Verbesserung der Sicherheit im PHI Aufsatz

Words: 1092
Topic: Recht

Einführung

Diese Aufgabe zielt darauf ab, das Verständnis des American Recovery and Reinvestment Act (ARRA), des Health Information Technology for Economic and Clinical Health Act (HITECH), des Health Insurance Portability and Accountability Act (HIPAA) und der Regelung zur Meldung von Datenschutzverletzungen zu verbessern.

Alle diese Handlungen stehen in einem engen Zusammenhang, da sie die Sicherheit und Vertraulichkeit geschützter Gesundheitsinformationen (PHI) beeinflussen (Murphy und Waterfill 19). In diesem Projekt wird die Bedeutung der Datenschutzverletzung und ihrer Ausnahmen erläutert. Das Projekt entwickelt auch eine allgemeine Vorstellung von den Regeln für die Benachrichtigung bei Verstößen. Außerdem werden die Schritte erörtert, die eine betroffene Einrichtung unternimmt, wenn sie eine Verletzung von PHI meldet, die mehr als 500 Personen und weniger als 500 Personen betrifft. Schließlich wird erörtert, wie PHI vor Verletzungen geschützt werden können.

Verstöße und ihre Ausnahmen

Ein Verstoß bezieht sich auf den illegalen Besitz, den Kontakt, die Verwendung oder die Weitergabe von vertraulichen Gesundheitsdaten. Dies ist ein Verstoß gegen die Sicherheit oder Vertraulichkeit solcher Daten, abgesehen davon, dass eine nicht zugelassene Person Zugang zu solchen Informationen erhält und sie behält (Klosek 17). Diese Definition schließt mehrere Elemente aus, die für die Sicherheit und Vertraulichkeit von vertraulichen Gesundheitsdaten relevant sind.

Der erste Ausschluss bezieht sich auf die Vorgehensweise, wenn ein Mitarbeiter oder eine Person, die unter der Autorität einer betroffenen Einrichtung tätig ist, zufällig Zugang zu vertraulichen Gesundheitsdaten erhält (Klosek 23). Dies könnte in echtem Glauben, während der Dauer des Beschäftigungsverhältnisses oder der Autorität der betroffenen Person geschehen. Die zweite Ausnahme bezieht sich auf die unbeabsichtigte Offenlegung von eingeschränkten Gesundheitsdaten durch eine zertifizierte Person in einer Einrichtung, die von einer geschützten Person betrieben wird (Klosek 28).

Die Definition des Begriffs “Verletzung” bietet nicht die erforderliche Antwort auf diese Situation. Die dritte Ausnahme bezieht sich auf die Weitergabe von Informationen aus einer Offenlegung, die in einer Einrichtung im Besitz einer geschützten Einrichtung erfolgt, an eine andere Person (Klosek 32). Die Definition gibt keine angemessene Reaktion auf diesen Verstoß vor.

Ein Überblick über die Regelung zur Meldung von Sicherheitsverletzungen

Das United States Department of Health and Human Services (DHHS) hat eine Reihe von Gesetzen über den Schutz von Gesundheitsdaten entwickelt (Murphy und Waterfill 23). Die Gesetze verpflichten Gesundheitsdienstleister, Gesundheitsbewegungen und andere Einrichtungen, Einzelpersonen zu informieren, wenn eine Verletzung ihrer Gesundheitsdaten bekannt wird. Diese Gesetze setzen die im HITECH Act enthaltenen Anforderungen um (Murphy und Waterfill 31). Der Sekretär des DHHS erhält eine Benachrichtigung über eine Verletzung von eingeschränkten Gesundheitsdaten, die mehr als 500 Personen betreffen.

Der Sekretär des DHHS sollte Berichte über Verstöße erhalten, die weniger als 500 Personen jährlich betreffen (Murphy und Waterfill 34). Das Gesetz erwartet auch, dass Bekannte von geschützten Personen die betroffene Person über Verstöße in Verbindung mit ihnen informieren. Die Gesetze entstanden nach Überlegungen zu öffentlichen Kommentaren zu einer Datenanforderung vom April 2009 und Konsultationen mit der Federal Trade Commission (Murphy und Waterfill 38).

Schritte, die eine betroffene Einrichtung nach einer Sicherheitsverletzung unternehmen muss

Wenn ein Verstoß gegen ungesicherte PHI auftritt, muss eine betroffene Einrichtung alle betroffenen Personen benachrichtigen (Green und Bowie 20). Wenn ein Geschäftspartner einen Verstoß entdeckt, muss er/sie die betroffene Einrichtung über den Verstoß informieren und die Personen benennen, die die Daten verletzt haben könnten. Die Bestimmungen des Gesetzes verlangen eine rechtzeitige und ungehinderte Zustellung der Benachrichtigungen innerhalb von sechzig Kalendertagen (Green und Bowie 24).

Eine Verzögerung der Benachrichtigung ist möglich, wenn ihre Zustellung eine Untersuchung beeinträchtigen oder ein Risiko für die nationale Sicherheit darstellen würde. Die Benachrichtigung über die Verletzung ungesicherter eingeschränkter Gesundheitsdaten erfolgt auf verschiedene Weise. Eine Benachrichtigung gilt für die betroffenen Personen oder ihre nächsten Angehörigen, wenn die Personen verstorben sind. Eine Benachrichtigung per Telefon erfolgt in dringenden Fällen, wenn ein drohender Datenmissbrauch zu erwarten ist (Green und Bowie 29).

Wenn der festgestellte Verstoß mehr als 500 Personen betrifft, erfolgt die Meldung über bekannte Medien in dem Gebiet, in dem der Verstoß stattgefunden hat. Die Benachrichtigung des DHHS-Sekretärs über Verstöße, die mehr als 500 Personen betreffen, erfolgt bei Aufdeckung eines Verstoßes, während Verstöße, die weniger als 500 Personen betreffen, jährlich gemeldet werden (Green und Bowie 34). Eine weitere Methode zur Benachrichtigung von Personen über Verstöße ist die Veröffentlichung durch den Sekretär auf der Website des DHHS für Personen mit mehr als 500 Personen.

Die Anforderungen, die eine betroffene Einrichtung erfüllen muss, wenn sie eine Datenschutzverletzung meldet, die mehr als 500 Personen oder weniger als 500 Personen betrifft, sind ähnlich. Eine betroffene Einrichtung sollte die folgenden Anforderungen erfüllen, wenn sie eine Verletzung von PHI meldet:

Wie man PHI vor Verletzungen schützt

Es gibt eine Reihe von Strategien zur Verbesserung der Sicherheit und Vertraulichkeit von PHI. Eine dieser Strategien ist die Durchführung von Sicherheitsbewertungen, um mögliche Bedrohungen und Faktoren zu ermitteln, die PHI angreifbar machen (Halpert 23). Ziel solcher Bewertungen ist es, die Zeit, die Personen und die Methoden zu ermitteln, die an der Verletzung von PHI beteiligt sind.

Eine weitere Strategie zum Schutz von PHI ist die Umsetzung aller wichtigen Verfahren, Technologien und gesetzlichen Bestimmungen zum Schutz von PHI (Halpert 34). Die gesetzlichen Bestimmungen zum Schutz von PHI werden nicht ordnungsgemäß umgesetzt, was Verstöße begünstigt. Eine routinemäßige Inspektion der Gesundheitseinrichtungen wird jedoch die Umsetzung verbessern.

Die Durchführung wirksamer Schulungen für Mitarbeiter verbessert deren Wissen über die besten Schutzmaßnahmen und die zu erwartende Reaktion, wenn ein Verstoß aufgedeckt wird (Halpert 40). Die Schulung sollte alle Mitarbeiter und Personen umfassen, die einer betroffenen Einrichtung angehören, da sie alle Zugang zu Informationen haben. Eine weitere Strategie ist die Entwicklung eines Plans für den Fall einer PHI-Verletzung (Halpert 47). Diese Strategie beruht auf der Überzeugung, dass ein Verstoß jederzeit und auf unerwartete Weise auftreten kann und eine schnelle und gut durchdachte Reaktion erfordert.

Der Plan sollte klare Pflichten und Aufgaben für alle Mitarbeiter im Falle einer Datenschutzverletzung vorsehen. Der Schutz von Gesundheitsinformationen ist äußerst wertvoll, insbesondere für das ethische Verhalten von Ärzten. Ein Patient sollte einem Arzt oder einer anderen Person, die im Besitz seiner Gesundheitsdaten ist, seine Zustimmung erteilen, bevor er seine Daten an Dritte weitergibt.

Zitierte Werke

Green, M., und Bowie, M. Essentials of Health Information Management: Principles and Practices. New York: Cengage Learning, 2010. Drucken.

Halpert, Ben. Auditing Cloud Computing: A Security and Privacy Guide. New York: John Wiley & Sons, 2011. Drucken.

Klosek, Jacqueline. Schutz der Privatsphäre Ihrer Gesundheit: A Citizen’s Guide to Safeguarding the Security of Your Medical Information. New York: ABC-CLIO, 2010. Drucken.

Murphy, M., und Waterfill, M. The New HIPAA Guide for 2010: 2009 ARRA Act for HIPAA Security and Compliance Law and HITECH Act .Your Resource Guide to the New Security and Privacy Requirements. New York: Author House, 2010. Drucken.