HIPAA Compliance Richtlinie der Steldia Services Ltd.
Diese Richtlinie bekräftigt die vollständige Einhaltung des Health Insurance Portability and Accountability Acts von 1996 (HIPAA) und seiner Durchführungsbestimmungen und schränkt die Möglichkeiten von Steldia Services Ltd. („Steldia“, „Unternehmen“) zur Nutzung und Offenlegung geschützter Gesundheitsinformationen (Protected Health Information, PHI) ein.
Geschützte Gesundheitsinformationen: Geschützte Gesundheitsinformationen sind Informationen, die das Unternehmen im Zusammenhang mit den vom Unternehmen bereitgestellten Dienstleistungen erstellt oder von seinen Kunden erhält und die sich auf den vergangenen, gegenwärtigen oder zukünftigen körperlichen oder geistigen Gesundheitszustand eines Patienten/Kunden („Teilnehmer“) beziehen.;
- Gesundheitsversorgung für einen Teilnehmer; Oder die vergangene, gegenwärtige oder zukünftige Zahlung für die Gesundheitsversorgung eines Teilnehmers;
- und die den Teilnehmer identifizieren oder bei denen eine begründete Annahme besteht, dass die Informationen zur Identifizierung des Teilnehmers verwendet werden können.
Zu den geschützten Gesundheitsinformationen gehören Informationen über lebende oder verstorbene Personen.
Beispiele für geschützte Gesundheitsinformationen:
- Krankenaktennummer eines Teilnehmers
- Demografische Informationen eines Teilnehmers (z. B. Adresse, Telefonnummer)
- Informationen, die Ärzte, Krankenschwestern und andere Gesundheitsdienstleister in die Krankenakte eines Teilnehmers eintragen
- Images of the participant
- Informationen, die Ärzte, Krankenschwestern und andere Gesundheitsdienstleister in die Krankenakte eines Teilnehmers eintragen
- In ein Computersystem eines Gesundheitsdienstleisters oder einer Krankenversicherung eingetragene Informationen über einen Teilnehmer
- Rechnungsinformationen eines Teilnehmers in einer Klinik
- Alle Gesundheitsinformationen, die Aufschluss über die Identität einer Person geben können, oder wenn der Inhalt der Informationen verwendet werden kann, um eine vernünftige Annahme über die Identität der Person zu treffen.
Es ist eine unternehmensinterne Richtlinie, HIPAA Compliance Anforderungen vollständig zu erfüllen. Zu diesem Zweck müssen alle Mitarbeiter und/oder Dienstleister, die Zugang zu geschützten Gesundheitsinformationen haben, diese HIPAA Compliance Richtlinie einhalten.
Für die Erfüllung dieses Plans, sowie bei der Beschreibung der Verfahren zur Nutzung und Offenlegung geschützter Gesundheitsinformationen, umfasst der Begriff Belegschaft Personen, die gemäß HIPAA als Teil der Belegschaft gelten würden, wie z. B. Mitarbeiter, Freiwillige, Praktikanten, Subunternehmer, Vorstandsmitglieder und andere Personen, deren Arbeitsleistung der direkten Kontrolle von Steldia unterliegt, unabhängig davon, ob sie von Steldia bezahlt werden oder nicht. Der Begriff „Angestellter“ oder „Mitarbeiter“ umfasst alle diese Typen von Arbeitern.
Steldia behält sich das Recht vor, diese Richtlinie jederzeit (und auch rückwirkend) ohne vorherige Ankündigung zu ergänzen oder zu ändern. Alle Mitarbeiter müssen alle geltenden HIPAA bezogenen Datenschutz- und Informationssicherheitsrichtlinien einhalten. Wenn sich nach einer Untersuchung herausstellt, dass Sie gegen HIPAA betreffende Datenschutz- und Informationssicherheitsrichtlinien verstoßen haben, drohen Disziplinarmaßnahmen bis hin zur Kündigung oder insofern erforderlich rechtliche Konsequenzen.
ABSCHNITT 1: Verantwortlichkeiten als betroffenes Unternehmen
I. HIPAA Datenschutzbeauftragter
Der Datenschutzbeauftragte des Unternehmens ist der HIPAA Datenschutzbeauftragte für Steldia.
Der HIPAA Datenschutzbeauftragte ist für die Entwicklung und Umsetzung von Richtlinien und Verfahren im Zusammenhang mit dem Datenschutz verantwortlich, einschließlich, aber nicht beschränkt auf diese HIPAA Compliance Richtlinie und Verfahren für die Nutzung und Offenlegung personenbezogener Daten und geschützter Gesundheitsinformationen.
Der HIPAA Datenschutzbeauftragte fungiert auch als Ansprechpartner für Teilnehmer, die Fragen, Bedenken oder Beschwerden zum Schutz ihrer Gesundheitsinformationen haben. Der HIPAA Datenschutzbeauftragte ist unter [email protected] erreichbar.
II. Incident Response Team
Das Incident Response Team besteht aus dem CIO, dem COO, den Standortmanagern und weiteren Mitgliedern, die nach vernünftigem Ermessen des HIPAA Datenschutzbeauftragten auf ad-hoc Basis als notwendig erachtet werden.
Für den Fall, dass ein Sicherheitsvorfall zu einer unrechtmäßigen Offenlegung geschützter Gesundheitsinformationen führt, ergreift der HIPAA Datenschutzbeauftragte in Zusammenarbeit mit dem Incident Response Team geeignete Maßnahmen, um weitere unangemessene Offenlegungen zu verhindern. Darüber hinaus kann die Rechtsabteilung bei Bedarf hinzugezogen werden, um bei der Prüfung und Untersuchung von Datenschutzvorfällen zu helfen. Wenn der HIPAA Datenschutzbeauftragte und das Incident Response Team den Vorfall nicht ohne das Hinzuziehen weiterer Personen lösen können, muss der HIPAA-Datenschutzbeauftragte alle weiteren Personen einbeziehen, die als notwendig erachtet werden, um bei der Lösung des Vorfalls mitzuhelfen. Wenn Teilnehmer und/oder Kunden über verlorene oder gestohlene geschützte Gesundheitsinformationen informiert werden müssen, sendet der HIPAA Datenschutzbeauftragte Mitteilungen zur Offenlegung vom Diebstahl oder Verlust der geschützten Gesundheitsinformationen an alle möglicherweise betroffenen Personen und/oder Organisationen.
III. Schulung der Belegschaft
Es gehört zu den Grundsätzen des Unternehmens, dass alle Mitarbeiter, die Zugang zu geschützten Gesundheitsinformationen haben, über entsprechende Datenschutzrichtlinien und -verfahren geschult werden. Alle Mitarbeiter erhalten eine HIPAA Schulung. Im Falle eines Sicherheitsvorfalls bewertet der HIPAA Datenschutzbeauftragte in Zusammenarbeit mit dem Management den Vorfall, um festzustellen, ob eine zusätzliche Schulung der Belegschaft angebracht ist. Je nach Ermessen kann der HIPAA Datenschutzbeauftragte festlegen welche Mitarbeiter eine Schulung erhalten sollten, die speziell auf den Sicherheitsvorfall zugeschnitten ist. Der HIPAA Datenschutzbeauftragte prüft alle im Rahmen eines Sicherheitsvorfalls entwickelten Schulungen, um sicherzustellen, dass den Materialien den Umständen des Sicherheitsvorfalls Rechnung getragen wird und dass die Datenschutzrichtlinien und -verfahren des Unternehmens gestärkt werden.
IV. Schutzmaßnahmen
Das Unternehmen hat technische und physische Sicherheitsvorkehrungen getroffen, um zu verhindern, dass geschützte Gesundheitsinformationen absichtlich oder unabsichtlich unter Verstoß gegen die HIPAA Anforderungen verwendet oder offengelegt werden. Zu den technischen Schutzmaßnahmen gehört eine Zugriffsbeschränkung durch die Einrichtung von Firewalls. Zu den physischen Sicherheitsmaßnahmen gehören das Verschließen von Türen oder Aktenschränken und das regelmäßige Ändern der Zugangscodes. Darüber hinaus können alle Mitarbeiter nur mit ihren eigenen Zugangsdaten auf geschützte Gesundheitsinformationen zugreifen. Firewalls stellen sicher, dass lediglich autorisierte Mitarbeiter Zugriff auf geschützte Gesundheitsinformationen haben, dass der Zugriff auf die benötigte Mindestmenge an geschützte Gesundheitsinformationen beschränkt wird, die für Ihre Tätigkeit und/oder die Erfüllung ihres Vertrags erforderlich ist und dass geschützte Gesundheitsinformationen nicht unter der Verletzung der Privatsphäre der HIPAA verwendet oder offengelegt werden.
Datenspeicherung / Backup / Fernzugriff
Gemäß den in der Branche gängigen Standards werden alle Daten in lokalen Rechenzentren und durch Offsite Speicherung von Medien gesichert. Steldia nutzt derzeit eine Technologie, die es unserem IT-Team ermöglicht, den Zugriff von Mitarbeitern auf geschützte Gesundheitsinformationen schnell zu blockieren, zu deaktivieren und wieder freizugeben.
V. Beschwerden
Der HIPAA Datenschutzbeauftragte ist die Ansprechperson des Unternehmens für die Übermittlung von Beschwerden. Der HIPAA Datenschutzbeauftragte ist dafür verantwortlich, ein Verfahren zu schaffen, das es Einzelpersonen und/oder Unternehmen ermöglicht, Beschwerden über die Datenschutzverfahren des Unternehmens einzureichen und mit dem solche Beschwerden bearbeitet werden können. Auf Anfrage wird jedem Teilnehmer eine Kopie des Beschwerdeformulars ausgehändigt.
VI. Sanktionen bei Verstößen gegen die HIPAA Compliance Richtlinie
Für eine nicht autorisierte Nutzung oder Offenlegung von geschützten Gesundheitsinformationen unter Verstoß gegen diese HIPAA Compliance Richtlinie werden Sanktionen bis hin zur Kündigung verhängt.
VII. Eindämmung der unbeabsichtigten Offenlegung geschützter Gesundheitsinformationen
Das Unternehmen wird alle schädlichen Auswirkungen, die ihm durch eine Nutzung oder Offenlegung geschützter Gesundheitsinformationen eines Teilnehmers unter Verstoß gegen die hier dargelegte HIPAA Compliance Richtlinie und Verfahren bekannt werden, so weit wie möglich minimieren. Wenn ein Mitarbeiter Kenntnis von der Offenlegung geschützter Gesundheitsinformationen erhält, sei es durch einen anderen Mitarbeiter des Unternehmens oder einen externen Berater/Auftragnehmer, der diese HIPAA Compliance Richtlinie nicht einhält, muss er sich unverzüglich an den HIPAA Datenschutzbeauftragten wenden, sodass entsprechende Maßnahmen ergriffen werden können, um die Auswirkungen für den Teilnehmer zu mindern.
VIII. Keine Einschüchterungs- oder Vergeltungsmaßnahmen; Kein Verzicht auf den HIPAA-Datenschutz
Kein Mitarbeiter darf Personen einschüchtern, bedrohen, nötigen, diskriminieren oder andere Vergeltungsmaßnahmen gegen sie ergreifen, weil sie ihre Rechte ausüben, eine Beschwerde einreichen, an einer Untersuchung teilnehmen oder sich einer unzulässigen Praxis gemäß HIPAA widersetzen. Es darf von keiner Person verlangt werden als Bedingung für eine Behandlung, eine Bezahlung, eine Registrierung oder eine Teilnahmeberechtigung auf ihre Datenschutzrechte im Rahmen des HIPAA zu verzichten.
IX. Dokumentation
Die Datenschutzrichtlinien und -verfahren des Unternehmens müssen dokumentiert und mindestens sechs Jahre lang aufbewahrt werden. Richtlinien und Verfahren müssen bei Bedarf angemessen angepasst werden, um Änderungen in Gesetzen, Standards, Anforderungen und Vorschriften zur Implementierung (einschließlich Änderungen und Modifikationen von Vorschriften) zu entsprechen. Alle Änderungen an Richtlinien oder Verfahren müssen umgehend dokumentiert werden. Sofern sich eine Gesetzesänderung auf diese HIPAA Compliance Richtlinie auswirkt, muss sie zeitnah überarbeitet und zur Verfügung gestellt werden. Änderungen betreffen lediglich die geschützten Gesundheitsinformationen, die nach dem Datum des Inkrafttretens erstellt oder erhalten wurden. Das Unternehmen muss bestimmte Ereignisse und Maßnahmen (einschließlich Autorisierungen, Anfragen nach Auskunft, Sanktionen und Beschwerden) im Zusammenhang mit den Datenschutzrechten einer Person dokumentieren. Die Dokumentation aller Richtlinien und Verfahren, Aktionen, Aktivitäten und Benennungen kann entweder in schriftlicher oder elektronischer Form erfolgen.
Vorfallsberichte
Das Unternehmen hat ein Formular zur Erfassung von Vorfällen entwickelt. Dieses Formular wird verwendet, um Meldungen über Datenschutzverletzungen zu dokumentieren, indem Mitarbeiter, die den vermuteten Vorfall überprüft oder erhalten haben, es an den HIPAA Datenschutzbeauftragten weiterleiten. Nach Erhalt des Formulars klassifiziert der HIPAA Datenschutzbeauftragte die Schwere des Vorfalls und analysiert die Situation. Die Dokumentation des Vorfalls muss vom Unternehmen mindestens sechs Jahre lang ab dem Datum des gemeldeten Vorfalls aufbewahrt werden. Wenn der HIPAA Datenschutzbeauftragte den Vorfall lösen kann, muss der HIPAA Datenschutzbeauftragte auch die zur Lösung des Vorfalls ergriffenen Maßnahmen im Formular „Vorfallsbericht“ dokumentieren.
X. Elektronische Gesundheitsakten
Ebenso wie schriftliche Aufzeichnungen müssen elektronische Gesundheitsakten, die das Unternehmen während der Erbringung von Dienstleistungen für seine Kunden erstellt oder rechtmäßig erhält, dem HIPAA und anderen geltenden Gesetzen entsprechen. Im Gegensatz zu schriftlichen Aufzeichnungen können elektronische Gesundheitsakten mittels Technologie so verschlüsselt werden, dass sie nur für autorisierte Personen lesbar sind. Die Zugriffsparameter werden so festgelegt, dass sie nur von autorisierten Personen eingesehen werden können. Elektronische Gesundheitsakten bieten zusätzliche Sicherheit, da elektronisch nachverfolgt werden kann, wer wann auf die Daten zugegriffen hat.
XI. Zugriffsberechtigung
Steldia gewährt den Zugriff auf geschützte Gesundheitsinformationen anhand beruflicher Funktionen und Verantwortlichkeiten. In Kooperation mit der IT-Abteilung und der Geschäftsleitung bestimmt der HIPAA Datenschutzbeauftragte durch Gespräche mit Vorgesetzten und/oder Abteilungsleiten welche Personen und/oder Auftragnehmer Zugriff auf geschützte Gesundheitsinformationen benötigen und welche Zugriffsebene sie benötigen. Die IT-Abteilung führt Aufzeichnungen über autorisierte Benutzer und die ihnen in Bezug auf geschützte Gesundheitsinformationen gewährten Rechte. Die IT-Abteilung führt eine umfassende Matrix darüber, wem welche Rechte wie gewährt werden.
ABSCHNITT 2: Nutzung und Offenlegung von geschützten Gesundheitsinformationen
I. Nutzung und Offenlegung
Das Unternehmen wird geschützte Gesundheitsinformationen nur im Rahmen der HIPAA nutzen und offenlegen. Die Begriffe „Nutzung“ und „Offenlegung“ werden wie folgt definiert:
- Nutzung. Das Teilen, die Verwendung, die Anwendung, die Verarbeitung, das Untersuchen oder die Analyse individuell identifizierbarer Gesundheitsinformationen durch eine Person oder durch einen Geschäftspartner des Unternehmens, die für oder innerhalb des Unternehmens arbeiten.
- Offenlegung. Für Informationen, bei denen es sich um geschützte Gesundheitsinformationen handelt, bedeutet Offenlegung jede Freigabe, Übertragung, Bereitstellung eines Zugangs oder Weitergabe an andere.
II. Der Zugriff auf geschützte Gesundheitsinformationen ist auf bestimmte Mitarbeiter beschränkt
Alle Mitarbeiter, die im Namen des Unternehmens tätig sind und mit geschützten Gesundheitsinformationen in Kontakt kommen, erhalten so Zugriff auf geschützte Gesundheitsinformationen, wie es durch ihre Abteilung und Stellenbeschreibung und/oder in individuellen Verträgen festgelegt und von der IT-Abteilung genehmigt wird.
Mitarbeiter mit Zugriff auf geschützte Gesundheitsinformationen dürfen diese HIPAA gemäß verwenden und offenlegen. Geschützte Gesundheitsinformationen, die offengelegt werden, müssen auf das Mindestmaß beschränkt sein, das für die Ausübung der Arbeitsfunktion erforderlich ist. Mitarbeiter mit Zugriff auf geschützte Gesundheitsinformationen dürfen diese nicht offenlegen, es sei denn es liegt eine berechtigte Beschwerde vor oder die Offenlegung erfolgt anderweitig im Einklang mit dieser HIPAA Compliance Richtlinie und/oder in der HIPAA beschriebenen Regeln zur Verwendung und Offenlegung geschützter Gesundheitsinformationen.
III. Offenlegung geschützter Gesundheitsinformationen
Nach einer Autorisierung können geschützte Gesundheitsinformationen für jeden Zweck offengelegt werden, wenn ein Teilnehmer eine Autorisierung erteilt, die alle im HIPAA festgelegten Anforderungen für eine gültige Autorisierung erfüllt. Jegliche Form der Nutzung und Offenlegung nach einer unterzeichneten Autorisierung müssen im Einklang mit HIPAA und dieser Richtlinie stehen.
IV. Zulässige Offenlegung geschützter Gesundheitsinformationen
In den folgenden Fällen können, insofern bestimmte Voraussetzungen erfüllt sind, geschützte Gesundheitsinformationen aus rechtlichen und öffentlichen Gründen ohne eine Autorisierung eines Teilnehmers offengelegt werden.
Die durch das Unternehmen beschriebenen Verfahren zur Nutzung und Offenlegung geschützter Gesundheitsinformationen enthalten spezifische Voraussetzungen, die erfüllt sein müssen, bevor diese Art von Offenlegung erfolgen darf.
Zulässig ist eine Offenlegung:
- Wenn ein Teilnehmer Opfer von Missbrauch, Vernachlässigung oder häuslicher Gewalt ist;
- Für Gerichts- und Verwaltungsverfahren;
- Für Strafverfolgungszwecke;
- Für Aktivitäten im Bereich der öffentlichen Gesundheit;
- Für die Gesundheit betreffende Aufsichtstätigkeiten;
- Über Verstorbene;
- Zur Spende von Organen, Augen oder Gewebe Verstorbener;
- Für bestimmte begrenzte Forschungszwecke;
- Um eine ernsthafte Gefahr für die Gesundheit oder persönliche Sicherheit abzuwenden;
- Für spezialisierte Regierungsfunktionen;
- Die sich auf Programme zur Entlohnung von Arbeitnehmern beziehen.
V. Einhaltung des HIPAA Minimum Necessary Standards
HIPAA erfordert, dass bei der Verwendung oder Offenlegung geschützter Gesundheitsinformationen der Umfang der Verwendung oder Offenlegung auf ein „erforderliches Minimum“ beschränkt ist, um den Zweck der Verwendung oder Offenlegung zu erreichen. Der HIPAA Minimum Necessary Standard gilt nicht für:
- Die Nutzung oder Offenlegung gegenüber einer betroffenen Person;
- Die Nutzung oder Offenlegung gemäß einer gültigen Autorisierung;
- Die Offenlegung gegenüber dem Department of Labor;
- Eine gesetzlich vorgeschriebene Nutzung oder Offenlegung;
- Eine Nutzung oder Offenlegung, die zur Einhaltung des HIPAA erforderlich ist.
Erforderliches Minimum bei der Offenlegung geschützter Gesundheitsinformationen: Bei der Offenlegung geschützter Gesundheitsinformationen gegenüber Geschäftspartnern oder Anbietern oder für interne/externe Prüfungszwecke wird nur die erforderliche Mindestmenge an Informationen offengelegt. Eine darüber hinausgehende Offenlegung muss individuell durch den HIPAA Datenschutzbeauftragten geprüft werden, um sicherzustellen, dass der Umfang der offengelegten geschützten Gesundheitsinformationen dem erforderlichen Minimum an Informationen entspricht, das zum Erreichen des Zwecks der Offenlegung benötigt wird.
Bei Anfragen zur Offenlegung geschützter Gesundheitsinformationen von Geschäftspartnern, Anbietern oder Teilnehmern für eine Zuerkennung oder Zahlung von Schadensersatzansprüchen oder für interne/externe Prüfungszwecke wird nur die erforderliche Mindestmenge an Informationen angefordert. Eine darüber hinausgehende Anfrage muss individuell durch den HIPAA Datenschutzbeauftragten geprüft werden, um sicherzustellen, dass der Umfang der offengelegten geschützten Gesundheitsinformationen dem erforderlichen Minimum an Informationen entspricht, das zum Erreichen des Zwecks der Offenlegung benötigt wird.
VI. Offenlegung geschützter Gesundheitsinformationen gegenüber Geschäftspartnern
Mit Genehmigung des HIPAA Datenschutzbeauftragten und in Übereinstimmung mit dem HIPAA kann das Unternehmen geschützte Gesundheitsinformationen an Geschäftspartner weitergeben und den Geschäftspartnern des Unternehmens gestatten, in seinem Namen geschützte Gesundheitsinformationen zu erstellen oder zu erhalten. Zuvor muss das Unternehmen jedoch zunächst die Zusicherung des Geschäftspartners einholen, dass die Informationen angemessen geschützt sind.
Ein Geschäftspartner ist eine juristische Person, die:
- Eine Unternehmensfunktion oder -aktivität ausführt oder unterstützt, die die Nutzung oder Offenlegung geschützter Gesundheitsinformationen umfasst (einschließlich Schadensabwicklung oder -bearbeitung, Datenanalyse, Risikoeinschätzung, usw.);
- Dienstleistungen in den Bereichen Recht, Buchhaltung, Versicherungsmathematik, Beratung, Datenaggregation, Management, Akkreditierung oder Finanzen bereitstellt, wobei die Erbringung dieser Dienstleistungen es erfordert, dass dem Dienstleister Zugang zu geschützten Gesundheitsinformationen gewährt wird.
VII. Offenlegung de-identifizierter Gesundheitsinformationen
Das Unternehmen kann de-identifizierte Gesundheitsinformationen frei nutzen und offenlegen. Bei de-identifizierten Gesundheitsinformationen handelt es sich um Gesundheitsinformationen, die eine Person nicht eindeutig identifizieren und bei denen es keinen vernünftigen Grund zur Annahme gibt, dass sie zur Identifizierung einer Person verwendet werden können. Es gibt zwei Möglichkeiten, wie eine betroffene juristische Person feststellen kann, ob es sich um de-identifizierte Gesundheitsinformationen handelt: durch eine professionelle statistische Analyse oder durch die Abwesenheit 18 spezifischer Identifikatoren.
18 spezifische Identifikatoren für nicht de-identifizierte Gesundheitsinformationen:
- Namen
- Geografische Unterteilungen, die kleiner als ein Bundesstaat sind
- Alle Elemente eines Datums, außer einer Jahresangabe, die sich auf eine Person beziehen, einschließlich Datum der Aufnahme und Entlassung oder Datum der Geburt oder des Todes. Bei Personen über 89 Jahren zählt das Geburtsjahr dazu.
- Telefonnummern
- Faxnummern
- E-Mail Adressen
- Sozialversicherungsnummer
- Krankenakten-Nummern
- Die einer Person durch ihren Krankenversicherungsplan zugewiesene Nummer
- Kontonummern
- Zertifikatsnummern / Führerscheinnummern
- Fahrzeugkennungen und Seriennummern einschließlich Nummernschilder
- Gerätekennungen und Seriennummern
- Internet URLs
- IP-Adressen
- Biometrische Identifikatoren, einschließlich Finger- und Stimmabdrücke
- Vollständige Gesichtsfotos und vergleichbare Bilder
- Jede eindeutige Identifikationsnummer, jedes eindeutige Merkmal oder jeder eindeutige Code
Eine fachkompetente Person muss feststellen, dass ein geringes Risiko besteht, dass die de-identifizierten Gesundheitsinformationen allein oder in Kombination mit anderen verfügbaren Informationen von einem voraussichtlichen Empfänger zur Identifizierung der Person verwendet werden könnten. Dabei müssen die verwendeten Methoden und und die Begründung für diese Feststellung dokumentiert werden.
VIII. Mitnahme geschützter Gesundheitsinformationen aus dem Firmengelände
Wenn das Unternehmen es für erforderlich hält, dass ein Mitarbeiter und/oder Auftragnehmer von einem anderen Standort als einem unserer Standorte aus arbeitet, kann unter den folgenden Umständen auf geschützter Gesundheitsinformationen zugegriffen und/oder sie mitggenommen werden:
1. Bevor geschützte Gesundheitsinformationen für geschäftliche Zwecke mitgenommen werden, muss die Genehmigung des Abteilungsleiters und der IT-Abteilung eingeholt werden.
2. Steldia gestattet die Mitnahme geschützter Gesundheitsinformationen in Papierform (Teilnehmerunterlagen, Berichte) ausschließlich dann, wenn sie in einem sicheren Schließfach transportiert werden und die Mitnahme vom Abteilungsleiter und dem HIPAA Datenschutzbeauftragten genehmigt wurde.
3. Steldia stellt Laptops und/oder eine Softwareumgebung für Mitarbeiter und/oder Auftragnehmer bereit, die außerhalb des Standorts arbeiten und in einer non-Axis Umgebung auf geschützte Gesundheitsinformationen zugreifen müssen. Alle auf diesen Laptops gespeicherten Dateien werden im Netzwerk gespeichert und sind daher sicher.
4. Die elektronische Mitnahme geschützter Gesundheitsinformationen (mittels Flash-Laufwerken) zum Zwecke der Arbeit in einer non-Axis Umgebung kann im Voraus nur von der IT-Abteilung genehmigt werden. In den sehr seltenen Fällen, in denen es notwendig werden sollte, sind geschützte Gesundheitsinformationen sowohl physisch als auch elektronisch streng zu schützen, einschließlich einer vom Mitarbeiter durchgeführten Verschlüsselung aller Dateien. Die meisten Flash-Laufwerke verfügen über die Möglichkeit, sie durch ein Passwort zu schützen.
Die folgenden Sicherheitsmaßnahmen sind für alle Mitarbeiter und/oder Auftragnehmer erforderlich, wenn sie von einem nicht-Steldia Standort aus arbeiten:
• Die Arbeit an geschützten Gesundheitsinformationen außerhalb Steldia Einrichtungen ist nur in einer sicheren privaten Umgebung gestattet.
• Geschützte Gesundheitsinformationen sind während eines Transports bei sich zu führen.
• Der Zugriff nicht autorisierter Personen auf geschützte Gesundheitsinformationen ist zu unterbinden.
• Informationen über Teilnehmer sollten niemals per E-Mail verschickt werden.
• Informationen über Teilnehmer sollten nicht auf persönlichen Computern gespeichert werden.
• Aufzeichnungen jeglicher Art sollten nicht ausgedruckt werden.
• Informationen, die für eine Anmeldung an einem Computer benötigt werden, sollten weder auf dem Computer gespeichert, noch in der Nähe des Computers aufzufinden sein.
• Sobald sie nicht mehr benötigt werden, sind geschützte Gesundheitsinformationen unverzüglich zurückzugeben.
Berichterstattung bei Datenschutzverletzungen
Der Zweck dieses Abschnitts besteht darin, die Datenschutzanforderungen des Unternehmens für die Meldung, Dokumentation und Untersuchung einer bekannten oder vermuteten Handlung oder eines unerwünschten Ereignisses zu beschreiben, die im Zusammenhang mit der unbefugten Nutzung oder Offenlegung individuell identifizierbarer Gesundheitsinformationen stehen.
Eine Datenschutzverletzung ist ein widriges Ereignis oder eine unerwünschte Aktion, die ungeplant, ungewöhnlich und unerwünscht ist und die auf die Nichteinhaltung der Datenschutzrichtlinien und -verfahren des Unternehmens zurückzuführen ist. Eine Datenschutzverletzung muss sich auf die unbefugte Nutzung oder Offenlegung von Gesundheitsinformationen beziehen, einschließlich „versehentlicher Offenlegungen“ wie fehlgeleiteter E-Mails oder Faxe.
Der HIPAA Datenschutzbeauftragte untersucht unverzüglich alle gemeldeten mutmaßlichen Datenschutzverletzungen und versucht, diese zu beheben. Mitarbeiter sind verpflichtet, ihrem Vorgesetzten jedes Ereignis oder jeden Umstand mündlich zu melden, bei dem angenommen wird, dass es sich um eine unangemessene Nutzung oder Offenlegung geschützter Gesundheitsinformationen handelt. Wenn der Vorgesetzte nicht erreichbar ist, muss der Mitarbeiter den HIPAA Datenschutzbeauftragten innerhalb von 24 Stunden nach dem Vorfall benachrichtigen. Wenn ein Vorgesetzter der Ansicht ist, dass eine weitere Überprüfung erforderlich ist, wird er zusammen mit dem Mitarbeiter den HIPAA Datenschutzbeauftragten konsultieren, um festzustellen, ob der vermutete Vorfall eine weitere Untersuchung erfordert. In allen Fällen muss ein Vorfallsbericht ausgefüllt und dem zuständigen Prüfer vorgelegt werden.
Der HIPAA Datenschutzbeauftragte dokumentiert alle Datenschutzvorfälle und vorgenommene Maßnahmen. Die Dokumentation muss eine Beschreibung der Korrekturmaßnahmen (falls erforderlich) oder eine Erklärung, warum Korrekturmaßnahmen nicht erforderlich sind, sowie etwaige Maßnahmen zur Schadensbegrenzung für jeden einzelnen Datenschutzvorfall enthalten. Die gesamte Dokumentation einer Datenschutzverletzung muss beim HIPAA Datenschutzbeauftragten aufbewahrt und mindestens sechs Jahre ab dem Datum der Untersuchung aufbewahrt werden.
Die Dokumentation des Vorfalls gilt nicht als Teil der Gesundheitsakte des Teilnehmers. Wenn dem Teilnehmer eine Datenschutzverletzung nicht bekannt ist, untersucht der HIPAA Datenschutzbeauftragte den Vorfall gründlich, bevor er entscheidet, ob der Teilnehmer informiert werden sollte. Wenn dem Teilnehmer der Datenschutzvorfall bekannt ist, muss der HIPAA Datenschutzbeauftragte den Teilnehmer innerhalb von drei (3) Werktagen nach Erhalt der Benachrichtigung über den Vorfall kontaktieren. Die Art der Kontaktaufnahme liegt im Ermessen des HIPAA Datenschutzbeauftragten. Die daraus resultierende Kommunikation mit dem Teilnehmer muss jedoch im Vorfallsbericht dokumentiert werden. Darüber hinaus muss jede Datenschutzverletzung, der eine buchhaltungspflichtige Offenlegung beinhaltet, dokumentiert und buchhalterisch erfasst werden. Mitarbeiter, die ihnen bekannte Datenschutzverletzungen nicht oder nicht umgehend melden, können mit Disziplinarmaßnahmen bis hin zur Kündigung rechnen.
Sie haben eine Frage zu unseren HIPAA bezogenen Aktivitäten oder möchten uns einen Vorfall melden?
Bitte kontaktieren Sie unseren HIPAA Datenschutzbeauftragten unter [email protected]