下载
有效日期:2017年4月10日 修正:2025年3月11日
策略
信息管理,隐私和安全

BU健康计划的HIPAA政策:政策7,违规行为

负责办公室 澳门威尼斯人注册网站研究合规

本政策7是HIPAA BU健康计划政策手册的一部分- BU健康计划受保护健康信息的隐私和安全。

7.1报告潜在违规行为的义务

任何员工在得知可能发生了PHI违规行为时,必须立即通知其主管和/或BU健康计划的HIPAA联系人。HIPAA联系人应确保报告立即转发给BU HIPAA隐私官。报告可发送至波士顿大学HIPAA隐私官hipaa@bu.edu。

如果潜在的违规行为涉及电子信息,员工还必须通过irt@bu.edu或617-358-1100通知BU信息安全事件响应小组

在员工被要求报告的情况下,未能报告可能导致纪律处分,直至并包括终止雇佣关系。

7.2减轻潜在违约的义务

如果防火墙内的员工发现误用或错误披露PHI,该员工将自行或寻求防火墙内其他人的帮助,采取合理措施终止或限制误用。

如果,根据滥用或错误披露的特殊情况,这样做是合理的,HIPAA隐私官或指定人员可能会被要求评估具体情况,并确定是否需要采取任何进一步的纠正措施。

如果业务伙伴的行为或活动模式违反了隐私法规,则防火墙内的员工或HIPAA隐私官将采取合理措施纠正该违规行为。如果这些措施不成功,则可以终止合同,并根据HIPAA和这些政策和程序采取措施报告安全事件或违反不安全PHI的行为。

如果BU的内部职能违反了隐私法规,HIPAA隐私官将决定适当的步骤,包括违规通知、与相关计划参与者的联系、制裁的应用、再培训等。

BU健康计划将在可行的范围内减轻因违反HIPAA隐私法规而未经授权使用或披露PHI所造成的任何有害影响。

BU健康计划未经授权使用或披露PHI的示例:

  • 防火墙内的员工从业务伙伴接收索赔数据报告,并将其转发给防火墙内的员工进行审查和分析。报告意外地通过电子邮件或办公室间邮件发送给了错误的人。一旦检测到错误,防火墙内的员工应采取合理步骤从接收文件的人那里检索文件。作为一种合理的预防措施,以电子方式处理包含PHI的电子邮件、文件或报告的员工可以建立一个地址簿,专门列出防火墙内的其他人。
  • BU健康计划意识到其公司防火墙遭到有意或无意的电子破坏。在这种情况下,可能需要BU内部的信息技术专家来评估特定数据是否被不当访问。如果确定此类数据包含ePHI,则集团健康计划将尽一切合理努力确保重新获取和/或销毁ePHI,并可能根据HIPAA的违规通知规则,采取措施识别并通知作为此类ePHI主体的个人有关违规行为。
  • BU健康计划意识到业务助理会与不在防火墙内员工名单上的人员讨论PHI(即,与主管或同事讨论参与者的索赔)。BU健康计划将与业务伙伴联系,并采取合理措施纠正违规行为,包括验证该业务伙伴是否使用了防火墙内的适当员工名单。
  • BU Health Plans意识到业务伙伴正在向制药公司共享或出售参与者姓名和/或诊断结果。BU Health Plans将联系业务伙伴并采取合理措施纠正违规行为,终止合同,并根据HIPAA违规通知规则的要求,通知受影响的个人和HHS。
  • BU健康计划意识到业务伙伴已将包含PHI的身份证或其他文件邮寄给:(i)错误的参与者;或(ii)通过信封窗口可以看到PHI。BU Health Plans将联系业务伙伴,并要求其采取合理措施纠正邮件,包括根据HIPAA的违规通知规则,识别并联系所有可能以这种方式无意中泄露PHI的个人。

7.3禁止报复

波士顿大学健康计划或与波士顿大学有关联的任何其他人不得对行使这些政策或法律规定的任何权利或参与这些政策或法律规定的任何程序的任何个人进行恐吓、威胁、胁迫、歧视或采取其他报复澳门威尼斯人注册行动,其中包括:

  • 向波士顿健康计划提出投诉;
  • 向政府当局投诉;
  • 协助或参与BU或其代理人的调查或合规审查;
  • 在HIPAA下政府当局的诉讼或听证会上作证;或
  • 反对任何被HIPAA认定为非法的行为或行为,前提是个人真诚地相信所反对的行为是非法的,反对的方式是合理的,并且不涉及不允许的PHI披露。

报告违规行为的个人可能受到大学道德行为准则的保护。

7.4对潜在违规报告的回应:调查和补救措施

接收、记录和调查报告的责任BU的HIPAA隐私官和HIPAA安全官将:

  • 接收并回复有关违反本政策或HIPAA使用或披露PHI的所有通知;
  • 记录所有潜在违规行为的报告;
  • 根据大学的数据泄露管理计划进行调查,以确定情况是否构成泄露;和
  • 记录结论。

在调查电子事件时,HIPAA安全官员或HIPAA联系人应遵循信息安全第一响应者清单,以确保保存关键证据。此外,任何员工都应采取合理的预防措施,防止对信息的物理威胁,例如关闭打开的门,锁定橱柜和门以及类似的步骤。

鉴于调查的性质,如果有要求,BU将尽一切合理努力保护举报违反法律或BU HIPAA政策或程序的人员的机密性。

如果在违反BU政策或HIPAA要求的情况下使用或披露了PHI, BU将在可行的范围内减轻任何已知的有害影响。视乎情况而定,可采取的澳门威尼斯人注册行动包括:

  • 如果违规行为涉及持续未经授权披露PHI,将立即采取措施终止该行为;
  • 如果违规行为涉及非法活动或行为,将停止该活动或行为,并将违规行为通知总法律顾问办公室;或
  • 如果通过对HIPAA政策和程序、培训或指导进行更改可以或可能在将来防止相同或类似的违规行为,则将制定此类更改并及时传达给所有受影响的员工。

7.5违约通知

如果BU HIPAA隐私和/或安全官员确定发生了违规行为,它将根据HIPAA的适用和要求通知受影响的个人、媒体和秘书,并将采取适当的补救措施。

7.6执行和制裁

员工如果被认定违反了HIPAA政策手册或承保组件的政策或程序中的任何政策,可能会受到纪律处分,直至并包括终止雇佣关系。

澳门威尼斯人注册本政策的其他资源

相关的BU政策和程序

部网站