Hva er INTERESSERT brudd bøter?
The Department of Health and Human Services’ Kontor for Sivile Rettigheter (OCR) og staten advokater generelt har makt til å utstede straffer for FORSKRIFTER brudd. Sammen med den økonomiske sanksjoner, dekket enheter (CEs) er videre pålagt ved lov å vedta en eventuell handlingsplan for å gi retningslinjer og prosedyrer er opp til den standard. Disse standardene er av regler og FORSKRIFTER.,
Health Insurance Portability and Accountability Act (FORSKRIFTER) av 1996 opprettet forutsetninger og standarder og FORSKRIFTER-dekket enheter var å forholde seg til. Målet med denne lovgivningen var å holde Beskyttet helseinformasjon (PHI) av pasienter privat. FORSKRIFTER har strenge retningslinjer for hvem PHI kan være felles, og under hvilke omstendigheter dette er hensiktsmessig.
Håndheving Endelig Regel av 2006 ga OCR makt til å gi økonomiske sanksjoner (og/eller korrigerende handlingsplaner) til dekket enheter som ikke klarer å overholde Regler og FORSKRIFTER., I Mars 2013, FORSKRIFTER Omnibus Regelen innført avgifter på linje med Helse informasjonsteknologi for Økonomisk og Klinisk Helse Act (HITECH), og dermed oppdatere retningslinjer og økonomiske sanksjoner.
Den nye sanksjoner innført av Omnibus regel si at FORSKRIFTER brudd nå gjelder for helsepersonell, helse planer, helse clearinghouses og alle andre dekket enheter, samt forretningsforbindelser (BAs) av dekket enheter som er funnet å ha brutt Regler og FORSKRIFTER.,
Den primære funksjonen av disse straffene er å opptre som en avskrekkende til de som er fristet til å bryte lover og FORSKRIFTER. Hvis lover er brutt, og de gir et middel for å sikre dekket enheter holdes ansvarlig selskap når de har sviktet sin plikt til å beskytte personvernet til pasientene og taushetsplikten i helse-data.
straffen struktur for overtredelse av lover og FORSKRIFTER er lagdelt. Lagene er grovt deles mengden av kunnskap som dekket enhet hadde av brudd på lover og FORSKRIFTER., OCR vurderer forholdene i overtredelsen fant sted, og setter straff basert på flere «generelle faktorer» og alvoret i FORSKRIFTER brudd. Imidlertid, OCR-ikke vurdere uvitenhet som en unnskyldning for å begå en FORSKRIFTER brudd.
Hva som Utgjør en FORSKRIFTER Brudd?
EN FORSKRIFTER brudd er definert til å være når en FORSKRIFTER dekket enhet – eller en av deres medarbeider – ikke klarer å overholde ett eller flere av bestemmelsene i FORSKRIFTER Personvern, Sikkerhet, eller Brudd Melding Regler.
Et brudd kan være tilsiktet eller utilsiktet., Et bevisst brudd vil resultere i størst mulig bot som ilegges mot organisasjonen. Når PHI er utlevert til en annen part, det må være begrenset til det minimum som er nødvendig informasjon for å oppnå det formål som det er offentliggjort. Hvis det finnes mer informasjon enn nødvendig er gitt, dette utgjør et brudd.
Det er mange regler som som CEs må være klar over. En som er INTERESSERT Brudd Varsling Regelen., Et brudd på denne regelen kan være CE-unødvendig å utsette utstedelse av brudd varsling brev til pasienter og overskridelse av maksimal tidsramme av 60 dager etter oppdagelsen av en bryter til å utstede varsler. Dette kan være tilfeldig, eller bevisst. En annen regel som ofte er brutt kravet til CEs til å utføre organisasjonsomfattende risikovurderinger.
Straffer for FORSKRIFTER brudd kan potensielt være utstedt for alle FORSKRIFTER brudd, selv om OCR vanligvis løser de fleste tilfeller gjennom frivillig etterlevelse., De gjør dette ved å innføre tekniske veiledning, eller akseptere et dekket enhet eller medarbeider plan for å håndtere brudd og endre policyer og prosedyrer for å hindre fremtidige brudd oppstår. Økonomisk straff for FORSKRIFTER brudd er reservert for de mest alvorlige brudd på Regler og FORSKRIFTER.
FORSKRIFTER Brudd Klassifikasjoner
utfallet av en FORSKRIFTER brudd er svært avhengig av alvorlighetsgraden av overtredelsen., OCR foretrekker å løse FORSKRIFTER brudd ved hjelp av ikke-straffende tiltak, for eksempel med frivillig etterlevelse eller gi teknisk veiledning for å hjelpe dekket enheter-adresse områder av ikke-overholdelse. Hvis bruddene er alvorlige, eller har blitt gjentatt flere ganger, OCR anser økonomiske sanksjoner for å være hensiktsmessig.,
fire kategorier som brukes for straff struktur er som følger:
- Kategori 1: Et brudd som dekket enhet var ikke klar over og kunne ikke ha realistisk unngått, hadde en rimelig grad av omsorg hadde blitt tatt for å overholde Regler og FORSKRIFTER
- Kategori 2: Et brudd som dekket enhet burde ha vært klar over, men ikke kunne ha unngått selv med en viss forsiktighet., (men faller kort av forsettlig forsømmelse av Regler og FORSKRIFTER)
- Kategori 3: Et brudd lidd som et direkte resultat av «forsettlig forsømmelse» av Regler og FORSKRIFTER, og i tilfeller der det er gjort et forsøk på å korrigere brudd
- Kategori 4: Et brudd på Regler og FORSKRIFTER som utgjør forsettlig forsømmelse, der hvor ingen forsøk har blitt gjort for å rette opp brudd
OCR kan frafalle et brudd i tilfelle av ukjent brudd. Dette er situasjoner som dekket enhet kunne ikke ha vært forventet å unngå en data brudd., Straff kan bortfalle dersom brudd involvert forsettlig forsømmelse av Personvern, Sikkerhet og Brudd Melding Regler.
FORSKRIFTER Brudd Straff Struktur
straffen ilegges å CEs som har krenket FORSKRIFTER avhenger av alvorlighetsgraden av forbrytelsen. OCR vurderer mange faktorer når det avgjøres på straffer, for eksempel hvor lang tid et brudd vedvarte, antall personer som er berørt og arten av data utsatt. OCR vil også vurdere CEs vilje til å samarbeide når utstede fine, så vel som deres nåværende økonomiske situasjon., Generelle faktorer som kan påvirke nivået av økonomisk straff inkluderer også tidligere historie, organisasjonens økonomiske tilstand og graden av skade forårsaket av brudd. Generelt, bøter er utstedt brudd per kategori per år som brudd vedvarer av CE.
Et datainnbrudd eller sikkerhet hendelse som gjør at resultater fra eventuelle brudd kan se separat utstedt bøter for ulike aspekter av brudd under flere sikkerhet og standarder for personvern. Derfor, selv en mindre hendelse som kan resultere i en bot på $50,000 ilegges mot CE.,
I visse tilfeller kan en fint kan også brukes daglig i stedet for årlig. For eksempel, hvis en dekket enhet har vært å nekte pasienter rett til å få kopier av sine medisinske journaler, og hadde gjort det i en periode på ett år, OCR kan bestemme seg for å anvende straff per dag som dekket foretaket har vært i strid med loven. Straffen ville bli multiplisert med 365, ikke av antall pasienter som har blitt nektet tilgang til deres medisinske poster.
Advokater Generaler og FORSKRIFTER
I februar 2009, i HITECH-Loven (§13410(e) (1)) ble innført., Dette tillot staten advokater generelt å ha myndighet til å holde FORSKRIFTER-dekket enheter som er ansvarlig for eksponering av PHI av innbyggere i staten. De kan også sende sivile handlinger med federal district domstolene. FORSKRIFTER brudd bøter kan utstedes opp til et maksimalt nivå på $25.000 per overtredelse kategori, per kalender år. Minimum fine gjeldende er $100 per overtredelse.
Som et resultat, en CE lidelse et datainnbrudd som berører innbyggerne i flere stater kan bli dømt til å betale FORSKRIFTER brudd bøter til advokater generelt i flere stater., I dag bare i delstatene Connecticut, Massachusetts, Indiana, Vermont og Minnesota har spilt mot og FORSKRIFTER lovbrytere til dags dato. Imidlertid, siden advokater generelt kontorer kan beholde en andel av bøtene utstedt, mer advokater generelt kan bestemme seg for å utstede straffer for FORSKRIFTER brudd i fremtiden.
FORSKRIFTER Straff
I tillegg til sivile økonomiske sanksjoner for FORSKRIFTER brudd, i alvorlige tilfeller straffesaker kan anlegges mot personen(e) som er ansvarlig for brudd på PHI., Som økonomiske sanksjoner, straff og FORSKRIFTER brudd er delt inn i klasser. En dommer bestemmer vilkårene i dommen, sammen med økonomisk straff, på et sak-til-sak grunnlag. Som med OCR, flere generelle faktorer er vurdert som vil påvirke straffen utstedt. Hvis en person har profittert på den tyveri, tilgang og offentliggjøring av PHI, kan det være nødvendig for alle penger mottatt for å bli refundert, i tillegg til betaling av bot.,
lagene for FORSKRIFTER kriminelle straffer er:
Tier 1: Rimelig grunn eller ingen kjennskap til brudd – Opp til 1 år i fengsel
Tier 2: å Få PHI under falske forutsetninger – Opp til 5 år i fengsel
Tier 3: Å skaffe PHI for personlig vinning eller med onde hensikter – Opp til 10 år i fengsel
Det har vært en kraftig økning i antall ansatte viser seg å være å få tilgang til eller stjele PHI. PHI har betydelig økonomisk verdi, spesielt på den svarte., Det er derfor viktig at kontroller er satt inn i stedet for å begrense muligheten for individer å stjele pasientdata, og for systemer og en politikk til å være på plass for å sikre feilaktig tilgang og tyveri av PHI er identifisert umiddelbart.
Alle ansatte sannsynlig å møte PHI som en del av sine arbeidsoppgaver bør være informert om FORSKRIFTER kriminelle straffer og at overtredelser vil ikke bare resultere i tap av sysselsetting, men potensielt også en langvarig fengsel og en stor bot. Det er CE-ansvar for å sikre at de ansatte til å handle på en ansvarlig måte.,
State advokater generelt er det slås ned på data tyveri og er opptatt av å gjøre eksempler ut av individer funnet å ha brutt og FORSKRIFTER Regler for Personvern. Et fengsel for tyveri av FORSKRIFTER data er derfor svært sannsynlig, da dette er et sterkt signal til de som er fristet av den potensielle økonomiske gevinster.
Uvitende Overtredelse av FORSKRIFTER
Som nevnt tidligere, OCR kan frafalle en sivil straff for de som uvitende krenket og FORSKRIFTER., Imidlertid er uvitenhet av FORSKRIFTER forskrifter regnes ikke som forsvarlig unnskyldning for en organisasjon som ikke klarte å gjennomføre nødvendige sikringstiltak mot brudd oppstår.
Et eksempel på dette skjedde tidligere i år. Den eksterne hjerte-overvåking tjeneste CardioNet ble bøtelagt $2,5 millioner for ikke å fullt ut forstå og FORSKRIFTER krav og senere unnlate å foreta en fullstendig risikovurdering.
på Grunn av ufullstendig risikovurdering, den PHI av 1,391 individer var potensielt videreformidles uten offisiell godkjenning., Dette var resultatet av en enkelt ansatt feil; en bærbar pc som inneholder data ble stjålet fra en bil som sto parkert utenfor de ansatte hjem. OCR-Direktør Roger Severino beskrevet denne hendelsen som et tilfelle av CE-uvitende brudd på FORSKRIFTER av hensyn til sikkerhet og ikke sikring av informasjon på riktig måte.
FORSKRIFTER samsvarsrevisjon og Straff for FORSKRIFTER Brudd
Hvis en revisjon er gjennomført og en CE-eller BA er funnet ikke å ha overholdt og FORSKRIFTER forskrifter, OCR har myndighet til å utstede straffer for FORSKRIFTER manglende overholdelse., Dette kan skje selv om det har vært noe brudd på PHI eller ingen klage.
Den første fasen av FORSKRIFTER samsvar revisjoner ble gjennomført i 2011/2012 og avslørte mange dekket enheter sliter med samsvar. OCR gitt teknisk assistanse for å hjelpe de enheter riktige områdene av manglende overholdelse og ingen straff for FORSKRIFTER brudd ble utstedt. De ble gitt flere år for å forbedre sin ytelse før en annen revisjon ble planlagt.
Nå, 5 år etter, OCR-programmet er i ferd med å gjennomføre denne andre fasen av revisjoner., Revisjonene er ikke gjennomført med den spesielle sikte på å finne og FORSKRIFTER brudd og gi fengselsstraffer, selv om alvorlige brudd på Regler og FORSKRIFTER er oppdaget, økonomiske sanksjoner kan anses hensiktsmessig. CEs har hatt god tid til å utvikle sine compliance-programmer. Denne gangen rundt, OCR forventes ikke å være så strenge.
revisjonene har avdekket at de største områdene av manglende overholdelse av Regler og FORSKRIFTER som er oppdaget i den første fasen av samsvarsrevisjon var unnlatelse av å gjennomføre en omfattende, organisasjonsomfattende risikovurdering.,
risikovurdering er av den største viktighet for organisasjonen for sikkerhet. Hvis en risikovurdering er ikke gjennomført, en overbygd enhet vil være klar om noen sikkerhetsproblemer finnes som utgjør en risiko for konfidensialitet, integritet og tilgjengelighet av ePHI. Disse risikoene vil derfor ikke være klart og redusert til et akseptabelt nivå. OCR vil ofte håndheve økonomiske sanksjoner hvis de har funnet mangelfulle risikovurderinger som utføres.,
feil å fullføre Medarbeider Avtaler (BAAs) med tredjeparts tjenesteleverandører kan også resulterer i straff for FORSKRIFTER manglende overholdelse. Flere dekket enheter har blitt bøtelagt for ikke å revidere BAAs skrevet før September 2014, når alle eksisterende kontrakter ble brutt av den Endelige Omnibus Regelen. I September 2016, Omsorg New England helsevesenet ble bøtelagt $400,000 for FORSKRIFTER manglende overholdelse som inkluderte unnlatelse av å endre en BAA opprinnelig undertegnet i Mars 2005.
BAAs er et viktig område som OCR vil være å holde et øye på gjennom sin revisjon programmet., BAAs – kontrakter som lå ut tillatt bruk og tillatte avsløringer av PHI – skal være signert med hver tredjeparts tjenesteleverandør som PHI er offentliggjort (inkludert advokater).
Siste Straffer for FORSKRIFTER Brudd
Mellom januar og Mars 2017, OCR avtalt åtte bosetninger for å løse FORSKRIFTER brudd oppdaget under etterforskning av data brudd og klager. En sivil monetære straff har også blitt utstedt.,
formålet med disse straffene for FORSKRIFTER brudd er i en del å straffe dekket enheter for alvorlige brudd på Regler og FORSKRIFTER, men også for å sende en melding til andre helseorganisasjoner at manglende overholdelse av Regler og FORSKRIFTER er ikke akseptabelt.
En oppsummering av 2017 straffer for FORSKRIFTER brudd er beskrevet nedenfor: