wat zijn HIPAA overtreding boetes?
Het Office for Civil Rights (OCR) van het Department of Health and Human Services en de procureur-generaal van de staat hebben de bevoegdheid om sancties op HIPAA-schendingen uit te vaardigen. Naast de financiële sancties zijn de gedekte entiteiten (ce ‘ s) wettelijk verplicht om een actieplan met corrigerende maatregelen goed te keuren om het beleid en de procedures aan de norm aan te passen. Deze normen zijn door de HIPAA-wetgeving.,
De Health Insurance Portability and Accountability Act (HIPAA) van 1996 creëerde vereisten en normen waaraan door HIPAA gedekte entiteiten moesten voldoen. Het doel van deze wetgeving was om beschermde gezondheidsinformatie (PHI) van patiënten privé te houden. HIPAA biedt strikte richtlijnen met wie de PHI kan worden gedeeld en onder welke omstandigheden dit passend is.
handhaving definitieve regel van 2006 gaf de OCR de bevoegdheid om financiële sancties (en/of corrigerende actieplannen) uit te vaardigen aan onder de richtlijn vallende entiteiten die niet voldoen aan de HIPAA-regels., In maart 2013 introduceerde de HIPAA Omnibus regel heffingen in overeenstemming met de Health Information Technology for Economic and Clinical Health Act (HITECH), waardoor het beleid en de financiële sancties werden bijgewerkt.
de nieuwe sancties die door de omnibusregel zijn ingevoerd, stellen dat HIPAA-schendingen nu van toepassing zijn op zorgaanbieders, gezondheidsplannen, zorgafwikkelcentra en alle andere onder de richtlijn vallende entiteiten, evenals business associates (BA ‘ s) van onder de richtlijn vallende entiteiten die de HIPAA-regels hebben geschonden.,
de primaire functie van deze straffen is het afschrikken van degenen die geneigd zijn HIPAA-wetten te overtreden. Als de wetten worden overtreden, bieden zij een middel om ervoor te zorgen dat de onder de wetgeving vallende entiteiten aansprakelijk worden gesteld wanneer zij niet hebben voldaan aan hun plicht om de privacy van patiënten en de vertrouwelijkheid van gezondheidsgegevens te beschermen.
De strafstructuur voor een overtreding van HIPAA-wetten is gelaagd. De niveaus worden in grote lijnen gedeeld door de hoeveelheid kennis die een gedekte entiteit had van de schending van de HIPAA-wetten., De OCR houdt rekening met de omstandigheden waarin de overtreding heeft plaatsgevonden en stelt de straf vast op basis van verschillende “algemene factoren” en de ernst van de HIPAA-overtreding. Echter, de OCR beschouwt onwetendheid niet als een excuus voor het plegen van een HIPAA overtreding.
Wat is een HIPAA-overtreding?
een HIPAA-overtreding wordt gedefinieerd als wanneer een onder HIPAA vallende entiteit – of een van hun zakenpartner – niet voldoet aan een of meer bepalingen van de HIPAA-regels voor Privacy, beveiliging of melding van inbreuken.
een overtreding kan opzettelijk of onopzettelijk zijn., Een opzettelijke overtreding zal resulteren in de maximaal mogelijke boete die aan de organisatie wordt opgelegd. Wanneer PHI aan een andere partij wordt bekendgemaakt, moet deze informatie worden beperkt tot het minimum dat nodig is om het doel waarvoor zij wordt bekendgemaakt, te bereiken. Als er meer informatie dan nodig wordt gegeven, is dit een overtreding.
Er zijn veel regels waarvan CEs op de hoogte moet zijn. Een daarvan is de HIPAA inbreuk kennisgeving regel., Een inbreuk op deze regel kan zijn dat de CE de afgifte van kennisgevingen van inbreuken aan patiënten onnodig vertraagt en de maximumtermijn van 60 dagen na de ontdekking van een inbreuk om kennisgevingen te doen, overschrijdt. Dit kan per ongeluk of opzettelijk zijn. Een andere regel die vaak wordt overtreden is de eis voor CEs om organisatiebrede risicobeoordelingen uit te voeren.
sancties voor HIPAA-schendingen kunnen mogelijk worden opgelegd voor alle HIPAA-schendingen, hoewel OCR meestal de meeste gevallen oplost door vrijwillige naleving., Zij doen dit door technische richtsnoeren uit te geven of het plan van een gedekte entiteit of zakenpartner te accepteren om de schendingen aan te pakken en het beleid en de procedures te wijzigen om toekomstige schendingen te voorkomen. Financiële sancties voor HIPAA overtredingen zijn voorbehouden voor de meest ernstige schendingen van de HIPAA regels.
de classificatie van HIPAA-overtredingen
de uitkomst van een HIPAA-overtreding hangt sterk af van de ernst van de overtreding., OCR geeft de voorkeur aan het oplossen van HIPAA-schendingen door middel van niet-bestraffende maatregelen, zoals vrijwillige naleving of het verstrekken van technische richtsnoeren om gedekte entiteiten te helpen gebieden van niet-naleving aan te pakken. Als de overtredingen ernstig zijn of meerdere keren zijn herhaald, acht het OCR financiële sancties passend.,
De vier categorieën gebruikt voor de penalty-structuur zijn als volgt:
- Categorie 1: Een fout die het bedekt entiteit niet op de hoogte was van en kon niet realistisch voorkomen, had een redelijke mate van zorgvuldigheid had genomen om zich te houden aan de HIPAA-Regels
- Categorie 2: Een fout die het bedekt entiteit moet op de hoogte zijn geweest van, maar kon niet voorkomen, zelfs met een redelijke hoeveelheid van de zorg., (maar niet opzettelijk verwaarlozen van HIPAA-regels)
- Categorie 3: een schending geleden als een direct gevolg van” opzettelijke verwaarlozing ” van HIPAA-regels, in gevallen waarin een poging is gedaan om de schending te corrigeren
- Categorie 4: een schending van HIPAA-regels die opzettelijke verwaarlozing vormen, waar geen poging is gedaan om de schending te corrigeren
de OCR kan afzien van een schending in het geval van onbekende schendingen. Dit zijn situaties waarin van de gedekte entiteit niet kon worden verwacht dat zij een datalek zou vermijden., De boete kan niet worden kwijtgescholden als de overtreding opzettelijk verwaarlozing van Privacy, veiligheid en schending kennisgeving regels.
HIPAA-overtreding Strafstructuur
de straf die wordt opgelegd aan CEs die HIPAA hebben overtreden, hangt af van de ernst van het misdrijf. De OCR houdt rekening met vele factoren bij het bepalen van sancties, zoals de duur van de overtreding, het aantal betrokkenen en de aard van de blootgestelde gegevens. De OCR zal ook rekening houden met de bereidheid van de CEs om mee te werken bij het opleggen van de boete, evenals met hun huidige financiële situatie., Algemene factoren die het niveau van de financiële sanctie kunnen beïnvloeden, omvatten ook eerdere geschiedenis, de financiële toestand van de organisatie en het niveau van schade veroorzaakt door de schending. In het algemeen worden de boetes uitgereikt per overtreding categorie, per jaar dat de overtreding door de CE aanhoudt.
bij een datalek of veiligheidsincident dat het gevolg is van een schending kunnen afzonderlijke boetes worden opgelegd voor verschillende aspecten van de inbreuk onder meerdere veiligheids-en privacystandaarden. Daarom kan zelfs een klein incident resulteren in een boete van $50.000 geheven tegen de CE.,
in bepaalde omstandigheden kan een boete ook dagelijks in plaats van jaarlijks worden opgelegd. Als een gedekte entiteit patiënten bijvoorbeeld gedurende een periode van één jaar het recht op het verkrijgen van kopieën van hun medische dossiers heeft ontzegd, kan de OCR besluiten een boete op te leggen per dag dat de gedekte entiteit de wet heeft overtreden. De straf zou worden vermenigvuldigd met 365, niet met het aantal patiënten dat de toegang tot hun medisch dossier is geweigerd.
advocaten-generaal en HIPAA
in februari 2009 werd de HITECH Act (artikel 13410(e) (1)) ingevoerd., Hierdoor konden de advocaten-generaal van de staat de bevoegdheid hebben om HIPAA-gedekte entiteiten verantwoordelijk te houden voor de blootstelling van de PHI van ingezetenen van de staat. Ze kunnen ook civiele procedures in te dienen bij de federale district rechtbanken. HIPAA overtreding boetes kunnen worden uitgegeven tot een maximum van $25.000 per overtreding categorie, per kalenderjaar. De minimumboete is $ 100 per overtreding.
als gevolg hiervan kan een CE die lijdt aan een datalek waardoor inwoners in meerdere staten worden getroffen, worden veroordeeld tot het betalen van boetes voor HIPAA-overtredingen aan advocaten-generaal in meerdere staten., Op dit moment hebben alleen de Staten Connecticut, Massachusetts, Indiana, Vermont en Minnesota gehandeld tegen HIPAA overtreders tot nu toe. Aangezien de advocatengeneraal echter een percentage van de uitgegeven boetes kunnen behouden, kunnen meer advocaten-generaal besluiten om in de toekomst boetes uit te vaardigen voor HIPAA-schendingen.
HIPAA strafrechtelijke sancties
naast civiele financiële sancties voor HIPAA-schendingen, kunnen in ernstige gevallen strafrechtelijke aanklachten worden ingediend tegen de persoon(personen) die verantwoordelijk is (zijn) voor een schending van de PHI., Net als financiële sancties, zijn de strafrechtelijke sancties voor HIPAA overtredingen verdeeld in lagen. Een rechter beslist de voorwaarden van de straf, samen met de financiële sanctie, op een geval-tot-geval basis. Net als bij OCR worden verschillende algemene factoren in overweging genomen die van invloed zullen zijn op de opgelegde straf. Indien een persoon heeft geprofiteerd van de diefstal, toegang of openbaarmaking van PHI, kan het nodig zijn dat alle ontvangen gelden worden terugbetaald, naast de betaling van een boete.,
de niveaus voor HIPAA strafrechtelijke sancties zijn:
niveau 1: redelijke oorzaak of geen kennis van overtreding – tot 1 jaar gevangenisstraf
niveau 2: PHI verkrijgen onder valse voorwendselen – tot 5 jaar gevangenisstraf
niveau 3: phi verkrijgen voor persoonlijk gewin of met kwade bedoelingen – tot 10 jaar gevangenisstraf
Er is een sterke stijging in het aantal werknemers dat toegang heeft tot of gestolen PHI. PHI heeft een aanzienlijke financiële waarde, vooral op de zwarte., Het is daarom van essentieel belang dat er controles worden ingevoerd om de mogelijkheid voor individuen om patiëntgegevens te stelen te beperken, en dat er systemen en beleid worden ingevoerd om te garanderen dat oneigenlijke toegang tot en diefstal van PHI snel wordt vastgesteld.
alle personeelsleden die in het kader van hun werk met PHI te maken kunnen krijgen, moeten op de hoogte worden gesteld van de HIPAA-strafrechtelijke sancties en dat overtredingen niet alleen leiden tot verlies van werk, maar mogelijk ook tot een lange gevangenisstraf en een zware boete. Het is de verantwoordelijkheid van de CE om ervoor te zorgen dat hun werknemers op een verantwoordelijke manier handelen.,
De advocaten-generaal van de staat zijn hard aan het werk met betrekking tot gegevensdiefstal en willen graag voorbeelden geven van personen die de HIPAA-privacyregels hebben overtreden. Een gevangenisstraf voor de diefstal van HIPAA-gegevens is daarom zeer waarschijnlijk, omdat dit een sterk signaal is voor degenen die verleid worden door de potentiële financiële voordelen.
onwetende schending van HIPAA
zoals eerder vermeld, kan de OCR afzien van een civiele straf voor degenen die zonder het te weten HIPAA hebben geschonden., Echter, onwetendheid van de HIPAA regelgeving wordt niet beschouwd als een gerechtvaardigd excuus voor een organisatie die niet in geslaagd om de juiste voorzorgsmaatregelen tegen schendingen te implementeren.
een voorbeeld hiervan deed zich eerder dit jaar voor. De remote cardial monitoring service CardioNet kreeg een boete van $2,5 miljoen voor het niet volledig begrijpen van de HIPAA vereisten en vervolgens niet in staat om een volledige risicobeoordeling uit te voeren.
vanwege de onvolledige risicobeoordeling werd het PHI van 1.391 personen mogelijk zonder officiële toestemming openbaar gemaakt., Dit was het gevolg van een eenvoudige werknemer fout; een laptop met de gegevens werd gestolen uit een auto geparkeerd buiten de medewerkers huis. OCR-directeur Roger Severino beschreef dit incident als een geval van de CE onbewust overtreden HIPAA door het negeren van de veiligheid en het niet goed beschermen van de informatie.
HIPAA Compliance Audits en sancties voor HIPAA overtredingen
als een audit is voltooid en een CE of BA blijkt niet te hebben voldaan aan de HIPAA regelgeving, heeft de OCR de bevoegdheid om sancties op HIPAA niet-naleving uit te vaardigen., Dit kan zelfs gebeuren als er geen inbreuk op PHI of geen klacht is geweest.
de eerste fase van HIPAA-nalevingsaudits werd uitgevoerd in 2011/2012 en toonde aan dat veel onder de richtlijn vallende entiteiten worstelen met naleving. OCR verleende technische bijstand om deze entiteiten te helpen gebieden van niet-naleving te corrigeren en er werden geen sancties opgelegd voor HIPAA-schendingen. Ze kregen enkele jaren de tijd om hun prestaties te verbeteren voordat een nieuwe audit werd gepland.
nu, vijf jaar later, is de OCR bezig met het uitvoeren van deze tweede fase van audits., De audits worden niet uitgevoerd met het specifieke doel HIPAA-overtredingen op te sporen en financiële sancties uit te vaardigen, hoewel als ernstige schendingen van de HIPAA-regels worden ontdekt, financiële sancties passend kunnen worden geacht. CEs hebben ruim de tijd gehad om hun compliance programma ‘ s te ontwikkelen. Deze keer wordt niet verwacht dat OCR zo mild zal zijn.
uit de audits is gebleken dat de grootste gebieden van niet-naleving van de HIPAA-regels die tijdens de eerste fase van de nalevingsaudits werden ontdekt, het niet uitvoeren van een alomvattende, organisatiebrede risicobeoordeling waren.,
de risicobeoordeling is van het grootste belang voor de veiligheid van de organisatie. Indien geen risicobeoordeling wordt uitgevoerd, zal een gedekte entiteit niet op de hoogte zijn van eventuele beveiligingsproblemen die een risico vormen voor de vertrouwelijkheid, integriteit en beschikbaarheid van ePHI. Deze risico ‘ s zullen derhalve niet worden beheerd en tot een aanvaardbaar niveau worden teruggebracht. De OCR zal vaak financiële sancties opleggen als zij hebben vastgesteld dat er onvoldoende risicobeoordelingen worden uitgevoerd.,
het niet voltooien van Business Associate Agreements (BAAs) met externe dienstverleners kan ook leiden tot sancties voor niet-naleving van HIPAA. Verschillende onder de regeling vallende entiteiten zijn beboet voor het niet herzien van BAAs geschreven vóór September 2014, toen alle bestaande contracten ongeldig werden verklaard door de definitieve Omnibusregel. In September 2016, De Care New England Health System kreeg een boete van $ 400.000 voor HIPAA niet-naleving, waaronder het niet herzien van een BAA oorspronkelijk ondertekend in maart 2005.
BAAs is een belangrijk gebied dat OCR gedurende het auditprogramma in de gaten zal houden., BAAs-contracten die de toegestane toepassingen en toegestane openbaarmaking van PHI-moet worden ondertekend met elke derde partij dienstverlener met wie PHI wordt bekendgemaakt (met inbegrip van advocaten).
recente sancties voor HIPAA-schendingen
tussen januari en maart 2017 heeft de OCR acht schikkingen getroffen om HIPAA-schendingen op te lossen die werden ontdekt tijdens onderzoeken naar datalekken en klachten. Er is ook een civiele monetaire sanctie opgelegd.,
Het doel van deze straffen voor HIPAA-schendingen is deels om gedekte entiteiten te straffen voor ernstige schendingen van de HIPAA-regels, maar ook om een bericht te sturen naar andere zorgorganisaties dat niet-naleving van de HIPAA-regels niet aanvaardbaar is.
een samenvatting van de boetes voor HIPAA-overtredingen in 2017 wordt hieronder beschreven: