o que são multas por violação de HIPAA?o Ministério da Saúde e dos Serviços Humanos (OCR) e o procurador-geral do Estado têm o poder de emitir sanções por violações do HIPAA. A par das sanções pecuniárias, as entidades Cobertas (“EC”) são ainda obrigadas por lei a adoptar um plano de medidas correctivas para tornar as políticas e os procedimentos conformes às normas. Estas normas são estabelecidas por legislações HIPAA.,a Lei de portabilidade e responsabilização do seguro de saúde (HIPAA) de 1996 criou requisitos e normas aos quais as entidades abrangidas pelo HIPAA deveriam aderir. O objetivo desta legislação era manter privada a informação de saúde protegida (PHI) dos pacientes. O HIPAA oferece diretrizes rigorosas sobre com quem o PHI pode ser compartilhado, e em que circunstâncias isso é apropriado.a regra Final de 2006 relativa à execução deu ao OCR o poder de emitir sanções financeiras (e/ou planos de medidas correctivas) às entidades Cobertas que não cumpram as regras do HIPAA., Em Março de 2013, a regra HIPAA Omnibus introduziu taxas em linha com a Lei de Saúde da tecnologia da Informação para a saúde econômica e Clínica (HITECH), atualizando assim as políticas e sanções financeiras.
as novas sanções introduzidas pela regra Omnibus afirmam que as violações do HIPAA agora se aplicam a prestadores de cuidados de saúde, planos de saúde, câmaras de compensação de cuidados de saúde e todas as outras entidades cobertas, bem como associados de negócios (BAs) de entidades Cobertas que se verifique terem violado as regras do HIPAA.,
A principal função destas sanções é agir como um dissuasor para aqueles tentados a violar as leis HIPAA. Se as leis são violadas, elas fornecem um meio de garantir que as entidades cobertas são responsabilizadas quando não cumpriram o seu dever de proteger a privacidade dos pacientes e a confidencialidade dos dados de saúde.
A estrutura de penalizações para uma violação das leis HIPAA é tiered. Os níveis são amplamente divididos pela quantidade de conhecimento que uma entidade coberta tinha da violação das leis HIPAA., A OCR considera as circunstâncias em que a violação ocorreu e fixa a pena com base em vários “fatores gerais” e a gravidade da violação HIPAA. No entanto, a OCR não considera a ignorância como uma desculpa para cometer uma violação HIPAA.
o que constitui uma violação HIPAA?
uma violação HIPAA é definida como sendo quando uma entidade abrangida pelo HIPAA – ou uma das suas associadas-não cumpre uma ou mais das disposições das regras de notificação de Privacidade, segurança ou violação do HIPAA.uma violação pode ser deliberada ou não intencional., Uma violação deliberada resultará na aplicação da multa máxima possível contra a organização. Quando a PHI for divulgada a outra parte, deve limitar-se à informação mínima necessária para alcançar a finalidade para a qual é divulgada. Se forem fornecidas mais informações do que as necessárias, isso constitui uma violação.existem muitas regras das quais os CEs devem estar cientes. Uma das quais é a regra de notificação de infração HIPAA., Uma violação desta regra pode ser o adiamento desnecessário da emissão de cartas de notificação de violação aos doentes e o prolongamento do prazo máximo de 60 dias após a descoberta de uma violação para a emissão de notificações. Isto pode ser acidental ou deliberado. Outra regra frequentemente quebrada é a exigência de que o CEs realize avaliações de risco em toda a organização.as penalidades por violações de HIPAA podem potencialmente ser emitidas para todas as violações de HIPAA, embora a OCR normalmente resolva a maioria dos casos através do cumprimento voluntário., Fazem-no através da emissão de orientações técnicas ou da aceitação do plano de uma entidade ou associada comercial coberta para resolver as violações e alterar políticas e procedimentos para evitar a ocorrência de futuras violações. As sanções pecuniárias por violações do HIPAA são reservadas para as violações mais graves das Regras do HIPAA.
as classificações de violação de HIPAA
o resultado de uma violação de HIPAA depende fortemente da gravidade da violação., A OCR prefere resolver as violações do HIPAA através de medidas não punitivas, tais como o cumprimento voluntário ou a emissão de orientações técnicas para ajudar as entidades abrangidas a resolver as áreas de incumprimento. Se as violações forem graves, ou tiverem sido repetidas várias vezes, a OCR considera adequadas sanções financeiras.,
As quatro categorias usadas para a estrutura de pena são as seguintes:
- Categoria 1: Uma violação de que a entidade abrangida desconhecia e não poderia ter evitado de forma realista, tinha uma quantidade razoável de cuidados foram tomados para cumprir Regras da lei HIPAA
- Categoria 2: Uma violação de que a entidade abrangida deve ter conhecimento, mas não poderia ter evitado, mesmo com uma quantidade razoável de cuidado., (mas aquém de negligência grave de Regras HIPAA)
- Categoria 3: sofreu Uma violação, como um resultado direto de “negligência grave” de Regras HIPAA, nos casos em que foi feita uma tentativa para corrigir a violação
- Categoria 4: Uma violação de Regras HIPAA constituindo negligência grave, onde nenhuma tentativa tem sido feita para corrigir a violação
O OCR pode renunciar a uma violação, no caso do desconhecido violações. Trata-se de situações em que não se podia esperar que a entidade coberta evitasse uma violação de dados., A pena não pode ser perdoada se a violação envolvida negligência intencional da privacidade, segurança e regras de notificação de violação.a pena aplicada aos CVM que tenham violado o HIPAA depende da gravidade do crime. O OCR considera muitos fatores na determinação de penalidades, como a duração da violação persistiu, o número de pessoas afetadas e a natureza dos dados expostos. O OCR considerará igualmente a disponibilidade do CEs para cooperar na aplicação da coima, bem como a sua situação financeira actual., Fatores gerais que podem afetar o nível de penalidade financeira também incluem história prévia, a condição financeira da organização e o nível de danos causados pela violação. Em geral, as multas são emitidas por categoria de violação, por ano que a violação persiste pela CE.
uma violação de dados ou incidente de segurança que resulta de qualquer violação pode ver multas separadas emitidas para diferentes aspectos da violação sob múltiplos padrões de segurança e Privacidade. Portanto, mesmo um incidente menor poderia resultar em uma multa de US $50.000 cobrado contra o CE.,em determinadas circunstâncias, pode também aplicar-se uma coima diariamente em vez de anualmente. Por exemplo, se uma entidade coberta tiver negado aos doentes o direito de obter cópias dos seus registos médicos, e o tiver feito durante um período de um ano, a OCR pode decidir aplicar uma sanção diária por violação da lei. A penalidade seria multiplicada por 365, não pelo número de pacientes a quem foi recusado o acesso aos seus registos médicos.em fevereiro de 2009, a lei HITECH (Section 13410(e) (1) foi introduzida., Isto permitiu que os procuradores-gerais do estado tivessem a Autoridade de manter entidades cobertas pelo HIPAA responsáveis pela exposição do PHI dos residentes do estado. Eles também podem apresentar ações civis com os tribunais distritais federais. As multas por violação do HIPAA podem ser emitidas até um nível máximo de US $25.000 por categoria de violação, por ano civil. A multa mínima aplicável é de 100 dólares por violação.como resultado, uma CE que sofra uma violação de dados afetando residentes em vários estados pode ser condenada a pagar multas por violação de HIPAA para procuradores-gerais em vários estados., Actualmente, apenas os estados de Connecticut, Massachusetts, Indiana, Vermont e Minnesota agiram contra os criminosos HIPAA até à data. No entanto, uma vez que os procuradores-gerais podem reter uma porcentagem das multas emitidas, mais procuradores-gerais podem decidir emitir penalidades por violações HIPAA no futuro.para além das sanções pecuniárias civis por violações do HIPAA, em casos graves podem ser apresentadas acusações penais contra o(s) indivíduo (s) responsável (responsáveis) por uma violação do PHI., Tal como as sanções pecuniárias, as sanções penais por violações do HIPAA são divididas em níveis. Um juiz decide os termos da sentença, juntamente com a sanção pecuniária, caso a caso. Tal como acontece com a OCR, são considerados vários factores gerais que afectarão a sanção aplicada. Se um indivíduo lucrou com o roubo, acesso ou divulgação da PHI, pode ser necessário que todos os dinheiros recebidos sejam reembolsados, além do pagamento de uma multa.,
Os níveis para HIPAA sanções penais são:
Nível 1: causa Razoável ou sem nenhum conhecimento de violação de – Até 1 ano de prisão
Nível 2: Obtenção de PHI sob falsos pretextos – Até 5 anos de prisão
Nível 3: A obtenção de PHI para ganho pessoal ou com intenção maliciosa – Até 10 anos de prisão
houve um forte aumento no número de funcionários, descobriu-se acessar ou roubo de PHI. PHI tem um valor financeiro considerável, particularmente no preto., Por conseguinte, é essencial que sejam criados controlos para limitar a possibilidade de os indivíduos roubarem dados sobre os doentes, e que sejam criados sistemas e políticas que garantam o acesso inadequado e o roubo de PHI sejam rapidamente identificados.todo o pessoal susceptível de encontrar a PHI no âmbito das suas funções deve ser informado das sanções penais do HIPAA e de que as violações não só conduzirão a uma perda de emprego, mas também, potencialmente, a um longo período de prisão e a uma multa pesada. Cabe à CE assegurar que os seus trabalhadores actuem de forma responsável.,o procurador-geral do Estado está a reprimir o roubo de dados e está interessado em fazer exemplos de indivíduos que violaram as regras de Privacidade da HIPAA. Uma pena de prisão para o roubo de dados HIPAA é, portanto, altamente provável, uma vez que este é um forte sinal para aqueles tentados pelos ganhos financeiros potenciais.como mencionado anteriormente, o OCR pode renunciar a uma pena civil para aqueles que, sem saber, violaram o HIPAA., No entanto, a ignorância dos regulamentos HIPAA não é considerada uma desculpa justificável para uma organização que não implementou as salvaguardas adequadas contra as violações que ocorrem.um exemplo disso ocorreu no início deste ano. O remote cardiac monitoring service CardioNet foi multado em US $ 2,5 milhões por não entender totalmente os requisitos do HIPAA e, posteriormente, não realizar uma avaliação completa do risco.devido à avaliação incompleta do risco, A ISP de 1 391 indivíduos foi potencialmente divulgada sem autorização oficial., Este foi o resultado de um simples erro do empregado; um laptop contendo os dados foi roubado de um carro estacionado fora da casa dos empregados. O Director da OCR, Roger Severino, descreveu este incidente como um caso de violação da HIPAA por parte da CE, ignorando a segurança e não salvaguardando devidamente a informação.auditorias de Conformidade das HIPAA e sanções por violações das HIPAA se uma auditoria for concluída e se se verificar que uma CE ou uma BA não cumpriram os regulamentos HIPAA, a OCR tem autoridade para emitir sanções por incumprimento das HIPAA., Isto pode ocorrer mesmo que não tenha havido violação de PHI ou nenhuma queixa.
A primeira fase das auditorias de conformidade HIPAA foi realizada em 2011/2012 e revelou que muitas entidades Cobertas estavam lutando contra a conformidade. A OCR prestou assistência técnica para ajudar essas entidades a corrigir áreas de incumprimento e não foram emitidas sanções por violações do HIPAA. Foram-lhes concedidos vários anos para melhorarem o seu desempenho antes de ser agendada outra auditoria.5 anos depois, o OCR está em processo de realização desta segunda fase de auditorias., As auditorias não estão a ser realizadas com o objectivo específico de detectar violações do HIPAA e de emitir sanções financeiras, embora, se forem detectadas violações graves das Regras do HIPAA, as sanções financeiras possam ser consideradas adequadas. A CEs teve muito tempo para desenvolver seus programas de Conformidade. Desta vez, não se espera que a OCR seja tão branda.
As auditorias descobriram que as maiores áreas de descumprimento das regras HIPAA descobertas durante a primeira fase das auditorias de Conformidade foi a não realização de uma avaliação de risco abrangente, em toda a organização.,a avaliação do risco é da maior importância para a segurança da organização. Se não for realizada uma avaliação de risco, uma entidade coberta não terá conhecimento da existência de quaisquer vulnerabilidades de segurança que representem um risco para a confidencialidade, integridade e disponibilidade do EFI. Por conseguinte, esses riscos não serão geridos e reduzidos a um nível aceitável. A OCR aplicará frequentemente sanções pecuniárias caso tenha constatado a realização de avaliações de risco inadequadas.,a não conclusão de acordos de associação de empresas (BAAs) com prestadores de serviços de terceiros pode também resultar em sanções por incumprimento do HIPAA. Várias entidades Cobertas foram multadas por não terem revisto a BAAs escrita antes de setembro de 2014, quando todos os contratos existentes foram invalidados pela regra Omnibus Final. Em setembro de 2016, o sistema de saúde “Care New England” foi multado em US $400.000 por incumprimento da HIPAA, que incluiu a falha em revisar um BAA originalmente assinado em Março de 2005.
BAAs são uma área-chave que a OCR estará de olho durante todo o seu programa de auditoria., A BAAs-contratos que estabelecem as utilizações permitidas e divulgações permitidas da PHI – deve ser assinada com todos os prestadores de serviços de terceiros com os quais a PHI é divulgada (incluindo advogados).entre janeiro e março de 2017, A OCR concordou com oito acordos para resolver as violações de HIPAA descobertas durante investigações de violações de dados e queixas. Foi também emitida uma sanção pecuniária civil.,o objectivo destas sanções por violações do HIPAA é, em parte, punir entidades cobertas por violações graves das Regras do HIPAA, mas também enviar uma mensagem a outras organizações de saúde de que o incumprimento das Regras do HIPAA não é aceitável.
um resumo das sanções de 2017 para violações HIPAA são detalhados abaixo: