文章发表在HIPAA

AOA网络研讨会2020年4月6日,Lee Hamil Li明升ms88ttle与Brian Tuttle在COVID19期间共同介绍了HIPPAA和远程医疗。

美国民权办公室(OCR)已在两个HIPAA和联邦民权法在其管辖的各个方面发布了新的COVID-19的指导。许多这些变化都直接关系到远程医疗和轻松一些HIPAA安全和隐私法规。然而,这并不意味着我们可以只使用我们想要的任何技术,仍有指导方针。这种深入60分钟的网络研讨会讨论了该做什么和不该做什么造成COVID19这个国家出现紧急情况时与远程医疗。

设备数字笔-6336-e154084586250910月16日,FDA的中心设备和放射卫生和网络安全的国土安全办公室和通讯宣布合作涉及医疗设备的利用率地址的网络安全问题。随着医疗卫生专业人员继续有效地依靠计算机为基础的系统,以监测和治疗患者中,网络安全威胁提供者和医院系统。关于FDA的医疗器械安全方面的作用,并在安全问题方面质疑厂家的责任混乱,有两个关于健康IT专业人员的关键因素。潜在威胁的可能性继续沿着需要对网络安全的数据管理增长。该协议的FDA和HHS备忘录更新的机构承担协调,识别和地址网络安全,同意进行沟通,有关数据共享的信息被存储在医疗设备的风险,涉及到病人的安全。

继续阅读 >

1238683_无标题七月2017年,佐治亚州众议院通过法案249,从药品和麻醉局国家处方药监测方案(PDMP)过渡到公共健康部。“佐治亚PDMP的目标是减少受管制物质的滥用,促进正确使用用于治疗疼痛的药物,以及为帮助减少重复处方受控物质开具过多,”公共卫生专员帕特里克佐治亚州说O’Neal, MD. The new mandates call for providers to utilize the PDMP system for prescriptions of opioid and benzodiazepine medications. Now, prescribers of CII medications are required to review a patient’s PDMP information every 90 days, unless the patient meets具体标准。药房监测系统是由各个州规定,各强加报告它自己独特的要求。

继续阅读 >

DNA-1-1444488-300x300基因检测公司,如23和我,有最后的10到15年之内成为美国的一个热潮。23andMe公司与通知其客户的遗传健康风险,携带状态的目的,和祖先的信息形成。从唾液采集的DNA后,将DNA被发送关闭以研究实验室执行定性基因分型-中发现的DNA变体的过程。遗传测试,23andMe公司运行分析捐赠者的DNA,RNA,染色体,蛋白质和代谢物来确定染色体结构变异和变化。这允许基因分型实验室发现客户的遗传信息和背景。

由于担心雇主和医疗保险公司会将这些基因信息用于歧视目的,许多公民仍然对使用这些资源保持警惕。2008年遗传信息非歧视法传递给打击这种潜在的歧视和保护这些员工或者被保险人。继续阅读 >

文件夹丹佛地区联邦合格健康中心(FQHC)必须支付$ 400,000的罚款和执行HIPAA违规起因于黑客的破坏到健康中心的员工电子邮件纠正行动计划。违约导致的电子保护的健康信息被盗3200名个人(ePHI的)。虽然HIPAA违规行为是恶意违约的结果,新城社区提供网络(MCPN)由OCR官员发现故障经过OCR的调查显示MCPN没有开展ePHI的环境的风险分析,再过两个月等待违反发现后进行风险分析。MCPN没有风险管理的制度,以确定哪些漏洞中心易患。

格鲁吉亚医疗保健和HIPAA合规律师

HIPAA 隐私规则制定,以保护患者的健康信息,并确保用于在使用他们的私人信息,患者更多的控制。根据联邦法律,医疗保健企业有严格的义务,以保护病人的信息。虽然有行动违反HIPAA的没有私人原因,投诉可向民权办公室提出of the Department of Health and Human Services (HHS), states’ Departments of Health, federal third-party Payors (Medicare, TRICARE, VA, etc), state licensing boards, and, in some cases, state law may provide a cause of action for individuals under specific state privacy laws. Such complaints can lead to investigations, fines and other negative consequences for a healthcare professional or practice.

继续阅读 >

医-1314902-m健康与人类服务部美国(HHS)宣布,其准备进军医疗保健覆盖实体及其业务伙伴审计的下一阶段。据HHS,“[T]他2016年第2期HIPAA审计计划将审查通过并涵盖实体及其业务伙伴,以满足选定的标准和隐私,安全的实施规范,以及违反通知规则所采用的政策和程序。”医生,医疗行为,其他供应商和医疗保健企业,他们的商业伙伴,应采取措施,以确保它们是最新的,符合对于HIPAA要求。

联邦调查/医疗审核律师

联邦法律规定,卫生服务部有责任增进和保护所有美国人的健康和福祉。为此,卫生部通过其民权办公室(OCR)努力确保高质量的卫生和人类服务,并促进医学和公共卫生的进步。被称为《健康信息技术促进经济和临床健康法》(HITECH)的联邦法律要求卫生部对医疗服务提供者及其业务伙伴进行定期审计,以确定是否符合HIPAA 隐私规则中,HIPAA安全规则HIPAA违约通知规则。HIPAA的隐私,安全和违约通知规则,但我们的政府保护受保护的健康信息(PHI)的努力非常重要,是为那些在提供医疗保健和他们的商业伙伴谁可以访问PHI的企业额外的负担。

几年前,OCR使用了一个“试点”审计计划来评估覆盖实体在实施HIPAA保护PHI的要求方面的进展情况。现在,OCR将利用其试点审计计划获得的信息,开始审计医疗保健提供者及其业务伙伴。从今年开始,OCR将根据HIPAA隐私、安全和违反通知规则的要求,审查和分析相关实体和业务伙伴采用的政策和程序。

继续阅读 >

HIPAA 2015年审计

审计是增加;增加承包商;在风险企业协会

通过:布莱恩·塔特尔大号,中国药监局,中国药监局,中国药监局,中国药监局,中国药监局

布莱恩·塔特尔

健康保险可携带性和责任法案(HIPAA)世界(2013年9月23日)中的D日来了又走,我们都还在这里,世界还没有结束,联邦调查局还没有踢开你的门,要求梳理你的业务或实践……还没有。到目前为止,联邦政府在谁、什么、何时、何地将受到新的执法努力的影响方面有着繁重的工作量。他们的进展因最近政府的关闭而受到了一些阻碍,但截至本文撰写之日(2013年11月14日),他们又重新开始了业务。

你可能知道,也可能不知道,美国卫生和公共服务部(HHS)的执法部门,即民权办公室(OCR)开始2012年夏季审计试点活动。该试点活动更是成为重执行工作有许多涉及多个方面全职。基于这些发现还有很多地方需要进行与HIPAA安全规则(罚款的65%征收)与HIPAA隐私规则(罚款的26%征收)和违约通知规则(9%相比,解决主要交易罚款征收)。展望未来的OCR计划发展这一进程,以什么已经回事给锋利的牙齿。原本律师事务所毕马威会计师事务所被给予合同进行这些试验审计。根据HHS公司,政府计划在更多的企业带来(和这些公司的分包商)来执行和审计。莱昂·罗德里格斯,为OCR主任,在HIMSS隐私和安全论坛在波士顿9月23日表示,2013“我们希望关闭,在未来历年运行。”此外,罗德里格斯先生说,OCR“将利用更多的民事处罚”,而更令人担心的是,预计征收支付的审计程序,并成为联邦调查局一个创收的过程,罚款。

继续阅读 >

闪存驱动器155970-m.jpg尽管大多数医疗保健提供者抽象地理解,他们必须遵守1996年《医疗保险可携带性和责任法案》(HIPAA),但许多人可能并不完全理解不遵守的法律和财务意义。联邦政府越来越多地利用HIPAA强制执行选项来保护公共安全利益,包括以下对遵守HIPAA的有力激励。

HIPAA民事处罚

对HIPAA违规行为涉及的实体的处罚上限在2009年由HITECH法案的颁布增加。覆盖实体民事处罚的“分层”,如下所示:

  1. 不知道HIPAA违规-每次违规100-50000美元,一个日历年内最多150万美元。
  2. 在HIPAA违规的合理原因存在 - $ 1,000-每个违反$ 50,000,最高可达150万$在一个日历年。
  3. HIPAA违规是由于故意疏忽造成的,但及时纠正——每次违规1万至5万美元,一个日历年内最多150万美元。
  4. HIPAA违规是由于故意疏忽造成的,但未及时纠正——每次违规金额为50000美元或以上,在一个日历年内最高可达150万美元

HITECH法案还提供了一些好处,鼓励患者报告HIPAA违规行为,类似于qui-tam案例。这使得那些受到HIPAA违规行为影响的患者可以从对违规者的民事罚款中获得一部分。但是,对于收取这种罚款有三个非常重要的例外:

  1. 根据HIPAA刑事条款,该罪行可受到惩罚;
  2. 违反者不知道,并且通过合理的努力,也不会知道该违反行为;或者
  3. 未能遵守是由“合理原因”而不是“故意疏忽”造成的,被指控的违反者在实际知道不遵守后的头30天内或当该人应知道不遵守时采取行动纠正不遵守。

HIPAA刑事处罚

虽然DHHS民权办公室强制为HIPAA违规的民事处罚,司法部负责执行HIPAA的刑事处罚的机构。由于与民事处罚,对HIPAA违规行为的性质决定了关于刑事制裁惩罚的严重程度:

  1. 如果一个人明知而违反隐私规则的披露PHI到另一个个体,他们面临高达$ 50,000的罚款和最多的一个基地处罚监禁,或两者一年;
  2. 如果罪行是蒙混过关承诺,他们可以被处以高达$ 100,000,面对长达五年的监禁,或两者;
  3. 如果罪行与意图致力于出售或以其他方式使用PHI的商业利益,个人利益或恶意的伤害,他们可以被处以高达$ 250,000,并面临10年的监禁,或两者兼而有之。

继续阅读 >

数据存储-1-1155466-m.jpg一个未加密的拇指驱动器花费了皮肤科诊所15万美元。2013年12月26日,美国卫生与公众服务部(HHS)宣布与马萨诸塞州康科德市(APD)的成人和儿童皮肤科(P.C.)就涉嫌违反1996年健康保险可携带性和责任法案(HIPAA)达成和解。APD是HIPAA的“覆盖实体”,在康科德、韦斯特福德、马尔伯勒、马萨诸塞州艾耶尔和新罕布什尔州沃尔夫博罗设有办事处。

拇指驱动器载有关于莫氏手术的表现为2200例无担保的电子保护的健康信息(ePHI的)。拇指驱动器从APD的一个雇员的车辆被盗。APD通知拇指驱动器的盗窃其患者,并提供了媒体公告。

HHS研究并确定APD没有及时进行与ePHI的潜在暴露有关的风险准确和透彻的分析。HHS还决定,APD并不完全符合HIPAA的人违反通知要求有关于违反通知规定的书面政策和程序,并培训员工的管理要求。HHS还决定,APD透露ePHI的违反HIPAA的通过获得了它,当APD没有合理的保障未加密的拇指驱动器的访问。

卫生部罚款15万美元,并要求APD执行纠正措施计划。纠正行动计划要求APD制定全面的风险分析和风险管理计划,以确保未来遵守HIPAA,并定期向HHS报告APD执行计划的情况。卫生和公众服务部发布了对APD采取进一步行动的权利,条件是APD完全遵守纠正行动计划。看到HHS解析协议
继续阅读 >

1177227_vintage_alarm_clock.jpg作为一个经验的法律问题的一般规则,被摄往往要比作为反应更便宜。这是一般的规则当然也适用于医疗机构,他们的商业伙伴,以及现在的商业伙伴分包商相对于由健康保险流通与1996年(HIPAA)责任法案所需的更改。该HIPAA总括最终规则(最终规则),实现了经济和临床健康的卫生信息技术的规定(HITECH)法案通过,2009年,成为上周法2013年3月26日,最终规则显著修改符合HIPPA要求和保安措施旨在保护健康信息(PHI),尤其是商业伙伴协议。医疗保健覆盖的实体及其业务伙伴和分包商有六个月的时间,成为符合规则,否则将面临巨额罚款(最高达$ 150万美元)。遵守的截止日期为2013年9月23日,和时钟滴答作响。很快。

据美国卫生与公众服务部(HHS)称,最终条例旨在通过大幅提高政府执法能力,加强HIPAA下PHI的隐私和安全保护。预计未来数月和数年,医疗保健提供者审计将大幅增加。假设审计不会发生对任何医疗保健提供者来说都是一个错误。违反HIPAA的罚款可能相当可观,高达150万美元。

根据最后的规则,HIPAA“安全规则”(电子PHI的安全要求)和“隐私规则”(PHI隐私的安全要求)的部分内容现在将直接适用于业务关联方,以便业务关联方可能对任何不遵守HIPAA规则的行为承担民事和刑事处罚,而不仅仅是违约。此外,许多业务伙伴的分包商现在也将包括在内。数据泄露和其他不合规的责任可能由分包商、业务伙伴或涵盖的医疗保健实体承担。

那么,谁是“生意伙伴”?

这是一个重要的问题,因为最终规则下的许多变更不仅将深刻影响所涵盖的实体和现有的业务伙伴,而且还将深刻影响现在符合“业务伙伴”定义的其他实体和其服务涉及PHI的下游业务伙伴分包商。最后一条规则扩大了“业务伙伴”的定义,以便任何创建、接收、维护或传输PHI的人都可以被视为作为业务伙伴遵守HIPAA规则。例如,新定义包括“维护”PHI的公司或个人,例如数据存储公司或提供数据传输服务的公司。

应咨询法律顾问,以确定在进行审计时,哪些业务合作伙伴和供应商可能被HHS视为“业务伙伴”。现实情况是,许多(可能是大多数)商业伙伴目前不遵守HIPAA,如果他们考虑到这个问题,可能会否认。卫生部已决定将更积极地处理这一问题。审慎的医疗保健提供者必须迅速清点其业务关系,以确定符合HIPAA规则下“业务伙伴”的扩展定义的所有业务伙伴和供应商,并确定业务伙伴是否符合HIPAA的风险评估和其他合规协议。这一过程应包括对现有商业伙伴协议的评估,最终,医疗保健提供者应坚持要求每个商业伙伴证明其合规性。

做你的生意合伙协议需要更新?

涵盖实体,商业伙伴和分包商有直至2013年9月23日执行的生意伙伴协议符合最终规则。根据最终规则,生意合伙协议必须被更新,要求:

–业务伙伴遵守安全规则的适用要求。

- 商业伙伴确保创造,接受分包商,维持或代表商业伙伴的电子发射PHI同意遵守安全规则的要求。

–业务伙伴确保代表业务伙伴创建、接收、维护或传输PHI的任何分包商同意适用于业务伙伴的此类PHI的相同限制和条件。

–业务伙伴报告违反无担保PHI。

- 隐私规则下的商业伙伴进行覆盖的医疗实体的义务(例如,作为隐私官)

–商业伙伴遵守适用于履行此类义务的隐私规则的要求。

据估计,多达500000名现有的商业伙伴将必须有新的商业伙伴协议。
继续阅读 >

发表在:
更新:
联系方式