care sunt amenzi de încălcare HIPAA?

Oficiul pentru Drepturi Civile (OCR) al Departamentului de sănătate și Servicii Umane și avocații generali de stat au puterea de a emite sancțiuni pentru încălcări ale HIPAA. Pe lângă sancțiunile financiare, entitățile acoperite (CEs) sunt obligate prin lege să adopte un plan de acțiuni corective pentru a aduce politicile și procedurile la standard. Aceste standarde sunt de legislația HIPAA.,

Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA) din 1996 a creat cerințe și standarde la care entitățile acoperite de HIPAA urmau să adere. Scopul acestei legislații a fost de a păstra informațiile de sănătate protejate (PHI) ale pacienților private. HIPAA oferă orientări stricte cu privire la cine PHI poate fi partajat și în ce condiții acest lucru este adecvat.regula finală de executare din 2006 a dat OCR competența de a emite sancțiuni financiare (și/sau planuri de acțiuni corective) entităților acoperite care nu respectă regulile HIPAA., În martie 2013, regula HIPAA Omnibus a introdus taxe în conformitate cu Legea privind Tehnologia Informației în domeniul sănătății pentru sănătatea economică și clinică (HITECH), actualizând astfel politicile și sancțiunile financiare.

noile sancțiuni introduse de Omnibus regula stat care HIPAA încălcări aplica acum pentru furnizorii de servicii medicale, planuri de sanatate, asistenta medicala clearinghouses și toate celelalte entități acoperite, precum și partenerii de afaceri (BAs) entităților care fac obiectul care se constată că au încălcat HIPAA.,funcția principală a acestor sancțiuni este de a acționa ca un factor de descurajare pentru cei tentați să încalce legile HIPAA. Dacă legile sunt încălcate, acestea oferă un mijloc de a se asigura că entitățile acoperite sunt trase la răspundere atunci când nu și-au îndeplinit datoria de a proteja confidențialitatea pacienților și confidențialitatea datelor de sănătate.

structura pedepsei pentru încălcarea legilor HIPAA este diferențiată. Nivelurile sunt împărțite în linii mari la cantitatea de cunoștințe pe care o entitate acoperită a avut-o despre încălcarea legilor HIPAA., OCR ia în considerare circumstanțele în care a avut loc încălcarea și stabilește pedeapsa pe baza mai multor „factori generali” și a gravității încălcării HIPAA. Cu toate acestea, OCR nu consideră ignoranța drept o scuză pentru comiterea unei încălcări HIPAA.

ce constituie o încălcare a HIPAA?

o încălcare a HIPAA este definită ca fiind atunci când o entitate acoperită de HIPAA – sau unul dintre asociații lor de afaceri – nu respectă una sau mai multe dintre prevederile regulilor de notificare a confidențialității, securității sau încălcării HIPAA.o încălcare poate fi deliberată sau neintenționată., O încălcare deliberată va duce la perceperea amenzii maxime posibile împotriva organizației. Atunci când PHI este divulgat unei alte părți, acesta trebuie să fie limitat la informațiile minime necesare pentru a atinge scopul pentru care este divulgat. Dacă se oferă mai multe informații decât este necesar, aceasta constituie o încălcare.există multe reguli care dintre care CEs trebuie să fie conștiente. Una dintre acestea este regula de notificare a încălcării HIPAA., O încălcare a acestei reguli poate fi faptul că CE întârzie în mod inutil emiterea scrisorilor de notificare a încălcării către pacienți și depășește termenul maxim de 60 de zile de la descoperirea unei încălcări pentru a emite notificări. Acest lucru poate fi accidental sau deliberat. O altă regulă care este frecvent încălcată este cerința ca CEs să efectueze evaluări ale riscurilor la nivelul întregii organizații.sancțiunile pentru încălcările HIPAA pot fi emise pentru toate încălcările HIPAA, deși OCR rezolvă de obicei majoritatea cazurilor prin respectarea voluntară., Acestea fac acest lucru prin emiterea de îndrumări tehnice sau prin acceptarea planului unei entități acoperite sau a unui asociat de afaceri pentru a aborda încălcările și a schimba politicile și procedurile pentru a preveni apariția încălcărilor viitoare. Sancțiunile financiare pentru încălcările HIPAA sunt rezervate pentru cele mai grave încălcări ale regulilor HIPAA.

clasificările încălcării HIPAA

rezultatul unei încălcări HIPAA depinde în mare măsură de gravitatea încălcării., OCR preferă să rezolve încălcările HIPAA folosind măsuri non-punitive, cum ar fi respectarea voluntară sau emiterea de orientări tehnice pentru a ajuta entitățile acoperite să abordeze domenii de neconformitate. Dacă încălcările sunt grave sau au fost repetate de mai multe ori, OCR consideră că sancțiunile financiare sunt adecvate.,

Cele patru categorii utilizate pentru pedeapsa structura sunt după cum urmează:

  • Categoria 1: O încălcare care entitatea acoperite fost conștienți de și nu ar fi realist evitate, a avut o cantitate rezonabilă de îngrijire a fost luate pentru a respecta HIPAA
  • Categoria 2: O încălcare care entitatea acoperite ar fi fost conștienți de, dar nu a putut fi evitat, chiar și cu o cantitate rezonabilă de îngrijire., Categoria 3: o încălcare suferită ca rezultat direct al „neglijării intenționate” a regulilor HIPAA, în cazurile în care s-a încercat corectarea încălcării
  • Categoria 4: o încălcare a regulilor HIPAA care constituie neglijare intenționată, în cazul în care nu s-a încercat corectarea încălcării

OCR ar putea renunța la o încălcare în cazul încălcărilor necunoscute. Acestea sunt situații în care entitatea acoperită nu s-ar fi putut aștepta să evite o încălcare a datelor., Pedeapsa nu poate fi renunțată dacă încălcarea a implicat neglijarea intenționată a confidențialității, securității și a regulilor de notificare a încălcării.

HIPAA încălcarea structurii pedepsei

pedeapsa percepută CEs care au încălcat HIPAA depinde de gravitatea infracțiunii. OCR ia în considerare mulți factori atunci când determină sancțiuni, cum ar fi durata de timp în care a persistat o încălcare, numărul de persoane afectate și natura datelor expuse. OCR va lua în considerare, de asemenea, disponibilitatea CEs de a coopera la emiterea amenzii, precum și situația financiară actuală a acestora., Factorii generali care pot afecta nivelul pedepsei financiare includ, de asemenea, istoricul anterior, starea financiară a organizației și nivelul prejudiciului cauzat de încălcare. În general, amenzile sunt emise pe categorie de încălcare, pe an în care încălcarea persistă de CE.

o încălcare a datelor sau un incident de securitate care rezultă din orice încălcare ar putea vedea amenzi separate emise pentru diferite aspecte ale încălcării în conformitate cu mai multe standarde de securitate și confidențialitate. Prin urmare, chiar și un incident minor ar putea duce la o amendă de 50.000 de dolari percepută împotriva CE.,în anumite circumstanțe, o amendă poate fi aplicată zilnic în loc de anual. De exemplu, în cazul în care o entitate acoperită le-a refuzat pacienților dreptul de a obține copii ale dosarelor lor medicale și a făcut acest lucru pentru o perioadă de un an, OCR poate decide să aplice o sancțiune pe zi pentru care entitatea acoperită a încălcat legea. Pedeapsa ar fi înmulțită cu 365, nu cu numărul de pacienți cărora li s-a refuzat accesul la dosarele medicale.

avocați generali și HIPAA

În februarie 2009, a fost introdusă legea HITECH [secțiunea 13410 (e) (1)]., Acest lucru a permis avocaților generali de stat să aibă autoritatea de a răspunde entităților acoperite de HIPAA pentru expunerea PHI a rezidenților de stat. De asemenea, pot depune acțiuni civile la instanțele districtuale federale. Amenzile de încălcare HIPAA pot fi emise până la un nivel maxim de 25.000 USD pe categorie de încălcare, pe an calendaristic. Amenda minimă aplicabilă este de 100 USD pentru fiecare încălcare.ca urmare, un CE care suferă o încălcare a datelor care afectează rezidenții din mai multe state poate fi obligat să plătească amenzi de încălcare HIPAA avocaților generali din mai multe state., În prezent, numai Statele Connecticut, Massachusetts, Indiana, Vermont și Minnesota au acționat împotriva infractorilor HIPAA până în prezent. Cu toate acestea, deoarece avocații generali pot păstra un procent din amenzile emise, mai mulți avocați generali pot decide să emită sancțiuni pentru încălcări HIPAA în viitor.în plus față de sancțiunile financiare civile pentru încălcări HIPAA, în cazuri grave pot fi depuse acuzații penale împotriva persoanei(persoanelor) responsabile pentru încălcarea PHI., Ca și sancțiunile financiare, sancțiunile penale pentru încălcările HIPAA sunt împărțite în niveluri. Un judecător decide termenii sentinței, împreună cu pedeapsa financiară, de la caz la caz. Ca și în cazul OCR, sunt luați în considerare mai mulți factori generali care vor afecta pedeapsa emisă. Dacă o persoană a profitat de furtul, accesul sau dezvăluirea PHI, poate fi necesar ca toate sumele primite să fie rambursate, pe lângă plata unei amenzi.,

nivelurilor pentru HIPAA sancțiunile penale sunt:

Nivelul 1: motiv Rezonabil sau nu cunoștințe de încălcare – Până la 1 an în închisoare

Tier 2: Obținerea PHI sub false pretexte – de Până la 5 ani în închisoare

Tier 3: Obținerea PHI pentru câștig personal sau cu intenția de malware – Până la 10 ani în închisoare

a existat o creștere bruscă a numărului de angajați descoperit a fi accesarea sau furtul PHI. PHI are o valoare financiară considerabilă, în special pe negru., Prin urmare, este esențial să se instituie controale pentru a limita posibilitatea persoanelor de a fura date despre pacienți și să se instituie sisteme și politici care să asigure identificarea rapidă a accesului necorespunzător și a furtului de PHI.tot personalul care ar putea întâlni PHI ca parte a sarcinilor lor de muncă ar trebui să fie informat cu privire la sancțiunile penale HIPAA și că încălcările nu vor duce doar la pierderea locului de muncă, ci și la un termen lung de închisoare și o amendă grea. Este responsabilitatea CE să se asigure că angajații lor acționează într-o manieră responsabilă.,

avocații generali de stat se confruntă cu furtul de date și doresc să facă exemple din persoane despre care s-a constatat că au încălcat regulile de confidențialitate HIPAA. Un termen de închisoare pentru furtul de date HIPAA este, prin urmare, foarte probabil, deoarece acesta este un semnal puternic pentru cei tentați de câștigurile financiare potențiale.după cum sa menționat anterior, OCR poate renunța la o pedeapsă civilă pentru cei care au încălcat în necunoștință de cauză HIPAA., Cu toate acestea, ignoranța reglementărilor HIPAA nu este considerată o scuză justificabilă pentru o organizație care nu a reușit să pună în aplicare garanțiile adecvate împotriva încălcărilor care apar.un exemplu în acest sens a avut loc la începutul acestui an. Serviciul de monitorizare cardiacă la distanță CardioNet a fost amendat cu 2,5 milioane de dolari pentru că nu a înțeles pe deplin cerințele HIPAA și, ulterior, nu a efectuat o evaluare completă a riscurilor.din cauza evaluării incomplete a riscurilor, PHI-ul a 1.391 de persoane a fost potențial dezvăluit fără autorizație oficială., Acesta a fost rezultatul unei simple erori a angajaților; un laptop care conținea datele a fost furat dintr-o mașină parcată în afara casei angajaților. Directorul OCR, Roger Severino, a descris acest incident ca un caz de încălcare a HIPAA în necunoștință de cauză, ignorând securitatea și nu protejând informațiile în mod corespunzător.dacă un audit este finalizat și se constată că un CE sau BA nu au respectat reglementările HIPAA, OCR are Autoritatea de a emite sancțiuni pentru nerespectarea HIPAA., Acest lucru poate apărea chiar dacă nu a existat nici o încălcare a PHI sau nici o plângere.

prima fază a auditurilor de conformitate HIPAA a fost realizată în 2011/2012 și a dezvăluit că multe entități acoperite se confruntau cu conformitatea. OCR a oferit asistență tehnică pentru a ajuta aceste entități să corecteze zonele de neconformitate și nu au fost emise sancțiuni pentru încălcări HIPAA. Aceștia au primit mai mulți ani pentru a-și îmbunătăți performanța înainte de a fi programat un alt audit.acum, după 5 ani, OCR este în curs de desfășurare a acestei a doua faze a auditurilor., Auditurile nu sunt efectuate cu scopul specific de a găsi încălcări HIPAA și de a emite sancțiuni financiare, deși dacă sunt descoperite încălcări grave ale regulilor HIPAA, sancțiunile financiare pot fi considerate adecvate. CEs au avut suficient timp pentru a-și dezvolta programele de conformitate. De data aceasta, OCR nu este de așteptat să fie atât de îngăduitor.

auditurile au descoperit că cele mai mari zone de nerespectare a regulilor HIPAA descoperite în prima fază a auditurilor de conformitate au fost eșecul de a efectua o evaluare cuprinzătoare, la nivelul întregii organizații a riscurilor.,evaluarea riscurilor este de cea mai mare importanță pentru securitatea organizației. Dacă nu se efectuează o evaluare a riscurilor, o entitate acoperită nu va ști dacă există vulnerabilități de securitate care prezintă un risc pentru confidențialitatea, integritatea și disponibilitatea ePHI. Prin urmare, aceste riscuri nu vor fi gestionate și reduse la un nivel acceptabil. OCR va aplica frecvent sancțiuni financiare în cazul în care au constatat evaluări inadecvate ale riscurilor efectuate.,

neîndeplinirea acordurilor de asociere în afaceri (BAAs) cu furnizorii de servicii terți poate duce, de asemenea, la sancțiuni pentru nerespectarea HIPAA. Mai multe entități acoperite au fost amendate pentru că nu au revizuit BAAs-urile scrise înainte de septembrie 2014, când toate contractele existente au fost invalidate de regula Omnibus finală. În septembrie 2016, Sistemul de sănătate Care New England a fost amendat cu $400,000 pentru nerespectarea HIPAA care a inclus eșecul de a revizui un BAA semnat inițial în martie 2005.BAAs sunt un domeniu cheie pe care OCR îl va urmări pe tot parcursul programului său de audit., BAAs-contractele care stabilesc utilizările permise și dezvăluirile permise ale PHI-ar trebui semnate cu fiecare furnizor de servicii terță parte cu care PHI este dezvăluit (inclusiv avocați).în perioada ianuarie-martie 2017, OCR a convenit opt așezări pentru a rezolva încălcările HIPAA descoperite în timpul investigațiilor privind încălcările și reclamațiile datelor. De asemenea, a fost emisă o sancțiune monetară civilă.,scopul acestor sancțiuni pentru încălcarea HIPAA este în parte de a pedepsi entitățile acoperite pentru încălcări grave ale regulilor HIPAA, dar și de a trimite un mesaj altor organizații de asistență medicală că nerespectarea regulilor HIPAA nu este acceptabilă.un rezumat al 2017 sancțiuni pentru încălcări HIPAA sunt detaliate mai jos: