Co to są kary za naruszenie przepisów HIPAA?
Departament Zdrowia i usług ludzkich Biuro Praw Obywatelskich (OCR) i prokuratorzy generalni mają uprawnienia do wydawania kar za naruszenia HIPAA. Oprócz kar finansowych podmioty objęte ubezpieczeniem są dodatkowo zobowiązane przez prawo do przyjęcia planu działań naprawczych w celu dostosowania polityki i procedur do standardu. Standardy te są przez ustawodawstwo HIPAA.,
ustawa Health Insurance Portability and Accountability Act (HIPAA) z 1996 r.stworzyła wymagania i standardy, do których podmioty objęte HIPAA miały się stosować. Celem tych przepisów było utrzymanie chronionych informacji zdrowotnych (PHI) pacjentów prywatnych. HIPAA oferuje ścisłe wytyczne dotyczące tego, komu można udostępniać PHI i w jakich okolicznościach jest to właściwe.
ostatnia zasada egzekwowania z 2006 r.dała OCR uprawnienia do wydawania kar finansowych (i/lub planów działań naprawczych) podmiotom objętym ubezpieczeniem, które nie przestrzegają zasad HIPAA., W marcu 2013 r. reguła HIPAA Omnibus wprowadziła opłaty zgodnie z Ustawą Health Information Technology for Economic and Clinical Health Act (HITECH), aktualizując w ten sposób politykę i kary finansowe.
nowe kary wprowadzone przez regułę zbiorczą stanowią, że naruszenia przepisów HIPAA mają teraz zastosowanie do świadczeniodawców, planów ochrony zdrowia, placówek opieki zdrowotnej i wszystkich innych podmiotów objętych ubezpieczeniem, a także partnerów biznesowych (BAs) podmiotów objętych ubezpieczeniem, które zostały uznane za naruszające zasady HIPAA.,
podstawową funkcją tych kar jest działanie odstraszające osoby skłonne do łamania przepisów HIPAA. W przypadku naruszenia prawa zapewniają one środki zapewniające, że podmioty objęte ochroną zostaną pociągnięte do odpowiedzialności, gdy nie wypełnią obowiązku ochrony prywatności pacjentów i poufności danych zdrowotnych.
struktura kar za naruszenie przepisów HIPAA jest wielopoziomowa. Poziomy są zasadniczo podzielone przez ilość wiedzy, jaką podmiot objęty ubezpieczeniem miał na temat naruszenia przepisów HIPAA., OCR bierze pod uwagę okoliczności, w których doszło do naruszenia i ustala karę na podstawie kilku „czynników ogólnych” i wagi naruszenia HIPAA. Jednak OCR nie uważa ignorancji za pretekst do popełnienia naruszenia HIPAA.
co stanowi naruszenie HIPAA?
naruszenie HIPAA jest definiowane jako naruszenie, gdy podmiot objęty HIPAA – lub jeden z jego wspólników biznesowych – nie przestrzega jednego lub więcej postanowień przepisów dotyczących prywatności, bezpieczeństwa HIPAA lub zasad powiadamiania o naruszeniu.
naruszenie może być umyślne lub niezamierzone., Umyślne naruszenie spowoduje nałożenie na organizację maksymalnej możliwej grzywny. Gdy PHI jest ujawniane innej stronie, musi być ograniczone do minimum informacji niezbędnych do osiągnięcia celu, dla którego jest ujawniane. Jeśli podano więcej informacji niż jest to konieczne, stanowi to naruszenie.
istnieje wiele zasad, z których CEs musi być świadomy. Jednym z nich jest reguła powiadamiania o naruszeniu przepisów HIPAA., Naruszeniem tej zasady może być niepotrzebne opóźnianie przez KE wysyłania powiadomień o naruszeniu do pacjentów i przekraczanie maksymalnego terminu 60 dni od wykrycia naruszenia na wydawanie powiadomień. Może to być przypadkowe lub celowe. Inną często łamaną zasadą jest wymóg przeprowadzania przez CEs ocen ryzyka w całej organizacji.
kary za naruszenia HIPAA mogą być potencjalnie wydane za wszystkie naruszenia HIPAA, chociaż OCR zazwyczaj rozwiązuje większość przypadków poprzez dobrowolne przestrzeganie przepisów., Robią to, wydając wytyczne techniczne lub akceptując Plan podmiotu objętego ubezpieczeniem lub partnera biznesowego w celu rozwiązania naruszeń oraz zmiany zasad i procedur, aby zapobiec przyszłym naruszeniom. Kary finansowe za naruszenia HIPAA są zarezerwowane dla najpoważniejszych naruszeń zasad HIPAA.
Klasyfikacja naruszeń HIPAA
wynik naruszenia HIPAA zależy w dużej mierze od wagi naruszenia., OCR woli rozwiązywać naruszenia HIPAA za pomocą środków niekaralnych, takich jak dobrowolne przestrzeganie przepisów lub wydawanie wytycznych technicznych, aby pomóc podmiotom objętym ochroną w rozwiązywaniu obszarów niezgodności. Jeśli naruszenia są poważne lub zostały powtórzone kilka razy, OCR uzna kary finansowe za właściwe.,
cztery kategorie stosowane dla struktury kar są następujące:
- Kategoria 1: naruszenie, którego podmiot objęty ubezpieczeniem nie był świadomy i nie mógł realistycznie uniknąć, gdyby dołożono należytej staranności w celu przestrzegania zasad HIPAA
- Kategoria 2: naruszenie, o którym podmiot objęty ubezpieczeniem powinien był wiedzieć, ale nie mógł uniknąć nawet przy rozsądnej staranności.,
- Kategoria 3: naruszenie doznane bezpośrednio w wyniku „umyślnego zaniedbania” zasad HIPAA, w przypadkach, gdy podjęto próbę skorygowania naruszenia
- Kategoria 4: naruszenie zasad HIPAA stanowiące umyślne zaniedbanie, w przypadku gdy nie podjęto próby skorygowania naruszenia
OCR może odstąpić od naruszenia w przypadku nieznanych naruszeń. Są to sytuacje, w których nie można było oczekiwać, że podmiot objęty ubezpieczeniem uniknie naruszenia danych., Kara nie może zostać uchylona, jeśli naruszenie polegało na umyślnym zaniedbaniu Zasad Prywatności, bezpieczeństwa i zgłaszania naruszeń.
struktura kar za naruszenie HIPAA
kara nałożona na CEs, którzy naruszyli HIPAA, zależy od wagi przestępstwa. OCR bierze pod uwagę wiele czynników przy określaniu kar, takich jak czas trwania naruszenia, liczba osób, których to dotyczy, i charakter narażonych danych. OCR weźmie również pod uwagę gotowość CEs do współpracy przy wydawaniu grzywny, a także ich obecną sytuację finansową., Ogólne czynniki, które mogą mieć wpływ na poziom kary finansowej obejmują również wcześniejszą historię, kondycję finansową organizacji i poziom szkód spowodowanych naruszeniem. Ogólnie rzecz biorąc, grzywny są wydawane na kategorię naruszenia, rocznie, że naruszenie utrzymuje się przez CE.
naruszenie danych lub incydent bezpieczeństwa, który wynika z jakiegokolwiek naruszenia, może wiązać się z osobnymi karami za różne aspekty naruszenia w ramach wielu standardów bezpieczeństwa i prywatności. Dlatego nawet drobny incydent może skutkować grzywną w wysokości $50,000 nałożoną na CE.,
w pewnych okolicznościach grzywna może być również stosowana codziennie zamiast rocznie. Na przykład, jeżeli podmiot objęty ubezpieczeniem odmawiał pacjentom prawa do uzyskania kopii ich dokumentacji medycznej i robił to przez okres jednego roku, OCR może podjąć decyzję o nałożeniu kary za naruszenie prawa przez podmiot objęty ubezpieczeniem. Kara zostałaby pomnożona przez 365, a nie przez liczbę pacjentów, którym odmówiono dostępu do dokumentacji medycznej.
Adwokaci generalni i HIPAA
w lutym 2009 r.wprowadzono ustawę HITECH Act (art. 13410(e) (1))., Umożliwiło to stanowym prokuratorom generalnym uprawnienie do pociągania podmiotów objętych HIPAA do odpowiedzialności za narażenie PHI rezydentów stanu. Mogą również składać skargi cywilne do federalnych sądów okręgowych. Grzywny za naruszenie przepisów HIPAA mogą być wydawane do maksymalnego poziomu 25 000 USD za kategorię naruszenia, w roku kalendarzowym. Minimalna wysokość grzywny wynosi 100 USD za naruszenie.
w rezultacie CE cierpiący naruszenie danych dotykających rezydentów w wielu stanach może zostać skazany na zapłacenie grzywien za naruszenie HIPAA adwokatom generalnym w wielu stanach., Obecnie tylko Stany Connecticut, Massachusetts, Indiana, Vermont i Minnesota działały przeciwko przestępcom HIPAA do tej pory. Ponieważ jednak kancelarie adwokackie mogą zachować procent wydanych grzywien, więcej adwokatów generalnych może podjąć decyzję o nałożeniu kar za naruszenia przepisów HIPAA w przyszłości.oprócz cywilnych kar finansowych za naruszenia przepisów HIPAA, w poważnych przypadkach można wnieść zarzuty karne przeciwko osobie(osobom) odpowiedzialnym za naruszenie przepisów PHI., Podobnie jak kary finansowe, kary za naruszenia HIPAA są podzielone na poziomy. Sędzia decyduje o treści kary, wraz z karą finansową, w zależności od przypadku. Podobnie jak w przypadku OCR, bierze się pod uwagę kilka ogólnych czynników, które będą miały wpływ na wymierzoną karę. Jeśli dana osoba skorzystała z kradzieży, dostępu lub ujawnienia PHI, może być konieczne, aby wszystkie otrzymane pieniądze zostały zwrócone, oprócz zapłaty grzywny.,
poziomy kar dla HIPAA to:
Poziom 1: rozsądna przyczyna lub brak wiedzy o naruszeniu – do 1 roku więzienia
Poziom 2: uzyskanie PHI pod fałszywym pretekstem – do 5 lat więzienia
Poziom 3: uzyskanie PHI dla osobistych korzyści lub ze złośliwymi zamiarami – do 10 lat więzienia
nastąpił gwałtowny wzrost liczby pracowników, którzy mieli dostęp do PHI lub kradli PHI. PHI ma znaczną wartość finansową, szczególnie na czarnym., W związku z tym niezbędne jest wprowadzenie kontroli w celu ograniczenia możliwości wykradania danych pacjentów przez osoby fizyczne, a także wprowadzenie systemów i polityk zapewniających szybkie wykrywanie niewłaściwego dostępu i kradzieży PHI.
wszyscy pracownicy, którzy mogą napotkać PHI w ramach swoich obowiązków zawodowych, powinni zostać poinformowani o sankcjach karnych HIPAA i że naruszenia będą skutkować nie tylko utratą zatrudnienia, ale potencjalnie również długim okresem więzienia i wysoką grzywną. Obowiązkiem CE jest zapewnienie, aby ich pracownicy działali w sposób odpowiedzialny.,
prokuratorzy generalni walczą z kradzieżą danych i chętnie podają przykłady osób, które naruszyły zasady prywatności HIPAA. Kara więzienia za kradzież danych HIPAA jest zatem bardzo prawdopodobna, ponieważ jest to silny sygnał dla osób kuszonych potencjalnymi zyskami finansowymi.
nieświadome naruszenie HIPAA
jak już wcześniej wspomniano, OCR może odstąpić od kary cywilnej dla tych, którzy nieświadomie naruszyli HIPAA., Jednak nieznajomość przepisów HIPAA nie jest uważana za uzasadnioną wymówkę dla organizacji, która nie wdrożyła odpowiednich zabezpieczeń przed występującymi naruszeniami.
Usługa zdalnego monitorowania serca CardioNet została ukarana grzywną w wysokości 2,5 miliona USD za brak pełnego zrozumienia wymagań HIPAA, a następnie za brak przeprowadzenia pełnej oceny ryzyka.
ze względu na niekompletną ocenę ryzyka, PHI 1391 osób zostało potencjalnie ujawnione bez oficjalnego zezwolenia., Było to wynikiem prostego błędu pracownika; laptop zawierający dane został skradziony z samochodu zaparkowanego przed domem pracowników. Dyrektor OCR Roger Severino opisał ten incydent jako przypadek nieświadomie naruszającego HIPAA przez lekceważenie bezpieczeństwa i niewłaściwe zabezpieczenie informacji.
audyty zgodności HIPAA i kary za naruszenia HIPAA
Jeśli audyt zostanie zakończony, a CE lub BA stwierdzi, że nie przestrzegają przepisów HIPAA, OCR ma prawo wydać kary za nieprzestrzeganie przepisów HIPAA., Może to nastąpić nawet wtedy, gdy nie doszło do naruszenia PHI lub nie zgłoszono żadnej skargi.
pierwsza faza audytów zgodności HIPAA została przeprowadzona w latach 2011/2012 i wykazała, że wiele podmiotów objętych ochroną zmagało się z przestrzeganiem przepisów. OCR zapewniło pomoc techniczną, aby pomóc tym podmiotom w poprawieniu obszarów niezgodności i nie wydano żadnych kar za naruszenia HIPAA. Przed zaplanowaniem kolejnego audytu dano im kilka lat na poprawę wyników.
obecnie, po 5 latach, OCR jest w trakcie przeprowadzania drugiej fazy audytów., Audyty nie są przeprowadzane ze szczególnym celem wykrywania naruszeń przepisów HIPAA i nakładania kar finansowych, chociaż w przypadku wykrycia poważnych naruszeń przepisów HIPAA, kary finansowe mogą zostać uznane za właściwe. CEs mieli wystarczająco dużo czasu, aby opracować swoje programy zgodności. Tym razem OCR nie powinien być tak pobłażliwy.
audyty wykazały, że największym obszarem niezgodności z zasadami HIPAA wykrytym podczas pierwszej fazy audytów compliance był brak przeprowadzenia kompleksowej, ogólnoorganizacyjnej oceny ryzyka.,
ocena ryzyka ma najwyższe znaczenie dla Bezpieczeństwa Organizacji. Jeżeli ocena ryzyka nie zostanie przeprowadzona, podmiot objęty ubezpieczeniem nie będzie wiedział, czy istnieją luki w zabezpieczeniach, które stwarzają ryzyko dla poufności, integralności i dostępności ePHI. Ryzyko to nie będzie zatem zarządzane i ograniczane do akceptowalnego poziomu. OCR będzie często egzekwować kary finansowe, jeśli stwierdzi się, że przeprowadzono nieodpowiednie oceny ryzyka.,
niezastosowanie się do umów Business Associate Agreement (BAA) z zewnętrznymi dostawcami usług może również skutkować karami za nieprzestrzeganie przepisów HIPAA. Niektóre podmioty objęte ubezpieczeniem zostały ukarane grzywną za niezastosowanie się do zmian BAAs sporządzonych przed wrześniem 2014 r., gdy wszystkie istniejące umowy zostały unieważnione przez ostateczną zasadę Omnibus. We wrześniu 2016 roku Care New England Health System został ukarany grzywną w wysokości 400 000 USD za nieprzestrzeganie przepisów HIPAA, w tym za brak zmiany BAA podpisanego pierwotnie w marcu 2005 roku.
BAAs to kluczowy obszar, na który OCR będzie miał oko w całym swoim programie audytu., BAAs-umowy określające dozwolone zastosowania i dopuszczalne ujawnienia PHI-powinny być podpisywane z każdym zewnętrznym dostawcą usług, u którego Phi jest ujawniane (w tym z prawnikami).
ostatnie Kary za naruszenia HIPAA
między styczniem a marcem 2017 r.OCR uzgodniło osiem ugody w celu rozwiązania naruszeń HIPAA wykrytych podczas dochodzeń w sprawie naruszeń danych i skarg. Wydano również jedną cywilną karę pieniężną.,
celem tych kar za naruszenia HIPAA jest po części karać objęte ochroną podmioty za poważne naruszenia zasad HIPAA, ale także wysłać wiadomość do innych organizacji medycznych, że nieprzestrzeganie zasad HIPAA jest niedopuszczalne.
podsumowanie kar za naruszenia przepisów HIPAA w 2017 r. znajduje się poniżej: