Que sont les amendes pour violation HIPAA?
Le Bureau des Droits civils (OCR) du Ministère de la Santé et des Services sociaux et les procureurs généraux des États ont le pouvoir de prononcer des sanctions en cas de violation de la Loi HIPAA. Parallèlement aux sanctions financières, les entités visées (CES) sont en outre tenues par la loi d’adopter un plan de mesures correctives pour mettre leurs politiques et procédures aux normes. Ces normes sont conformes aux législations HIPAA.,
La Health Insurance Portability and Accountability Act (HIPAA) de 1996 a créé des conditions et des normes auxquelles les entités couvertes par la HIPAA devaient se conformer. L’objectif de cette législation était de préserver la confidentialité des Informations de santé protégées des patients. HIPAA offre des lignes directrices strictes quant à qui le PHI peut être partagé, et dans quelles circonstances cela est approprié.
Application La règle finale de 2006 a donné à l’OCR le pouvoir d’imposer des sanctions financières (et / ou des plans de mesures correctives) aux entités visées qui ne respectent pas les règles HIPAA., En mars 2013, la règle Omnibus HIPAA a introduit des frais conformément à la Health Information Technology for Economic and Clinical Health Act (HITECH), mettant ainsi à jour les politiques et les sanctions financières.
Les nouvelles sanctions introduites par la règle Omnibus stipulent que les violations HIPAA s’appliquent désormais aux fournisseurs de soins de santé, aux régimes de santé, aux chambres d’échange de soins de santé et à toutes les autres entités couvertes, ainsi qu’aux associés d’entreprises (BAS) d’entités couvertes qui ont enfreint les règles HIPAA.,
La fonction première de ces sanctions est de dissuader ceux qui sont tentés de violer les lois HIPAA. Si les lois sont violées, elles fournissent un moyen de garantir que les entités couvertes sont tenues responsables lorsqu’elles ont manqué à leur devoir de protéger la vie privée des patients et la confidentialité des données de santé.
La structure des sanctions en cas de violation des lois HIPAA est hiérarchisée. Les niveaux sont largement divisés par la quantité de connaissances qu’une entité couverte avait de la violation des lois HIPAA., L’OCR examine les circonstances dans lesquelles la violation a eu lieu et fixe la sanction en fonction de plusieurs « facteurs généraux” et de la gravité de la violation HIPAA. Cependant, l’OCR ne considère pas l’ignorance comme une excuse pour commettre une violation HIPAA.
Qu’est-ce qui constitue une violation HIPAA?
Une violation HIPAA est définie comme étant lorsqu’une entité couverte par HIPAA – ou l’un de ses associés – ne se conforme pas à une ou plusieurs des dispositions des Règles HIPAA de confidentialité, de sécurité ou de Notification de violation.
Une violation peut être délibérée ou involontaire., Une violation délibérée entraînera l’amende maximale appliqués à l’encontre de l’organisation. Lorsque les renseignements personnels sont divulgués à une autre partie, ils doivent être limités au minimum nécessaire pour atteindre l’objectif pour lequel ils sont divulgués. Si plus d’informations que nécessaire sont données, cela constitue une violation.
Il existe de nombreuses règles dont le CEs doit être conscient. L’un d’entre eux est la règle de notification de violation HIPAA., Une violation de cette règle peut être que le CE retarde inutilement l’émission de lettres de notification d’infraction aux patients et dépasse le délai maximal de 60 jours suivant la découverte d’une violation pour émettre des notifications. Cela peut être accidentel ou délibéré. Une autre règle qui est fréquemment enfreinte est l’obligation pour la SCé d’effectuer des évaluations des risques à l’échelle de l’organisation.
Des sanctions pour les violations HIPAA peuvent potentiellement être prononcées pour toutes les violations HIPAA, bien que la ROC règle généralement la plupart des cas par le biais de la conformité volontaire., Pour ce faire, ils émettent des conseils techniques ou acceptent le plan d’une entité couverte ou d’un associé commercial pour remédier aux violations et modifier les politiques et procédures afin d’éviter que de futures violations ne se produisent. Les sanctions financières pour les violations HIPAA sont réservées aux violations les plus graves des règles HIPAA.
Classifications des violations HIPAA
Le résultat d’une violation HIPAA dépend fortement de la gravité de la violation., OCR préfère résoudre les violations HIPAA en utilisant des mesures non punitives, telles que la conformité volontaire ou la publication de conseils techniques pour aider les entités couvertes à résoudre les domaines de non-conformité. Si les violations sont graves ou ont été répétées à plusieurs reprises, l’OCR estime que des sanctions financières sont appropriées.,
Les quatre catégories utilisées pour la structure des pénalités sont les suivantes:
- Catégorie 1: Une violation dont l’entité visée n’était pas au courant et qui n’aurait pas pu être évitée de façon réaliste, si un soin raisonnable avait été pris pour se conformer aux règles HIPAA
- Catégorie 2: Une violation dont l’entité visée aurait dû être au courant, mais qui n’aurait pas pu être évitée, même avec un soin raisonnable., (mais en deçà de la négligence délibérée des Règles HIPAA)
- Catégorie 3: Une violation subie en conséquence directe de la” négligence délibérée » des Règles HIPAA, dans les cas où une tentative a été faite pour corriger la violation
- Catégorie 4: Une violation des règles HIPAA constituant une négligence délibérée, où aucune tentative n’a été faite pour corriger la violation
L’OCR pourrait renoncer à une violation dans le cas de violations inconnues. Il s’agit de situations dans lesquelles on ne pouvait s’attendre à ce que l’entité visée évite une violation de données., La sanction ne peut être levée si la violation impliquait une négligence délibérée des Règles de confidentialité, de sécurité et de notification des violations.
Structure des sanctions pour violation de la HIPAA
La sanction imposée aux CES qui ont violé la HIPAA dépend de la gravité du crime. Le ROC tient compte de nombreux facteurs pour déterminer les sanctions, comme la durée de la violation, le nombre de personnes touchées et la nature des données exposées. L’OCR tiendra également compte de la volonté de la SCé de coopérer lors de l’émission de l’amende, ainsi que de leur situation financière actuelle., Les facteurs généraux qui peuvent influer sur le niveau de pénalité financière comprennent également les antécédents, la situation financière de l’organisation et le niveau de préjudice causé par la violation. En général, les amendes sont émises par catégorie de violation, par année pendant laquelle la violation persiste par le CE.
Une violation de données ou un incident de sécurité résultant d’une violation pourrait faire l’objet d’amendes distinctes pour différents aspects de la violation en vertu de plusieurs normes de sécurité et de confidentialité. Par conséquent, même un incident mineur pourrait entraîner une amende de 50 000 $imposée au CE.,
Dans certaines circonstances, une amende peut être appliquée quotidiennement au lieu de chaque année. Par exemple, si une entité couverte refuse aux patients le droit d’obtenir des copies de leurs dossiers médicaux et le fait depuis un an, l’OCR peut décider d’appliquer une pénalité par jour pour violation de la loi par l’entité couverte. La pénalité serait multipliée par 365, et non par le nombre de patients qui se sont vu refuser l’accès à leur dossier médical.
Procureurs généraux et HIPAA
En février 2009, la loi HITECH (Section 13410(e) (1)) a été introduite., Cela a permis aux procureurs généraux de l’État d’avoir le pouvoir de tenir les entités couvertes par la HIPAA responsables de l’exposition des PHI des résidents de l’État. Ils peuvent également intenter des actions civiles auprès des tribunaux fédéraux de district. Les amendes pour violation HIPAA peuvent être émises jusqu’à un niveau maximum de 25 000 $par catégorie de violation, par année civile. L’amende minimale applicable est de 100 per par infraction.
En conséquence, un CE victime d’une violation de données affectant des résidents dans plusieurs États peut être condamné à payer des amendes pour violation HIPAA aux procureurs généraux de plusieurs États., À l’heure actuelle, seuls les États du Connecticut, du Massachusetts, de l’Indiana, du Vermont et du Minnesota ont agi contre les délinquants HIPAA à ce jour. Cependant, étant donné que les bureaux des procureurs généraux peuvent conserver un pourcentage des amendes infligées, un plus grand nombre de procureurs généraux peuvent décider de sanctionner les violations HIPAA à l’avenir.
Sanctions pénales HIPAA
En plus des sanctions financières civiles pour les violations HIPAA, dans les cas graves, des accusations criminelles peuvent être déposées contre la ou les personnes responsables d’une violation de PHI., Comme les sanctions financières, les sanctions pénales pour les violations HIPAA sont divisées en niveaux. Un juge décide des conditions de la peine, ainsi que de la sanction pécuniaire, au cas par cas. Comme pour la ROC, plusieurs facteurs généraux sont pris en compte qui auront une incidence sur la pénalité imposée. Si une personne a profité du vol, de l’accès ou de la divulgation de PHI, il peut être nécessaire que toutes les sommes reçues soient remboursées, en plus du paiement d’une amende.,
Les niveaux pour les sanctions pénales HIPAA sont les suivants:
Niveau 1: Cause raisonnable ou absence de connaissance de la violation – Jusqu’à 1 an de prison
Niveau 2: Obtention de PHI sous de faux prétextes – Jusqu’à 5 ans de prison
Niveau 3: Obtention de PHI pour un gain personnel ou avec une intention malveillante – Jusqu’à 10 ans de prison
Il y a eu une forte augmentation du nombre d’employés PHI a une valeur financière considérable, en particulier sur le noir., Il est donc essentiel que des contrôles soient mis en place pour limiter la possibilité pour les individus de voler des données sur les patients, et que des systèmes et des politiques soient mis en place pour s’assurer que l’accès inapproprié et le vol de PHI sont identifiés rapidement.
Tout le personnel susceptible de rencontrer PHI dans le cadre de ses fonctions devrait être informé des sanctions pénales HIPAA et que les violations entraîneront non seulement la perte d’emploi, mais potentiellement aussi une longue peine de prison et une lourde amende. Il incombe au CE de veiller à ce que ses employés agissent de manière responsable.,
Les procureurs généraux de l’État sévissent contre le vol de données et sont désireux de faire des exemples de personnes qui ont violé les règles de confidentialité HIPAA. Une peine de prison pour le vol de données HIPAA est donc très probable, car il s’agit d’un signal fort pour ceux qui sont tentés par les gains financiers potentiels.
Violation inconsciente de HIPAA
Comme mentionné précédemment, l’OCR peut renoncer à une sanction civile pour ceux qui ont violé sans le savoir HIPAA., Cependant, l’ignorance des règlements HIPAA n’est pas considérée comme une excuse justifiable pour une organisation qui n’a pas mis en œuvre les garanties appropriées contre les violations survenues.
Un exemple de ceci s’est produit plus tôt cette année. Le service de surveillance cardiaque à distance CardioNet a été condamné à une amende de 2,5 millions de dollars pour avoir omis de bien comprendre les exigences de la HIPAA et, par la suite, d’avoir omis de procéder à une évaluation complète des risques.
En raison de l’évaluation incomplète des risques, le PHI de 1 391 personnes a potentiellement été divulgué sans autorisation officielle., C’était le résultat d’une simple erreur de l’employé; un ordinateur portable contenant les données a été volé dans une voiture garée devant le domicile des employés. Le directeur de l’OCR, Roger Severino, a décrit cet incident comme un cas où le CE violait sans le savoir HIPAA en négligeant la sécurité et en ne protégeant pas correctement les informations.
Audits de conformité HIPAA et pénalités pour les violations HIPAA
Si un audit est terminé et qu’un EC ou un BA ne se conforme pas à la réglementation HIPAA, l’OCR a le pouvoir d’imposer des pénalités pour non-conformité HIPAA., Cela peut se produire même s’il n’y a eu aucune violation de PHI ou aucune plainte.
La première phase des audits de conformité HIPAA a été menée en 2011-2012 et a révélé que de nombreuses entités couvertes étaient aux prises avec des problèmes de conformité. L’OCR a fourni une assistance technique pour aider ces entités à corriger les cas de non-conformité et aucune sanction n’a été prononcée en cas de violation de la loi HIPAA. On leur a donné plusieurs années pour améliorer leur rendement avant qu’une autre vérification ne soit prévue.
Maintenant, 5 ans plus tard, l’OCR procède à cette deuxième phase d’audits., Les audits ne sont pas menés dans le but spécifique de trouver des violations HIPAA et de prononcer des sanctions financières, bien que si des violations graves des règles HIPAA sont découvertes, des sanctions financières peuvent être jugées appropriées. La SCé a eu amplement le temps d’élaborer ses programmes de conformité. Cette fois-ci, on ne s’attend pas à ce que la ROC soit aussi clémente.
Les audits ont révélé que le plus grand défaut de conformité aux règles HIPAA découvert au cours de la première phase des audits de conformité était le défaut de procéder à une évaluation complète des risques à l’échelle de l’organisation.,
L’évaluation des risques est de la plus haute importance pour la sécurité de l’organisation. Si une évaluation des risques n’est pas effectuée, une entité couverte ignorera s’il existe des failles de sécurité qui posent un risque pour la confidentialité, l’intégrité et la disponibilité de l’ePHI. Ces risques ne seront donc pas gérés et ramenés à un niveau acceptable. L’OCR appliquera fréquemment des sanctions financières s’il a constaté que les évaluations des risques sont inadéquates.,
Le défaut de conclure des accords d’association avec des fournisseurs de services tiers peut également entraîner des pénalités pour non-conformité HIPAA. Plusieurs entités visées ont été condamnées à une amende pour avoir omis de réviser les BAAS rédigés avant septembre 2014, lorsque tous les contrats existants ont été invalidés par la Règle Omnibus finale. En septembre 2016, le système de santé Care New England a été condamné à une amende de 400 000 $pour non-conformité HIPAA qui comprenait l’échec de la révision d’un BAA initialement signé en mars 2005.
Les BAA sont un domaine clé que le ROC surveillera tout au long de son programme de vérification., BAAs-les contrats qui énoncent les utilisations autorisées et les divulgations autorisées de PHI – doivent être signés avec tous les fournisseurs de services tiers avec lesquels PHI est divulgué (y compris les avocats).
Sanctions récentes pour les violations HIPAA
Entre janvier et mars 2017, l’OCR a conclu huit règlements pour résoudre les violations HIPAA découvertes lors d’enquêtes sur les violations de données et les plaintes. Une sanction pécuniaire civile a également été prononcée.,
Le but de ces sanctions pour les violations HIPAA est en partie de punir les entités couvertes pour les violations graves des règles HIPAA, mais aussi d’envoyer un message à d’autres organisations de soins de santé que le non-respect des règles HIPAA n’est pas acceptable.
Un résumé des sanctions de 2017 pour les violations HIPAA est détaillé ci-dessous: