違反通知

姓名：  違反通知政策

文件類型：政策程序    X標準X培訓/工作說明

標準： 概述了根據《隱私法》，1996年《健康保險可移植性和責任法案》（HIPAA），經濟和臨床健康信息技術的目的，將不安全的受保護健康信息（PHI）告知受影響的個人違反受保護信息的過程。健康法案（HITECH）和/或州違規通知目的。

範圍

這適用於根據與SHS簽訂的合同協議工作的所有員工，志願者和其他個人。

A.定義

國家違約 –未經授權獲取或有理由相信未經授權獲取個人信息會損害個人信息的安全性，機密性或完整性。
個人信息 - 表示當姓名或數據元素未加密或編輯時，個人的名字或姓氏和以下任何一個或多個數據元素的組合：

1. 社會安全號碼
2. 駕駛執照號碼或州身份證號碼
3. 帳號或信用卡或借記卡號，或
4. 信用卡號的帳號，以及允許訪問個人金融帳戶的任何必需的安全碼，訪問碼或密碼，均應結合使用。

個人信息不包括從聯邦，州或地方政府記錄中合法提供給公眾的公開信息。 （來源815 ILCS 530/5）秒5.定義）。

HIPAA違規 –未經授權獲取，訪問，使用或披露不安全的PHI。

個人身份信息（PII）–包含個人姓名和以下一項或多項內容的任何形式的信息：社會保險號，駕駛執照或州ID，帳號，信用卡號，借記卡號，個人密碼，安全密碼，密碼，個人ID號，照片，指紋或其他可用於識別個人身份的信息。

個人可識別健康信息（IIHI）–個人識別信息，包括與過去，現在或將來的狀況，治療，付款或向被識別人員提供醫療保健有關的信息。

違反隱私法– 未經授權的獲取或合理相信未經授權的獲取受《隱私法》保護的個人信息。該信息包括但不限於社會安全號碼，政府發行的身份證號，金融帳號或其他可能造成身份盜用的信息。

私人信息– 受《隱私法》，個人身份信息，個人信息和受保護的健康信息共同保護的信息。

受保護的健康信息（PHI） –個人可識別的健康信息，但FERPA涵蓋的教育記錄和就業記錄除外。

B.程序

1. 報告可能的違規行為
   1. 通知主管和HIPAA官員：任何員工在SHS的保管或控制中意識到可能涉及隱私的侵犯隱私的行為，將立即通知其主管/經理和HIPAA官員。如果發現其他可能的違規行為，應立即通知您，或在輪班結束之前通知其他職責，但是，在任何情況下都不應遲於發現後二十四（24）小時進行通知。主管/經理將核實可能違規的情況，並在初次報告的二十四（24）小時內通知HIPAA官員和部門總監。
   2. 通知HIPAA官員-通知方法：
      1. 異常情況報告將完成並傳真給風險經理，電話：618-985-6860
      2. 您可以直接致電618-956-9506與HIPAA官員聯繫。
      3. 向HIPAA官員提供盡可能多的詳細信息。
      4. 響應來自HIPAA官員的其他信息請求。
      5. 請注意，HIPAA官員有義務根據任何合理的信念（即私人信息遭到破壞）採取後續行動。
   3. HIPAA官員將考慮到違規的嚴重性和範圍，酌情通知執行主任。
2. 遏制違約
   隱私/合規官將與部門合作，立即遏制該違規行為，以限制該違規行為的範圍和影響。示例包括但不限於：
   1. 停止未經授權的行為
   2. 恢復記錄（如果可能）
   3. 關閉被破壞的系統
   4. 盡可能減少違規
   5. 糾正安全措施中的弱點
   6. 如果違規行為涉及或可能涉及任何犯罪活動，請通知包括地方警察局在內的有關當局
3. 調查和評估與違約相關的風險
   1. 為了確定迫在眉睫的其他步驟，HIPAA官員將與受影響部門和主管部門合作，調查違規情況，確定根本原因，評估風險並製定解決方案。 HIPAA官員可諮詢衛生中心工作人員，執行董事和法律顧問以製定解決方案。
      1. 所涉及的PHI的性質和範圍：考慮所涉及的PHI的性質和程度，包括標識符的類型以及可能性或重新識別。考慮一下–信息（財務，臨床，直接標識符）的敏感性如何。
      2. 使用PHI或向其進行披露的未經授權的人。
      3. 是實際獲取還是查看了PHI：低概率示例–對被盜筆記本電腦的法醫分析表明沒有違規；違反的可能性很高，其中包括未經授權的收件人聯繫人所覆蓋的實體，以報告接收到的PHI錯誤，間歇地查看PHI。
      4. 減少PHI風險的程度：如果PHI傳輸不當，Shawnee會努力降低風險，例如確保收件人將銷毀PHI。
   2. 確定根本原因，評估風險並製定解決方案。 HIPAA辦公室可以諮詢健康中心工作人員，執行主任和/或法律顧問以製定解決方案。
   3. HIPAA官員將與執行主任合作，在確定是否通知受到違規影響的個人時，將考慮幾個因素，包括但不限於：
      1. 合同義務
      2. 法律義務– SHS法律顧問應完成對潛在違規行為的單獨法律評估，並將評估結果提供給隱私/合規官以及違規應對團隊的其他成員
      3. 由於丟失的信息類型（例如，社會保險號，銀行信息，身份證號）而導致身份被盜或欺詐的風險
      4. 如果損失使個人面臨纏擾或騷擾的危險，則有遭受人身傷害的風險
      5. 當信息包含醫療或學科記錄時，有遭受傷害，屈辱或聲譽受損的風險
      6. 受影響的人數
4. 通知
   1. HIPAA官員將與執行主任合作，確定最佳的通知方式，並確定法律可能要求的內容。
      1. 直接通知：如果法律要求，將在違規後儘快通知受違規行為影響的個人。
         除非有執法機構或其他適用的州或地方法律另行指示，否則必須在沒有合理延遲的情況下且在任何情況下不得遲於發現違規後六十（60）天之內提供通知。通知必須使用簡單的語言，並包括基本信息，其中包括：
         1. 發生了什麼
         2. 涉及的PHI類型
         3. 個人應採取的步驟
         4. 實體正在採取的步驟
         5. 聯繫信息通知應以頭等郵件或個人同意的方式發送。如果沒有足夠或過期的聯繫信息，則需要通過以下方式通過間接通知發出替代通知。
      2. 通知所必需的元素根據違反的類型和所涉及的法律而有所不同。因此，SHS HIPAA官員和執行總監應緊密合作以草擬已分發的任何通知。
   2. 間接通知：網站信息，發布的通知，媒體等通常只會在直接通知可能造成進一步傷害或缺少聯繫信息的情況下發生。
   3. 違反500個或更多個人：如果違規影響五百（500）個或更多個人，或者聯繫信息不足，SHS將通知一個適合與受影響個人所在地區大小相稱的知名媒體。以新聞稿的形式提供。
   4. 考慮多種方法：在某些情況下，使用多種通知方法可能是最有效的方法。
   5. 如果業務夥伴招致或發現違反無擔保PHI的行為，則必須通知SHS。業務夥伴必須與SHS合作調查和緩解違規行為。
   6. HIPAA要求的健康與公共服務（HHS）通知–如果HIPAA官員確定不需要HIPAA通知；此通知也不是必需的。
      1. 無論涉及何處，涉及五百（500）個或更多個人的違規信息都必須在發出個人通知的同時提交給HHS。
      2. 如果違規事件涉及少於五百（500）個人，則SHS將被要求跟踪所有違規行為，並在日曆年結束後的六十（60）天內通知HHS。
5. 預防
   1. 一旦立即採取措施減輕與違規相關的風險，HIPAA官員將調查違規的原因。
      1. 如有必要，這將包括對物理，組織和技術措施的安全審核。
      2. 這也可能包括對所採取的任何緩解措施的審查。
   2. HIPAA官員將協助負責部門實施適當的防範措施，以防止進一步的違規行為。
   3. 將對程序進行審查和更新，以反映從調查中汲取的經驗教訓，此後定期進行。
   4. 如果合適，最終的計劃還將包括審計建議。

合規與執法： 所有經理和主管都有責任執行這些程序。違反這些程序的員工將受到最高SHS制裁政策的紀律處分，包括解僱。

文件信息與批准:

修訂記錄: