Hvad er HIPAA overtrædelse bøder?
Department of Health and Human Services’ Office For Civil Rights (OCR) og statsadvokater generelt har beføjelse til at udstede sanktioner for HIPAA overtrædelser. Ved siden af de økonomiske sanktioner er dækkede enheder (CEs) yderligere forpligtet ved lov til at vedtage en korrigerende handlingsplan for at bringe politikker og procedurer op til standarden. Disse standarder er af HIPAA lovgivninger.,
Health Insurance Portability and Accountability Act (HIPAA) fra 1996 skabte forudsætninger og standarder, som HIPAA-dækkede enheder skulle overholde. Formålet med denne lovgivning var at holde beskyttede sundhedsoplysninger (PHI) af patienter private. HIPAA tilbyder strenge retningslinjer for, hvem PHI kan deles med, og under hvilke omstændigheder dette er passende.endelig Håndhævelsesregel fra 2006 gav OCR beføjelse til at udstede økonomiske sanktioner (og/eller korrigerende handlingsplaner) til omfattede enheder, der ikke overholder HIPAA-reglerne., I Marts 2013 indførte HIPAA Omnibus-reglen afgifter i overensstemmelse med Health Information Technology for Economic and Clinical Health Act (HITECH) og opdaterede dermed politikker og økonomiske sanktioner.
de nye sanktioner indført af Omnibus-reglen angiver, at HIPAA-overtrædelser nu gælder for sundhedsudbydere, sundhedsplaner, clearinghuse og alle andre dækkede enheder samt forretningsforbindelser (BAs) af dækkede enheder, der viser sig at have overtrådt HIPAA-regler.,
den primære funktion af disse sanktioner er at fungere som afskrækkende for dem, der fristes til at overtræde HIPAA-love. Hvis lovene overtrædes, giver de et middel til at sikre, at dækkede enheder holdes ansvarlige, når de har undladt deres pligt til at beskytte patienternes privatliv og fortroligheden af sundhedsdata.
straffen struktur for en overtrædelse af HIPAA love er differentieret. Tiers er bredt divideret med mængden af viden En dækket enhed havde af overtrædelse af HIPAA love., OCR overvejer de omstændigheder, hvor overtrædelsen fandt sted, og sætter straffen baseret på flere “generelle faktorer” og alvorligheden af HIPAA-overtrædelsen. OCR betragter dog ikke uvidenhed som en undskyldning for at begå en HIPAA-overtrædelse.
hvad udgør en HIPAA-overtrædelse?
en HIPAA – overtrædelse defineres til at være, når en HIPAA – dækket enhed-eller en af deres forretningsforbindelser-ikke overholder en eller flere af bestemmelserne i HIPAA-reglerne om beskyttelse af personlige oplysninger, sikkerhed eller brud.
en overtrædelse kan være bevidst eller utilsigtet., En bevidst overtrædelse vil resultere i, at den maksimale bøde opkræves over for organisationen. Når PHI videregives til en anden part, skal den begrænses til det minimum, der er nødvendigt for at nå det formål, som den videregives til. Hvis der gives mere information end nødvendigt, udgør dette en overtrædelse.
Der er mange regler, som CEs skal være opmærksom på. Den ene er HIPAA-Brudmeddelelsesreglen., En overtrædelse af denne regel kan være, at CE unødigt forsinker udstedelsen af brev om meddelelse af brud til patienter og overskrider den maksimale tidsramme på 60 dage efter opdagelsen af et brud på at udstede underretninger. Dette kan være tilfældigt eller bevidst. En anden regel, der ofte brydes, er kravet om, at CEs skal udføre risikovurderinger i hele organisationen.
sanktioner for HIPAA-overtrædelser kan potentielt udstedes for alle HIPAA-overtrædelser, selvom OCR typisk løser de fleste tilfælde gennem frivillig overholdelse., De gør dette ved at udstede teknisk vejledning eller acceptere en dækket enhed eller forretningsforbindelses plan om at tackle overtrædelserne og ændre politikker og procedurer for at forhindre fremtidige overtrædelser i at forekomme. Økonomiske sanktioner for HIPAA-overtrædelser er forbeholdt de mest alvorlige overtrædelser af HIPAA-regler.
klassificeringerne af HIPAA-overtrædelser
resultatet af en HIPAA-overtrædelse afhænger meget af overtrædelsens alvor., OCR foretrækker at løse HIPAA-overtrædelser ved hjælp af ikke-straffende foranstaltninger, såsom ved frivillig overholdelse eller udstedelse af teknisk vejledning for at hjælpe dækkede enheder med at tackle områder med manglende overholdelse. Hvis overtrædelserne er alvorlige eller er blevet gentaget flere gange, OCR anser økonomiske sanktioner for at være passende.,
De fire kategorier, der benyttes til straffen struktur er som følger:
- Kategori 1: En krænkelse, at den enhed, der er omfattet var uvidende om og ikke kunne have realistisk undgås, havde en rimelig mængde af pleje havde været truffet for at overholde HIPAA Regler
- Kategori 2: En krænkelse, at den enhed, der er omfattet burde have været opmærksom på, men ikke kunne have undgået, selv med en rimelig mængde af pleje., (men falder kort af forsætlig forsømmelse af HIPAA Regler)
- Kategori 3: En overtrædelse lidt som en direkte følge af “forsætlig forsømmelse” af HIPAA Regler, i tilfælde hvor der er gjort forsøg på at korrigere overtrædelse
- Kategori 4: En overtrædelse af HIPAA Regler, der udgør forsætlig forsømmelse, hvor der ikke er gjort forsøg på at korrigere overtrædelse
OCR kunne give afkald på en overtrædelse i tilfælde af ukendt krænkelser. Der er tale om situationer, hvor den omfattede virksomhed ikke kunne forventes at undgå et brud på datasikkerheden., Straffen kan ikke frafaldes, hvis overtrædelsen involverede forsætlig forsømmelse af privatlivets fred, sikkerheds-og Brudanmeldelsesregler.
HIPAA overtrædelse straf struktur
straffen, der opkræves til CEs, der har overtrådt HIPAA, afhænger af alvorligheden af forbrydelsen. OCR overvejer mange faktorer, når de fastlægger sanktioner, såsom Hvor lang tid en overtrædelse varede, antallet af berørte mennesker og arten af de udsatte data. OCR vil også overveje CEs ‘ vilje til at samarbejde ved udstedelse af bøden samt deres nuværende økonomiske situation., Generelle faktorer, der kan påvirke niveauet for økonomisk straf, inkluderer også tidligere historie, organisationens økonomiske tilstand og niveauet for skade forårsaget af overtrædelsen. Generelt er bøderne udstedt pr overtrædelse kategori, per år, at overtrædelsen fortsætter af CE.
et dataovertrædelse eller sikkerhedshændelse, der skyldes enhver overtrædelse, kunne se separate bøder udstedt for forskellige aspekter af overtrædelsen under flere sikkerheds-og privatlivsstandarder. Derfor kan selv en mindre hændelse resultere i en bøde på $50.000 opkrævet mod CE.,
under visse omstændigheder kan en bøde også anvendes dagligt i stedet for årligt. For eksempel, hvis en dækket enhed har nægtet patienter retten til at få kopier af deres medicinske poster, og havde gjort det i en periode på et år, OCR kan beslutte at anvende en straf pr.dag, at den dækkede enhed har været i strid med loven. Straffen multipliceres med 365, ikke med antallet af patienter, der er blevet nægtet adgang til deres medicinske poster.
jurister generaler og HIPAA
i februar 2009 blev HITECH Act (afsnit 13410(e) (1)) indført., Dette gjorde det muligt for statsadvokater generelt at have myndighed til at holde HIPAA-dækkede enheder ansvarlige for eksponeringen af PHI af statslige beboere. De kan også indgive civile handlinger til de føderale distriktsdomstole. HIPAA overtrædelse bøder kan udstedes op til et maksimalt niveau på $25.000 pr overtrædelse kategori, pr kalenderår. Den mindste bøde gældende er $ 100 pr overtrædelse.som et resultat kan en CE, der lider af et dataovertrædelse, der påvirker beboere i flere stater, pålægges at betale HIPAA-overtrædelsesbøder til advokater i flere stater., På nuværende tidspunkt har kun staterne Connecticut, Massachusetts, Indiana, Vermont og Minnesota handlet mod HIPAA-lovovertrædere til dato. Da advokatkontorer imidlertid kan beholde en procentdel af de udstedte bøder, kan flere advokater generelt beslutte at udstede sanktioner for HIPAA-overtrædelser i fremtiden.
HIPAA strafferetlige sanktioner
ud over civile økonomiske sanktioner for HIPAA-overtrædelser kan der i alvorlige tilfælde anlægges kriminelle anklager mod den eller de personer, der er ansvarlige for et brud på PHI., Ligesom økonomiske sanktioner er strafferetlige sanktioner for HIPAA-overtrædelser opdelt i niveauer. En dommer afgør vilkårene for straffen sammen med den økonomiske straf fra sag til sag. Som med OCR overvejes flere generelle faktorer, der vil påvirke den udstedte straf. Hvis en person har draget fordel af tyveri, adgang eller videregivelse af PHI, kan det være nødvendigt, at alle modtagne penge refunderes ud over betaling af en bøde.,
De niveauer for HIPAA strafferetlige sanktioner er:
Tier 1: Rimelig grund eller ingen viden om overtrædelse – Op til 1 år i fængsel
trin 2: Få PHI under falske forudsætninger – Op til 5 års fængsel
Tier 3: Få PHI for personlig vinding eller med ondsindede hensigter – Op til 10 år i fængsel
Der har været en kraftig stigning i antallet af ansatte opdagede at få adgang til eller stjæle PHI. PHI har betydelig økonomisk værdi, især på den sorte., Det er derfor vigtigt, at der indføres kontroller for at begrænse muligheden for enkeltpersoner til at stjæle patientdata, og at systemer og politikker indføres for at sikre forkert adgang og tyveri af PHI identificeres straks.
alt personale, der sandsynligvis vil støde på PHI som en del af deres arbejdsopgaver, bør informeres om HIPAA-straffene, og at overtrædelser ikke kun vil resultere i tab af beskæftigelse, men potentielt også en lang fængselsperiode og en tung bøde. Det er CE ‘ s ansvar at sikre, at deres medarbejdere handler på en ansvarlig måde.,statsadvokater generelt bryder ned på datatyveri og er ivrige efter at gøre eksempler ud af personer, der viser sig at have overtrådt HIPAA-privatlivsregler. En fængselsperiode for tyveri af HIPAA-data er derfor meget sandsynlig, da dette er et stærkt signal til dem, der fristes af de potentielle økonomiske gevinster.
uvidende overtrædelse af HIPAA
som tidligere nævnt kan OCR give afkald på en civil straf for dem, der ubevidst overtrådte HIPAA., Uvidenhed om HIPAA-reglerne betragtes imidlertid ikke som en berettiget undskyldning for en organisation, der ikke har implementeret de passende sikkerhedsforanstaltninger mod overtrædelser, der forekommer.
et eksempel på dette skete tidligere i år. Fjernbetjeningen hjerteovervågningstjeneste CardioNet blev bødet $ 2.5 millioner for ikke fuldt ud at forstå HIPAA-kravene og efterfølgende ikke foretage en komplet risikovurdering.
på grund af den ufuldstændige risikovurdering blev 1391 personers PHI potentielt offentliggjort uden officiel tilladelse., Dette var resultatet af en simpel medarbejderfejl; en bærbar computer, der indeholder dataene, blev stjålet fra en bil parkeret uden for medarbejdernes hjem. OCR-direktør Roger Severino beskrev denne hændelse som et tilfælde af, at CE ubevidst krænker HIPAA ved at se bort fra sikkerhed og ikke beskytte oplysningerne korrekt.
HIPAA-Overholdelsesrevisioner og sanktioner for HIPAA-overtrædelser
Hvis en revision er afsluttet, og det konstateres, at en CE eller BA ikke har overholdt HIPAA-reglerne, har OCR myndighed til at udstede sanktioner for HIPAA-manglende overholdelse., Dette kan forekomme, selvom der ikke har været nogen overtrædelse af PHI eller ingen klage.
den første fase af HIPAA-overholdelsesrevisioner blev gennemført i 2011/2012 og afslørede, at mange dækkede enheder kæmpede med overholdelse. OCR ydet teknisk bistand til at hjælpe disse enheder rette områder af manglende overholdelse og ingen sanktioner for HIPAA overtrædelser blev udstedt. De fik flere år til at forbedre deres præstationer, før en anden revision var planlagt.
nu, 5 år efter, er OCR i færd med at gennemføre denne anden fase af revisioner., Revisionerne gennemføres ikke med det specifikke formål at finde HIPAA-overtrædelser og udstede økonomiske sanktioner, selv om der opdages alvorlige overtrædelser af HIPAA-regler, kan økonomiske sanktioner anses for passende. CEs har haft rigelig tid til at udvikle deres overholdelsesprogrammer. Denne gang forventes OCR ikke at være så mild.
revisionerne har opdaget, at de største områder for manglende overholdelse af HIPAA-regler, der blev opdaget i den første fase af overholdelsesrevisioner, var manglende gennemførelse af en omfattende risikovurdering for hele organisationen.,
risikovurderingen er af største betydning for organisationens sikkerhed. Hvis der ikke foretages en risikovurdering, vil en dækket enhed være uvidende om, hvorvidt der findes sikkerhedssårbarheder, der udgør en risiko for ePHI ‘ s fortrolighed, integritet og tilgængelighed. Disse risici vil derfor ikke blive forvaltet og reduceret til et acceptabelt niveau. OCR vil ofte håndhæve økonomiske sanktioner, hvis de har fundet utilstrækkelige risikovurderinger, der udføres.,
manglen på at gennemføre Business Associate Agreements (BAAs) med tredjepartstjenesteudbydere kan også resultere i sanktioner for HIPAA-manglende overholdelse. Flere dækkede enheder er blevet idømt bøder for ikke at revidere BAAs skrevet før September 2014, da alle eksisterende kontrakter blev ugyldiggjort af den endelige Omnibus-regel. I September 2016 blev Care ne.England Health System bødet $400,000 for HIPAA-manglende overholdelse, der omfattede manglende revision af en BAA, der oprindeligt blev underskrevet i marts 2005.baas er et centralt område, som OCR vil holde øje med i hele sit revisionsprogram., BAAs-kontrakter, der fastlægger de tilladte anvendelser og tilladte afsløringer af PHI – skal underskrives med enhver tredjepartstjenesteudbyder, som PHI er afsløret med (inklusive advokater).
nylige sanktioner for HIPAA-overtrædelser
mellem januar og marts 2017 aftalte OCR otte bosættelser for at løse HIPAA-overtrædelser, der blev opdaget under undersøgelser af dataovertrædelser og klager. Der er også udstedt en civil monetær straf.,
formålet med disse sanktioner for HIPAA-overtrædelser er delvis at straffe dækkede enheder for alvorlige overtrædelser af HIPAA-regler, men også at sende en besked til andre sundhedsorganisationer om, at manglende overholdelse af HIPAA-regler ikke er acceptabel.
et resum: af 2017-sanktionerne for HIPAA-overtrædelser er beskrevet nedenfor: