jaké jsou pokuty za porušení HIPAA?
úřad ministerstva zdravotnictví a lidských služeb pro občanská práva (OCR) a státní zástupci mají pravomoc vydávat sankce za porušení HIPAA. Vedle finanční sankce, na něž subjekty (CEs) jsou dále ze zákona povinen přijmout nápravná opatření v plánu přivést politik a postupů do standardní. Tyto standardy jsou podle HIPAA legislativ.,
zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA) z roku 1996 vytvořil náležitosti a standardy, které měly subjekty kryté HIPAA dodržovat. Cílem této legislativy bylo udržet chráněné zdravotní informace (PHI) pacientů v soukromí. HIPAA nabízí přísné pokyny, s nimiž lze PHI sdílet, a za jakých okolností je to vhodné.
vynucovací konečné pravidlo z roku 2006 dalo OCR pravomoc vydávat finanční sankce (a/nebo plány nápravných opatření) krytým subjektům, které nedodržují pravidla HIPAA., V březnu 2013 zavedlo pravidlo HIPAA Omnibus poplatky v souladu se zákonem o zdravotnických informačních technologiích pro hospodářské a klinické zdraví (HITECH), čímž aktualizovalo politiky a finanční sankce.
nové sankce zavedené Omnibus právního státu, který porušení HIPAA nyní požádat, aby poskytovatelé zdravotní péče, zdravotní pojištění, zdravotní péče, clearinghouses a všechny dotčené subjekty, jakož i obchodní partnery (BAs) pojištěných subjektů, které se zjistí, že porušil Pravidla PŘÍSAHY.,
primární funkcí těchto sankcí je působit jako odstrašující prostředek pro ty, kteří jsou v pokušení porušovat zákony HIPAA. Pokud jsou zákony porušovány, poskytují prostředky k zajištění zahrnuté subjekty jsou zodpovědní, když neplní svou povinnost chránit soukromí pacientů i důvěrnost údajů o zdravotním stavu.
struktura trestů za porušení zákonů HIPAA je odstupňovaná. Úrovně jsou obecně rozděleny podle množství znalostí, které měla krytá entita o porušení zákonů HIPAA., OCR zvažuje okolnosti, za kterých došlo k porušení, a stanoví trest na základě několika „obecných faktorů“ a závažnosti porušení HIPAA. OCR však nepovažuje nevědomost za omluvu za spáchání porušení HIPAA.
co představuje porušení HIPAA?
HIPAA porušení je definována, když HIPAA něž se subjekt–, nebo jeden z jejich obchodní partner – nesplňuje jedno nebo více z ustanovení HIPAA Soukromí, Bezpečnost, nebo Oznámení o Porušení Pravidel.
porušení může být úmyslné nebo neúmyslné., Úmyslné porušení bude mít za následek, že bude vůči organizaci uložena maximální možná pokuta. Pokud je společnost PHI zpřístupněna jiné straně, musí být omezena na minimální nezbytné informace k dosažení účelu, pro který je zveřejněna. Pokud je poskytnuto více informací, než je nutné, představuje to porušení.
existuje mnoho pravidel, která z nich musí být vědoma. Jedním z nich je pravidlo oznámení o porušení HIPAA., Porušení tohoto pravidla může být CE zbytečně zdržovat vydání upozornění na porušení dopisy pacientů a překročení maximální lhůtě 60 dnů po zjištění porušení vydávat oznámení. To může být náhodné nebo úmyslné. Dalším pravidlem, které je často porušováno, je požadavek, aby CEs prováděl hodnocení rizik v celé organizaci.
sankce za porušení HIPAA mohou být potenciálně vydány za všechna porušení HIPAA, ačkoli OCR obvykle řeší většinu případů dobrovolným dodržováním., Dělají to tím, že vydávají technické pokyny nebo přijmou plán krytého subjektu nebo obchodního společníka na řešení porušení a změny politik a postupů, aby se zabránilo budoucím porušením. Finanční sankce za porušení HIPAA jsou vyhrazeny pro nejzávažnější porušení pravidel HIPAA.
klasifikace porušení HIPAA
výsledek porušení HIPAA silně závisí na závažnosti porušení., OCR dává přednost řešení porušení HIPAA pomocí ne-represivních opatření, jako je dobrovolné dodržování předpisů nebo vydávání technických pokynů, které pomáhají krytým subjektům řešit oblasti nedodržení předpisů. Pokud jsou porušení závažná nebo byla několikrát opakována, OCR považuje finanční sankce za vhodné.,
čtyři kategorie použito pro trest struktury jsou následující:
- Kategorie 1: porušení, které se týkalo subjekt byl vědom, a nemohla reálně vyhnout, měl přiměřené množství péče byla přijata k dodržování HIPAA Pravidel
- Kategorie 2: porušení, které se týkalo subjekt by si měl být vědom, ale nemohl zabránit ani při přiměřené péči., (ale zaostává o úmyslné zanedbávání HIPAA Pravidla)
- Kategorie 3: porušení utrpěla jako přímý důsledek „úmyslného zanedbávání“ HIPAA Pravidel v případech, kdy byl učiněn pokus k nápravě porušení
- Kategorie 4: porušení HIPAA Pravidla tvoří úmyslného zanedbání, kde nebyl učiněn jediný pokus k nápravě porušení
OCR může upustit porušení v případě neznámého porušení. Jedná se o situace, kdy se od krytého subjektu nemohlo očekávat, že se vyhne narušení údajů., Trest nelze upustit, pokud se jedná o porušení úmyslného zanedbání soukromí, zabezpečení a porušení pravidel oznámení.
struktura porušení HIPAA
trest uložený CEs, který porušil HIPAA, závisí na závažnosti trestného činu. OCR považuje mnoho faktorů při určování sankcí, jako je doba, po kterou došlo k porušení, počet postižených osob a povaha vystavených údajů. OCR bude také zvažovat ochotu CEs spolupracovat při vydávání pokuty, stejně jako jejich současnou finanční situaci., Obecné faktory, které mohou ovlivnit úroveň finančního postihu, zahrnují také předchozí historii, finanční situaci organizace a výši škody způsobené porušením. Obecně platí, že pokuty jsou vydávány za kategorii porušení, za rok, kdy porušení přetrvává CE.
narušení dat nebo bezpečnostní incident, který vyplývá z jejich porušení by mohlo viz samostatný pokut za různé aspekty porušení pod více bezpečnosti a ochrany soukromí normy. Proto i menší incident by mohl vést k pokutě ve výši $50,000 vybírané proti CE.,
za určitých okolností může být pokuta aplikována také denně namísto ročně. Například, pokud se vztahuje subjektu byla popírání pacientům právo na získání kopie jejich lékařských záznamů, a byl tak po dobu jednoho roku, OCR může rozhodnout, že sankci za den, že zahrnuté subjekty byla v rozporu se zákonem. Trest by se vynásobil 365, nikoli počtem pacientů, kterým byl odepřen přístup k jejich lékařským záznamům.
generálové advokátů a HIPAA
v únoru 2009 byl zaveden zákon o HITECH(oddíl 13410 (e) (1))., To umožnilo generálním státním zástupcům mít pravomoc držet subjekty kryté HIPAA odpovědné za vystavení PHI státních obyvatel. Mohou také podat civilní žaloby u federálních okresních soudů. HIPAA porušení pokuty mohou být vydány až do maximální úrovně $25,000 za kategorii porušení, za kalendářní rok. Minimální pokuta je 100 dolarů za porušení.
Jako výsledek, CE utrpení narušení dat, které ovlivňují obyvatele ve více státech, může být nařízeno zaplatit HIPAA porušení pokuty se zástupci ve více státech., V současné době proti pachatelům HIPAA dosud jednaly pouze státy Connecticut, Massachusetts, Indiana, Vermont a Minnesota. Vzhledem k tomu, že generální prokurátoři si mohou ponechat procento vydaných pokut, může se v budoucnu rozhodnout udělit sankce za porušení HIPAA.
HIPAA trestní sankce
kromě občanských finančních sankcí za porušení HIPAA lze ve vážných případech podat trestní oznámení na jednotlivce(osoby) odpovědné za porušení PHI., Stejně jako finanční sankce jsou trestní sankce za porušení HIPAA rozděleny do úrovní. Soudce rozhoduje o podmínkách trestu spolu s finanční pokutou případ od případu. Stejně jako u OCR se zvažuje několik obecných faktorů, které ovlivní vydanou pokutu. Pokud jednotlivec profitoval z krádeže, přístupu nebo zveřejnění PHI, může být nezbytné, aby všechny přijaté peníze byly vráceny, kromě zaplacení pokuty.,
úrovně přesnosti pro HIPAA tresty jsou:
Tier 1: Rozumný důvod, nebo žádné znalosti o porušení – Až 1 rok vězení,
Tier 2: Získání PHI pod falešnou záminkou – Až 5 let ve vězení,
Tier 3: Získání PHI pro osobní zisk, nebo se zlým úmyslem – Až 10 let ve vězení,
došlo k prudkému nárůstu počtu zaměstnanců objeven být přístup nebo krádež PHI. PHI má značnou finanční hodnotu, zejména na černé., Je proto nezbytné, aby byly zavedeny kontroly, které omezí možnost jednotlivců ukrást údaje o pacientech, a aby byly zavedeny systémy a politiky, které zajistí okamžitý přístup a krádež PHI.
Všichni zaměstnanci pravděpodobné, že narazíte na PHI jako součást jejich pracovních povinností by měla být informována o HIPAA trestní sankce, a že porušení bude mít za následek nejen ztrátu zaměstnání, ale potenciálně také dlouhé vězení a vysokou pokutu. Je odpovědností CE zajistit, aby jejich zaměstnanci jednali odpovědným způsobem.,
Státní zástupci jsou rázná opatření na krádež dat a jsou rádi, aby příklady z jednotlivců zjištěno, že porušil PŘÍSAHY Soukromí Pravidla. Vězení za krádež dat HIPAA je proto velmi pravděpodobné, protože to je silný signál pro ty, kteří jsou v pokušení potenciálními finančními zisky.
Nevědomého Porušení HIPAA
Jak již bylo zmíněno, OCR může upustit od občanskoprávní sankci pro ty, kteří nevědomky porušil PŘÍSAHY., Neznalost předpisů HIPAA však není považována za ospravedlnitelnou omluvu pro organizaci,která neprovedla vhodné záruky proti porušení předpisů.
příkladem toho došlo začátkem tohoto roku. Vzdálené monitorování srdeční činnosti služby CardioNet byl pokutován $2,5 milionu za neschopnost plně pochopit HIPAA požadavky a následně selhání, aby provedla úplné posouzení rizik.
vzhledem k neúplnému posouzení rizik bylo PHI 1 391 jedinců potenciálně zveřejněno bez oficiálního povolení., To bylo důsledkem jednoduché chyby zaměstnance; notebook obsahující data byl ukraden z auta zaparkovaného před domem zaměstnanců. OCR Ředitel Roger Severino popsal tuto událost jako případ CE nevědomky porušují PŘÍSAHY tím, že nedbají bezpečnosti a nechránili informace správně.
HIPAA Compliance Audity a Sankce za Porušení HIPAA
Pokud audit je dokončen a CE nebo BA není v souladu s předpisy HIPAA, OCR má pravomoc ukládat sankce za nedodržení PŘÍSAHY., K tomu může dojít, i když nedošlo k porušení PHI nebo žádné stížnosti.
první fáze auditů dodržování předpisů HIPAA byla provedena v 2011/2012 a odhalila, že mnoho krytých subjektů bojovalo s dodržováním předpisů. OCR poskytla technickou pomoc, aby pomohla těmto subjektům opravit oblasti nedodržování předpisů a nebyly vydány žádné sankce za porušení HIPAA. Dostali několik let na to, aby zlepšili svůj výkon, než byl naplánován další audit.
nyní, po 5 letech, je OCR v procesu provádění této druhé fáze auditů., Audity nejsou prováděny s konkrétním cílem zjištění porušení HIPAA a vydávání finanční sankce, i když v případě závažných porušení HIPAA Pravidla jsou objeveny, finanční sankce mohou být považovány za vhodné. CEs měli dostatek času na rozvoj svých programů dodržování předpisů. Tentokrát se neočekává, že OCR bude tak shovívavý.
audity zjistily, že největší oblastí nedodržování pravidel HIPAA zjištěných během první fáze auditů shody bylo neprovedení komplexního, organizačně rozsáhlého posouzení rizik.,
hodnocení rizik má nejvyšší význam pro bezpečnost organizace. Pokud posouzení rizik není provedeno, krytý subjekt nebude vědět, zda existují nějaké bezpečnostní zranitelnosti, které představují riziko pro důvěrnost, integrita, a dostupnost ePHI. Tato rizika proto nebudou řízena a snížena na přijatelnou úroveň. OCR bude často vymáhat finanční sankce, pokud zjistí, že byla provedena nedostatečná hodnocení rizik.,
neschopnost dokončit Obchodní partner Dohody (BAAs) s poskytovateli služeb třetích stran, může také za následek sankce za nedodržení PŘÍSAHY. Několik dotčených subjektů bylo pokutováno za to, že se nepodařilo revidovat BAAs napsané před zářím 2014, kdy byly všechny stávající smlouvy zrušeny konečným pravidlem Omnibus. V září 2016 byl zdravotnický systém Care New England pokutován $400,000 za nedodržení HIPAA, které zahrnovalo selhání revize BAA původně podepsané v březnu 2005.
BAAs jsou klíčovou oblastí, kterou OCR bude sledovat v celém svém auditním programu., BAAs-smlouvy, které stanoví povolené použití a přípustné zveřejňování PHI-by měly být podepsány s každým poskytovatelem služeb třetích stran, s nimiž je PHI zveřejněno (včetně právníků).
nedávné sankce za porušení HIPAA
mezi lednem a březnem 2017 se OCR dohodla na osmi osadách, aby vyřešila porušení HIPAA objevená během vyšetřování porušení dat a stížností. Byl také vydán jeden občanský peněžitý trest.,
účelem těchto sankcí za porušení HIPAA je částečně potrestat kryté subjekty za závažné porušení pravidel HIPAA, ale také poslat zprávu jiným zdravotnickým organizacím, že nedodržování pravidel HIPAA není přijatelné.
shrnutí sankcí za porušení HIPAA za rok 2017 je podrobně popsáno níže: