اسم: سياسة الإخطار بالخرق
نوع المستند: إجراء السياسة X Standard X تدريب / تعليمات العمل
اساسي: لتوضيح عملية إخطار الأفراد المتأثرين بخرق المعلومات المحمية بموجب قانون الخصوصية ، المعلومات الصحية المحمية غير المؤمنة (PHI) لأغراض قانون التأمين الصحي والمساءلة لعام 1996 (HIPAA) ، تكنولوجيا المعلومات الصحية للأغراض الاقتصادية والسريرية قانون الصحة (HITECH) ، و / أو أغراض الإخطار بخرق الدولة.
مجال
ينطبق هذا على جميع الموظفين والمتطوعين وغيرهم من الأفراد العاملين بموجب اتفاقيات تعاقدية مع جمعية التكافل الإنساني.
ألف - التعاريف
خرق الدولة - الحصول غير المصرح به أو الاعتقاد المعقول بالحصول غير المصرح به على المعلومات الشخصية التي تعرض أمن المعلومات الشخصية أو سريتها أو نزاهتها للخطر.
معلومات شخصية - يعني الاسم الأول للفرد أو الاسم الأول والأخير مع أي عنصر أو أكثر من عناصر البيانات التالية ، عندما لا يتم تشفير أو تنقيح الاسم أو عناصر البيانات:
- رقم الضمان الاجتماعي
- رقم رخصة القيادة أو رقم بطاقة الهوية الحكومية
- رقم الحساب أو رقم بطاقة الائتمان أو الخصم ، أو
- رقم حساب برقم بطاقة الائتمان مع أي رمز أمان أو رمز وصول أو كلمة مرور مطلوبة تسمح بالوصول إلى الحساب المالي للفرد.
لا تتضمن المعلومات الشخصية المعلومات المتاحة للجمهور والتي يتم إتاحتها بشكل قانوني لعامة الناس من السجلات الحكومية الفيدرالية أو الحكومية أو المحلية. (المصدر 815 ILCS 530/5) ثانية. 5. التعاريف).
خرق HIPAA - الاستحواذ غير المصرح به أو الوصول أو الاستخدام أو الكشف عن المعلومات الصحية المحمية غير المضمونة.
معلومات التعريف الشخصية (PII) - المعلومات بأي شكل من الأشكال التي تتكون من مجموعة من اسم الفرد وواحد أو أكثر مما يلي: رقم الضمان الاجتماعي ، أو رخصة القيادة أو معرف الدولة ، وأرقام الحسابات ، وأرقام بطاقات الائتمان ، وأرقام بطاقات الخصم ، والرمز الشخصي ، ورمز الأمان ، كلمة المرور أو رقم الهوية الشخصية أو الصورة أو بصمة الإصبع أو غيرها من المعلومات التي يمكن استخدامها لتحديد هوية الفرد.
المعلومات الصحية التي يمكن تحديدها بشكل فردي (IIHI) - معلومات التعريف الشخصية التي تتضمن معلومات تتعلق بالحالة السابقة أو الحالية أو المستقبلية أو العلاج أو الدفع أو توفير الرعاية الصحية للفرد المحدد.
خرق قانون الخصوصية - الحصول غير المصرح به أو الاعتقاد المعقول بالحصول غير المصرح به على المعلومات الشخصية المحمية بموجب قانون الخصوصية. تتضمن هذه المعلومات ، على سبيل المثال لا الحصر ، رقم الضمان الاجتماعي أو أرقام الهوية الصادرة عن الحكومة أو أرقام الحسابات المالية أو غيرها من المعلومات التي تشكل خطرًا لسرقة الهوية.
معلومات خاصة - المعلومات المحمية بموجب قانون الخصوصية والمعلومات الشخصية والمعلومات الشخصية والمعلومات الصحية المحمية بشكل جماعي.
المعلومات الصحية المحمية (PHI) - المعلومات الصحية التي يمكن تحديدها بشكل فردي باستثناء سجلات التعليم التي تغطيها FERPA وسجلات التوظيف.
ب. الإجراء
- الإبلاغ عن خرق محتمل
- إخطار المشرف ومسؤول قانون نقل التأمين الصحي والمسؤولية (HIPAA): أي موظف يدرك حدوث خرق محتمل للخصوصية يتضمن معلومات خاصة في عهدة أو سيطرة SHS ، يقوم على الفور بإبلاغ مشرفه / مديره ومسؤول HIPAA. يجب أن يتم الإخطار فور اكتشاف خرق محتمل أو قبل نهاية وردية عملك إذا كانت هناك واجبات أخرى تتدخل ، ومع ذلك ، لا ينبغي بأي حال من الأحوال أن يحدث الإخطار بعد أربع وعشرين (24) ساعة من اكتشافه سيتحقق المشرف / المدير من ظروف الانتهاك المحتمل وإبلاغ مسؤول HIPAA ومدير القسم في غضون أربع وعشرين (24) ساعة من التقرير الأولي.
- إخطار موظف HIPAA - طرق الإخطار:
- سيتم إكمال تقرير حادثة غير عادية وإرساله بالفاكس إلى مدير المخاطر ، 618-985-6860
- يمكنك الاتصال بمسؤول HIPAA مباشرة على 618-956-9506.
- زوِّد موظف HIPAA بأكبر قدر ممكن من التفاصيل.
- كن مستجيبًا لطلبات الحصول على معلومات إضافية من موظف HIPAA.
- كن على علم بأن موظف قانون إخضاع التأمين الصحي لقابلية النقل والمحاسبة (HIPAA) ملزم بمتابعة أي اعتقاد معقول بأن المعلومات الخاصة قد تم اختراقها.
- سيقوم موظف قانون HIPAA بإخطار المدير التنفيذي حسب الاقتضاء من خلال مراعاة خطورة ونطاق الانتهاك.
- احتواء الخرق
سيعمل مسؤول الخصوصية / الامتثال مع الإدارة (الإدارات) لاحتواء الانتهاك فورًا للحد من نطاق الانتهاك وتأثيره. تشمل الأمثلة على سبيل المثال لا الحصر:- وقف الممارسات غير المصرح بها
- استعادة السجلات إن أمكن
- اغلاق النظام الذي تم اختراقه
- التخفيف من الخرق إن أمكن
- تصحيح نقاط الضعف في الممارسات الأمنية
- إخطار السلطات المختصة بما في ذلك إدارة الشرطة المحلية إذا كان الانتهاك يتعلق أو قد ينطوي على أي نشاط إجرامي
- التحقيق في وتقييم المخاطر المصاحبة للخرق
- لتحديد الخطوات الأخرى اللازمة على الفور ، سيقوم موظف HIPAA بالتعاون مع الإدارة (الإدارات) والإدارة المتأثرة بالتحقيق في ظروف الانتهاك ، وتحديد السبب (الأسباب) الجذرية ، وتقييم المخاطر ، ووضع خطة حل. يجوز لموظف HIPAA التشاور مع موظفي المركز الصحي والمدير التنفيذي والمستشار القانوني لتطوير خطة حل.
- طبيعة ومدى المعلومات الصحية المحمية ذات الصلة: ضع في اعتبارك طبيعة ومدى المعلومات الصحية المحمية المتضمنة بما في ذلك أنواع المعرفات واحتمالية أو إعادة تحديد الهوية. ضع في اعتبارك - ما مدى حساسية المعلومات (المالية ، السريرية ، المعرفات المباشرة).
- الشخص غير المرخص له الذي استخدم المعلومات الصحية المحمية أو الذي تم الكشف عنه.
- ما إذا كان قد تم الحصول على المعلومات الصحية المحمية بالفعل أو عرضها: مثال ذو احتمالية منخفضة - يشير تحليل الطب الشرعي للكمبيوتر المحمول المسروق إلى عدم وجود خرق ؛ يشمل الاحتمال الكبير للخرق كيان جهات اتصال المستلمين غير المصرح لهم بالإبلاغ عن تلقي معلومات صحية محمية عن طريق الخطأ ، بعد الاطلاع على معلومات الصحة المحمية بشكل متقطع.
- إلى أي مدى تم تخفيف المخاطر على المعلومات الصحية المحمية: تبذل Shawnee جهودًا للتخفيف من المخاطر في حالة النقل غير السليم للمعلومات الصحية المحمية مثل التأكيدات بأن المستلم سيدمر المعلومات الصحية المحمية.
- تحديد السبب (الأسباب) الجذرية ، وتقييم المخاطر ، ووضع خطة حل. قد يتشاور مكتب HIPAA مع موظفي المركز الصحي والمدير التنفيذي و / أو المستشار القانوني لوضع خطة حل.
- سينظر موظف قانون HIPAA ، بالتعاون مع المدير التنفيذي ، في عدة عوامل لتحديد ما إذا كان يجب إخطار الأفراد المتضررين من الانتهاك بما في ذلك ، على سبيل المثال لا الحصر:
- الالتزامات التعاقدية
- الالتزامات القانونية - يجب على المستشار القانوني لـ SHS إكمال تقييم قانوني منفصل للخرق المحتمل وتقديم نتائج التقييم إلى مسؤول الخصوصية / الامتثال وبقية فريق الاستجابة للانتهاك
- خطر سرقة الهوية أو الاحتيال بسبب نوع المعلومات المفقودة مثل رقم الضمان الاجتماعي والمعلومات المصرفية وأرقام التعريف
- خطر التعرض لأذى جسدي إذا كانت الخسارة تعرض الفرد لخطر المطاردة أو المضايقة
- خطر الإضرار بالسمعة أو الإذلال أو الإضرار بالسمعة عندما تتضمن المعلومات سجلات طبية أو تأديبية
- عدد الأفراد المتضررين
- لتحديد الخطوات الأخرى اللازمة على الفور ، سيقوم موظف HIPAA بالتعاون مع الإدارة (الإدارات) والإدارة المتأثرة بالتحقيق في ظروف الانتهاك ، وتحديد السبب (الأسباب) الجذرية ، وتقييم المخاطر ، ووضع خطة حل. يجوز لموظف HIPAA التشاور مع موظفي المركز الصحي والمدير التنفيذي والمستشار القانوني لتطوير خطة حل.
- تنبيه
- سيعمل موظف قانون HIPAA مع المدير التنفيذي لتحديد أفضل نهج للإخطار ولتحديد ما قد يقتضيه القانون.
- الإخطار المباشر: إذا كان ذلك مطلوبًا بموجب القانون ، فسيتم إخطار الأفراد المتأثرين بالخرق في أقرب وقت ممكن بعد الخرق.
يجب تقديم الإخطارات دون تأخير معقول وفي موعد لا يتجاوز ستين (60) يومًا بعد اكتشاف الخرق بأي حال من الأحوال ، ما لم يتم إصدار تعليمات بخلاف ذلك من قبل تطبيق القانون أو قوانين الولاية أو القوانين المحلية الأخرى المعمول بها. يجب أن تكون الإشعارات بلغة واضحة وأن تتضمن معلومات أساسية ، بما في ذلك:- ماذا حدث
- أنواع المعلومات الصحية المحمية المعنية
- الخطوات التي يجب على الأفراد اتخاذها
- خطوات الكيان المغطى تتخذ
- يجب إرسال إشعارات معلومات الاتصال بالبريد من الدرجة الأولى أو إذا وافق الفرد على البريد الإلكتروني. في حالة توفر معلومات اتصال غير كافية أو قديمة ، يلزم إرسال إشعار بديل من خلال إشعار غير مباشر كما هو محدد أدناه.
- تختلف عناصر الإخطار المطلوبة حسب نوع الانتهاك والقانون المتورط فيه. نتيجة لذلك ، يجب أن يعمل موظف SHS HIPAA والمدير التنفيذي عن كثب لصياغة أي إخطار يتم توزيعه.
- الإخطار المباشر: إذا كان ذلك مطلوبًا بموجب القانون ، فسيتم إخطار الأفراد المتأثرين بالخرق في أقرب وقت ممكن بعد الخرق.
- الإخطار غير المباشر: مثل معلومات موقع الويب ، والإشعارات المنشورة ، والوسائط بشكل عام ستحدث فقط في الحالات التي قد يتسبب فيها الإخطار المباشر في مزيد من الضرر ، أو نقص معلومات الاتصال.
- خرق 500 فرد أو أكثر: إذا كان الانتهاك يؤثر على خمسمائة (500) فرد أو أكثر ، أو إذا كانت معلومات الاتصال غير كافية ، فسوف تقوم SHS بإخطار وسيلة إعلامية بارزة مناسبة لحجم الموقع مع الأفراد المتضررين ، وسوف يتم الإشعار بذلك يتم تقديمها في شكل بيان صحفي.
- النظر في طرق متعددة: قد يكون استخدام طرق متعددة للإخطار في حالات معينة هو النهج الأكثر فاعلية.
- يجب على شركاء العمل إخطار SHS إذا تكبدوا أو اكتشفوا خرقًا لمعلومات صحية صحية غير مضمونة. يجب أن يتعاون شركاء العمل مع SHS في التحقيق في الانتهاك وتخفيفه.
- إشعار الصحة والخدمات البشرية (HHS) كما هو مطلوب من قبل HIPAA - إذا قرر موظف HIPAA أن إخطار HIPAA غير مطلوب ؛ هذا الإشعار ليس مطلوبًا أيضًا.
- يجب تقديم المعلومات المتعلقة بالانتهاكات التي تنطوي على خمسمائة (500) فرد أو أكثر ، بغض النظر عن الموقع ، إلى HHS في نفس الوقت الذي يتم فيه إصدار الإشعارات للأفراد.
- إذا اشتمل الانتهاك على أقل من خمسمائة (500) فرد ، فسيكون من الضروري تتبع جميع الانتهاكات وإخطار HHS في غضون ستين (60) يومًا بعد نهاية السنة التقويمية.
- سيعمل موظف قانون HIPAA مع المدير التنفيذي لتحديد أفضل نهج للإخطار ولتحديد ما قد يقتضيه القانون.
- وقاية
- بمجرد اتخاذ خطوات فورية للتخفيف من المخاطر المرتبطة بالاختراق ، سيقوم موظف HIPAA بالتحقيق في سبب الانتهاك.
- إذا لزم الأمر ، سيتضمن ذلك تدقيقًا أمنيًا للتدابير المادية والتنظيمية والتكنولوجية.
- وقد يشمل ذلك أيضًا مراجعة أي خطوات تخفيفية تم اتخاذها.
- سيساعد موظف قانون نقل التأمين الصحي والمسؤولية (HIPAA) الإدارة المسؤولة على تنفيذ الضمانات الكافية ضد المزيد من الانتهاكات.
- ستتم مراجعة الإجراءات وتحديثها لتعكس الدروس المستفادة من التحقيق وبعد ذلك بانتظام.
- ستشمل الخطة الناتجة أيضًا توصيات المراجعة ، إذا كان ذلك مناسبًا.
- بمجرد اتخاذ خطوات فورية للتخفيف من المخاطر المرتبطة بالاختراق ، سيقوم موظف HIPAA بالتحقيق في سبب الانتهاك.
الامتثال والإنفاذ: يتحمل جميع المديرين والمشرفين مسؤولية تنفيذ هذه الإجراءات. يخضع الموظفون الذين ينتهكون هذه الإجراءات إلى تأديب يصل إلى ويتضمن إنهاء الخدمة وفقًا لسياسة الجزاءات الخاصة بـ SHS.
معلومات الوثيقة والموافقات:
تاريخ النفاذ: | 07-18-13 | معتمد من قبل / التاريخ: | القيادة 07-18-13 |
تاريخ المراجعة: |
مراجعة التاريخ:
تاريخ | مراجعة رقم | سبب التغيير | الأقسام المتضررة |