文章发表在HIPAA

AOA研讨会2020年4月6日,李哈米尔小合办与布赖恩·188金宝搏官网塔特尔,导航HIPPAA和远程医疗COVID19期间。

美国民权办公室(OCR)发布了新的COVID-19指南,介绍了HIPAA和联邦民权法对其管辖权的各个方面。其中许多变化与远程医疗和放宽HIPAA安全和隐私条例直接相关。然而,这并不意味着我们可以使用任何我们想要的技术,仍然有指导方针。本次60分钟的网络研讨会深入讨论了在这场由COVID19引发的国家紧急事件中,远程医疗的应做和不应做的事情。

设备数字笔-6336-e154084586250910月16日,FDA设备与辐射卫生中心和国土安全部网络安全与通信办公室宣布建立合作关系,以解决与医疗设备使用相关的网络安全问题。随着医疗专业人员继续依赖基于计算机的系统来有效监控和治疗患者,网络安全威胁着医疗机构和医院系统。混淆FDA在医疗设备安全方面的角色,质疑制造商在安全问题方面的责任,是健康IT专业人员的两个关键因素。随着网络安全对数据管理的需求的增长,潜在威胁的可能性也在不断增加。该协议的FDA和HHS备忘录更新的机构承担协调,识别和地址网络安全,同意进行沟通,有关数据共享的信息被存储在医疗设备的风险,涉及到病人的安全。

继续阅读 >

1238683_untitled2017年7月,乔治亚州通过了众议院第249号法案,将该州的处方药监测计划(PDMP)从毒品和麻醉药品管理局过渡到公共卫生部。佐治亚州公共卫生部专员帕特里克·奥尼尔说:“佐治亚州人民民主党的目标是减少对受管制药物的滥用,促进正确使用用于治疗疼痛的药物,并帮助减少重复处方和过度处方的受管制药物。”,新的授权要求供应商使用PDMP系统来开阿片类和苯二氮类药物的处方。现在,CII药物的处方医生必须每90天复查一次患者的PDMP信息,除非患者符合具体标准。药房监测系统是由各个州规定,各强加报告它自己独特的要求。

继续阅读 >

dna-1-1444488-300x300基因检测公司等23andMe公司在过去的10到15年里,它已经成为美国的一种时尚。23andMe成立的目的是告知客户他们的遗传健康风险、携带者状况和祖先信息。从唾液中收集到DNA后,DNA被送往研究实验室进行定性基因分类——即发现DNA变异的过程。23andMe进行的基因测试分析捐赠者的DNA、RNA、染色体、蛋白质和代谢物,以确定染色体结构的突变和变化。这种基因分型允许实验室发现客户的基因信息和背景。

不少市民由于担心雇主和健康保险公司将用于歧视目的的遗传信息仍持谨慎态度使用这些资源。在2008年,遗传信息无歧视法案(GINA)传递给打击这种潜在的歧视和保护这些员工或者被保险人。继续阅读 >

档丹佛地区联邦合格健康中心(FQHC)必须支付$ 400,000的罚款和执行HIPAA违规起因于黑客的破坏到健康中心的员工电子邮件纠正行动计划。违约导致的电子保护的健康信息被盗3200名个人(ePHI的)。虽然HIPAA违规行为是恶意违约的结果,OCR官员发现地铁社区供应商网络(MCPN)存在故障经过OCR的调查显示MCPN没有开展ePHI的环境的风险分析,再过两个月等待违反发现后进行风险分析。MCPN没有风险管理的制度,以确定哪些漏洞中心易患。

乔治亚州医疗和HIPAA合规律师

HIPAA隐私规则是为了保护病人的健康信息,确保病人对个人信息的使用有更多的控制权。根据联邦法律,医疗企业有严格的义务保护病人的信息。虽然没有违反HIPAA的私人诉讼理由,投诉可以与民权办公室(OCR)提交卫生与公众服务部(HHS)、州卫生部门、联邦第三方付款人(Medicare、TRICARE、VA等)、州许可委员会,在某些情况下,州法律可以根据特定的州隐私法为个人提供诉讼理由。这样的投诉可能会导致调查,罚款和其他负面后果的医疗保健专业或实践。

继续阅读 >

医疗医生1314902-M健康与人类服务部美国(HHS)宣布准备进入下一阶段,对医疗保健覆盖的实体及其业务伙伴进行审计。根据HHS,“2016年第2阶段HIPAA审计计划将审查所涵盖实体及其业务伙伴采用和采用的政策和程序,以满足隐私、安全和违反通知规则的选定标准和实施规范。”,其他供应商和医疗保健企业及其业务伙伴应采取措施,确保其符合现行的HIPAA要求。

联邦调查/医疗审核律师

HHS由联邦法律负责的责任,以增强和保护健康和福祉的美国人。为此,HHS,通过其民权办公室(OCR),努力确保高质量的卫生和人类服务,促进医药卫生的进步。被称为卫生信息技术对经济和临床健康法案(HITECH)联邦法律要求HHS开展医疗服务提供者和他们的商业伙伴,以确定合规的定期审核(或缺乏)与HIPAA隐私规则中,HIPAA安全规则,HIPAA违约通知规则. HIPAA隐私、安全和违反通知规则,尽管对我国政府保护受保护健康信息(PHI)的努力非常重要,但对于那些提供医疗保健的企业及其可能有权访问PHI的业务伙伴来说,是额外的负担。

几年前,OCR使用的“试点”审计计划,以评估涉及的实体实施HIPAA的保护PHI要求进步的采样。现在,利用其试点审计计划中获得的信息,OCR将开始审核既医疗服务提供者和他们的商业伙伴。从今年开始,将OCR审查和分析所涵盖实体和商业伙伴通过对HIPAA隐私,安全和违约通知规则的要求,政策和程序。

继续阅读 >

HIPAA 2015年审计

审计是增加;增加承包商;在风险企业协会

通过:布莱恩·L·塔特尔,热电联产,CHA,CPHIT,CBRA,CCNA,CISSP

布莱恩·塔特尔

Well D-Day in the Health Insurance Portability and Accountability Act (HIPAA) world (September 23, 2013) has come and gone and we are all still here, the world hasn’t ended, the Feds still haven’t kicked down your doors demanding to comb over your practice or business……yet. As of now the Federal government has a heavy workload in terms of who, what, when, and where will be affected by their new enforcement efforts. Their progress was stunted a bit by the recent government shut down, but as of this writing (November 14, 2013) they are back in business.

正如你可能会或可能不知道,卫生和人类服务的美国能源部(HHS),这是民权办公室(OCR)的执法翼,开始了在2012年夏天审计试点活动。该试点活动更是成为重执行工作有许多涉及多个方面全职。基于这些发现还有很多地方需要进行与HIPAA安全规则(罚款的65%征收)与HIPAA隐私规则(罚款的26%征收)和违约通知规则(9%相比,解决主要交易罚款征收)。展望未来的OCR计划发展这一进程,以什么已经回事给锋利的牙齿。原本律师事务所毕马威会计师事务所被给予合同进行这些试验审计。根据HHS,政府计划引进更多的公司(以及这些公司的分包商)来执行和审计。OCR主管Leon Rodriguez在2013年9月23日于波士顿举行的HIMSS隐私与安全论坛上表示:“我们希望在下一个日历年内能够离开并运行。”,Rodriguez先生说,OCR“将利用更多的民事处罚”,但更令人关注的是,罚款预计将支付审计计划,并成为联邦调查局的创收过程。

继续阅读 >

flash - - 155970 m.jpg开车虽然大多数卫生保健提供者的抽象,他们必须遵守健康保险流通与1996年(HIPAA)责任法案明白,许多人可能不完全理解违规的法律和财务意义。越来越多的,联邦政府利用HIPAA执行选项,以保护安全的公共利益,包括HIPAA遵从以下的强烈动机。

HIPAA民事处罚

对HIPAA违规行为涉及的实体的处罚上限在2009年由HITECH法案的颁布增加。覆盖实体民事处罚的“分层”,如下所示:

  1. 在一个日历年内$ 100- $ 50,000每个违反,最高可达150万$ - HIPAA违规的任何知识。
  2. 存在HIPAA违规的合理原因-每次违规1000-50000美元,在一个日历年内最多150万美元。
  3. 该HIPAA违规被故意疏忽引起的,但及时纠正 - $ 10,000-在一个日历年内为每个违反,最高可达150万$ $ 50,000。
  4. 该HIPAA违规被故意疏忽引起的,但不及时纠正 - 在一个日历年内$ 50,000或以上每个违反,最高可达150万$

该法案HITECH也提供好处,鼓励病人报告HIPAA侵犯类似于奎潭情况下提供的服务。这让谁也受到影响由HIPAA侵犯患者以收集针对违反规定的民事罚款的一部分。不过,也有以收集有关这个点球三个非常重要的例外情况:

  1. 该犯罪是按HIPAA刑法规定处罚;
  2. 违反者并不知道,并通过行使合理的努力,就不会知道的侵犯;要么
  3. 遵守该故障是由“合理理由”,而不是“故意疏忽”造成的,涉嫌违规采取行动在头30天治愈失败后的违规或该人应当知道违规时的实际知识。

HIPAA刑事处罚

虽然DHHS民权办公室强制为HIPAA违规的民事处罚,司法部负责执行HIPAA的刑事处罚的机构。由于与民事处罚,对HIPAA违规行为的性质决定了关于刑事制裁惩罚的严重程度:

  1. 如果一个人在知情的情况下违反隐私规则,向另一个人泄露了PHI,他们将面临最高5万美元的罚款和最高一年的监禁,或者两者兼而有之;
  2. 如果罪行是蒙混过关承诺,他们可以被处以高达$ 100,000,面对长达五年的监禁,或两者;
  3. 如果罪行与意图致力于出售或以其他方式使用PHI的商业利益,个人利益或恶意的伤害,他们可以被处以高达$ 250,000,并面临10年的监禁,或两者兼而有之。

继续阅读 >

数据存储-1-1155466-m.jpg未加密的优盘花费皮肤科实践$ 150,000。自2013年12月26日,健康与人类服务的美国能源部(HHS)宣布与成人及小儿皮肤病,交媾后第一个结算的马萨诸塞州康科德市涉嫌违反健康保险可移植性和1996年(HIPAA)责任法案的(APD)。APD,一个“覆盖的实体” HIPAA的目的,在协和,韦斯特福德,马尔堡和艾尔,马萨诸塞州和沃尔夫伯勒,新罕布什尔州设有办事处。

该u盘包含未加密的电子健康保护信息(ePHI),涉及约2200名患者的Mohs手术表现。u盘是从APD的一名员工的车上偷走的。APD告知其患者拇指驱动器被盗,并提供了媒体通知。

HHS研究并确定APD没有及时进行与ePHI的潜在暴露有关的风险准确和透彻的分析。HHS还决定,APD并不完全符合HIPAA的人违反通知要求有关于违反通知规定的书面政策和程序,并培训员工的管理要求。HHS还决定,APD透露ePHI的违反HIPAA的通过获得了它,当APD没有合理的保障未加密的拇指驱动器的访问。

HHS罚款APD $ 150,000,需要纠正行动计划的APD的执行。纠正行动计划要求APD制定了全面的风险分析和风险管理计划,以确保未来的符合HIPAA,并定期向HHS报告APD的计划的实施状况。HHS发布了其采取对APD进一步行动的权利,由APD在完全符合空调与纠正行动计划。看到HHS解析协议
继续阅读 >

1177227 _vintage_alarm_clock.jpg作为处理法律问题的一般经验法则,主动出击往往比被动出击要便宜得多。这一一般规则当然适用于医疗服务提供者、他们的业务伙伴,以及现在的业务伙伴分包商,以满足1996年《健康保险可携性和责任法案》(HIPAA)的要求。《HIPAA综合最终规则》(Final Rule)于2013年3月26日成为法律,它是2009年通过的《健康信息技术促进经济和临床健康法案》(HITECH)的实施条款。最后的规则显著地修改了HIPPA的遵从性要求和旨在保护健康信息(PHI)的安全措施,特别是业务伙伴协议。医疗保险覆盖的实体及其商业伙伴和分包商有六个月的时间来遵守这一规定,否则将面临巨额罚款(最高150万美元)。遵守协议的最后期限是2013年9月23日,而时间正在流逝。很快。

根据卫生和人类服务的美国能源部(HHS),最终规则旨在通过极大地提高了政府的执法能力,以加强HIPAA下PHI的隐私和安全保护。卫生保健提供者审查,预计将在未来几个月和几年大幅增加。假设审计不会发生为任何卫生保健提供者是错误的。对HIPAA违规者的罚款可能相当大,高达150万$。

根据最终规则,HIPAA的“安全规则”(电子PHI安全要求)和“隐私规则”(对于PHI的隐私安全需求),现在将直接应用到业务伙伴的部分,使得商业伙伴将成为民用潜在责任和刑事处罚任何不遵守HIPAA的规定,而不是仅仅是违反了合同。此外,商业伙伴的许多分包商现在将被覆盖。责任数据泄露及其他不符合可以躺在与分包商的商业伙伴或覆盖的医疗保健实体。

那么,谁是“生意伙伴”?

这是一个重要的问题,因为在最终规则的许多变化将深刻影响,不仅涉及的实体和现有的商业伙伴,但其他实体,现在符合“商业伙伴”,下游商业伙伴的分包商,其服务碰PHI的定义。最终规则扩大“生意伙伴”的定义,使任何人谁创建,接收,保存,或传送PHI可能被视为受HIPAA规则作为商业伙伴。例如,新的定义包括公司或个人认为“维持” PHI,如数据存储公司或提供数据传输服务的公司。

法律顾问应征询,以确定哪些业务合作伙伴和供应商可能会通过HHS在审计的情况下,被视为“商业伙伴”。现实情况是,许多(可能是大多数)商业伙伴目前不符合HIPAA,如果他们考虑问题的全部,可能会否认。HHS已经决定,将更加积极地处理这一问题。谨慎的卫生保健提供者必须及时清点自己的业务关系,以确定所有业务伙伴和供应商符合“商业伙伴”的下HIPAA规则的定义扩大,并确定商业伙伴是否符合HIPAA的风险评估和其他合规协议。这个过程应该包括现有的商业伙伴协议的评估,最终,卫生保健提供者应坚持每天生意伙伴证明合规性。

您的业务伙伴协议需要更新吗?

涵盖实体,商业伙伴和分包商有直至2013年9月23日执行的生意伙伴协议符合最终规则。根据最终规则,生意合伙协议必须被更新,要求:

- 对商业伙伴遵守安全规则的适用要求。

- 商业伙伴确保创造,接受分包商,维持或代表商业伙伴的电子发射PHI同意遵守安全规则的要求。

- 对商业伙伴确保创建,接收,维护或传输PHI代表商业伙伴的任何分包商同意了适用于商业伙伴对于这样的PHI相同的限制和条件。

- 业务关联报告违规担保PHI的。

-业务伙伴根据隐私规则履行覆盖医疗实体的义务(例如,担任隐私官员)

- 对商业伙伴遵守保密规则适用于这种义务的履行要求。

据估计,多达50万个现有的商业伙伴必须有新的生意伙伴协议。
继续阅读 >

联系信息