Was sind HIPAA Verletzung Bußgelder?
Das Department of Health and Human Services‘ Office for Civil Rights (OCR) und Generalstaatsanwälte haben die Befugnis zur Ausgabe von Strafen für HIPAA-Verstöße. Neben den finanziellen Sanktionen sind die gedeckten Stellen (CEs) gesetzlich verpflichtet, einen korrigierenden Aktionsplan zu verabschieden, um Richtlinien und Verfahren auf den Standard zu bringen. Diese standards sind durch HIPAA-Gesetze.,
Das Health Insurance Portability and Accountability Act (HIPAA) von 1996 schuf Anforderungen und Standards, an die sich HIPAA-versicherte Unternehmen halten sollten. Ziel dieser Gesetzgebung war es, geschützte Gesundheitsinformationen (PHI) von Patienten privat zu halten. HIPAA bietet strenge Richtlinien, mit wem der PHI geteilt werden kann und unter welchen Umständen dies angemessen ist.
Die letzte Regel von 2006 gab dem OCR die Befugnis, Finanzstrafen (und/oder Abhilfemaßnahmepläne) für Unternehmen zu erlassen, die die HIPAA-Regeln nicht einhalten., Im März 2013 führte die HIPAA Omnibus-Regel Gebühren im Einklang mit dem Health Information Technology for Economic and Clinical Health Act (HITECH) ein, wodurch die Richtlinien und finanziellen Sanktionen aktualisiert wurden.
Die neuen Strafen, die durch die Omnibus-Regel eingeführt werden, besagen, dass HIPAA-Verstöße jetzt für Gesundheitsdienstleister, Gesundheitspläne, Clearinghäuser im Gesundheitswesen und alle anderen abgedeckten Stellen sowie Geschäftspartner (BAS) von abgedeckten Stellen gelten, bei denen festgestellt wurde, dass sie gegen die HIPAA-Regeln verstoßen haben.,
Die Hauptfunktion dieser Strafen besteht darin, diejenigen abzuschrecken, die versucht sind, gegen die HIPAA-Gesetze zu verstoßen. Wenn die Gesetze verletzt werden, bieten sie ein Mittel, um sicherzustellen, dass versicherte Personen zur Rechenschaft gezogen werden, wenn sie ihre Pflicht zum Schutz der Privatsphäre von Patienten und der Vertraulichkeit von Gesundheitsdaten nicht erfüllt haben.
Die Strafstruktur für einen Verstoß gegen HIPAA-Gesetze ist abgestuft. Die Ebenen werden im Großen und Ganzen durch die Menge des Wissens geteilt, das eine gedeckte Einheit über die Verletzung der HIPAA-Gesetze hatte., Der OCR berücksichtigt die Umstände, unter denen der Verstoß stattgefunden hat, und setzt die Strafe auf der Grundlage mehrerer „allgemeiner Faktoren“ und der Schwere des HIPAA-Verstoßes fest. Die OCR betrachtet Ignoranz jedoch nicht als Entschuldigung für eine HIPAA-Verletzung.
Was stellt eine HIPAA-Verletzung dar?
Ein HIPAA-Verstoß wird definiert, wenn ein HIPAA-versichertes Unternehmen – oder einer seiner Geschäftspartner-eine oder mehrere Bestimmungen der HIPAA-Datenschutz -, Sicherheits-oder Verstoßbenachrichtigungsregeln nicht einhält.
Ein Verstoß kann vorsätzlich oder unbeabsichtigt sein., Ein vorsätzlicher Verstoß führt dazu, dass die höchstmögliche Geldstrafe gegen die Organisation erhoben wird. Wenn PHI an eine andere Partei weitergegeben wird, muss es auf das Minimum beschränkt sein, das erforderlich ist, um den Zweck zu erreichen, für den es offengelegt wird. Wenn mehr Informationen als nötig gegeben werden, stellt dies einen Verstoß dar.
Es gibt viele Regeln, die CEs beachten muss. Eine davon ist die HIPAA Verletzung Benachrichtigung Regel., Ein Verstoß gegen diese Regel kann darin bestehen, dass die Erteilung von Benachrichtigungsschreiben für Verstöße an Patienten unnötig verzögert wird und der maximale Zeitraum von 60 Tagen nach Feststellung eines Verstoßes gegen die Erteilung von Benachrichtigungen überschritten wird. Dies kann zufällig oder absichtlich sein. Eine weitere Regel, die häufig gebrochen wird, ist die Anforderung an CEs, organisationsweite Risikobewertungen durchzuführen.
Strafen für HIPAA-Verstöße können möglicherweise für alle HIPAA-Verstöße verhängt werden, obwohl OCR in der Regel die meisten Fälle durch freiwillige Einhaltung löst., Sie tun dies, indem sie technische Anleitungen herausgeben oder den Plan einer gedeckten Einheit oder eines Geschäftspartners akzeptieren, um die Verstöße zu beheben und Richtlinien und Verfahren zu ändern, um zukünftige Verstöße zu verhindern. Finanzielle Strafen für HIPAA-Verstöße sind den schwerwiegendsten Verstößen gegen die HIPAA-Regeln vorbehalten.
Die HIPAA Verletzung Klassifikationen
Das Ergebnis einer HIPAA Verletzung hängt stark von der Schwere der Verletzung., OCR zieht es vor, HIPAA-Verstöße mit nicht strafenden Maßnahmen zu beheben, z. B. mit freiwilliger Einhaltung oder der Herausgabe technischer Anleitungen, um abgedeckten Stellen bei der Behebung von Verstößen zu helfen. Wenn die Verstöße schwerwiegend sind oder mehrmals wiederholt wurden, hält der OCR finanzielle Sanktionen für angemessen.,
Die vier Kategorien, die für die Sanktionsstruktur verwendet werden, lauten wie folgt:
- Kategorie 1: Ein Verstoß, den das abgedeckte Unternehmen nicht kannte und der realistisch nicht hätte vermieden werden können, wenn eine angemessene Sorgfalt bei der Einhaltung der HIPAA-Regeln beachtet worden wäre
- Kategorie 2: Ein Verstoß, den das abgedeckte Unternehmen hätte kennen müssen, den es aber auch bei angemessener Sorgfalt nicht hätte vermeiden können., (aber nicht vorsätzliche Vernachlässigung der HIPAA-Regeln)
- Kategorie 3: Ein Verstoß, der als direkte Folge der „vorsätzlichen Vernachlässigung“ der HIPAA-Regeln erlitten wurde, in Fällen, in denen versucht wurde, den Verstoß zu korrigieren
- Kategorie 4: Ein Verstoß gegen die HIPAA-Regeln, der vorsätzliche Vernachlässigung darstellt, wenn kein Versuch unternommen wurde, den Verstoß zu korrigieren
Die OCR könnte bei unbekannten Verstößen auf einen Verstoß verzichten. Dies sind Situationen, in denen von der betroffenen Stelle nicht erwartet werden konnte, dass sie eine Datenverletzung vermeidet., Auf die Strafe kann nicht verzichtet werden, wenn die Verletzung vorsätzliche Vernachlässigung der Datenschutz -, Sicherheits-und Benachrichtigungsregeln zur Folge hatte.
HIPAA Verletzung Strafstruktur
Die Strafe an CEs erhoben, die HIPAA verletzt haben, hängt von der Schwere des Verbrechens. Die OCR berücksichtigt bei der Festlegung von Strafen viele Faktoren, z. B. die Dauer eines Verstoßes, die Anzahl der betroffenen Personen und die Art der aufgedeckten Daten. Der OCR wird auch die Bereitschaft der CEs zur Zusammenarbeit bei der Verhängung der Geldbuße sowie ihre derzeitige finanzielle Situation berücksichtigen., Zu den allgemeinen Faktoren, die sich auf die Höhe der Geldstrafe auswirken können, gehören auch die Vorgeschichte, die finanzielle Lage der Organisation und der durch den Verstoß verursachte Schaden. Im Allgemeinen werden die Geldbußen pro Verletzungskategorie und Jahr verhängt, dass der Verstoß durch das CE fortbesteht.
Bei einem Datenverstoß oder Sicherheitsvorfall, der sich aus einem Verstoß ergibt, können separate Geldbußen für verschiedene Aspekte des Verstoßes gemäß mehreren Sicherheits-und Datenschutzstandards verhängt werden. Daher könnte selbst ein geringfügiger Vorfall zu einer Geldstrafe von 50.000 US-Dollar führen, die gegen die CE erhoben wird.,
Unter bestimmten Umständen kann eine Geldbuße auch täglich statt jährlich verhängt werden. Wenn beispielsweise ein versichertes Unternehmen Patienten das Recht verweigert, Kopien ihrer Krankenakten zu erhalten, und dies für einen Zeitraum von einem Jahr getan hat, kann der OCR beschließen, pro Tag eine Strafe zu verhängen, wenn das versicherte Unternehmen gegen das Gesetz verstoßen hat. Die Strafe würde mit 365 multipliziert, nicht mit der Anzahl der Patienten, denen der Zugang zu ihren Krankenakten verweigert wurde.
Anwälte, Generäle und HIPAA
Im Februar 2009, das HITECH-Gesetz (Abschnitt 13410(e) (1)) eingeführt wurde., Dies ermöglichte es den Generalstaatsanwälten, die Befugnis zu haben, HIPAA-bedeckte Stellen für die Exposition der PHI von Staatsansässigen zur Rechenschaft zu ziehen. Sie können auch Zivilklagen bei den Bundesgerichten einreichen. HIPAA-Verstoßstrafen können bis zu einem Höchstbetrag von 25,000 USD pro Verstoßkategorie und Kalenderjahr verhängt werden. Die Mindeststrafe beträgt $100 pro Verstoß.
Infolgedessen kann eine Person, die an einer Datenschutzverletzung leidet, die Einwohner in mehreren Bundesstaaten betrifft, aufgefordert werden, HIPAA-Verstöße an Generalstaatsanwälte in mehreren Bundesstaaten zu zahlen., Bisher haben nur die Bundesstaaten Connecticut, Massachusetts, Indiana, Vermont und Minnesota gegen HIPAA-Straftäter gehandelt. Da die Generalstaatsanwaltschaften jedoch einen Prozentsatz der erlassenen Geldbußen einbehalten können, können weitere Generalstaatsanwälte beschließen, in Zukunft Strafen für HIPAA-Verstöße zu verhängen.
HIPAA Strafrechtliche Sanktionen
Zusätzlich zu zivilrechtlichen Geldstrafen für HIPAA-Verstöße können in schweren Fällen strafrechtliche Anklagen gegen die Person(en) erhoben werden, die für eine Verletzung von PHI verantwortlich ist., Wie finanzielle Strafen werden strafrechtliche Strafen für HIPAA-Verstöße in Stufen unterteilt. Ein Richter entscheidet von Fall zu Fall über die Strafbedingungen und die Geldstrafe. Wie bei OCR werden mehrere allgemeine Faktoren berücksichtigt, die sich auf die verhängte Strafe auswirken. Wenn eine Person vom Diebstahl, Zugang oder der Offenlegung von PHI profitiert hat, kann es erforderlich sein, dass alle erhaltenen Gelder zusätzlich zur Zahlung einer Geldbuße zurückerstattet werden.,
Die Stufen für HIPAA – Strafen sind:
Tier 1: Angemessener Grund oder keine Kenntnis von Verstößen-Bis zu 1 Jahr Gefängnis
Tier 2: PHI unter falschen Vorwänden erhalten – Bis zu 5 Jahre Gefängnis
Tier 3: PHI zum persönlichen Vorteil oder mit böswilliger Absicht erhalten – Bis zu 10 Jahre Gefängnis
Die Zahl der Mitarbeiter, die entdeckt wurden, dass sie PHI zugreifen oder stehlen, ist stark gestiegen. PHI hat einen beträchtlichen finanziellen Wert, insbesondere auf dem Schwarz., Es ist daher unerlässlich, dass Kontrollen durchgeführt werden, um die Möglichkeit für Einzelpersonen zu begrenzen, Patientendaten zu stehlen, und dass Systeme und Richtlinien eingeführt werden, um sicherzustellen, dass unsachgemäßer Zugang und Diebstahl von PHI unverzüglich identifiziert werden.
Alle Mitarbeiter, die im Rahmen ihrer Arbeit auf PHI stoßen, sollten über die HIPAA-Strafen informiert werden und dass Verstöße nicht nur zum Verlust der Beschäftigung führen, sondern möglicherweise auch zu einer langen Gefängnisstrafe und einer hohen Geldstrafe. Es liegt in der Verantwortung des CE sicherzustellen, dass seine Mitarbeiter verantwortungsvoll handeln.,
Generalstaatsanwälte gehen gegen Datendiebstahl vor und sind bestrebt, Beispiele für Personen zu nennen, bei denen festgestellt wurde, dass sie gegen die HIPAA-Datenschutzregeln verstoßen haben. Eine Gefängnisstrafe für den Diebstahl von HIPAA-Daten ist daher sehr wahrscheinlich, da dies ein starkes Signal für diejenigen ist, die von den potenziellen finanziellen Gewinnen versucht werden.
Unwissender Verstoß gegen HIPAA
Wie bereits erwähnt, kann die OCR auf eine Zivilstrafe für diejenigen verzichten, die unwissentlich gegen HIPAA verstoßen haben., Die Unkenntnis der HIPAA-Vorschriften wird jedoch nicht als berechtigte Entschuldigung für eine Organisation angesehen, die die entsprechenden Schutzmaßnahmen gegen auftretende Verstöße nicht umgesetzt hat.
Ein Beispiel dafür ereignete sich Anfang dieses Jahres. Der KardioNet-Fernüberwachungsdienst CardioNet wurde mit einer Geldstrafe von 2.5 Millionen US-Dollar belegt, weil er die HIPAA-Anforderungen nicht vollständig verstanden und anschließend keine vollständige Risikobewertung durchgeführt hatte.
Aufgrund der unvollständigen Risikobewertung wurde der PHI von 1.391 Personen potenziell ohne behördliche Genehmigung offengelegt., Dies war das Ergebnis eines einfachen Mitarbeiterfehlers; Ein Laptop mit den Daten wurde aus einem Auto gestohlen, das außerhalb des Hauses der Mitarbeiter geparkt war. OCR-Direktor Roger Severino beschrieb diesen Vorfall als einen Fall, in dem die CE unwissentlich gegen HIPAA verstieß, indem sie die Sicherheit missachtete und die Informationen nicht ordnungsgemäß schützte.
HIPAA-Compliance-Audits und-Strafen für HIPAA-Verstöße
Wenn ein Audit abgeschlossen ist und festgestellt wird, dass ein CE oder BA die HIPAA-Vorschriften nicht eingehalten hat, ist der OCR befugt, Sanktionen für die Nichteinhaltung von HIPAA zu verhängen., Dies kann auch dann geschehen, wenn kein Verstoß gegen PHI oder keine Beschwerde vorliegt.
Die erste Phase der HIPAA-Compliance-Audits wurde 2011/2012 durchgeführt und ergab, dass viele versicherte Unternehmen mit der Einhaltung zu kämpfen hatten. OCR leistete technische Unterstützung, um diesen Stellen zu helfen, Bereiche der Nichteinhaltung zu korrigieren, und es wurden keine Strafen für HIPAA-Verstöße verhängt. Sie erhielten mehrere Jahre Zeit, um ihre Leistung zu verbessern, bevor eine weitere Prüfung geplant war.
Jetzt, 5 Jahre später, ist die OCR dabei, diese zweite Phase der Audits durchzuführen., Die Prüfungen werden nicht mit dem spezifischen Ziel durchgeführt, HIPAA-Verstöße zu ermitteln und finanzielle Sanktionen zu verhängen, obwohl bei schwerwiegenden Verstößen gegen die HIPAA-Regeln finanzielle Sanktionen als angemessen erachtet werden können. Die CEs hatte ausreichend Zeit, ihre Compliance-Programme zu entwickeln. Dieses Mal dürfte OCR nicht so nachsichtig sein.
Die Prüfungen haben ergeben, dass die größten Bereiche der Nichteinhaltung der HIPAA-Regeln, die in der ersten Phase der Compliance-Prüfungen festgestellt wurden, das Versäumnis waren, eine umfassende, organisationsweite Risikobewertung durchzuführen.,
Die Risikobewertung ist für die Sicherheit der Organisation von größter Bedeutung. Wenn eine Risikobewertung nicht durchgeführt wird, weiß ein abgedecktes Unternehmen nicht, ob Sicherheitslücken bestehen, die ein Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit von ePHI darstellen. Diese Risiken werden daher nicht gemanagt und auf ein akzeptables Niveau reduziert. Der OCR wird häufig Geldstrafen verhängen, wenn er festgestellt hat, dass unzureichende Risikobewertungen durchgeführt wurden.,
Das Versäumnis, Business Associate Agreements (BaaS) mit Drittanbietern abzuschließen, kann auch zu Strafen für die Nichteinhaltung der HIPAA führen. Mehrere abgedeckte Stellen wurden mit einer Geldstrafe belegt, weil sie BaaS, die vor September 2014 verfasst wurden, nicht überarbeitet hatten, als alle bestehenden Verträge durch die endgültige Omnibusregel für ungültig erklärt wurden. Im September 2016 wurde das Care New England Health System mit einer Geldstrafe von 400,000 US-Dollar belegt, weil die HIPAA die ursprünglich im März 2005 unterzeichnete BAA nicht eingehalten hatte.
BaaS ist ein Schlüsselbereich, den OCR während seines gesamten Auditprogramms im Auge behalten wird., BaaS-Verträge, die die zulässigen Verwendungen und zulässigen Offenlegungen von PHI festlegen-sollten mit jedem Drittanbieter unterzeichnet werden, mit dem PHI offengelegt wird (einschließlich Anwälten).
Jüngste Strafen für HIPAA-Verstöße
Zwischen Januar und März 2017 vereinbarte OCR acht Abrechnungen zur Behebung von HIPAA-Verstößen, die bei Untersuchungen zu Datenschutzverletzungen und Beschwerden festgestellt wurden. Eine zivilrechtliche Geldstrafe wurde ebenfalls verhängt.,
Der Zweck dieser Strafen für HIPAA-Verstöße besteht zum Teil darin, abgedeckte Stellen für schwerwiegende Verstöße gegen HIPAA-Regeln zu bestrafen, aber auch eine Nachricht an andere Gesundheitsorganisationen zu senden, dass die Nichteinhaltung der HIPAA-Regeln nicht akzeptabel ist.
Eine Zusammenfassung der 2017-Strafen für HIPAA-Verstöße finden Sie unten: