¿qué son las multas por violación de la HIPAA?
La Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos y los fiscales generales estatales tienen el poder de emitir sanciones por violaciones de HIPAA. Además de las sanciones financieras, las entidades cubiertas (CEs) están obligadas por ley a adoptar un plan de acción correctiva para llevar las políticas y procedimientos a la norma. Estos estándares son por las legislaciones HIPAA.,
la Ley de portabilidad y responsabilidad del seguro de salud (HIPAA) de 1996 creó requisitos y normas a los que las entidades cubiertas por HIPAA debían adherirse. El objetivo de esta legislación era mantener privada la información de salud protegida (PHI) de los pacientes. HIPAA ofrece pautas estrictas en cuanto a con quién se puede compartir la PHI, y bajo qué circunstancias esto es apropiado.
La regla final de cumplimiento de 2006 le dio a la OCR El poder de emitir sanciones financieras (y / o planes de acción correctiva) a las entidades cubiertas que no cumplan con las reglas de HIPAA., En marzo de 2013, la HIPAA Omnibus Rule introdujo cargos en línea con LA Health Information Technology for Economic and Clinical Health Act (HITECH), actualizando así las políticas y las sanciones financieras.
las nuevas sanciones introducidas por la regla general establecen que las violaciones de la HIPAA ahora se aplican a los proveedores de atención médica, los planes de Salud, las cámaras de compensación de atención médica y todas las demás entidades cubiertas, así como a los socios comerciales (BAs) de las entidades cubiertas que se determine que han violado las reglas de la HIPAA.,
la función principal de estas sanciones es actuar como un elemento disuasorio para aquellos tentados a violar las leyes HIPAA. Si se violan las leyes, proporcionan un medio para garantizar que las entidades cubiertas rindan cuentas cuando no han cumplido con su deber de proteger la privacidad de los pacientes y la confidencialidad de los datos de salud.
la estructura de sanciones por una violación de las leyes HIPAA es escalonada. Los niveles se dividen ampliamente por la cantidad de conocimiento que una entidad cubierta tenía de la violación de las leyes HIPAA., La OCR considera las circunstancias en las que se produjo la violación y establece la sanción en función de varios «factores generales» y la gravedad de la violación de la HIPAA. Sin embargo, la OCR no considera la ignorancia como una excusa para cometer una violación de la HIPAA.
¿qué constituye una violación de HIPAA?
una violación de la HIPAA se define como cuando una entidad cubierta por la HIPAA, o uno de sus socios comerciales, no cumple con una o más de las disposiciones de las reglas de notificación de privacidad, seguridad o incumplimiento de la HIPAA.
una violación puede ser deliberada o no intencional., Una violación deliberada resultará en la imposición de la multa máxima posible contra la organización. Cuando la PHI se divulga a otra parte, debe limitarse a la información mínima necesaria para lograr el propósito para el que se divulga. Si se proporciona más información de la necesaria, esto constituye una violación.
Hay muchas reglas que los CEs deben tener en cuenta. Una de las cuales es la regla de notificación de incumplimiento de HIPAA., Una violación de esta regla puede ser que la CE demore innecesariamente la emisión de cartas de notificación de incumplimiento a los pacientes y exceda el plazo máximo de 60 días después del descubrimiento de una violación para emitir notificaciones. Esto puede ser accidental o deliberado. Otra regla que con frecuencia se rompe es el requisito de que los CEs realicen evaluaciones de riesgos en toda la organización.
Las sanciones por violaciones de la HIPAA pueden ser potencialmente emitidas para todas las violaciones de la HIPAA, aunque la OCR normalmente resuelve la mayoría de los casos a través del cumplimiento voluntario., Lo hacen emitiendo orientación técnica o aceptando el plan de una entidad cubierta o socio comercial para abordar las violaciones y cambiar las políticas y procedimientos para evitar que ocurran violaciones futuras. Las sanciones financieras por violaciones de la HIPAA están reservadas para las violaciones más graves de las reglas de la HIPAA.
las clasificaciones de violación de HIPAA
el resultado de una violación de HIPAA depende en gran medida de la gravedad de la violación., La OCR prefiere resolver las violaciones de la HIPAA utilizando medidas no punitivas, como el cumplimiento voluntario o la emisión de orientación técnica para ayudar a las entidades cubiertas a abordar las áreas de incumplimiento. Si las violaciones son graves o se han repetido varias veces, La OCR considera apropiadas las sanciones financieras.,
Las cuatro categorías utilizadas para la estructura de sanciones son las siguientes:
- Categoría 1: una violación que la entidad cubierta desconocía y que no podría haber evitado de manera realista, si se hubiera tenido un cuidado razonable para cumplir con las reglas de HIPAA
- Categoría 2: una violación que la entidad cubierta debería haber tenido conocimiento pero que no podría haber evitado incluso con un cuidado razonable.,
- Categoría 3: una violación sufrida como resultado directo de la «negligencia deliberada» de las reglas de la HIPAA, en los casos en que se ha intentado corregir la violación
- Categoría 4: una violación de las reglas de la HIPAA que constituye negligencia intencional, donde no se ha hecho ningún intento de corregir la violación
la OCR podría renunciar a una violación en el caso de violaciones desconocidas. Se trata de situaciones en las que no se podría haber esperado que la entidad cubierta evitara una violación de datos., La multa no puede ser eximida si la violación implicó negligencia deliberada de las reglas de notificación de privacidad, seguridad y violación.
estructura de la sanción por violación de la HIPAA
la sanción impuesta a los CEs que han violado la HIPAA depende de la gravedad del delito. La OCR tiene en cuenta muchos factores a la hora de determinar las sanciones, como la duración de la violación, el número de personas afectadas y la naturaleza de los datos expuestos. La OCR también tendrá en cuenta la disposición del CEs a cooperar al emitir la multa, así como su situación financiera actual., Los factores generales que pueden afectar el nivel de sanción financiera también incluyen la historia previa, la situación financiera de la organización y el nivel de daño causado por la violación. En general, las multas se emiten por categoría de violación, por año que la violación persiste por la CE.
una violación de datos o un incidente de seguridad que resulte de cualquier violación podría ver multas separadas emitidas por diferentes aspectos de la violación bajo múltiples estándares de seguridad y Privacidad. Por lo tanto, incluso un incidente menor podría resultar en una multa de 5 50,000 impuesta contra el CE.,
en ciertas circunstancias, una multa también puede aplicarse diariamente en lugar de anualmente. Por ejemplo, si una entidad cubierta ha estado negando a los pacientes el derecho a obtener copias de sus registros médicos y lo ha estado haciendo durante un período de un año, la OCR puede decidir aplicar una multa por día por haber violado la ley. La pena se multiplicaría por 365, no por el número de pacientes a los que se les ha negado el acceso a sus registros médicos.
Attorneys Generals and HIPAA
In February 2009, the HITECH Act (Section 13410(e) (1)) was introduced., Esto permitió a los fiscales generales del estado tener la autoridad para responsabilizar a las entidades cubiertas por HIPAA por la exposición de la PHI de los residentes del estado. También pueden presentar acciones civiles ante los tribunales federales de Distrito. Las multas por violación de HIPAA se pueden emitir hasta un nivel máximo de $25,000 por categoría de violación, por año calendario. La multa mínima aplicable es de 1 100 por violación.
como resultado, un CE que sufre una violación de datos que afecta a los residentes en varios estados puede ser ordenado a pagar multas por violación de HIPAA a los fiscales generales en varios estados., Hasta la fecha, sólo los estados de Connecticut, Massachusetts, Indiana, Vermont y Minnesota han actuado contra los infractores de la HIPAA. Sin embargo, dado que las oficinas de los fiscales generales pueden retener un porcentaje de las multas emitidas, más fiscales generales pueden decidir emitir sanciones por violaciones de HIPAA en el futuro.
sanciones penales de la HIPAA
Además de las sanciones financieras civiles por violaciones de la HIPAA, en casos graves se pueden presentar cargos penales contra el individuo(s) responsable (s) de una violación de la PHI., Al igual que las sanciones financieras, las sanciones penales por violaciones de HIPAA se dividen en niveles. Un juez decide los Términos de la sentencia, junto con la sanción pecuniaria, caso por caso. Al igual que con la OCR, se consideran varios factores generales que afectarán la sanción emitida. Si un individuo se ha beneficiado del robo, acceso o divulgación de PHI, puede ser necesario que todo el dinero recibido sea reembolsado, además del pago de una multa.,
los niveles para las sanciones penales HIPAA son:
Nivel 1: causa razonable o no Conocimiento de violación – hasta 1 año en la cárcel
Nivel 2: obtención de PHI bajo falsas pretensiones – hasta 5 años en la cárcel
Nivel 3: obtención de PHI para beneficio personal o con intención maliciosa – hasta 10 años en la cárcel
ha habido un fuerte aumento en el número de empleados que se descubre que acceden o roban PHI. PHI tiene un valor financiero considerable, particularmente en el negro., Por lo tanto, es esencial que se establezcan controles para limitar la oportunidad de que las personas roben los datos de los pacientes, y que se establezcan sistemas y políticas para garantizar que el acceso incorrecto y el robo de PHI se identifiquen rápidamente.
Todo el personal que probablemente encuentre PHI como parte de sus deberes de trabajo debe ser informado de las sanciones penales de HIPAA y que las violaciones no solo resultarán en la pérdida de empleo, sino también potencialmente una larga pena de cárcel y una multa pesada. Es responsabilidad de la CE garantizar que sus empleados actúen de manera responsable.,
Los fiscales generales del Estado están tomando medidas enérgicas contra el robo de datos y están dispuestos a dar ejemplos de personas que han violado las reglas de privacidad de HIPAA. Una pena de cárcel por el robo de datos de HIPAA es por lo tanto muy probable, ya que esta es una señal fuerte para aquellos tentados por las ganancias financieras potenciales.
violación inconsciente de la HIPAA
como se mencionó anteriormente, la OCR puede renunciar a una sanción civil para aquellos que violaron la HIPAA sin saberlo., Sin embargo, la ignorancia de las regulaciones de HIPAA no se considera una excusa justificable para una organización que no implementó las salvaguardias adecuadas contra las violaciones que ocurren.
Un ejemplo de esto ocurrió a principios de este año. El servicio de monitoreo cardíaco remoto CardioNet fue multado con 2 2.5 millones por no comprender completamente los requisitos de HIPAA y, posteriormente, no realizar una evaluación completa del riesgo.
debido a la evaluación incompleta del riesgo, la PHI de 1.391 individuos fue potencialmente divulgada sin autorización oficial., Esto fue el resultado de un simple error de los empleados; una computadora portátil que contenía los datos fue robada de un automóvil estacionado fuera de la casa de los empleados. El Director de OCR Roger Severino describió este incidente como un caso de la CE que sin saberlo violó HIPAA al ignorar la seguridad y no salvaguardar la información adecuadamente.
auditorías de cumplimiento de HIPAA y sanciones por violaciones de HIPAA
si se completa una auditoría y se determina que un CE o BA no ha cumplido con las regulaciones de HIPAA, la OCR tiene la Autoridad de emitir sanciones por incumplimiento de HIPAA., Esto puede ocurrir incluso si no ha habido violación de PHI o ninguna queja.
la primera fase de las auditorías de cumplimiento de HIPAA se llevó a cabo en 2011/2012 y reveló que muchas entidades cubiertas estaban luchando con el cumplimiento. La OCR prestó asistencia técnica para ayudar a esas entidades a corregir los casos de incumplimiento y no se impusieron sanciones por violaciones de la HIPAA. Se les dio varios años para mejorar su desempeño antes de que se programara otra auditoría.
ahora, 5 años después, la OCR está llevando a cabo esta segunda fase de auditorías., Las auditorías no se están llevando a cabo con el objetivo específico de encontrar violaciones de la HIPAA y emitir sanciones financieras, aunque si se descubren violaciones graves de las reglas de la HIPAA, las sanciones financieras pueden considerarse apropiadas. Los CEs han tenido tiempo suficiente para desarrollar sus programas de cumplimiento. Esta vez, no se espera que la OCR sea tan indulgente.
Las auditorías han descubierto que las mayores áreas de incumplimiento de las reglas de HIPAA descubiertas durante la primera fase de las auditorías de cumplimiento fue la falta de realizar una evaluación de riesgos integral en toda la organización.,
la evaluación de riesgos es de suma importancia para la seguridad de la organización. Si no se realiza una evaluación del riesgo, la entidad cubierta no sabrá si existen vulnerabilidades de seguridad que supongan un riesgo para la confidencialidad, integridad y disponibilidad de ePHI. Por lo tanto, esos riesgos no se gestionarán ni reducirán a un nivel aceptable. Con frecuencia, la OCR aplicará sanciones financieras si considera que se están realizando evaluaciones de riesgo inadecuadas.,
el incumplimiento de los Acuerdos de socios comerciales (BAAs) con proveedores de servicios externos también puede dar lugar a sanciones por incumplimiento de HIPAA. Varias entidades cubiertas han sido multadas por no revisar los BAAs escritos antes de septiembre de 2014, cuando todos los contratos existentes fueron invalidados por la norma general Final. En septiembre de 2016, el sistema de salud de Care New England fue multado con fin 400,000 por incumplimiento de HIPAA que incluía la falta de revisión de un BAA firmado originalmente en marzo de 2005.
Los BAAs son un área clave que OCR estará vigilando a lo largo de su programa de auditoría., BAAs-los contratos que establecen los usos permitidos y las divulgaciones permitidas de PHI-deben firmarse con cada proveedor de servicios externo con quien se divulga PHI (incluidos los abogados).
sanciones recientes por violaciones de la HIPAA
entre enero y marzo de 2017, La OCR acordó ocho acuerdos para resolver violaciones de la HIPAA descubiertas durante investigaciones de violaciones de datos y quejas. También se ha impuesto una sanción pecuniaria civil.,
el propósito de estas sanciones por violaciones de la HIPAA es, en parte, castigar a las entidades cubiertas por violaciones graves de las reglas de la HIPAA, pero también enviar un mensaje a otras organizaciones de atención médica de que el incumplimiento de las reglas de la HIPAA no es aceptable.
a continuación se detalla un resumen de las sanciones de 2017 por violaciones de HIPAA: