mik azok a HIPAA megsértése bírság?
az egészségügyi és az Emberi Jogi Minisztérium Polgári Jogi Hivatala (OCR) és az államügyészi hivatala rendelkezik hatáskörrel a HIPAA-jogsértések szankcionálására. A pénzügyi szankciók mellett az érintett jogalanyok (CEs) is kötelesek korrekciós intézkedési tervet elfogadni, hogy a politikák és eljárások a szabványhoz igazodjanak. Ezek a szabványok a HIPAA jogszabályai.,
az egészségbiztosítási hordozhatóságról és elszámoltathatóságról szóló 1996.évi törvény (HIPAA) olyan követelményeket és szabványokat hozott létre, amelyekhez a HIPAA-val érintett szervezetek ragaszkodtak. Ennek a jogszabálynak az volt a célja, hogy a betegek védett egészségügyi információit (PHI) magántulajdonban tartsák. A HIPAA szigorú iránymutatásokat kínál arra vonatkozóan, hogy kivel lehet megosztani a PHI-t, és milyen körülmények között ez megfelelő.
A 2006. évi jogérvényesítés jogerősen felhatalmazta az OCR-t arra, hogy pénzügyi szankciókat (és/vagy korrekciós intézkedési terveket) bocsásson ki a HIPAA-szabályoknak meg nem felelő szervezetek részére., 2013 márciusában a HIPAA Omnibus szabály a gazdasági és klinikai egészségügyi törvény (HITECH) Egészségügyi Információs technológiájával összhangban díjakat vezetett be, így frissítette a politikákat és a pénzügyi szankciókat.
az Omnibus szabály által bevezetett új szankciók kimondják, hogy a HIPAA megsértése most az egészségügyi szolgáltatókra, az egészségügyi tervekre, az egészségügyi tisztítóházakra és az összes többi érintett szervezetre, valamint az érintett szervezetek üzleti partnereire (BAs) vonatkozik, amelyekről megállapították, hogy megsértették a HIPAA szabályait.,
ezeknek a szankcióknak az elsődleges funkciója az, hogy elrettentő szerepet játszanak azoknak, akik hajlamosak megsérteni a HIPAA törvényeket. Ha a törvényeket megsértik,olyan eszközt biztosítanak, amely biztosítja, hogy a fedett szervezeteket felelősségre vonják, ha elmulasztották a betegek magánéletének védelmét és az egészségügyi adatok titkosságát.
a HIPAA törvények megsértéséért kiszabott büntetés többszintű. A szintek nagyjából osztva az összeg a tudás egy fedett szervezet volt a megsértése HIPAA törvények., Az OCR figyelembe veszi a jogsértés körülményeit, és a büntetést több “általános tényező” és a HIPAA megsértésének súlyossága alapján határozza meg. Az OCR azonban nem tekinti a tudatlanságot ürügynek a HIPAA megsértésének elkövetésére.
mit jelent a HIPAA megsértése?
a HIPAA megsértését akkor kell meghatározni, ha a HIPAA hatálya alá tartozó szervezet – vagy egyik üzlettársa – nem tartja be a HIPAA adatvédelmi, biztonsági vagy bejelentési szabályainak egy vagy több rendelkezését.
a jogsértés szándékos vagy nem szándékos lehet., A szándékos jogsértés a szervezet ellen kiszabható maximális bírság kiszabását eredményezi. Ha a PHI-t egy másik féllel közlik, azt a minimálisan szükséges információkra kell korlátozni annak a célnak a eléréséhez, amelyre nyilvánosságra hozzák. Ha a szükségesnél több információt adnak meg, ez jogsértésnek minősül.
számos szabály létezik, amelyek közül a CEs-nek tisztában kell lennie. Az egyik a HIPAA megsértése értesítési szabály., E szabály megsértése lehet, hogy a CE szükségtelenül késlelteti a jogsértésről szóló értesítések kiadását a betegeknek, és meghaladja a bejelentések kiadására vonatkozó jogsértés felfedezését követő 60 napos maximális időtartamot. Ez lehet véletlen vagy szándékos. Egy másik szabály, amelyet gyakran megsértenek, a CEs-nek a szervezet egészére kiterjedő kockázatértékelések elvégzésére vonatkozó követelménye.
a HIPAA megsértésére vonatkozó szankciók potenciálisan kiadhatók minden HIPAA jogsértésért, bár az OCR általában a legtöbb esetet önkéntes megfelelés révén oldja meg., Ezt úgy teszik, hogy technikai útmutatást adnak ki, vagy elfogadják egy fedett szervezet vagy üzleti partner tervét a jogsértések kezelésére, valamint megváltoztatják a házirendeket és eljárásokat, hogy megakadályozzák a jövőbeni jogsértések előfordulását. A HIPAA megsértésére vonatkozó pénzügyi szankciókat a HIPAA szabályok legsúlyosabb megsértése miatt tartják fenn.
A HIPAA megsértésének osztályozása
a HIPAA megsértésének eredménye nagymértékben függ a jogsértés súlyosságától., Az OCR előnyben részesíti a HIPAA megsértését nem büntető intézkedésekkel, például önkéntes megfelelőséggel vagy technikai útmutatással, hogy segítse az érintett szervezeteket a meg nem felelés területeinek kezelésében. Ha a jogsértések súlyosak, vagy többször megismétlődtek, az OCR megfelelőnek tartja a pénzügyi szankciókat.,
a büntetőszerkezethez használt négy kategória a következő:
- 1. Kategória: olyan jogsértés, amelyet a fedett szervezet nem tudott, és amelyet reálisan nem lehetett volna elkerülni, ha ésszerű mértékű figyelmet fordítottak volna a HIPAA szabályok betartására
- 2.Kategória: olyan jogsértés, amelyet a fedett szervezetnek tisztában kellett volna lennie, de ésszerű gondossággal sem kerülhette volna el., (de elmarad a HIPAA szabályok szándékos elhanyagolásától)
- 3. Kategória: a HIPAA-szabályok “szándékos elhanyagolása” közvetlen eredményeként elszenvedett jogsértés, olyan esetekben,amikor kísérletet tettek a jogsértés kijavítására
- 4. kategória: a HIPAA-szabályok szándékos elhanyagolást jelentő megsértése, ahol nem tettek kísérletet a jogsértés kijavítására
az OCR ismeretlen jogsértések esetén lemondhat a jogsértésről. Ezek olyan helyzetek, amikor az érintett gazdálkodó egységtől nem lehetett elvárni, hogy elkerülje az adatok megsértését., A büntetésről nem lehet lemondani, ha a jogsértés a magánélet, a biztonság szándékos figyelmen kívül hagyásával, valamint az értesítési szabályok megsértésével jár.
HIPAA megsértése büntetés szerkezete
a büntetés kiszabott CEs, akik megsértették HIPAA súlyosságától függ a bűncselekmény. Az OCR számos tényezőt mérlegel a szankciók meghatározásakor, például a jogsértés időtartamának fennállását, az érintettek számát és a feltárt adatok jellegét. Az OCR figyelembe veszi a CEs együttműködési készségét a bírság kiszabásakor, valamint a jelenlegi pénzügyi helyzetüket is., A pénzügyi szankció szintjét befolyásoló általános tényezők közé tartozik a korábbi történelem, a szervezet pénzügyi állapota, valamint a jogsértés által okozott kár mértéke. Általánosságban elmondható, hogy a bírságokat szabálysértési kategóriánként adják ki évente, hogy a jogsértés továbbra is fennáll a CE által.
a jogsértésből eredő adatsértés vagy biztonsági incidens a többszörös biztonsági és adatvédelmi előírások alapján a jogsértés különböző aspektusaira külön bírságot szabhat ki. Ezért még egy kisebb esemény is 50 000 dollár bírságot vonhat maga után a CE ellen.,
bizonyos körülmények között a bírság is alkalmazható napi helyett évente. Például, ha egy fedett szervezet megtagadta a betegek számára az orvosi nyilvántartásuk másolatainak beszerzésének jogát, és ezt egy évig tette, az OCR dönthet úgy, hogy napi büntetést alkalmaz, amelyet a fedett szervezet megsértett a törvénynek. A büntetést 365-tel szoroznák meg, nem pedig azon betegek számával, akiknek megtagadták az orvosi nyilvántartásukhoz való hozzáférést.
2009 februárjában bevezették a HITECH-törvényt(13410., Ez lehetővé tette az állami ügyvédek általános, hogy a hatóság, hogy tartsa HIPAA hatálya alá tartozó szervezetek elszámoltatható a kitettség a PHI az állami lakosok. Polgári pert is indíthatnak a szövetségi kerületi bíróságoknál. HIPAA megsértése bírságok lehet kiadni legfeljebb $ 25,000 per megsértése kategória, naptári évben. A minimális bírság alkalmazandó $100 per megsértése.
ennek eredményeként, egy CE szenved adat megsértése érintő lakosok több államban lehet elrendelni, hogy fizessen HIPAA megsértése bírság ügyvédek Általános több államban., Jelenleg csak Connecticut, Massachusetts, Indiana, Vermont és Minnesota Államok léptek fel a HIPAA elkövetői ellen. Mivel azonban az ügyvédi irodák megtarthatják a kiszabott bírságok egy százalékát, több főügyész dönthet úgy, hogy a jövőben szankciókat szab ki a HIPAA megsértéséért.
HIPAA büntetőjogi szankciók
a HIPAA megsértéséért járó polgári pénzügyi szankciók mellett súlyos esetekben büntetőjogi vádakat lehet benyújtani a PHI megsértéséért felelős személy(ek) ellen., A pénzügyi szankciókhoz hasonlóan a HIPAA megsértéséért kiszabott büntetőjogi szankciókat is szintekre osztják. A bíró eseti alapon dönt a büntetés feltételeiről, valamint a pénzügyi szankcióról. Az OCR-hez hasonlóan számos általános tényezőt is figyelembe veszünk, amelyek befolyásolják a kiadott büntetést. Ha az egyén profitált a Phi lopásából, hozzáféréséből vagy nyilvánosságra hozatalából, akkor a pénzbírság megfizetése mellett szükség lehet Minden kapott pénz visszafizetésére.,
A szintek a HIPAA büntetőjogi szankciók a következők:
Tier 1: Ésszerű, mert vagy nem ismerete sérti – Akár 1 év
2. Szint: Megszerzésére PHI megtévesztésből – Akár 5 év börtönt
3. Szint: Megszerzése PHI személyes nyereség vagy rossz szándékkal – Akár 10 év börtön
volt egy meredeken emelkedő alkalmazottak száma kiderült elérése, illetve lopás PHI. PHI jelentős pénzügyi értéke, különösen a fekete., Ezért alapvető fontosságú, hogy ellenőrzéseket vezessenek be annak érdekében, hogy korlátozzák az egyének számára a betegadatok ellopásának lehetőségét, valamint hogy a PHI nem megfelelő hozzáférésének és ellopásának biztosítására szolgáló rendszereket és politikákat azonnal megállapítsák.
az Összes személyzet valószínűséggel PHI munkájuk részeként vámok tájékoztatni kell a HIPAA büntetőjogi szankciókat, valamint, hogy a jogsértések nem csak az eredmény a munkahely elvesztése, de potenciálisan szintén egy hosszú börtön egy kemény, jól. A CE feladata annak biztosítása, hogy alkalmazottaik felelősségteljes módon járjanak el.,
ügyészek általános vagy lesújt az adatok lopás vagy örömest példák ki az egyének kiderült, hogy megsértette a HIPAA Adatvédelmi Szabályokat. Ezért nagyon valószínű a HIPAA-adatok ellopásának börtönbüntetése, mivel ez erős jelzés azoknak, akiket a potenciális pénzügyi nyereség csábít.
A HIPAA
tudatlan megsértése mint korábban említettük, az OCR lemondhat polgári büntetésről azok számára, akik tudatlanul megsértették a HIPAA-t., A HIPAA-előírások figyelmen kívül hagyása azonban nem tekinthető indokolható kifogásnak egy olyan szervezet számára, amely nem hajtotta végre a jogsértések elleni megfelelő biztosítékokat.
erre példa az év elején történt. A távoli szív monitoring szolgáltatás CardioNet bírságot kapott 2,5 millió dollárt, mert nem teljesen értem a HIPAA követelményeknek, valamint ezt követően nem végezzen teljes kockázatértékelés.
a hiányos kockázatértékelés miatt az 1391 személy PHI-jét potenciálisan hivatalos engedély nélkül nyilvánosságra hozták., Ez egy egyszerű munkavállalói hiba eredménye volt; az adatokat tartalmazó laptopot ellopták a munkavállalók otthona előtt parkoló autóból. Roger Severino, az OCR igazgatója úgy jellemezte az esetet, hogy a CE tudatlanul megsértette a HIPAA-t azáltal, hogy figyelmen kívül hagyta a biztonságot, és nem védte meg megfelelően az információkat.
HIPAA szabályszerűségi Ellenőrzések, valamint Szankciók HIPAA Megsértése
Ha egy audit elvégzése, valamint a CE vagy BA megállapították, hogy nem felelnek meg HIPAA rendeletek, az OCR a hatóság kérdés szankciók HIPAA be., Ez akkor is előfordulhat, ha a PHI nem sérült meg, vagy nincs panasz.
a HIPAA-megfelelőségi ellenőrzések első szakaszát 2011/2012-ben végezték el, és kiderült, hogy számos fedett szervezet küzd a megfelelőséggel. Az OCR technikai segítséget nyújtott annak érdekében, hogy segítse az említett szervezeteket a Be nem tartási területek kijavításában, és a HIPAA megsértéséért nem szabtak ki szankciókat. Több évet kaptak, hogy javítsák teljesítményüket, mielőtt újabb ellenőrzést terveztek.
most, 5 év múlva az OCR folyamatban van az ellenőrzések második szakaszának végrehajtásában., Az ellenőrzéseket nem azzal a céllal végzik, hogy megállapítsák a HIPAA megsértését és pénzbírságot szabjanak ki, bár ha a HIPAA szabályainak súlyos megsértését fedezik fel, a pénzbírságok megfelelőnek tekinthetők. A CEs-nek elegendő ideje volt a megfelelőségi programok kidolgozására. Ezúttal az OCR várhatóan nem lesz ilyen elnéző.
az ellenőrzések során kiderült, hogy a megfelelési ellenőrzések első szakaszában felfedezett HIPAA-szabályok be nem tartásának legnagyobb területe az átfogó, szervezet egészére kiterjedő kockázatértékelés elmulasztása volt.,
a kockázatértékelés a szervezet biztonsága szempontjából kiemelten fontos. Ha nem végeznek kockázatértékelést, a fedezett szervezet nem tud arról, hogy léteznek-e olyan biztonsági rések, amelyek kockázatot jelentenek az ePHI bizalmas jellegére, integritására és rendelkezésre állására nézve. Ezeket a kockázatokat ezért nem lehet kezelni és elfogadható szintre csökkenteni. Az OCR gyakran végrehajtja a pénzügyi szankciókat, ha nem megfelelő kockázatértékelést végeztek.,
A hiba, hogy teljes Üzleti Munkatárs Megállapodások (Főnök) a harmadik fél szolgáltatók is eredményez szankciók HIPAA be. Több érintett szervezetet megbírságoltak azért, mert 2014 szeptembere előtt nem módosították a BAAs-t, amikor az összes meglévő szerződést érvénytelenítette a végső Omnibusz szabály. Szeptemberben 2016, A Care New England Egészségügyi Rendszer bírságolták $ 400,000 HIPAA nem teljesítése, amely magában foglalja a hiba, hogy vizsgálja felül a BAA eredetileg aláírt március 2005.
A BAAs olyan kulcsfontosságú terület, amelyet az OCR az ellenőrzési program során szemmel tart., Főnök – szerződések meghatározzák a megengedett felhasználása, illetve megengedett közzétételek a PHI – alá kell írni minden harmadik fél a szolgáltató, akivel PHI nyilvánosságra (beleértve ügyvédek).
2017 januárja és márciusa között az OCR nyolc településen állapodott meg az adatsértések és panaszok kivizsgálása során feltárt HIPAA-jogsértések megoldása érdekében. Egy polgári pénzbüntetést is kiszabtak.,
ezeknek a szankcióknak a célja a HIPAA megsértéséért részben az, hogy megbüntesse a fedett szervezeteket a HIPAA szabályainak súlyos megsértése miatt, hanem üzenetet küldjön más egészségügyi szervezeteknek is, hogy a HIPAA szabályainak be nem tartása nem elfogadható.
a HIPAA megsértésére vonatkozó 2017. évi szankciók összefoglalója az alábbiakban található: