሰት 50,000 ዶላር፣ ዓመታዊ ከፍተኛው 1.5 ሚሊዮን ዶላር |
የወንጀል ቅጣቶች
DOJ የ HIPAA የወንጀል ጥሰቶችን ይቆጣጠራል። ጋር እንደ HIPAA የሲቪል ቅጣቶች, ለወንጀል ጥሰቶች የተለያዩ የክብደት ደረጃዎች አሉ.
ከዚህ በታች እንደተብራራው. የተሸፈኑ አካላት እና “አውቀው” የአስተዳደር ማቅለል ደንቦችን በመጣስ በግል የሚለይ የጤና መረጃን ያገኙ ወይም ይፋ ያደረጉ ግለሰቦች እስከ 50,000 ዶላር የሚደርስ ቅጣት እና እስከ 1 ዓመት እስራት ይቀጣሉ።
በማስመሰል የሚፈጸሙ ወንጀሎች ቅጣቶችን ወደ 100,000 ዶላር እንዲጨምሩ ያስችላቸዋል, እስከ 5 ዓመት እስራት.
በመጨረሻም፣ በግል የሚለይ የጤና መረጃን ለንግድ ጥቅም፣ ለግል ጥቅም ወይም ለተንኮል አዘል ጉዳት ለመሸጥ፣ ለማስተላለፍ ወይም ለመጠቀም በማሰብ የተፈጸሙ ወንጀሎች የ250,000 ዶላር ቅጣት እና እስከ 10 ዓመት የሚደርስ እስራት ይፈቅዳሉ።
የተሸፈኑ አካላት
ለ የወንጀል ቅጣቶች የ HIPAA ጥሰቶች የሚከተሉትን ጨምሮ ለተሸፈኑ አካላት (CE) በቀጥታ ተፈጻሚ ይሆናሉ፡-
- የጤና ዕቅዶች
- የጤና እንክብካቤ ማጽጃ ቤቶች
- የጤና አገልግሎት ሰጭዎች የይገባኛል ጥያቄዎችን በኤሌክትሮኒክ መልክ የሚያስተላልፉ
- የሜዲኬር ማዘዣ መድሃኒት ካርድ ስፖንሰሮች
እንደ CE ዳይሬክተሮች፣ ሰራተኞች ወይም ኃላፊዎች ያሉ ግለሰቦች (CE ግለሰብ ካልሆነ) እንዲሁም “በድርጅት የወንጀል ተጠያቂነት” በ HIPAA ስር በቀጥታ የወንጀል ተጠያቂ ሊሆኑ ይችላሉ። የ CE ግለሰብ በ HIPAA ስር በቀጥታ ተጠያቂ ካልሆነ፣ አሁንም በማሴር ወይም በመረዳዳት ሊከሰሱ ይችላሉ።
የHIPAA ጥሰቶችን ማሸግ፡ ስለ ቅጣቶች ማወቅ ያለብዎት ነገር እና እንዴት ማክበር እንደሚችሉ
እርስዎ የጤና እንክብካቤ አቅራቢ ነዎት ወይም የንግድ ሥራ ሚስጥራዊነት ያለው የታካሚ መረጃ? ከሆነ፣ ድርጅትዎን ከቅጣቶች ለመጠበቅ የ HIPAA ደንቦችን በደንብ ማወቅ አለብዎት። ይህ መጣጥፍ የHIPAA ጥሰቶችን ይከፍታል፣ ሊኖሩ ስለሚችሉ ቅጣቶች ብርሃን ያበራል፣ እና ተግባሮችዎን ታዛዥ እንዲሆኑ ለማድረግ አስፈላጊ ምክሮችን ይሰጣል።
HIPAA፣ የጤና መድን ተንቀሳቃሽነት እና ተጠያቂነት ህግን የሚወክል፣ የተጠበቀ የጤና መረጃን (PHI) ለመጠበቅ ደረጃዎችን ያወጣል። እነዚህን ደንቦች መጣስ ድርጅትዎን ከፍተኛ የፋይናንስ አደጋ ላይ የሚጥል ከባድ ቅጣት ያስከትላል።
የተለያዩ ዓይነቶችን መረዳት የ HIPAA ጥሰቶች እና የተጣጣሙ ቅጣቶችዎ የተጣጣሙ ጥረቶችዎ ተመጣጣኝ መሆናቸውን ለማረጋገጥ በጣም አስፈላጊ ናቸው. ካልተፈቀዱ ይፋ መግለጫዎች እስከ የአደጋ ግምገማ አለማድረግ ድርጅቶቹ እራሳቸውን የሚጥሱበትን የተለመዱ ምክንያቶችን እንመረምራለን።
በተጨማሪም፣ የ HIPAA ደንቦችን ለማክበር የሚረዱዎትን ተግባራዊ ስልቶችን እናካፍላለን። ተገቢውን ስልጠና በመተግበር፣ ደህንነታቸው የተጠበቁ ቴክኖሎጂዎችን በመቀበል እና መደበኛ ኦዲት በማድረግ የታካሚዎችዎን መረጃ መጠበቅ እና ውድ ቅጣትን ማስወገድ ይችላሉ።
ስለ HIPAA ጥሰቶች፣ ቅጣቶች እና የዛሬው የዲጂታል ዘመን ተገዢነትን እንዴት ማስቀጠል እንደሚችሉ ማወቅ ያለብዎትን ሁሉንም ነገር ለማወቅ ይከታተሉ።
HIPAA ምንድን ነው እና ለምን አስፈላጊ ነው?
HIPAA፣ የጤና መድን ተንቀሳቃሽነት እና ተጠያቂነት ህግን የሚወክል፣ የተጠበቀ የጤና መረጃን (PHI) ለመጠበቅ ደረጃዎችን ያወጣል። የግል የጤና መረጃን ለመጠበቅ እና ለማስተላለፍ መመሪያዎችን ለማቋቋም በ1996 ወጥቷል። HIPAA ወሳኝ ነው ምክንያቱም የታካሚዎችን ሚስጥራዊነት ያለው መረጃ ግላዊነት እና ደህንነት ስለሚያረጋግጥ፣የጤና መረጃ ኤሌክትሮኒካዊ ልውውጥን ስለሚያበረታታ እና ግለሰቦች በጤና አጠባበቅ መረጃቸው ላይ የበለጠ ቁጥጥር እንዲኖራቸው ስለሚያስችላቸው ነው።
ድርጅቶች PHIን ለመጠበቅ የ HIPAA ደንቦችን ለማክበር አስተዳደራዊ፣ ቴክኒካል እና አካላዊ ጥበቃዎችን መተግበር አለባቸው። ይህ ፖሊሲዎችን እና ሂደቶችን መተግበርን, ሰራተኞችን ማሰልጠን, የኤሌክትሮኒክስ ስርዓቶችን መጠበቅ እና መደበኛ የአደጋ ግምገማን ያካትታል.
የተለመዱ የ HIPAA ጥሰቶች እና ውጤታቸው
የተለያዩ የ HIPAA ጥሰቶችን እና ተዛማጅ ቅጣቶችን መረዳት የእርስዎ የተገዢነት ጥረቶች እስከ እኩል መሆናቸውን ለማረጋገጥ ወሳኝ ነው። ጥሰቶች በተለያዩ ቅርጾች ሊከሰቱ ይችላሉ, እነሱም ያልተፈቀዱ መግለጫዎች, በቂ መከላከያዎች, የስልጠና እጥረት እና የአደጋ ግምገማን አለማካሄድ. አንዳንድ የተለመዱ ጥሰቶችን እና ሊያስከትል የሚችለውን ውጤታቸውን በጥንቃቄ እንመልከታቸው.
1. ያልተፈቀዱ ይፋ መግለጫዎች፡- ይህ የሚሆነው ከታካሚው ተገቢውን ፈቃድ ሳይሰጥ PHI ሲጋራ ነው። ይህ በአጋጣሚ በሚፈጠሩ ጥሰቶች ለምሳሌ ሚስጥራዊነት ያለው መረጃ ለተሳሳተ ተቀባይ በመላክ ወይም ሆን ተብሎ በሚፈጸሙ ጥሰቶች ለምሳሌ የታካሚ መረጃን ያለ ህጋዊ ፍቃድ መጋራት ያሉ ሊከሰት ይችላል። ያልተፈቀዱ ይፋ መግለጫዎች መልካም ስም መጥፋት፣ እምነት ማጣት እና ከፍተኛ የገንዘብ ቅጣት ሊያስከትሉ ይችላሉ።
2. በቂ ያልሆነ ጥበቃ፡ HIPAA ድርጅቶች PHIን ለመጠበቅ ተገቢውን የደህንነት እርምጃዎች እንዲተገብሩ ይጠይቃል። ይህን ሳያደርጉ መቅረት ከባድ መዘዝ ሊያስከትል ይችላል. ለምሳሌ፣ አንድ የጤና እንክብካቤ አቅራቢ በቦታው ላይ ትክክለኛ ምስጠራ ከሌለው እና የውሂብ ጥሰት ካጋጠማቸው ከፍተኛ ቅጣት፣ ህጋዊ እርምጃዎች እና ስማቸው ላይ ጉዳት ሊደርስባቸው ይችላል።
3. የሥልጠና እጦት፡ HIPAA ሁሉም ሰራተኞች በግላዊነት እና ደህንነት ተግባራት ላይ ስልጠና እንዲወስዱ ያዛል። በቂ ስልጠና አለመስጠት በአጋጣሚ ወይም ሆን ተብሎ ጥሰቶችን ሊያስከትል ይችላል. ለምሳሌ፣ አላግባብ የሰለጠነ ሰራተኛ ባለማወቅ የታካሚውን መረጃ ላልተፈቀደላቸው ግለሰቦች ሊገልጽ ይችላል፣ ይህም ወደ ጥሰቶች እና ቅጣቶች ይመራል።
4. አለመቻል የአደጋ ግምገማዎችን ያካሂዱHIPAA ድርጅቶች ስርዓቱን ለመለየት እና ተጋላጭነትን ለማስኬድ መደበኛ የአደጋ ግምገማ እንዲያካሂዱ ይጠይቃል። እነዚህን ግምገማዎች አለማድረግ ድርጅቶች ሊኖሩ ስለሚችሉ የደህንነት ስጋቶች እንዳያውቁ እና የጥሰቶች እድላቸውን ይጨምራል። በመጣስ, ድርጅቱ በቸልተኝነት ምክንያት ከፍተኛ ቅጣት ሊደርስበት ይችላል.
HIPAA ቅጣቶች እና ቅጣቶች
የ HIPAA ደንቦችን መጣስ ድርጅትዎን ከፍተኛ የገንዘብ አደጋ ላይ ሊጥሉ የሚችሉ ከባድ ቅጣቶችን ያስከትላል። የጤና እና የሰብአዊ አገልግሎቶች መምሪያ (HHS) የሲቪል መብቶች ቢሮ (OCR) የ HIPAA ተገዢነትን ያስፈጽማል። እንደ ጥሰቱ ክብደት ላይ ተመስርቶ ቅጣትን ሊጥል ይችላል. ከ HIPAA ጥሰቶች ጋር የተያያዙ ቅጣቶችን እና ቅጣቶችን እንመርምር.
1. ደረጃ 1፡ ዝቅተኛው የቅጣት ደረጃ የሚሰራው ድርጅቱ ጥሰቱን ሳያውቅ እና በተመጣጣኝ ትጋት እንኳን ሳያውቅ ሲቀር ነው። ቅጣቶች በአንድ ጥሰት ከ 100 እስከ 50,000 ዶላር ይደርሳል, ዓመታዊ ከፍተኛው 1.5 ሚሊዮን ዶላር ነው.
2. ደረጃ 2፡ ይህ ደረጃ የሚመለከተው ድርጅቱ ጥሰቱን ሲያውቅ ግን ሆን ተብሎ በቸልታ የማይሰራ ከሆነ ነው። ቅጣቶች በአንድ ጥሰት ከ1,000 እስከ 50,000 ዶላር የሚደርስ ሲሆን ዓመታዊ ከፍተኛው 1.5 ሚሊዮን ዶላር ነው።
3. ደረጃ 3፡ ድርጅቱ ሆን ተብሎ ቸልተኛ ሆኖ ሲሰራ እና ጥሰቱን በተገቢው የጊዜ ገደብ ውስጥ ማረም ሲያቅተው ከፍተኛው ቅጣቶች ተፈጻሚ ይሆናሉ። ቅጣቶች በአንድ ጥሰት ከ10,000 እስከ 50,000 ዶላር ይደርሳል፣ ዓመታዊ ከፍተኛው 1.5 ሚሊዮን ዶላር ነው።
ከፋይናንሺያል ቅጣቶች በተጨማሪ፣ የ HIPAA ደንቦችን የሚጥሱ ድርጅቶች የወንጀል ክስ፣ የፍትሐ ብሔር ክስ እና መልካም ስም ሊጎዱ ይችላሉ። ውጤቶቹ ከባድ ሊሆኑ ይችላሉ፣ ይህም ለጤና እንክብካቤ አቅራቢዎች እና ንግዶች ለ HIPAA ተገዢነት ቅድሚያ መስጠት አስፈላጊ ያደርገዋል።
ከኤችአይፒኤ ጥሰት በኋላ የሚወሰዱ እርምጃዎች
የ HIPAA ጥሰትን ማግኘት በጣም ከባድ ሊሆን ይችላል, ነገር ግን ሊከሰቱ የሚችሉ ጉዳቶችን ለመቀነስ አፋጣኝ እርምጃ አስፈላጊ ነው. የእርስዎ ድርጅት ልምድ ካጋጠመው ሊከተሏቸው የሚገቡ አንዳንድ ወሳኝ እርምጃዎች እዚህ አሉ። የ HIPAA ጥሰት፡-
1. ጥሰቱን መለየት እና መያዝ፡ የጥሰቱን መጠን ይወስኑ እና እሱን ለመያዝ አፋጣኝ እርምጃዎችን ይውሰዱ። ይህ የተጎዱ ስርዓቶችን ማግለል፣ መዳረሻን መገደብ እና ተገቢ የሆኑትን ግለሰቦች ማስጠንቀቅን ሊያካትት ይችላል።
2. ተፅዕኖውን ይገምግሙ፡ ጥሰቱ ሊያስከትሉ የሚችሉትን አደጋዎች እና ጉዳቶች ይገምግሙ። ይህ የሚያሳትፈውን የPHI አይነት እና መጠን፣ በግለሰቦች ላይ የሚደርሰውን ጉዳት እና ሊያስከትሉ የሚችሉትን መልካም ስም እና የገንዘብ መዘዞች መወሰንን ያካትታል።
3. የተጎዱ ሰዎችን አሳውቅ፡ HIPAA ድርጅቶች በመጣስ የተጎዱ ግለሰቦችን እንዲያሳውቁ ይጠይቃል። ስለ ክስተቱ፣ ችግሩን ለመፍታት ስለሚወሰዱ እርምጃዎች እና ግለሰቦች ሊወስዷቸው ስለሚችሉት ማንኛውም የመከላከያ እርምጃዎች ግልጽ እና አጭር መረጃ ያቅርቡ።
4. ለሚመለከታቸው ባለስልጣናት ሪፖርት ያድርጉ፡ በአንዳንድ ሁኔታዎች ድርጅቶች ጥሰቱን ለ OCR፣ የክልል ኤጀንሲዎች ወይም ሌሎች ተቆጣጣሪ አካላት ማሳወቅ አለባቸው። ተገዢነትን ለማረጋገጥ እራስዎን ከሪፖርት ማቅረቢያ መስፈርቶች ጋር ይተዋወቁ።
5. ጥልቅ ምርመራ ያካሂዱ፡ የጥሰቱን መንስኤ ይመርምሩ እና በስርዓቶችዎ ወይም ሂደቶችዎ ውስጥ ያሉ ማናቸውንም ድክመቶች ይለዩ። ይህ ተመሳሳይ ክስተቶችን ለመከላከል ይረዳል እና ችግሩን ለመፍታት ቁርጠኝነትዎን ያሳያል.
6. የማስተካከያ እርምጃዎችን መተግበር፡ የጥሰቱን ዋና መንስኤ ለመፍታት እና ወደፊት ሊከሰቱ የሚችሉ ነገሮችን ለመከላከል እርምጃዎችን ይውሰዱ። ይህ ፖሊሲዎችን እና ሂደቶችን ማዘመንን፣ የሰራተኞችን ስልጠና ማሳደግ እና ተጨማሪ የደህንነት እርምጃዎችን መተግበርን ሊያካትት ይችላል።
7. ከተሞክሮው ተማር፡ የድርጅትህን የደህንነት አቋም ለማሻሻል ጥሰቱን ተጠቀም። የእርስዎን በመደበኛነት ይገምግሙ እና ያዘምኑ የ HIPAA ተገዢነት ፕሮግራምስለ ኢንዱስትሪ ምርጥ ተሞክሮዎች ይወቁ እና ሰራተኞችዎን ያለማቋረጥ ያስተምሩ።
እነዚህን ደረጃዎች በመከተል፣ የHIPAA ጥሰትን በብቃት ማስተዳደር እና በድርጅትዎ ላይ ሊደርስ የሚችለውን ጉዳት መቀነስ ይችላሉ።
በድርጅትዎ ውስጥ የ HIPAA ጥሰቶችን እንዴት መከላከል እንደሚቻል
መከላከል ሁልጊዜ የ HIPAA ጥሰት ከሚያስከትለው ውጤት ጋር ከመገናኘት የተሻለ ነው። የ HIPAA ደንቦችን እንዲያከብሩ እና ድርጅትዎን ከቅጣቶች ለመጠበቅ አንዳንድ ተግባራዊ ስልቶች እነኚሁና፡
1. የ HIPAA ተገዢነት ስልጠና እና ትምህርት፡ ሁሉም ሰራተኞች በHIPAA ደንቦች፣ የግላዊነት ልምዶች እና የደህንነት ፕሮቶኮሎች ላይ አጠቃላይ ስልጠና ማግኘታቸውን ያረጋግጡ። በኢንዱስትሪ ደረጃዎች ውስጥ ያሉ ማናቸውንም ደንቦች ወይም ለውጦች ለማንፀባረቅ የሥልጠና ቁሳቁሶችን በመደበኛነት ያዘምኑ።
2. HIPAA-Compliant Technology Solutions፡-መረጃን የሚያመሰጥሩ፣ያልተፈቀደ መዳረሻን የሚከላከሉ፣እና ደህንነቱ የተጠበቀ ግንኙነት እና የ PHI ማከማቻ የሚያደርጉ አስተማማኝ ቴክኖሎጂዎችን ተግባራዊ ማድረግ። ይህ ደህንነታቸው የተጠበቁ የኢሜይል ስርዓቶችን፣ የተመሰጠሩ የፋይል መጋሪያ መድረኮችን እና ጠንካራ ፋየርዎሎችን ሊያካትት ይችላል።
3. በHIPAA ተገዢነት ውስጥ የአደጋ ምዘናዎች ሚና፡- በስርዓቶችዎ እና ሂደቶችዎ ውስጥ ያሉ ድክመቶችን እና ክፍተቶችን ለመለየት መደበኛ የአደጋ ግምገማዎችን ያካሂዱ። ይህ ንቁ አቀራረብ ጥሰቶችን ከማስከተሉ በፊት ሊከሰቱ የሚችሉ አደጋዎችን ለመፍታት ያስችልዎታል.
4. ጥብቅ የመዳረሻ ቁጥጥሮች፡ የተፈቀደላቸው ግለሰቦች ብቻ PHI ማግኘት እንደሚችሉ ለማረጋገጥ ጠንካራ የመዳረሻ መቆጣጠሪያዎችን ይተግብሩ። ይህ ልዩ የተጠቃሚ መታወቂያዎች፣ የይለፍ ቃሎች፣ ባለ ሁለት ደረጃ ማረጋገጫ እና መደበኛ የመዳረሻ ግምገማዎችን ያካትታል።
5. የሰራተኛ ተጠያቂነት፡- ግልጽ ፖሊሲዎችን እና ሂደቶችን በማውጣት ሰራተኞቻቸውን ለድርጊታቸው ተጠያቂ ማድረግ፣ የጥሰቶች መዘዞችን በማስፈጸም እና የ HIPAA ደንቦችን መከበራቸውን በመደበኛነት ኦዲት ማድረግ።
6. የአደጋ ምላሽ እቅድ፡ በመጣስ ጊዜ የሚወሰዱ እርምጃዎችን የሚገልጽ አጠቃላይ የአደጋ ምላሽ እቅድ ያዘጋጁ። ይህ ድርጅትዎ ሊደርስ የሚችለውን ጉዳት በመቀነስ ፈጣን እና ውጤታማ ምላሽ እንዲሰጥ ይረዳል።
7. መደበኛ ኦዲት እና ክትትል፡ የ HIPAA ደንቦችን ቀጣይነት ባለው መልኩ መከበራቸውን ለማረጋገጥ መደበኛ የውስጥ ኦዲት እና ክትትል ማድረግ። ይህ የመዳረሻ ምዝግብ ማስታወሻዎችን መገምገም፣ የስርዓት እንቅስቃሴን መከታተል እና ተለይተው የታወቁ ተጋላጭነቶችን መፍታትን ይጨምራል።
እነዚህን ስልቶች በመተግበር በድርጅትዎ ውስጥ የመታዘዝ ባህል መፍጠር እና የ HIPAA ጥሰቶችን አደጋ መቀነስ ይችላሉ።
የ HIPAA ተገዢነት ስልጠና እና ትምህርት
የHIPAA ጥሰቶችን የገሃዱ ዓለም ተፅእኖ የበለጠ ለመረዳት፣ ጥቂት ታዋቂ የጉዳይ ጥናቶችን እንመርምር፡-
1. መዝሙር Inc. ዳታ መጣስ፡ በ2015 በዩናይትድ ስቴትስ ውስጥ ካሉት ትልልቅ የጤና ኢንሹራንስ ኩባንያዎች አንዱ የሆነው አንተም ኢንክ ወደ 78.8 ሚሊዮን የሚጠጉ ግለሰቦችን የሚጎዳ ከፍተኛ የመረጃ ጥሰት አጋጥሞታል። ጥሰቱ የተከሰተው ለአንድ ሰራተኛ በተላከ የማስገር ኢሜይል ምክንያት ሰርጎ ገቦች ሚስጥራዊነት ያለው መረጃ እንዲደርሱበት በመፍቀድ ነው። Anthem Inc. ጉዳዩን በHIPAA ታሪክ ውስጥ ካሉት ትልቅ ሰፈራዎች አንዱ የሆነውን 115 ሚሊዮን ዶላር ጨርሷል።
2. የጎጆ ጤና ስርዓት መጣስ፡ በ2013፣ Cottage Health System፣ በካሊፎርኒያ ላይ የተመሰረተ የጤና እንክብካቤ አቅራቢ፣ ወደ 55,000 የሚጠጉ ታካሚዎችን ግላዊ መረጃ የሚያጋልጥ የመረጃ ጥሰት ደርሶበታል። ጥሰቱ የተከሰተው ምስጠራን አለመተግበሩን ጨምሮ ተገቢ የደህንነት እርምጃዎች ባለመኖሩ ነው። የጎጆ ጤና ስርዓት ጉዳዩን በ2 ሚሊዮን ዶላር ወስኗል።
እነዚህ የጉዳይ ጥናቶች በ HIPAA ጥሰቶች ምክንያት የሚያጋጥሟቸውን ከፍተኛ የገንዘብ መዘዞች እና ድርጅቶች የሚያጋጥሟቸውን መልካም ስምምነቶች ያሳያሉ። የታካሚ መረጃን ለመጠበቅ እና ውድ የሆኑ ቅጣቶችን ለማስወገድ ለ HIPAA ተገዢነት ቅድሚያ የመስጠትን አስፈላጊነት ለማስታወስ ያገለግላል.
HIPAA የሚያሟሉ የቴክኖሎጂ መፍትሄዎች
የ HIPAA ተገዢነትን መጠበቅ ለጤና እንክብካቤ አቅራቢዎች እና ንግዶች ጥንቃቄ የተሞላበት የታካሚ መረጃን ለመቆጣጠር ወሳኝ ነው። የ HIPAA ደንቦችን መጣስ ከባድ ቅጣቶችን, መልካም ስምን እና ህጋዊ ውጤቶችን ሊያስከትል ይችላል. ድርጅቶች የተለመዱ የ HIPAA ጥሰቶችን እና ተያያዥ ቅጣቶችን በመረዳት እና የመከላከያ እርምጃዎችን በመተግበር እራሳቸውን እና የታካሚዎቻቸውን መረጃ መጠበቅ ይችላሉ.
ያስታውሱ የሰራተኛ ስልጠናን ቅድሚያ መስጠት, አስተማማኝ ቴክኖሎጂዎችን መቀበል, መደበኛ የአደጋ ግምገማዎችን ማካሄድ, እና ጥሰት በሚከሰትበት ጊዜ ፈጣን እና ውጤታማ ምላሽ መስጠት. ይህን በማድረግ የ HIPAA ደንቦችን ውስብስብ መልክዓ ምድራዊ አቀማመጥ ማሰስ እና የታካሚውን መረጃ ግላዊነት እና ደህንነት በዘመናዊው የዲጂታል ዘመን ማረጋገጥ ይችላሉ። ታዛዥ ይሁኑ፣ ደህንነትዎን ይጠብቁ እና የሚያገለግሉትን እምነት ይጠብቁ።
በ HIPAA ተገዢነት ውስጥ የአደጋ ምዘናዎች ሚና
ጥበቃ በሚደረግበት ጊዜ የጤና መረጃ (PHI)፣ HIPAA የሚያሟሉ የቴክኖሎጂ መፍትሄዎችን መጠቀም ወሳኝ ነው። እነዚህ መፍትሄዎች የ HIPAA ጥብቅ የደህንነት እና የግላዊነት መስፈርቶችን ለማሟላት የተነደፉ ናቸው። እነዚህን መሳሪያዎች በመጠቀም፣ የጤና እንክብካቤ አቅራቢዎች እና ንግዶች የታካሚው መረጃ ደህንነቱ የተጠበቀ እና ታዛዥ ሆኖ መቆየቱን ማረጋገጥ ይችላሉ።
አንዱ የቴክኖሎጂ መፍትሔ የተመሰጠረ የመልእክት መላላኪያ መድረኮች ነው። እነዚህ መድረኮች የጤና አጠባበቅ ባለሙያዎች ያልተፈቀደ መዳረሻን አደጋ ላይ ሳይጥሉ ደህንነቱ በተጠበቀ ሁኔታ እንዲገናኙ እና የታካሚ መረጃ እንዲያካፍሉ ያስችላቸዋል። ማመስጠር ውሂቡ እንደተጠበቀ መቆየቱን ያረጋግጣል፣ ምንም እንኳን በተሳሳተ እጅ ውስጥ ቢወድቅም።
ሌላው አስፈላጊ የቴክኖሎጂ መፍትሔ ደህንነቱ የተጠበቀ የታካሚ መግቢያ ነው። ይህ የመስመር ላይ መድረክ ህመምተኞች የጤና መዝገቦቻቸውን እንዲደርሱ፣ ቀጠሮዎችን እንዲይዙ እና ከጤና እንክብካቤ አቅራቢዎች ጋር ደህንነቱ በተጠበቀ ሁኔታ እንዲገናኙ ያስችላቸዋል። ድርጅቶች ሀን በመተግበር የስራ ሂደቶችን ማቀላጠፍ ይችላሉ። የታካሚ ፖርታል የ HIPAA ተገዢነትን በመጠበቅ ላይ።
በተጨማሪም የ HIPAA መስፈርቶችን የሚያሟሉ የደመና ማከማቻ መፍትሄዎች የታካሚ ውሂብን ለማከማቸት እና ለመድረስ አስተማማኝ መንገድ ይሰጣሉ። እነዚህ መፍትሔዎች ከውሂብ ጥሰቶች ወይም መጥፋት ለመከላከል በተለምዶ ምስጠራን፣ የመዳረሻ መቆጣጠሪያዎችን እና መደበኛ መጠባበቂያዎችን ይሰጣሉ።
በHIPAA-የሚያሟሉ የቴክኖሎጂ መፍትሄዎች ላይ ኢንቨስት በማድረግ የጤና እንክብካቤ አቅራቢዎች እና ንግዶች የደህንነት እርምጃዎቻቸውን ሊያሳድጉ እና የ HIPAA ጥሰቶችን አደጋ ሊቀንሱ ይችላሉ። ከድርጅትዎ ልዩ ፍላጎቶች እና መስፈርቶች ጋር የሚጣጣሙ መፍትሄዎችን በጥልቀት መመርመር እና መምረጥ አስፈላጊ ነው።
HIPAA ጥሰት ጉዳይ ጥናቶች
መደበኛ የአደጋ ግምገማዎችን ማካሄድ የ HIPAA ተገዢነትን ለመጠበቅ ወሳኝ ገጽታ ነው። የስጋት ምዘና ድርጅቶች በስርዓታቸው፣ ሂደታቸው እና ፖሊሲዎቻቸው ላይ የኤችአይፒኤኤ ጥሰት ሊያስከትሉ የሚችሉ ተጋላጭነቶችን እና ድክመቶችን ለይተው እንዲያውቁ ያግዛቸዋል።
በአደጋ ግምገማ ወቅት ድርጅቶች የደህንነት እርምጃዎቻቸውን ይገመግማሉ እና ክፍተቶችን ወይም መሻሻል ያለባቸውን ቦታዎች ይለያሉ. ይህ አካላዊ ደህንነትን, ቴክኒካል መከላከያዎችን, አስተዳደራዊ ቁጥጥሮችን እና የሰራተኛ ስልጠና ፕሮግራሞችን መገምገምን ያካትታል.
የአካላዊ ደህንነት እርምጃዎች የታካሚ መረጃ ወደ ሚከማችበት ወይም ወደተሰራባቸው አካባቢዎች አካላዊ መዳረሻን ማረጋገጥን ያካትታሉ። ይህ የስለላ ካሜራዎችን መጫን፣ የመዳረሻ ቁጥጥር ስርዓቶችን መተግበር እና አካላዊ መዝገቦችን በአግባቡ ማስወገድን ሊያካትት ይችላል።
የቴክኒክ ጥበቃዎች የኤሌክትሮኒክስ PHIን የሚከላከሉ የደህንነት እርምጃዎችን ያካትታሉ። ይህ ያልተፈቀደ መዳረሻን ወይም የውሂብ ጥሰቶችን ለመከላከል ፋየርዎሎችን፣ ምስጠራን፣ ደህንነቱ የተጠበቀ የመግቢያ ምስክርነቶችን እና መደበኛ የሶፍትዌር ማሻሻያዎችን መተግበርን ያካትታል።
አስተዳደራዊ ቁጥጥሮች የታካሚ መረጃን ለማስተናገድ ፖሊሲዎችን እና ሂደቶችን ማቋቋምን ያካትታሉ። ይህም ሰራተኞችን በHIPAA ደንቦች ላይ ማሰልጠን፣ የአደጋ ምላሽ እቅዶችን መፍጠር እና ተገዢነትን ለማረጋገጥ መደበኛ ኦዲት ማድረግን ይጨምራል።
የሰራተኞች ስልጠና የ HIPAA ተገዢነት ወሳኝ አካል ነው. የታካሚ መረጃን በመጠበቅ ረገድ ሰራተኞቻቸውን ስለኃላፊነታቸው ማስተማር፣የደህንነት ስጋቶችን በማወቅ እና PHIን ለመቆጣጠር ተገቢውን አሰራር መከተል አስፈላጊ ነው።
መደበኛ የአደጋ ግምገማዎችን በማካሄድ እና ተለይተው የሚታወቁ ድክመቶችን በመፍታት፣ ድርጅቶች የ HIPAA ጥሰቶችን ስጋትን በንቃት በመቀነስ ለታካሚ ግላዊነት እና ደህንነት ያላቸውን ቁርጠኝነት ማሳየት ይችላሉ።
10፡ ማጠቃለያ
የ HIPAA ጥሰቶች የሚያስከትለውን ውጤት እና ተያያዥ ቅጣቶችን በተሻለ ለመረዳት ወደ አንዳንድ የእውነተኛ ህይወት ጥናቶች እንመርምር። እነዚህ ምሳሌዎች ድርጅቶች የ HIPAA ደንቦችን ማክበር ያልቻሉባቸውን የተለመዱ ሁኔታዎች ያጎላሉ፣ ይህም ከፍተኛ ቅጣቶችን አስከትሏል።
የጉዳይ ጥናት 1፡ ABC Healthcare
ኤቢሲ ሄልዝኬር፣ ሰፊ የሆስፒታል አውታረመረብ፣ ሰራተኛው የአስጋሪ ማጭበርበር ሰለባ በሚሆንበት ጊዜ የውሂብ ጥሰት አጋጥሞታል። ጠላፊው የሆስፒታሉን ስርዓት በመድረስ በሺዎች የሚቆጠሩ ታካሚዎችን PHI አበላሽቷል። ጥሰቱ የተከሰተው ሰራተኛው የማስገር ሙከራውን ወዲያውኑ ባለማወቅ እና ሪፖርት ባለማድረግ ነው።
በመጣሱ ምክንያት ABC Healthcare የ 4.3 ሚሊዮን ዶላር ቅጣት ገጥሞታል። የሲቪል መብቶች ቢሮ (OCR) ሆስፒታሉ በቂ የደህንነት እርምጃዎችን ተግባራዊ ለማድረግ እና እንደዚህ አይነት አደጋዎችን ለመከላከል ተገቢውን የሰራተኛ ስልጠና መስጠቱን ወስኗል. ቅጣቱ የጠንካራ የሳይበር ደህንነት ተግባራትን እና ቀጣይ ስልጠናዎችን አስፈላጊነት ለማስታወስ አገልግሏል።
የጉዳይ ጥናት 2፡ XYZ የህክምና ክሊኒክ
XYZ የሕክምና ክሊኒክ፣ ትንሽ የጤና እንክብካቤ ተቋምበበርካታ የ HIPAA ጥሰቶች ምክንያት ከባድ ቅጣቶች ገጥሟቸዋል. ክሊኒኩ መደበኛ የአደጋ ግምገማዎችን አላደረገም፣ ትክክለኛ የኢንክሪፕሽን እርምጃዎች አልነበረውም እና የጥሰት ማስታወቂያ ሂደት አልነበረውም። እነዚህ ጥሰቶች ጎልተው የወጡት አንድ የቀድሞ ሰራተኛ ክሊኒኩ ከ OCR ጋር አለመጣጣሙን ሲገልጽ ነው።
በዚህም ምክንያት XYZ የህክምና ክሊኒክ በ2.5 ሚሊዮን ዶላር ቅጣት ተቀጣ። ኦሲአር ክሊኒኩ የታካሚውን መረጃ የመጠበቅ ኃላፊነቱን ችላ በማለት በሺዎች የሚቆጠሩ ግለሰቦችን ግላዊነት እና ደህንነት አደጋ ላይ ጥሏል ብሏል። ይህ ጉዳይ የመደበኛ ተገዢነት ኦዲት አስፈላጊነትን እና አጠቃላይ ፖሊሲዎችን እና ሂደቶችን አስፈላጊነት ያጎላል።
እነዚህ የጉዳይ ጥናቶች የ HIPAA ጥሰቶች ከፍተኛ የገንዘብ ተፅእኖ ያሳያሉ። የጤና እንክብካቤ አቅራቢዎች እና ንግዶች ለማክበር ጥረቶች ቅድሚያ መስጠት እና ከፍተኛ ወጪ የሚጠይቁ ቅጣቶችን ለማስወገድ በጠንካራ የደህንነት እርምጃዎች ላይ መዋዕለ ንዋይ ማፍሰስ አለባቸው።
"በማወቅ" መተርጎም
DOJ የ HIPAA ህግን ለወንጀል ተጠያቂነት "አውቆ" የሚለውን አካል እንደ ጥፋት የሚወስዱትን ድርጊቶች ማወቅ ብቻ እንደሚያስፈልገው ተርጉሞታል። የHIPAA ህግን የሚጥስ ድርጊት የተለየ እውቀት አያስፈልግም።
ከሜዲኬር ማግለል
HHS እስከ ኦክቶበር 16፣ 2003 ድረስ ግብይቱን እና በኮድ የተቀመጠውን መስፈርት ያላሟላ ማንኛውንም CE በሜዲኬር ውስጥ ከመሳተፍ የማስቀረት ስልጣን አለው (ማራዘሚያ የተገኘበት እና CE አነስተኛ አይደለም) (68 FR 48805)።
የአንቀጽ አገናኝ
https://www.ama-assn.org/practice-management/hipaa-violations-enforcement
