Quali sono le multe per violazione HIPAA?
L’Ufficio del Dipartimento della Salute e dei Servizi umani per i diritti civili (OCR) e i procuratori generali dello Stato hanno il potere di emettere sanzioni per le violazioni HIPAA. Accanto alle sanzioni pecuniarie, le entità coperte (CES) sono inoltre tenute per legge ad adottare un piano d’azione correttivo per adeguare le politiche e le procedure allo standard. Questi standard sono da legislazioni HIPAA.,
L’Health Insurance Portability and Accountability Act (HIPAA) del 1996 ha creato requisiti e standard a cui le entità coperte da HIPAA dovevano aderire. Lo scopo di questa legislazione era di mantenere private le informazioni sanitarie protette (PHI) dei pazienti. HIPAA offre linee guida rigorose per quanto riguarda con chi il PHI può essere condiviso, e in quali circostanze questo è appropriato.
Enforcement Final Rule del 2006 ha conferito all’OCR il potere di emettere sanzioni pecuniarie (e / o piani d’azione correttivi) alle entità coperte che non rispettano le norme HIPAA., Nel marzo 2013, la regola HIPAA Omnibus ha introdotto tariffe in linea con la Health Information Technology for Economic and Clinical Health Act (HITECH), aggiornando così le politiche e le sanzioni pecuniarie.
Le nuove sanzioni introdotte dalla regola Omnibus affermano che le violazioni HIPAA si applicano ora agli operatori sanitari, ai piani sanitari, alle clearinghouse sanitarie e a tutte le altre entità coperte, nonché ai business associates (BAs) di entità coperte che hanno violato le regole HIPAA.,
La funzione primaria di queste sanzioni è di agire come deterrente per coloro che sono tentati di violare le leggi HIPAA. Se le leggi vengono violate, forniscono un mezzo per garantire che le entità coperte siano ritenute responsabili quando hanno fallito nel loro dovere di proteggere la privacy dei pazienti e la riservatezza dei dati sanitari.
La struttura di penalità per una violazione delle leggi HIPAA è a più livelli. I livelli sono ampiamente divisi per la quantità di conoscenza che un’entità coperta aveva della violazione delle leggi HIPAA., L’OCR considera le circostanze in cui si è verificata la violazione e stabilisce la sanzione in base a diversi “fattori generali” e alla gravità della violazione HIPAA. Tuttavia, l’OCR non considera l’ignoranza come una scusa per commettere una violazione HIPAA.
Che cosa costituisce una violazione HIPAA?
Una violazione HIPAA è definita quando un’entità coperta da HIPAA – o uno dei suoi soci in affari – non rispetta una o più delle disposizioni delle regole di notifica di privacy, sicurezza o violazione HIPAA.
Una violazione può essere intenzionale o non intenzionale., Una violazione deliberata comporterà l’imposizione della massima ammenda possibile nei confronti dell’organizzazione. Quando il PHI è divulgato a un’altra parte, esso deve essere limitato al minimo necessario per raggiungere lo scopo per il quale è divulgato. Se vengono fornite più informazioni del necessario, ciò costituisce una violazione.
Ci sono molte regole di cui i CES devono essere a conoscenza. Uno dei quali è la regola di notifica violazione HIPAA., Una violazione di questa regola può essere il CE ritardare inutilmente il rilascio di lettere di notifica di violazione ai pazienti e superare il termine massimo di 60 giorni dopo la scoperta di una violazione di emettere notifiche. Questo può essere accidentale o intenzionale. Un’altra regola che viene spesso infranta è l’obbligo per il CES di eseguire valutazioni del rischio a livello di organizzazione.
Le sanzioni per le violazioni HIPAA possono potenzialmente essere emesse per tutte le violazioni HIPAA, sebbene l’OCR risolva in genere la maggior parte dei casi attraverso la conformità volontaria., Lo fanno emettendo una guida tecnica o accettando il piano di un’entità coperta o di un socio in affari per affrontare le violazioni e modificare le politiche e le procedure per evitare che si verifichino future violazioni. Le sanzioni pecuniarie per le violazioni HIPAA sono riservate alle violazioni più gravi delle regole HIPAA.
Le classificazioni delle violazioni HIPAA
L’esito di una violazione HIPAA dipende fortemente dalla gravità della violazione., L’OCR preferisce risolvere le violazioni HIPAA utilizzando misure non punitive, come la conformità volontaria o l’emissione di linee guida tecniche per aiutare le entità coperte ad affrontare le aree di non conformità. Se le violazioni sono gravi o sono state ripetute più volte, l’OCR ritiene appropriate sanzioni pecuniarie.,
Le quattro categorie utilizzate per la pena di struttura sono i seguenti:
- Categoria 1: Una violazione di coperta, di entità non era a conoscenza e non poteva realisticamente evitato, ha una ragionevole quantità di cura era stata presa per rispettare le Regole HIPAA
- Categoria 2: Una violazione che la coperta entità dovrebbe essere consapevoli di ma non si poteva evitare, anche con una ragionevole quantità di cura., (ma inferiore intenzionale negligenza di Regole HIPAA)
- Categoria 3: Una violazione sofferto come un risultato diretto di “intenzionale negligenza” di Regole HIPAA, nei casi in cui è stato fatto un tentativo per correggere la violazione
- Categoria 4: Una violazione delle Regole HIPAA che costituiscono intenzionale negligenza, dove nessun tentativo è stato fatto per correggere la violazione
OCR potrebbe rinunciare ad una violazione nel caso di unknown violazioni. Si tratta di situazioni in cui non ci si poteva aspettare che l’entità coperta evitasse una violazione dei dati., La sanzione non può essere revocata se la violazione comportava negligenza volontaria della privacy, della sicurezza e delle regole di notifica delle violazioni.
HIPAA Violation Penalty Structure
La sanzione inflitta ai CES che hanno violato HIPAA dipende dalla gravità del reato. L’OCR considera molti fattori nel determinare le sanzioni, come il periodo di tempo in cui una violazione persisteva, il numero di persone colpite e la natura dei dati esposti. L’OCR prenderà in considerazione anche la volontà del CES di cooperare al momento dell’emissione dell’ammenda, nonché la loro attuale situazione finanziaria., I fattori generali che possono influenzare il livello di sanzione finanziaria includono anche la storia precedente, le condizioni finanziarie dell’organizzazione e il livello di danno causato dalla violazione. In generale, le multe sono emesse per categoria di violazione, per anno che la violazione persiste da parte del CE.
Una violazione dei dati o un incidente di sicurezza che risulta da qualsiasi violazione potrebbe vedere multe separate emesse per diversi aspetti della violazione in base a più standard di sicurezza e privacy. Pertanto, anche un incidente minore potrebbe comportare una multa di $50.000 riscossa contro il CE.,
In determinate circostanze, una multa può anche essere applicata giornalmente anziché annualmente. Ad esempio, se un’entità coperta ha negato ai pazienti il diritto di ottenere copie delle loro cartelle cliniche e lo ha fatto per un periodo di un anno, l’OCR può decidere di applicare una penalità al giorno in cui l’entità coperta ha violato la legge. La sanzione sarebbe moltiplicata per 365, non per il numero di pazienti a cui è stato rifiutato l’accesso alle loro cartelle cliniche.
Avvocati generali e HIPAA
Nel febbraio 2009 è stato introdotto l’HITECH Act (Sezione 13410(e) (1))., Ciò ha permesso ai procuratori generali dello stato di avere l’autorità di ritenere le entità coperte da HIPAA responsabili dell’esposizione del PHI dei residenti statali. Possono anche presentare azioni civili presso i tribunali distrettuali federali. Le multe per violazione HIPAA possono essere emesse fino a un livello massimo di $25.000 per categoria di violazione, per anno solare. La multa minima applicabile è di $100 per violazione.
Di conseguenza, un CE che subisce una violazione dei dati che colpisce i residenti in più stati può essere condannato a pagare multe per violazione HIPAA ai procuratori generali in più stati., Attualmente solo gli stati del Connecticut, Massachusetts, Indiana, Vermont e Minnesota hanno agito contro i trasgressori HIPAA fino ad oggi. Tuttavia, poiché gli uffici degli avvocati generali possono mantenere una percentuale delle multe emesse, più avvocati generali possono decidere di emettere sanzioni per le violazioni HIPAA in futuro.
Sanzioni penali HIPAA
Oltre alle sanzioni pecuniarie civili per le violazioni HIPAA, in casi gravi possono essere presentate accuse penali contro l’individuo(s) responsabile di una violazione di PHI., Come le sanzioni finanziarie, le sanzioni penali per le violazioni HIPAA sono divise in livelli. Un giudice decide i termini della pena, insieme alla sanzione pecuniaria, su base caso per caso. Come con OCR, sono considerati diversi fattori generali che influenzeranno la sanzione emessa. Se un individuo ha tratto profitto dal furto, dall’accesso o dalla divulgazione di PHI, può essere necessario che tutti i soldi ricevuti siano rimborsati, oltre al pagamento di una multa.,
I livelli per HIPAA sanzioni penali sono:
Livello 1: Ragionevole causa, o non è a conoscenza della violazione – Fino a 1 anno di carcere
Livello 2: Ottenere PHI sotto false pretese – Fino a 5 anni di carcere
Livello 3: Ottenere PHI per guadagno personale o con dolo – Fino a 10 anni di carcere
C’è stato un forte aumento del numero di dipendenti scoperto di avere o di rubare PHI. PHI ha un notevole valore finanziario, in particolare sul nero., E ‘ quindi essenziale che i controlli sono messi in atto per limitare la possibilità per gli individui di rubare i dati dei pazienti, e per i sistemi e le politiche da mettere in atto per garantire l’accesso improprio e il furto di PHI è prontamente identificato.
Tutto il personale che potrebbe incontrare PHI come parte delle loro mansioni lavorative dovrebbe essere informato delle sanzioni penali HIPAA e che le violazioni non solo comporteranno la perdita di posti di lavoro, ma potenzialmente anche una lunga pena detentiva e una pesante multa. È responsabilità del CE garantire che i propri dipendenti agiscano in modo responsabile.,
I procuratori generali dello Stato stanno reprimendo il furto di dati e sono desiderosi di fare esempi di individui che hanno violato le regole sulla privacy HIPAA. Una pena detentiva per il furto di dati HIPAA è quindi altamente probabile, in quanto questo è un segnale forte a coloro tentati dai potenziali guadagni finanziari.
Inconsapevole violazione di HIPAA
Come accennato in precedenza, l’OCR può rinunciare a una sanzione civile per coloro che inconsapevolmente violato HIPAA., Tuttavia, l’ignoranza dei regolamenti HIPAA non è considerata una scusa giustificabile per un’organizzazione che non ha implementato le garanzie appropriate contro le violazioni che si verificano.
Un esempio di ciò si è verificato all’inizio di quest’anno. Il servizio di monitoraggio cardiaco remoto CardioNet è stato multato million 2.5 milioni per non aver compreso appieno i requisiti HIPAA e successivamente non aver condotto una valutazione completa del rischio.
A causa della valutazione incompleta del rischio, il PHI di 1.391 individui è stato potenzialmente divulgato senza autorizzazione ufficiale., Questo è stato il risultato di un semplice errore dei dipendenti; un laptop contenente i dati è stato rubato da un’auto parcheggiata fuori dalla casa dei dipendenti. Il direttore dell’OCR Roger Severino ha descritto questo incidente come un caso di violazione inconsapevole dell’HIPAA da parte del CE ignorando la sicurezza e non salvaguardando correttamente le informazioni.
Audit di conformità HIPAA e sanzioni per violazioni HIPAA
Se un audit è completato e un CE o BA non è risultato conforme ai regolamenti HIPAA, l’OCR ha l’autorità di emettere sanzioni per la non conformità HIPAA., Ciò può verificarsi anche se non vi è stata alcuna violazione del PHI o nessun reclamo.
La prima fase degli audit di conformità HIPAA è stata condotta nel 2011/2012 e ha rivelato che molte entità coperte stavano lottando con la conformità. L’OCR ha fornito assistenza tecnica per aiutare tali entità a correggere le aree di non conformità e non sono state emesse sanzioni per le violazioni HIPAA. Sono stati dati diversi anni per migliorare le loro prestazioni prima di un altro audit è stato programmato.
Ora, 5 anni dopo, l’OCR è in procinto di condurre questa seconda fase di audit., Gli audit non sono condotti con l’obiettivo specifico di individuare le violazioni HIPAA e l’emissione di sanzioni pecuniarie, anche se se vengono scoperte gravi violazioni delle norme HIPAA, le sanzioni pecuniarie possono essere ritenute appropriate. CEs hanno avuto tutto il tempo per sviluppare i loro programmi di conformità. Questa volta, OCR non dovrebbe essere così indulgente.
Gli audit hanno scoperto che le maggiori aree di non conformità con le regole HIPAA scoperte durante la prima fase degli audit di conformità erano la mancata esecuzione di una valutazione completa del rischio a livello di organizzazione.,
La valutazione del rischio è della massima importanza per la sicurezza dell’organizzazione. Se non viene condotta una valutazione del rischio, un’entità coperta non sarà a conoscenza dell’esistenza di vulnerabilità di sicurezza che rappresentano un rischio per la riservatezza, l’integrità e la disponibilità di ePHI. Tali rischi non saranno pertanto gestiti e ridotti a un livello accettabile. L’OCR applicherà spesso sanzioni pecuniarie se hanno riscontrato valutazioni del rischio inadeguate eseguite.,
Il mancato completamento degli accordi di Business Associate (BaaS) con fornitori di servizi terzi può comportare anche sanzioni per la mancata conformità HIPAA. Diverse entità coperte sono state multate per non aver rivisto BaaS scritte prima di settembre 2014, quando tutti i contratti esistenti sono stati invalidati dalla regola Omnibus finale. Nel settembre 2016, il sistema sanitario Care New England è stato multato di 4 400.000 per non conformità HIPAA che includeva la mancata revisione di un BAA originariamente firmato nel marzo 2005.
I BAAS sono un’area chiave che OCR terrà d’occhio durante tutto il suo programma di audit., BaaS-i contratti che stabiliscono gli usi consentiti e le divulgazioni consentite di PHI-dovrebbero essere firmati con ogni fornitore di servizi di terze parti con cui PHI è divulgato (inclusi gli avvocati).
Sanzioni recenti per violazioni HIPAA
Tra gennaio e marzo 2017, l’OCR ha concordato otto accordi per risolvere le violazioni HIPAA scoperte durante le indagini su violazioni dei dati e reclami. È stata emessa anche una sanzione pecuniaria civile.,
Lo scopo di queste sanzioni per le violazioni HIPAA è in parte quello di punire le entità coperte per gravi violazioni delle regole HIPAA, ma anche di inviare un messaggio ad altre organizzazioni sanitarie che il mancato rispetto delle regole HIPAA non è accettabile.
Una sintesi delle sanzioni 2017 per le violazioni HIPAA sono dettagliate di seguito: