HIPAA คืออะไร? นี่คือวิธีการตรวจสอบให้แน่ใจว่าคุณปฏิบัติตาม HIPAA

ไม่มีใครควรประนีประนอมกับสุขภาพและความปลอดภัย และนี่คือสิ่งที่ HIPAA รับประกัน

กฎหมาย Health Insurance Portability and Accountability Act (HIPAA) ได้ประกาศใช้ในปี 1996 เพื่อให้ผู้ป่วยสามารถเข้าถึงข้อมูลด้านสุขภาพได้ดีขึ้นและควบคุมการป้องกัน ในช่วงหลายปีที่ผ่านมา HIPAA ได้พัฒนาเพื่อสร้างข้อกำหนดการแจ้งเตือนการละเมิดข้อมูลและกำหนดหน่วยงานที่บังคับใช้

หากคุณทำงานด้านการดูแลสุขภาพ ผู้คนมักพูดถึง HIPAA แต่มันคืออะไร และคุณจะปฏิบัติตามข้อกำหนดได้อย่างไร

พ.ร.บ. ความสามารถในการพกพาและความรับผิดชอบของการประกันสุขภาพคืออะไร?

กฎหมาย Health Insurance Portability and Accountability (HIPAA) อธิบายถึงการใช้และการเปิดเผยข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) อย่างเหมาะสม วิธีการรักษาความปลอดภัยของข้อมูล และสิ่งที่ต้องทำในกรณีที่เกิดการละเมิด กรมอนามัยและบริการมนุษย์ (HHS) กำกับดูแล HIPAA ในขณะที่สำนักงานเพื่อสิทธิพลเมือง (OCR) บังคับใช้การปฏิบัติตาม

เมื่อมีการยื่นเรื่องร้องเรียนการไม่ปฏิบัติตามต่อองค์กรด้านการดูแลสุขภาพ OCR จะตรวจสอบองค์กรเพื่อพิจารณาว่าคำกล่าวอ้างนั้นเป็นความจริงหรือไม่ หากพบว่าองค์กรละเมิด HIPAA อาจมีการเรียกเก็บค่าปรับและการดำเนินการแก้ไข

กฎสามข้อของพระราชบัญญัติการพกพาและความรับผิดชอบในการประกันสุขภาพ

ระเบียบ HIPAA ประกอบด้วยกฎหลักสามข้อ กฎความเป็นส่วนตัว ความปลอดภัย และการแจ้งเตือนการละเมิดของ HIPAA เป็นแนวทางสำหรับองค์กรด้านการดูแลสุขภาพในการแบ่งปันข้อมูล ปกป้องข้อมูลที่สำคัญของผู้ป่วย และตอบสนองและรายงานการละเมิด

กฎความเป็นส่วนตัว HIPAA

กฎความเป็นส่วนตัวของ HIPAA มุ่งเน้นไปที่การใช้และการเปิดเผยข้อมูลสุขภาพที่ได้รับการคุ้มครองเป็นหลัก อนุญาตให้ใช้และเปิดเผย PHI ด้วยเหตุผลเฉพาะเท่านั้น เช่น การรักษา การจ่ายเงิน และการดูแลสุขภาพ การใช้งานหรือการเปิดเผยอื่นใดต้องได้รับความยินยอมเป็นลายลักษณ์อักษรจากผู้ป่วยก่อน

มาตรฐานขั้นต่ำของ HIPAA ยังกำหนดให้จำกัดการเข้าถึง PHI การเข้าถึง PHI ควรมอบให้กับพนักงานที่ต้องการ PHI สำหรับงานของตนเท่านั้น การเข้าถึงนี้ควรจำกัดเฉพาะข้อมูลที่จำเป็นต่อการปฏิบัติหน้าที่

ตัวอย่างเช่น ผู้ช่วยฝ่ายบริหารอาจต้องการเข้าถึงข้อมูลผู้ป่วยบางส่วนเพื่อนัดหมาย พนักงานคนนี้อาจจำเป็นต้องทราบชื่อของผู้ป่วย ข้อมูลติดต่อ ข้อมูลประกัน และในบางกรณี ข้อมูลขั้นตอนพื้นฐานเพื่อกำหนดระยะเวลาการนัดหมาย พวกเขาไม่จำเป็นต้องเข้าถึงไฟล์ผู้ป่วยแบบเต็ม

ประกาศแนวปฏิบัติด้านความเป็นส่วนตัว (NPP) ของคุณต้องระบุอย่างชัดเจนว่าองค์กรของคุณใช้และเปิดเผยข้อมูลของผู้ป่วยอย่างไร นอกจากนี้ยังควรหารือเกี่ยวกับสิทธิของผู้ป่วยเกี่ยวกับข้อมูลของพวกเขา ผู้ป่วยควรได้รับ NPP เพื่อทบทวนเมื่อรับประทานเข้าไป

สิทธิ์ของผู้ป่วย (สิทธิ์ในการเข้าถึง HIPAA) ยังระบุไว้โดยละเอียดในกฎความเป็นส่วนตัว มาตรฐานสิทธิในการเข้าถึง HIPAA กำหนดให้ผู้ให้บริการด้านการแพทย์ต้องให้ผู้ป่วยสามารถเข้าถึงเวชระเบียนของตนได้เมื่อมีการร้องขอ ต้องจัดทำบันทึกที่ร้องขอแก่ผู้ป่วยภายใน 30 วันนับจากวันที่ร้องขอ ผู้ป่วยยังมีสิทธิ์ที่จะได้รับบันทึกในรูปแบบที่พวกเขาร้องขอเมื่อทำได้

กฎความปลอดภัย HIPAA

กฎความปลอดภัย HIPAA กำหนดให้รักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของ PHI โดยพื้นฐานแล้ว หมายความว่าองค์กรด้านการดูแลสุขภาพต้องปกป้องความเป็นส่วนตัวของ PHI และป้องกันการเปลี่ยนแปลงหรือการทำลายโดยไม่ได้รับอนุญาต การป้องกัน HIPAA ช่วยให้ได้รับความปลอดภัยของข้อมูลที่ดีที่สุด

การป้องกัน HIPAA คืออะไร?

การป้องกัน HIPAA เป็นมาตรการด้านการบริหาร ด้านเทคนิค และทางกายภาพที่ใช้เพื่อป้องกันการเข้าถึง การใช้ หรือการเปิดเผย PHI โดยไม่ได้รับอนุญาต

การป้องกันด้านการดูแลระบบคือนโยบายและขั้นตอนที่ให้แนวทางแก่พนักงานในการใช้และเปิดเผย PHI อย่างเหมาะสม พวกเขายังสรุปข้อกำหนดการฝึกอบรม HIPAA และการประเมินความเสี่ยงด้านความปลอดภัยสำหรับพนักงาน

การป้องกันทางเทคนิคเป็นมาตรการในการปกป้อง PHI ทางอิเล็กทรอนิกส์ (ePHI) ตัวอย่างทั่วไปของการป้องกันทางเทคนิค ได้แก่ การเข้ารหัส การพิสูจน์ตัวตนผู้ใช้ การควบคุมการเข้าถึง และการควบคุมการตรวจสอบ

• การ เข้ารหัส: เข้ารหัสข้อมูลเพื่อให้หน่วยงานที่ไม่ได้รับอนุญาตไม่สามารถอ่านข้อมูลได้
• การรับรองความถูกต้องของผู้ใช้: ให้ ID ผู้ใช้ที่ไม่ซ้ำกันแก่ผู้ใช้แต่ละรายเพื่อเข้าถึงเครือข่ายขององค์กรของคุณ
• การควบคุมการตรวจสอบ: ช่วยให้ผู้ดูแลระบบสามารถตรวจสอบกิจกรรมที่น่าสงสัยบนเครือข่ายได้อย่างง่ายดาย เช่น ผู้ใช้เข้าถึงเครือข่ายจากตำแหน่งที่น่าสงสัย หรือความพยายามในการเข้าสู่ระบบที่ล้มเหลวหลายครั้งโดยผู้ใช้แต่ละราย
• การควบคุมการเข้าถึง: อนุญาตให้ผู้ดูแลระบบกำหนดระดับการเข้าถึงข้อมูลผู้ป่วยที่แตกต่างกันตามบทบาทหน้าที่ของพนักงาน

การป้องกันทางกายภาพ เช่น ระบบล็อกและระบบเตือนภัย ปกป้องสถานที่ทางกายภาพขององค์กร

กฎการแจ้งเตือนการละเมิด HIPAA

กฎการแจ้งเตือนการละเมิด HIPAA กำหนดให้บริษัทที่ครอบคลุมและผู้ร่วมธุรกิจรายงานการละเมิด PHI

ไม่ใช่ทุกเหตุการณ์ที่เป็นการละเมิด ตัวอย่างทั่วไปของการละเมิด ได้แก่ เหตุการณ์การแฮ็ก การเข้าถึง PHI โดยไม่ได้รับอนุญาต การเปิดเผย PHI ต่อบุคคลที่ไม่ได้รับอนุญาต การขโมยหรือการสูญเสียบันทึกกระดาษ และการโจรกรรมหรือการสูญหายของอุปกรณ์อิเล็กทรอนิกส์พกพาที่ไม่ได้เข้ารหัส

ตัวอย่างเช่น การโจรกรรมหรือการสูญหายของแล็ปท็อปที่เข้ารหัสจะไม่ถือเป็นการละเมิดเนื่องจากไม่สามารถเข้าถึงข้อมูลได้ หากข้อมูลบนแล็ปท็อปไม่ปลอดภัยและเข้าถึงได้โดยบุคคลที่ไม่ได้รับอนุญาต ก็จะเป็นช่องโหว่

การละเมิดข้อมูลผู้ป่วยจำเป็นต้องรายงาน องค์กรที่ถูกละเมิดจะต้องแจ้งผู้ป่วยที่ได้รับผลกระทบเป็นลายลักษณ์อักษรภายใน 60 วันหลังจากพบเหตุการณ์ องค์กรต้องรายงานการละเมิดต่อ Department of Health and Human Services (HHS) ด้วย

หากเหตุการณ์ส่งผลกระทบต่อผู้ป่วยน้อยกว่า 500 ราย องค์กรต่างๆ จะมีเวลาสูงสุดหกสิบวันหลังจากสิ้นปีปฏิทินเพื่อรายงานต่อ HHS หากเหตุการณ์ส่งผลกระทบต่อผู้ป่วย 500 รายขึ้นไป องค์กรต่างๆ จะต้องรายงานต่อ HHS 30 วันหลังจากพบ การละเมิดที่ส่งผลกระทบต่อผู้ป่วย 500 คนขึ้นไปจะต้องรายงานต่อสื่อด้วย

HIPAA ปกป้องข้อมูลใดบ้าง

HIPAA ปกป้องข้อมูลของผู้ป่วยหรือที่เรียกว่าข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) PHI ถูกกำหนดให้เป็นข้อมูลด้านสุขภาพที่ระบุตัวบุคคลใด ๆ ที่เกี่ยวข้องกับการให้บริการด้านสุขภาพในอดีต ปัจจุบัน หรือในอนาคต

ข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ (ePHI) คือ PHI ที่จัดเก็บในรูปแบบอิเล็กทรอนิกส์ เช่น บนแล็ปท็อปหรือในแพลตฟอร์มบันทึกสุขภาพอิเล็กทรอนิกส์ ePHI จะต้องได้รับการคุ้มครองภายใต้ HIPAA

18 ตัวระบุ HIPAA

กรมอนามัยและบริการมนุษย์ (HHS) จำแนกข้อมูลด้านสุขภาพที่ได้รับการคุ้มครองออกเป็น 18 ตัวระบุที่ไม่ซ้ำกัน ตัวระบุ 18 ตัวแต่ละตัวถือเป็น PHI หากเชื่อมโยงกับการให้บริการด้านสุขภาพ

ที่มา: Compliancy Group

ต่อไปนี้เป็นตัวระบุ 18 HIPAA:

1. ชื่อผู้ป่วย
2. องค์ประกอบทางภูมิศาสตร์ เช่น ที่อยู่ เมือง เขต หรือรหัสไปรษณีย์
3. วันที่เกี่ยวกับสุขภาพหรือตัวตนของบุคคล รวมถึงวันเกิด วันที่รับผู้ป่วย วันที่ออกจากโรงพยาบาล วันที่เสียชีวิต หรืออายุที่แน่นอนของผู้ป่วยที่มีอายุมากกว่า 89 ปี
4. หมายเลขโทรศัพท์
5. หมายเลขโทรสาร
6. ที่อยู่อีเมล
7. หมายเลขประกันสังคม
8. หมายเลขเวชระเบียน
9. หมายเลขผู้รับผลประโยชน์ประกันสุขภาพ
10. หมายเลขบัญชี
11. ใบรับรองหรือหมายเลขใบอนุญาต
12. ตัวระบุยานพาหนะ
13. คุณลักษณะของอุปกรณ์หรือหมายเลขซีเรียล
14. ตัวระบุดิจิทัล เช่น URL ของเว็บไซต์
15. ที่อยู่ IP
16. องค์ประกอบไบโอเมตริก ได้แก่ นิ้ว จอประสาทตา และเสียงพิมพ์
17. ภาพถ่ายเต็มหน้า
18. ตัวเลขหรือรหัสระบุอื่นๆ

ใครบ้างที่ต้องปฏิบัติตาม HIPAA?

ความเข้าใจผิดที่พบบ่อยคือ HIPAA มีผลบังคับใช้เมื่อมีการเข้าถึงหรือเปิดเผยข้อมูลด้านสุขภาพ แม้ว่า HIPAA จะจำกัดการใช้และการเปิดเผย PHI แต่ HIPAA จะใช้เฉพาะกับองค์กรที่เกี่ยวข้องกับการรักษา การจ่ายเงิน หรือการดำเนินงานด้านสุขภาพเท่านั้น องค์กรเหล่านี้เรียกว่า "หน่วยงานที่ครอบคลุม" และ "ผู้ร่วมธุรกิจ"

องค์กรที่มีศักยภาพในการเข้าถึง PHI หรือ ePHI จะต้องเป็นไปตาม HIPAA

หน่วยงานที่ครอบคลุม

นิติบุคคลที่ครอบคลุม ได้แก่ ผู้ให้บริการด้านสุขภาพ บริษัทประกัน และสำนักหักบัญชี แพทย์ ทันตแพทย์ ผู้เชี่ยวชาญด้านสุขภาพจิต หมอจัดกระดูก และผู้ให้บริการประกันสุขภาพล้วนอยู่ภายใต้ความคุ้มครอง

ผู้ร่วมธุรกิจ

ผู้ร่วมธุรกิจคือผู้ขายที่ทำสัญญาโดยหน่วยงานที่ครอบคลุมซึ่งอาจมีสิทธิ์เข้าถึง PHI แพลตฟอร์มบันทึกสุขภาพอิเล็กทรอนิกส์ (EHR) ผู้ให้บริการอีเมล กำหนดการนัดหมายออนไลน์ และผู้ให้บริการที่มีการจัดการเป็นตัวอย่างทั่วไปของผู้ร่วมธุรกิจ

จะปฏิบัติตาม HIPAA ได้อย่างไร

การปฏิบัติตาม HIPAA เกี่ยวข้องกับหลายขั้นตอน มันค่อนข้างจะผ่านหรือไม่ผ่าน คุณปฏิบัติตามหรือไม่ คุณต้องปฏิบัติตามข้อกำหนดของแต่ละขั้นตอนเพื่อให้สอดคล้องกับ HIPAA และปฏิบัติตามข้อกำหนดเหล่านี้เป็นประจำทุกปี

ที่มา: Compliancy Group

ดำเนินการประเมินความเสี่ยงด้านความปลอดภัย ระบุช่องว่าง และรวมแผนการแก้ไข

การประเมินความเสี่ยงด้านความปลอดภัย (SRA) มีความสำคัญต่อการปฏิบัติตามข้อกำหนด HIPAA ของคุณ เพื่อให้เป็นไปตามมาตรฐาน HIPAA คุณต้องทำการประเมินความเสี่ยงด้านความปลอดภัย HIPAA เป็นประจำทุกปี นี่เป็นเพราะ SRA วัดการป้องกันปัจจุบันของคุณกับมาตรฐาน HIPAA ช่องว่างเกิดขึ้นเมื่องานปัจจุบันของคุณไม่เพียงพอที่จะเป็นไปตามมาตรฐาน HIPAA

“ช่องว่าง” คือข้อบกพร่องที่อาจส่งผลให้เกิดการละเมิดและการละเมิด HIPAA นี่คือที่มาของแผนการแก้ไข แผนการแก้ไขสร้างขั้นตอนที่สามารถดำเนินการได้เพื่อปิดช่องว่างการปฏิบัติตามข้อกำหนด เพื่อให้ได้ผล แผนการแก้ไขต้องมีความเฉพาะเจาะจง รวมถึงสิ่งที่ต้องทำเพื่อปิดช่องว่าง ใครเป็นผู้รับผิดชอบในการแก้ไข และลำดับเวลาสำหรับการแก้ไข

ดำเนินการตามนโยบายและระเบียบปฏิบัติ

นโยบายและขั้นตอนจะต้องออกแบบโดยคำนึงถึงกฎ HIPAA สามข้อ นโยบายและระเบียบปฏิบัติควรปรับให้เข้ากับประเภทและขนาดขององค์กร และได้รับการทบทวนและปรับปรุงเป็นประจำทุกปีเพื่อให้มีประสิทธิภาพ

โครงร่างนโยบายและระเบียบปฏิบัติ:

• การใช้และการเปิดเผย PHI อย่างเหมาะสมโดยองค์กรและพนักงานของคุณ
• องค์กรของคุณรักษาความปลอดภัยของ PHI อย่างไร
• จะทำอย่างไรในกรณีที่มีการละเมิดหรือสงสัยว่ามีการละเมิด

ในอดีต องค์กรต่างๆ ได้ใช้คู่มือ HIPAA สำหรับนโยบายและระเบียบปฏิบัติของตน อย่างไรก็ตาม เนื่องจากคู่มือ HIPAA นั้นไม่ได้แกะกล่อง จึงไม่สามารถระบุถึงความแตกต่างในการดำเนินงานขององค์กรของคุณได้

นโยบายและขั้นตอนที่เหมาะสมสำหรับการปฏิบัติทางการแพทย์ขนาดเล็กอาจไม่ได้ผลสำหรับกลุ่มโรงพยาบาลขนาดใหญ่ เช่นเดียวกับนโยบายและขั้นตอนที่เขียนขึ้นสำหรับหน่วยงานที่ครอบคลุมอาจไม่สามารถใช้ได้กับผู้ร่วมธุรกิจ

ดำเนินการฝึกอบรม HIPAA สำหรับพนักงาน

พนักงานที่มีศักยภาพในการเข้าถึง PHI หรือ ePHI จะต้องได้รับการฝึกอบรมทุกปี การฝึกอบรมควรรวมถึงแนวทางปฏิบัติที่ดีที่สุดของ HIPAA ภาพรวมของนโยบายและขั้นตอนขององค์กรของคุณ และแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยในโลกไซเบอร์

HIPAA แนะนำว่าพนักงานควรได้รับการฝึกอบรมเมื่อได้รับการว่าจ้าง ดังนั้นการจัดหลักสูตรฝึกอบรมปีละครั้งจึงไม่เพียงพอ โปรแกรมการฝึกอบรมพนักงาน HIPAA ที่ยืดหยุ่นเป็นสิ่งจำเป็นเพื่อตอบสนองความต้องการในการฝึกอบรม

การใช้เครื่องมือการฝึกอบรมออนไลน์เป็นวิธีที่ดีที่สุดในการบรรลุเป้าหมายนี้ ด้วยโปรแกรมการฝึกอบรมออนไลน์ พนักงานสามารถได้รับมอบหมายการฝึกอบรมเมื่อจำเป็น ดำเนินการฝึกอบรมตามจังหวะของตนเอง และผู้ดูแลระบบสามารถติดตามความคืบหน้าของพนักงานได้

ลงนามข้อตกลงร่วมธุรกิจ

ข้อตกลงผู้ร่วมธุรกิจ HIPAA (HIPAA BAA) เป็นสัญญาทางกฎหมายที่ต้องลงนามระหว่างนิติบุคคลที่ครอบคลุมและผู้ร่วมธุรกิจ (หรือระหว่างผู้ร่วมธุรกิจสองคน) ควรลงนาม HIPAA BAA ก่อนแลกเปลี่ยน PHI หรือ ePHI ไม่ใช่ผู้ขายทุกรายที่เต็มใจหรือสามารถทำหน้าที่เป็นผู้ร่วมธุรกิจได้ หากผู้ให้บริการไม่ลงนามใน BAA ก็จะไม่สามารถปฏิบัติตามหน้าที่ที่เกี่ยวข้องกับธุรกิจได้

สมมติว่าคุณกำลังมองหาเครื่องมือจัดกำหนดการนัดหมายออนไลน์ที่ช่วยให้ผู้ป่วยสามารถจองการนัดหมายของตนเองได้ คุณพบผู้จำหน่ายที่ตรงกับความต้องการด้านการดูแลระบบของคุณ แต่ไม่ต้องการลงนามในข้อตกลงพันธมิตร คุณไม่สามารถทำสัญญากับผู้ให้บริการรายนี้สำหรับการจัดตารางผู้ป่วยได้จนกว่าพวกเขาจะลงนามใน BAA

การจัดการเหตุการณ์และการตอบสนอง

ส่วนหนึ่งของการปฏิบัติตามข้อกำหนดของ HIPAA คือการใช้แผนเผชิญเหตุที่ผ่านการทดสอบแล้ว คุณสามารถระบุ ตอบสนอง และรายงานเหตุการณ์ได้อย่างรวดเร็วด้วยแผนตอบสนองเหตุการณ์ องค์กรที่มีแผนรับมือเหตุการณ์ที่ทดสอบแล้วช่วยลดเวลาที่ใช้ในการกู้คืนจากเหตุการณ์ได้อย่างมากในขณะที่ลดค่าใช้จ่ายลง

การละเมิด HIPAA และค่าปรับ

แม้ว่าการละเมิดจำนวนมากจะส่งผลให้เกิดการละเมิด HIPAA แต่การละเมิดนั้นไม่ได้เป็นสาเหตุที่ทำให้บริษัทถูกปรับ การละเมิด HIPAA เกิดขึ้นเมื่อองค์กรไม่ปฏิบัติตามมาตรฐาน HIPAA อาจมีการเรียกเก็บค่าปรับ HIPAA ตามความรุนแรงของการละเมิด

ที่มา: Compliancy Group

ตัวอย่างทั่วไปของการละเมิด HIPAA ได้แก่ การไม่:

• ทำการประเมินความเสี่ยงอย่างแม่นยำและถี่ถ้วน
• ให้ผู้ป่วยสามารถเข้าถึงเวชระเบียนได้ทันท่วงที
• ตอบกลับความคิดเห็นของผู้ป่วยทางออนไลน์อย่างเหมาะสม
• มีข้อตกลงร่วมธุรกิจที่ลงนามกับผู้ร่วมธุรกิจ
• ทิ้งเวชระเบียนของผู้ป่วยอย่างเหมาะสม

ดังนั้น เมื่อใดที่องค์กรจะถูกปรับสำหรับการละเมิด?

ค่าปรับ HIPAA ออกตามระดับความประมาทเลินเล่อที่รับรู้

• ระดับที่ 1 คือการละเมิดที่ร้ายแรงน้อยที่สุด บทลงโทษระดับที่ 1 จะถูกกำหนดเมื่อมีการละเมิด HIPAA เนื่องจากนิติบุคคลหรือผู้ร่วมธุรกิจไม่ทราบถึงกฎที่ละเมิด เพื่อให้มีคุณสมบัติเป็นบทลงโทษระดับ 1 การละเมิดจะต้องเป็นการละเมิดที่ไม่สามารถหลีกเลี่ยงได้หากองค์กรใช้ความระมัดระวังอย่างสมเหตุสมผลเพื่อปฏิบัติตาม HIPAA ค่าปรับในระดับนี้มีตั้งแต่ $120 ถึง $60,226 ต่อการละเมิดหนึ่งครั้ง
• การละเมิด ระดับที่ 2 เกิดขึ้นเมื่อนิติบุคคลหรือผู้ร่วมธุรกิจรับทราบถึงการละเมิดที่เกิดขึ้น เพื่อให้มีคุณสมบัติเป็นการละเมิดระดับ 2 การละเมิดเป็นการละเมิดที่สามารถหลีกเลี่ยงได้แม้ว่าจะได้รับการดูแลในระดับที่สมเหตุสมผลก็ตาม ค่าปรับในระดับนี้มีตั้งแต่ $12,045 ถึง $60,226 ต่อการละเมิดหนึ่งครั้ง
• การละเมิด ระดับ 3 ถือว่าร้ายแรงกว่าระดับ 1 หรือระดับ 2 และอาจมีค่าปรับที่แพงกว่า การละเมิดระดับ 3 เกิดจากการละเลย HIPAA โดยเจตนา ในการพิจารณาว่าเป็นผู้ละเมิดระดับที่ 3 องค์กรควรทราบว่าได้ละเมิด HIPAA ในขณะที่ดำเนินการตรวจสอบสถานะ การละเมิดเหล่านี้ต้องได้รับการแก้ไขภายใน 30 วันเพื่อให้มีคุณสมบัติเป็นการละเมิดระดับ 3 ค่าปรับในระดับนี้มีตั้งแต่ $1,205 ถึง $12,045 ต่อการละเมิดหนึ่งครั้ง
• การละเมิด ระดับ 4 เกี่ยวข้องกับการละเลยกฎ HIPAA โดยเจตนา OCR กำหนดบทลงโทษระดับ 4 เมื่อนิติบุคคลหรือผู้ร่วมธุรกิจไม่พยายามแก้ไขการละเมิด ค่าปรับในระดับนี้มีตั้งแต่ $60,226 ถึง $1,806,757 ต่อการละเมิดหนึ่งครั้ง

องค์กรที่พบว่าละเมิด HIPAA มักจะถูกตรวจสอบ OCR และดำเนินการแก้ไข OCR จัดทำแผนปฏิบัติการแก้ไขเมื่อเสร็จสิ้นการตรวจสอบการละเมิด HIPAA เมื่อองค์กรระบุข้อบกพร่อง ได้รับการออกแบบมาเพื่อป้องกันการละเมิดและเหตุการณ์เพิ่มเติมโดยจัดโปรแกรมการปฏิบัติตามข้อกำหนดขององค์กรให้สอดคล้องกับมาตรฐาน HIPAA

ปฏิบัติตาม; อยู่อย่างปลอดภัย

พ.ร.บ. การพกพาและความรับผิดชอบในการประกันสุขภาพควรมีความสำคัญสูงสุดสำหรับองค์กรใดๆ ที่เกี่ยวข้องกับการดูแลสุขภาพ (นิติบุคคลที่ครอบคลุมหรือผู้ร่วมธุรกิจ) พูดง่ายๆ ก็คือ คุณต้องผ่านมาตรฐาน HIPAA ในการทำงานด้านการดูแลสุขภาพ

หากไม่มี HIPAA ข้อมูลของผู้ป่วยจะเสี่ยงต่อการถูกนำไปใช้และเปิดเผยโดยไม่ได้รับอนุญาต เมื่อเกิดการละเมิดขึ้น ผู้ป่วยไม่เพียงแต่สูญเสียความมั่นใจในความสามารถขององค์กรในการปกป้องข้อมูลที่เป็นความลับของตนเท่านั้น แต่ยังอาจส่งผลให้เกิดการละเมิด HIPAA และค่าปรับที่มีราคาแพงอีกด้วย

การใช้โปรแกรมการปฏิบัติตามข้อกำหนด HIPAA ที่มีประสิทธิภาพซึ่งตรงตามมาตรฐาน HIPAA ทั้งหมด ทำให้คุณปรับปรุงมาตรการรักษาความปลอดภัยโดยรวมของคุณ และลดโอกาสในการละเมิดและการละเมิด

ขณะนี้ผู้ป่วยตระหนักถึง HIPAA และสิทธิของตนมากขึ้น การปฏิบัติตามข้อกำหนดของ HIPAA ทำให้พวกเขาสบายใจได้ว่าพวกเขาสามารถไว้วางใจคุณได้ในเรื่องข้อมูลที่ละเอียดอ่อนของพวกเขา

การจัดการความเป็นส่วนตัวไม่ได้จบลงด้วยการได้รับการปฏิบัติตามประเภทใดประเภทหนึ่ง รู้ทุกอย่างเกี่ยวกับการจัดการความเป็นส่วนตัวของข้อมูลและการทำให้องค์กรของคุณปลอดภัย