mitkä ovat HIPAA-rikkomuksen sakot?

terveys-ja Ihmisoikeusministeriön Kansalaisoikeusvirastolla (OCR) ja valtion asianajotoimistolla on valta antaa rangaistuksia HIPAA-rikkomuksista. Rinnalla taloudellisia seuraamuksia, kuuluvat yhteisöt (CEs) ovat edelleen lain mukaan hyväksyä korjaussuunnitelma tuoda toimintatavat ja menettelyt, jopa standardi. Nämä standardit ovat HIPAA-lainsäädännön mukaisia.,

sairausvakuutuslain Siirrettävyyden ja Accountability Act (HIPAA) 1996 luotu edellytykset ja standardit, joita HIPAA-kata yhteisöt olivat kiinni. Tämän lainsäädännön tavoitteena oli pitää potilaiden suojatut terveystiedot yksityisinä. HIPAA tarjoaa tiukat ohjeet siitä, kenen kanssa PHI voidaan jakaa, ja missä olosuhteissa tämä on tarkoituksenmukaista.

Täytäntöönpanon Lopullinen Sääntö 2006 antoi OCR valta antaa taloudellisia seuraamuksia (ja/tai korjaussuunnitelmia) katettuihin tahoihin, jotka eivät noudata HIPAA Sääntöjen mukaisesti., Maaliskuussa 2013, HIPAA Omnibus Sääntö käyttöön maksuja linjassa Health Information Technology for Economic and Clinical Health Act (HITECH), näin olet päivittänyt politiikkoja ja taloudellisia seuraamuksia.

uusien seuraamusten käyttöön Omnibus sääntö todeta, että HIPAA rikkomisesta nyt sovelletaan terveydenhuollon tarjoajien, terveydenhuollon suunnitelmia, terveydenhuoltopalvelujen clearinghouses ja kaikkia muita katettujen tahojen, sekä liikekumppaneiden (BAs) soveltamisalaan kuuluvien yhteisöjen, joiden on todettu rikkoneen HIPAA Sääntöjen mukaisesti.,

näiden rangaistusten ensisijainen tehtävä on toimia pelotteena niille, jotka haluavat rikkoa HIPAA-lakeja. Jos lakeja rikotaan, ne tarjoavat keinot, joilla varmistetaan, katettu yhteisöt ovat tilivelvollisia kun he ovat laiminlyöneet velvollisuutensa suojella yksityisyyttä potilaiden ja luottamuksellisuus terveyttä koskevat tiedot.

rangaistusrakenne HIPAA-lakien rikkomisesta on porrastettu. Tasot ovat karkeasti jaettuna määrä tietoa katettu kokonaisuus oli rikkomisesta HIPAA lait., OCR tarkastelee olosuhteita, joissa rikkomus tapahtui, ja asettaa rangaistuksen useiden ”yleisten tekijöiden” ja HIPAA-rikkomuksen vakavuuden perusteella. OCR ei kuitenkaan pidä tietämättömyyttä tekosyynä HIPAA-rikkomuksen tekemiselle.

mikä on HIPAA-rikkomus?

HIPAA rikkomisesta on määritelty, kun HIPAA katettu yhteisö – tai yksi heidän liikekumppani – ei noudata yksi tai useampi säännösten HIPAA Tietosuoja -, Turvallisuus -, tai tietoturvaloukkausten Ilmoittamisen Säännöt.

rikkomus voi olla tahallinen tai tahaton., Tahallinen rikkomus johtaa siihen, että järjestöä vastaan kannetaan mahdollisimman suuri sakko. Kun PHI luovutetaan toiselle osapuolelle, se on rajoitettava vähimmäistietoihin, jotka ovat tarpeen sen tarkoituksen saavuttamiseksi, jota varten se on luovutettu. Jos annetaan enemmän tietoja kuin on tarpeen, kyseessä on rikkomus.

on monia sääntöjä, joista CEs: n on oltava tietoinen. Yksi niistä on HIPAA-Rikkomusilmoitussääntö., Pelaaja rikkoo tätä sääntöä, voidaan CE-viivästy tarpeettomasti antamisesta rikkomisesta ilmoituksen kirjeitä potilaille ja ylittää suurimman ajassa 60 päivän kuluttua löytämisen rikkomisesta antamaan ilmoituksia. Tämä voi olla tahatonta tai tahallista. Toinen säännös, joka usein rikotaan, on vaatimus, että CEs suorittaa organisaation laajuisia riskinarviointeja.

HIPAA-rikkomuksista voidaan mahdollisesti määrätä seuraamuksia kaikista HIPAA-rikkomuksista, vaikka OCR yleensä ratkaisee useimmat tapaukset vapaaehtoisella sääntöjen noudattamisella., Ne tehdä tämän antamalla teknisiä ohjeita, tai hyväksyä katettu yhteisö tai liikekumppani on suunnitelma käsitellä rikkomuksia ja muuttaa politiikkaa ja menettelyjä estää tulevia rikkomuksia esiintyy. HIPAA-rikkeistä langetettavat taloudelliset rangaistukset on varattu vakavimmille HIPAA-sääntöjen rikkomuksille.

HIPAA Rikkomisesta Luokitukset

tulos HIPAA rikkomisesta riippuu pitkälti vakavuudesta rikkomisesta., OCR haluaa ratkaista HIPAA rikkomisesta käyttämällä ei-rankaisutoimenpiteistä, kuten vapaaehtoiseen noudattamiseen tai antaa teknisiä ohjeita, joiden avulla katettujen tahojen osoite alueilla noudattamatta jättämisestä. Jos rikkomukset ovat vakavia tai niitä on toistettu useita kertoja, OCR pitää taloudellisia seuraamuksia asianmukaisina.,

neljä luokkaa käytetään rangaistus rakenne on seuraava:

  • Luokka 1: rikkomus, että katettu taho ei ollut tietoinen ja olisi voinut realistisesti välttää, oli kohtuullinen määrä hoito oli otettu noudattaa HIPAA Sääntöjen
  • ryhmä 2: rikkomus, että katettu taho olisi pitänyt olla tietoinen siitä, mutta ei voinut välttää, vaikka kohtuullinen määrä huolenpitoa., (mutta jäämässä tahallisesta laiminlyönnistä HIPAA Sääntöjen)
  • Luokka 3: rikkomisesta aiheutunut suorana seurauksena ”tahallinen laiminlyönti” HIPAA Sääntöjen mukaisesti, tapauksissa, joissa on pyritty korjaamaan rikkominen
  • Luokka 4: rikkoo HIPAA Sääntöjen muodostavat tahallisesta laiminlyönnistä, jos ei ole yritetty korjata rikkomus

OCR voisi luopua vastoin jos tuntematon rikkomuksia. Nämä ovat tilanteita, joissa katetun yhteisön ei olisi voitu odottaa välttävän tietomurtoa., Rangaistuksesta ei voida luopua, jos rikkomukseen liittyi tahallinen yksityisyyden suojan, turvallisuuden ja Rikkomusilmoitussääntöjen laiminlyönti.

HIPAA Rikkomisesta Rangaistus Rakenne

rangaistus kannetaan CEs, jotka ovat rikkoneet HIPAA riippuu rikoksen vakavuudesta. OCR katsoo monet tekijät määritettäessä rangaistuksia, kuten aika, vastoin jatkui, kärsivien henkilöiden määrä ja luonne tiedot alttiina. OCR harkitsee myös CEs: n halukkuutta tehdä yhteistyötä sakon myöntämisen yhteydessä sekä niiden nykyistä taloudellista tilannetta., Yleisiä tekijöitä, jotka voivat vaikuttaa tason taloudellinen seuraamus myös ennen historia, organisaation taloudellinen tilanne ja taso haittaa aiheuttama rikkomisesta. Yleensä sakot annetaan rikkomusluokkaa kohden vuodessa, että rikkomus jatkuu CE: llä.

tietomurto tai turvavälikohtaus, joka johtuu rikkomisesta voisi nähdä erillisten sakkojen myönnetään eri osa rikkominen alla useita turvallisuuden ja yksityisyyden standardeja. Siksi pienikin välikohtaus voi johtaa 50 000 dollarin sakkoihin CE: tä vastaan.,

tietyissä olosuhteissa sakkoa voidaan soveltaa myös päivittäin eikä vuosittain. Esimerkiksi, jos katettu taho on kieltänyt potilaiden oikeus saada kopioita potilastiedot, ja oli tehnyt niin yhden vuoden ajan, OCR voi päättää soveltaa rangaistus per päivä, että katettu taho on ollut vastoin lakia. Rangaistus olisi kerrottuna 365, ei niiden potilaiden määrä, joilta on evätty pääsy heidän potilastiedot.

Asianajotoimisto Kenraalit ja HIPAA

helmikuussa 2009, HITECH Act (Osa 13410(e) (1)) otettiin käyttöön., Tämä mahdollisti valtion asianajajien yleensä on viranomainen pitää HIPAA-katettujen tahojen vastuussa altistuminen PHI valtion asukkaat. He voivat myös nostaa siviilikanteita liittovaltion käräjäoikeuksissa. HIPAA rikesakkoja voidaan antaa enintään 25 000 dollaria rikkomusluokkaa kohden kalenterivuotta kohden. Minimisakko on 100 dollaria rikettä kohden.

seurauksena, CE kärsimystä tietomurto vaikuttaa asukkaiden useita valtiot voidaan tuomita maksamaan HIPAA rikkomisesta sakkoja asianajajien yleensä useita valtioita., Tällä hetkellä vain Connecticutin, Massachusettsin, Indianan, Vermontin ja Minnesotan osavaltiot ovat tähän mennessä toimineet HIPAA-rikoksentekijöitä vastaan. Koska Asianajotoimistot voivat kuitenkin säilyttää osan annetuista sakoista, useampi Asianajotoimisto voi tulevaisuudessa päättää langettaa rangaistuksia HIPAA-rikkomuksista.

HIPAA Rikosoikeudellisia Seuraamuksia

lisäksi siviili-taloudellisia seuraamuksia HIPAA rikkomisesta, vakavissa tapauksissa syyte voidaan arkistoida vastaan yksittäiset(s) vastuussa rikkomisesta PHI., Kuten taloudelliset rangaistukset, myös HIPAA-rikkomusten rangaistukset jaetaan tasoihin. Tuomari päättää rangaistuksen ehdoista sekä taloudellisesta seuraamuksesta tapauskohtaisesti. Kuten OCR: n kohdalla, harkitaan useita yleisiä tekijöitä, jotka vaikuttavat annettuun rangaistukseen. Jos yksilö on hyötynyt varkaus, käytöltä tai luovuttamiselta PHI, se voi olla välttämätöntä, että kaikki saadut rahat palautetaan, lisäksi sakon.,

tasojen HIPAA rikosoikeudellisia seuraamuksia ovat:

Taso 1: Kohtuullinen syy tai ei tietoa rikkominen – Enintään 1 vuosi vankeutta

Taso 2: Saada PHI väärin perustein – Enintään 5 vuotta vankilassa,

Taso 3: Saada PHI henkilökohtaisen hyödyn tai ilkivalta – Jopa 10 vuodeksi vankilaan.

Siellä on ollut jyrkkä nousu määrän työntekijöitä havaittu olevan päästä tai varastaa PHI. PHI: lla on huomattavaa taloudellista arvoa, erityisesti mustalla., Siksi on tärkeää, että tarkastuksia tehdään raja-mahdollisuuden henkilöille, varastaa potilaan tietoja ja järjestelmiä ja politiikkoja voidaan ottaa käyttöön sen varmistamiseksi, epäasianmukaisen käytön ja varastamisen PHI on tunnistettu nopeasti.

Kaikki henkilökunta todennäköisesti kohtaavat PHI osana työtehtävien tulisi olla tietoa HIPAA rikosoikeudellisia seuraamuksia ja että rikkomuksia ei vain johtaa työpaikkojen menetykseen, mutta mahdollisesti myös pitkä vankilaan aikavälillä ja suuren sakon. CE: n vastuulla on varmistaa, että sen työntekijät toimivat vastuullisesti.,

valtion asianajotoimisto selvittää tietomurtoja ja haluaa tehdä esimerkkejä henkilöistä, joiden on todettu rikkoneen HIPAA-tietosuojasääntöjä. Vankilatuomio HIPAA-tietojen varastamisesta on siis erittäin todennäköinen, sillä se on vahva signaali niille, joita mahdolliset taloudelliset voitot houkuttavat.

Tietämätön Rikkoo HIPAA

Kuten aiemmin mainittiin, OCR voi luopua siviili rangaistus niille, jotka tietämättään rikkonut LAKIA., Tietämättömyyttä HIPAA-säännöksistä ei kuitenkaan pidetä perusteltuna tekosyynä organisaatiolle, joka ei ole toteuttanut asianmukaisia suojatoimia rikkomuksia vastaan.

esimerkki tästä tapahtui aiemmin tänä vuonna. Kauko sydämen seuranta palvelu CardioNet sakotettiin $2,5 miljoonaa euroa, koska se ei ole täysin ymmärtää HIPAA vaatimukset ja sen jälkeen ei ole suoritettava täydellinen riskinarviointi.

Koska puutteellinen riskien arviointi, PHI ja 1,391 yksilöitä oli mahdollisesti paljastaa, ilman virallista lupaa., Syynä oli yksinkertainen työntekijävirhe; tiedot sisältänyt kannettava tietokone varastettiin työntekijöiden kodin ulkopuolelle pysäköidystä autosta. OCR Johtaja Roger Severino kuvattu tämän tapauksen osalta CE-tietämättään rikkoo HIPAA piittaamatta turvallisuutta ja turvaamaan tiedot asianmukaisesti.

HIPAA Noudattaminen Tarkastuksia ja Rangaistuksia HIPAA Rikkomisesta

Jos tilintarkastus on suoritettu ja CE-tai BA ei ole noudattanut HIPAA säännöksiä, OCR on valtuus määrätä seuraamuksia HIPAA-sääntöjen noudattamatta jättäminen., Tämä voi tapahtua, vaikka PHI: tä ei olisi rikottu tai siitä ei ole valitettu.

HIPAA compliance auditointien ensimmäinen vaihe toteutettiin vuosina 2011/2012, ja se paljasti, että monet katetut tahot kamppailivat sääntöjen noudattamisen kanssa. OCR antoi teknistä apua auttaakseen näitä tahoja korjaamaan noudattamatta jättämisen alueita, eikä HIPAA-rikkomuksista annettu rangaistuksia. Niille annettiin useita vuosia aikaa parantaa tulostaan ennen kuin uusi tarkastus oli määrä tehdä.

nyt, 5 vuotta myöhemmin, OCR on suorittamassa tätä toista tarkastusvaihetta., Tarkastuksia ei suoriteta HIPAA-rikkomusten toteamiseksi ja taloudellisten seuraamusten antamiseksi, vaikka jos havaitaan vakavia HIPAA-sääntöjen rikkomuksia, taloudellisia seuraamuksia voidaan pitää asianmukaisina. CEs: llä on ollut runsaasti aikaa kehittää vaatimustenmukaisuusohjelmiaan. Tällä kertaa OCR: n ei odoteta olevan niin lempeä.

auditoinnit ovat havainneet, että suurin alueilla noudattamatta jättäminen HIPAA Sääntöjen löysi ensimmäisen vaiheen aikana noudattamisen tarkastuksia oli epäonnistuminen tehdä kattava, organisaationlaajuisten riskien arviointi.,

riskiarvio on järjestön turvallisuuden kannalta äärimmäisen tärkeä. Jos riskien arviointia ei ole tehty, katettu yhteisö on tietämätön, onko turvallisuus haavoittuvuuksia, jotka uhkaavat luottamuksellisuus, eheys ja saatavuus ePHI. Näitä riskejä ei näin ollen voida hallita ja pienentää hyväksyttävälle tasolle. OCR valvoo usein taloudellisia seuraamuksia, jos se on havainnut riskinarviointien olevan riittämättömiä.,

epäonnistuminen täydellinen liikekumppani Sopimukset (BAAs) kolmannen osapuolen palveluntarjoajat voivat myös johtaa seuraamuksiin HIPAA-sääntöjen noudattamatta jättäminen. Useita katettujen tahojen on saanut sakot jättänyt tarkistaa BAAs kirjoitettu ennen syyskuuta 2014, kun kaikki voimassa olevat sopimukset kumosi Lopullinen Omnibus Sääntö. Syyskuussa 2016 Care New England Health System sai 400 000 dollarin sakot HIPAA: n laiminlyönnistä, johon sisältyi maaliskuussa 2005 alun perin allekirjoitetun BAA: n tarkistamatta jättäminen.

BAAs on keskeinen alue, jota OCR pitää silmällä koko tarkastusohjelmansa ajan., BAAs-sopimukset, joissa vahvistetaan PHI: n sallitut käyttötarkoitukset ja sallitut tiedot – olisi allekirjoitettava jokaisen kolmannen osapuolen palveluntarjoajan kanssa, jonka kanssa PHI julkistetaan (asianajajat mukaan luettuina).

Viime Rangaistuksia HIPAA Rikkomisesta

tammi-ja Maaliskuussa 2017, OCR sovittu kahdeksan siirtokuntien ratkaista HIPAA rikkomisesta löysi tutkinnan aikana tietoturvaloukkauksista ja valituksia. Lisäksi on annettu yksi siviiliraharangaistus.,

näiden rangaistuksia HIPAA rikkomisesta on osittain rangaista katettujen tahojen vakavia rikkomuksia HIPAA Sääntöjen, mutta myös lähettää viestin muiden terveydenhuollon organisaatioiden, että noudattamatta jättäminen HIPAA Sääntöjen ei ole hyväksyttävää.

yhteenveto vuoden 2017 rangaistuksista HIPAA-rikkomuksista on alla: