Nombre: Política de notificación de incumplimiento
Tipo de documento: Procedimiento de política X Estándar X Instrucciones de entrenamiento / trabajo
Estándar: Para describir el proceso para notificar a las personas afectadas de una violación de la información protegida bajo la Ley de Privacidad, la información de salud protegida no segura (PHI) para los propósitos de la Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 (HIPAA), Tecnología de Información de Salud para Asuntos Económicos y Clínicos. Health Act (HITECH) y / o con fines de notificación de incumplimiento estatal.
Alcance
Esto se aplica a todos los empleados, voluntarios y otras personas que trabajen bajo acuerdos contractuales con SHS.
A. Definiciones
Violación del estado - Adquisición no autorizada o creencia razonable de adquisición no autorizada de Información personal que comprometa la seguridad, confidencialidad o integridad de la Información personal.
Informacion personal - significa el nombre o la inicial y el apellido de una persona en combinación con uno o más de los siguientes elementos de datos, cuando el nombre o los elementos de datos no están encriptados o redactados:
- Número de seguridad social
- Número de licencia de conducir o número de tarjeta de identificación estatal
- Número de cuenta o número de tarjeta de crédito o débito, o
- Un número de cuenta del número de tarjeta de crédito en combinación con cualquier código de seguridad, código de acceso o contraseña que permita el acceso a la cuenta financiera de una persona.
La información personal no incluye información disponible públicamente que esté legalmente disponible para el público en general a partir de registros del gobierno federal, estatal o local. (Fuente 815 ILCS 530/5) Sec. 5. Definiciones).
Incumplimiento de HIPAA - Adquisición, acceso, uso o divulgación no autorizados de PHI no segura.
Información de identificación personal (PII) - Información en cualquier forma que consista en una combinación del nombre de una persona y uno o más de los siguientes: Número de Seguro Social, licencia de conducir o identificación estatal, números de cuenta, números de tarjetas de crédito, números de tarjetas de débito, código personal, código de seguridad, contraseña, número de identificación personal, fotografía, huella digital u otra información que pueda usarse para identificar a una persona.
Información de salud de identificación individual (IIHI) - PII que incluye información relacionada con la condición, tratamiento, pago o provisión de atención médica pasada, presente o futura a la persona identificada.
Violación de la ley de privacidad - Adquisición no autorizada o creencia razonable de adquisición no autorizada de información personal protegida por la Ley de Privacidad. Esta información incluye, entre otros, el número de seguro social, los números de identificación emitidos por el gobierno, los números de cuentas financieras u otra información que presente un riesgo de robo de identidad.
Información privada - Información protegida por la Ley de privacidad, información de identificación personal, información personal e información de salud protegida en conjunto.
Información de salud protegida (PHI) - Información de salud identificable individualmente, excepto los registros educativos cubiertos por FERPA y los registros de empleo.
B. Procedimiento
- Informar una posible infracción
- Notificar al supervisor y al funcionario de HIPAA: cualquier empleado que tenga conocimiento de una posible violación de la privacidad que involucre información privada bajo la custodia o el control de SHS informará inmediatamente a su supervisor / gerente y al funcionario de HIPAA. La notificación debe ocurrir inmediatamente después del descubrimiento de una posible infracción o antes del final de su turno si interfieren otras tareas, sin embargo, en ningún caso la notificación debe ocurrir después de veinticuatro (24) horas después del descubrimiento. El supervisor / gerente verificará las circunstancias de la posible infracción e informará al oficial de HIPAA y al director de la división dentro de las veinticuatro (24) horas posteriores al informe inicial.
- Notificar al oficial de HIPAA - métodos de notificación:
- Se completará un informe de sucesos inusuales y se enviará por fax al administrador de riesgos, 618-985-6860
- Puede llamar al oficial de HIPAA directamente al 618-956-9506.
- Proporcione al oficial de HIPAA tantos detalles como sea posible.
- Responda a las solicitudes de información adicional del oficial de HIPAA.
- Tenga en cuenta que el funcionario de HIPAA tiene la obligación de dar seguimiento a cualquier creencia razonable de que la información privada se ha visto comprometida.
- El Oficial de HIPAA notificará al Director Ejecutivo según corresponda teniendo en cuenta la gravedad y el alcance de la infracción.
- Contener la brecha
El Oficial de Privacidad / Cumplimiento trabajará con los departamentos para contener inmediatamente la infracción y limitar el alcance y el efecto de la infracción. Los ejemplos incluyen, pero no se limitan a:- Detener la práctica no autorizada
- Recuperar los registros, si es posible
- Apagar el sistema que fue violado
- Mitigar la infracción, si es posible
- Corregir las debilidades en las prácticas de seguridad.
- Notificar a las autoridades correspondientes, incluido el Departamento de Policía local, si la infracción implica, o puede implicar, cualquier actividad delictiva.
- Investigar y evaluar los riesgos asociados con la infracción
- Para determinar qué otros pasos son necesarios de inmediato, el oficial de HIPAA, en colaboración con los departamentos y la administración afectados, investigará las circunstancias de la infracción, determinará la (s) causa (s) raíz, evaluará los riesgos y desarrollará un plan de resolución. El oficial de HIPAA puede consultar con el personal del centro de salud, el director ejecutivo y el asesor legal para desarrollar un plan de resolución.
- Naturaleza y alcance de la PHI involucrada: considere la naturaleza y el alcance de la PHI involucrada, incluidos los tipos de identificadores y la probabilidad o re-identificación. Considere: qué tan sensible es la información (financiera, clínica, identificadores directos).
- La persona no autorizada que usó la PHI oa quien se hizo la divulgación.
- Si la PHI fue realmente adquirida o vista: ejemplo de baja probabilidad: el análisis forense de una computadora portátil robada indica que no hay violación; alta probabilidad de incumplimiento incluye destinatarios no autorizados que contactan con la entidad cubierta para informar haber recibido PHI por error, haber visto la PHI de forma intermitente.
- Hasta qué punto se ha mitigado el riesgo de la PHI: Shawnee hace todo lo posible para mitigar el riesgo en caso de transmisión incorrecta de la PHI, como garantías de que el destinatario destruirá la PHI.
- Determine la (s) causa (s) raíz, evalúe el riesgo y desarrolle un plan de resolución. La Oficina de HIPAA puede consultar con el personal del centro de salud, el Director Ejecutivo y / o el asesor legal para desarrollar un plan de resolución.
- El Oficial de HIPAA, en colaboración con el Director Ejecutivo, considerará varios factores para determinar si notificar a las personas afectadas por la infracción, incluidos, entre otros:
- Obligaciones contractuales
- Obligaciones legales: el Asesor Legal de SHS debe completar una evaluación legal separada de la posible infracción y proporcionar los resultados de la evaluación al Oficial de Privacidad / Cumplimiento y al resto del equipo de respuesta a la infracción.
- Riesgo de robo de identidad o fraude debido al tipo de información perdida, como número de seguro social, información bancaria, números de identificación.
- Riesgo de daño físico si la pérdida pone a una persona en riesgo de acecho o acoso.
- Riesgo de daño, humillación o daño a la reputación cuando la información incluye registros médicos o disciplinarios.
- Número de personas afectadas
- Para determinar qué otros pasos son necesarios de inmediato, el oficial de HIPAA, en colaboración con los departamentos y la administración afectados, investigará las circunstancias de la infracción, determinará la (s) causa (s) raíz, evaluará los riesgos y desarrollará un plan de resolución. El oficial de HIPAA puede consultar con el personal del centro de salud, el director ejecutivo y el asesor legal para desarrollar un plan de resolución.
- Notificación
- El Oficial de HIPAA trabajará con el Director Ejecutivo para decidir el mejor método de notificación y determinar qué puede ser requerido por ley.
- Notificación directa: si así lo exige la ley, la notificación a las personas afectadas por la infracción se producirá lo antes posible después de la infracción.
Los avisos deben proporcionarse sin demora razonable y en ningún caso después de sesenta (60) días después del descubrimiento de la infracción, a menos que la policía u otras leyes estatales o locales aplicables indiquen lo contrario. Los avisos deben estar en lenguaje sencillo e incluir información básica, que incluye:- Qué pasó
- Tipos de PHI involucrados
- Pasos que deben tomar las personas
- Pasos que está tomando la entidad cubierta
- Los avisos de información de contacto deben enviarse por correo de primera clase o si la persona está de acuerdo por correo electrónico. Si hay información de contacto insuficiente o desactualizada, entonces se requiere un aviso sustituto a través de una notificación indirecta como se especifica a continuación.
- Los elementos de notificación necesarios varían según el tipo de infracción y la ley de que se trate. Como resultado, el oficial y el director ejecutivo de SHS HIPAA deben trabajar en estrecha colaboración para redactar cualquier notificación que se distribuya.
- Notificación directa: si así lo exige la ley, la notificación a las personas afectadas por la infracción se producirá lo antes posible después de la infracción.
- Notificación indirecta: como la información del sitio web, los avisos publicados, los medios de comunicación generalmente se producirán solo cuando la notificación directa pueda causar más daño o cuando falte la información de contacto.
- Incumplimiento de 500 o más personas: si un incumplimiento afecta a quinientas (500) o más personas, o la información de contacto es insuficiente, SHS notificará a un medio de comunicación prominente que sea apropiado para el tamaño de la ubicación con las personas afectadas, y se notificará proporcionarse en forma de comunicado de prensa.
- Consideración de múltiples métodos: El uso de múltiples métodos de notificación en ciertos casos puede ser el enfoque más efectivo.
- Los socios comerciales deben notificar a SHS si incurren o descubren una violación de la PHI no protegida. Los socios comerciales deben cooperar con SHS en la investigación y mitigación de la infracción.
- Aviso a Salud y Servicios Humanos (HHS) según lo requiere HIPAA: si el funcionario de HIPAA determina que no se requiere notificación de HIPAA; este aviso tampoco es necesario.
- La información relacionada con las infracciones que involucren a quinientas (500) o más personas, independientemente de la ubicación, debe enviarse al HHS al mismo tiempo que se emiten las notificaciones a las personas.
- Si una infracción involucra a menos de quinientas (500) personas, SHS deberá realizar un seguimiento de todas las infracciones y notificar al HHS dentro de los sesenta (60) días posteriores al final del año calendario.
- El Oficial de HIPAA trabajará con el Director Ejecutivo para decidir el mejor método de notificación y determinar qué puede ser requerido por ley.
- Prevención
- Una vez que se tomen las medidas inmediatas para mitigar los riesgos asociados con la infracción, el oficial de HIPAA investigará la causa de la infracción.
- Si es necesario, esto incluirá una auditoría de seguridad de las medidas físicas, organizativas y tecnológicas.
- Esto también puede incluir una revisión de las medidas de mitigación adoptadas.
- El oficial de HIPAA ayudará al departamento responsable a poner en vigencia las salvaguardas adecuadas contra nuevas infracciones.
- Los procedimientos se revisarán y actualizarán para reflejar las lecciones aprendidas de la investigación y periódicamente a partir de entonces.
- El plan resultante también incluirá recomendaciones de auditoría, si corresponde.
- Una vez que se tomen las medidas inmediatas para mitigar los riesgos asociados con la infracción, el oficial de HIPAA investigará la causa de la infracción.
Cumplimiento y ejecución: Todos los gerentes y supervisores son responsables de hacer cumplir estos procedimientos. Los empleados que violen estos procedimientos están sujetos a medidas disciplinarias que pueden incluir el despido de acuerdo con la Política de sanciones de SHS.
Información y aprobaciones de documentos:
Fecha efectiva: | 07-18-13 | Aprobado por / Fecha: | Liderazgo 18-07-13 |
Fecha de revisión: |
Revisión histórica:
Fecha | Revisión número | Razón para el cambio | Secciones afectadas |