vad är HIPAA violation fines?
Institutionen för hälsa och mänskliga tjänster kontor för medborgerliga rättigheter (OCR) och statliga advokater general har befogenhet att utfärda påföljder för HIPAA kränkningar. Vid sidan av de ekonomiska sanktionerna krävs enligt lag även täckta enheter (CEs) att anta en plan för korrigerande åtgärder för att anpassa politik och förfaranden till standarden. Dessa standarder är av HIPAA lagstiftning.,
Health Insurance Portability and Accountability Act (HIPAA) från 1996 skapade krav och standarder som HIPAA-täckta enheter skulle följa. Syftet med denna lagstiftning var att skydda hälsoinformation (PHI) av patienter privat. HIPAA erbjuder strikta riktlinjer för vem PHI kan delas, och under vilka omständigheter detta är lämpligt.
verkställighet Slutregeln 2006 gav OCR befogenhet att utfärda ekonomiska sanktioner (och / eller korrigerande handlingsplaner) till täckta enheter som inte uppfyller HIPAA-reglerna., I mars 2013 införde HIPAA Omnibus-regeln avgifter i linje med Hälsoinformationstekniken för ekonomisk och klinisk hälsolag (HITECH), vilket uppdaterar politiken och ekonomiska sanktioner.
de nya påföljder som införs genom omnibusregeln anger att HIPAA-överträdelser nu gäller för vårdgivare, hälsoplaner, hälsovårdscentraler och alla andra täckta enheter samt affärsförbindare (BAs) av täckta enheter som visar sig ha brutit mot HIPAA-reglerna.,
den primära funktionen för dessa påföljder är att verka som avskräckande för dem som frestas att bryta mot HIPAA-lagar. Om lagarna bryts ger de ett sätt att säkerställa att täckta enheter hålls ansvariga när de har misslyckats med sin skyldighet att skydda patienternas integritet och sekretessen för hälsodata.
straffstrukturen för brott mot HIPAA-lagar är differentierad. Nivåerna är i stort sett dividerade med den mängd kunskap som en täckt enhet hade om överträdelsen av HIPAA-lagar., OCR anser de omständigheter under vilka överträdelsen ägde rum och fastställer straffet baserat på flera ”allmänna faktorer” och allvaret av HIPAA-överträdelsen. OCR anser emellertid inte okunnighet som en ursäkt för att begå en HIPAEN överträdelse.
vad utgör en HIPAA-överträdelse?
en HIPAA – överträdelse definieras som när en HIPAA – täckt enhet-eller en av deras affärspartner-inte följer en eller flera av bestämmelserna i HIPAA-sekretess, säkerhet eller bryter mot Anmälningsreglerna.
en överträdelse kan vara avsiktlig eller oavsiktlig., En avsiktlig överträdelse kommer att leda till att största möjliga böter tas ut mot organisationen. När PHI lämnas ut till en annan part måste det begränsas till den minsta information som krävs för att uppnå det syfte för vilket det avslöjas. Om mer information än nödvändigt ges utgör detta en överträdelse.
det finns många regler som CEs måste vara medvetna om. En av dem är HIPAA Breach anmälan regel., Ett brott mot denna regel kan vara CE onödigt att fördröja utfärdandet av breach notification letters till patienter och överskrida den maximala tidsramen på 60 dagar efter upptäckten av ett brott att utfärda meddelanden. Detta kan vara oavsiktligt eller avsiktligt. En annan regel som ofta bryts är kravet på att CEs ska utföra organisationsövergripande riskbedömningar.
straff för HIPAA-överträdelser kan eventuellt utfärdas för alla HIPAA-överträdelser, även om OCR vanligtvis löser de flesta fall genom frivillig efterlevnad., De gör detta genom att utfärda teknisk vägledning, eller acceptera en täckt enhet eller affärspartner plan för att ta itu med överträdelser och ändra policyer och förfaranden för att förhindra framtida överträdelser inträffar. Finansiella påföljder för HIPAA-överträdelser är reserverade för de allvarligaste överträdelserna av HIPAA-reglerna.
HIPAA-Överträdelseklassificeringarna
resultatet av en HIPAA-överträdelse beror kraftigt på överträdelsens allvar., OCR föredrar att lösa HIPAA-överträdelser med hjälp av icke-bestraffande åtgärder, till exempel med frivillig efterlevnad eller utfärda teknisk vägledning för att hjälpa täckta enheter att ta itu med områden med bristande efterlevnad. Om överträdelserna är allvarliga, eller har upprepats flera gånger, anser OCR att ekonomiska sanktioner är lämpliga.,
de fyra kategorier som används för straffstrukturen är följande:
- kategori 1: en överträdelse som den täckta enheten inte kände till och inte kunde ha realistiskt undvikit, om en rimlig mängd omsorg hade vidtagits för att följa HIPAA-reglerna
- Kategori 2: en överträdelse som den täckta enheten borde ha varit medveten om men inte kunde ha undvikit även med en rimlig omsorg.,
- Kategori 3: en överträdelse som drabbades som ett direkt resultat av ”avsiktlig försummelse” av HIPAA-regler, i fall där ett försök har gjorts för att korrigera överträdelsen
- Kategori 4: en överträdelse av HIPAA-regler som utgör avsiktlig försummelse, där inga försök har gjorts för att korrigera överträdelsen
OCR kunde avstå från en överträdelse vid okända överträdelser. Det här är situationer där den täckta enheten inte kunde ha förväntats undvika ett dataöverträdelse., Straffet kan inte frångås om överträdelsen inblandade avsiktlig försummelse av sekretess, säkerhet och brott Anmälningsregler.
HIPAA Violation Penalty Structure
straffet som tas ut till CEs som har brutit mot HIPAA beror på brottets allvar. OCR anser många faktorer vid fastställandet av påföljder, såsom hur länge en överträdelse kvarstod, antalet drabbade personer och arten av de exponerade uppgifterna. OCR kommer också att överväga CEs vilja att samarbeta vid utfärdandet av böterna, liksom deras nuvarande ekonomiska situation., Allmänna faktorer som kan påverka nivån på ekonomiskt straff inkluderar också tidigare historia, organisationens ekonomiska tillstånd och graden av skada som orsakats av överträdelsen. I allmänhet utfärdas böterna per överträdelsekategori, per år att överträdelsen kvarstår av CE.
en dataöverträdelse eller säkerhetsincident som uppstår till följd av en överträdelse kunde se separata böter som utfärdats för olika aspekter av överträdelsen enligt flera säkerhets-och integritetsstandarder. Därför kan även en mindre incident resultera i böter på $50,000 som tas ut mot CE.,
under vissa omständigheter kan böter också tillämpas dagligen i stället för årligen. Till exempel, om en täckt enhet har nekat patienter rätten att få kopior av sina journaler och hade gjort det under en period av ett år, kan OCR besluta att tillämpa en straff per dag som den täckta enheten har brutit mot lagen. Straffet skulle multipliceras med 365, inte med antalet patienter som har nekats tillgång till sina journaler.
advokater generaler och HIPAA
i februari 2009 infördes HITECH Act (avsnitt 13410(e) (1))., Detta gjorde det möjligt för statsåklagare att ha befogenhet att hålla HIPAA-täckta enheter ansvariga för exponeringen av PHI för statliga invånare. De kan också lämna in civila handlingar hos federala distriktsdomstolar. HIPAA brott böter kan utfärdas upp till en maximal nivå på $25,000 per brott kategori, per kalenderår. Minsta bötesbelopp är $ 100 per överträdelse.
som ett resultat kan ett CE som lider av ett databrott som påverkar invånare i flera stater beordras att betala HIPAA-överträdelseböter till advokater i flera stater., För närvarande har endast delstaterna Connecticut, Massachusetts, Indiana, Vermont och Minnesota agerat mot HIPAA-brottslingar hittills. Men eftersom advokatbyråer kan behålla en procentandel av de böter som utfärdas, kan fler advokater besluta att utfärda påföljder för HIPAA-överträdelser i framtiden.
HIPAA straffrättsliga påföljder
förutom civilrättsliga ekonomiska påföljder för HIPAA-överträdelser kan i allvarliga fall straffrättsliga avgifter lämnas in mot den eller de personer som är ansvariga för ett brott mot PHI., Liksom ekonomiska påföljder, straffrättsliga påföljder för HIPAA brott är indelade i nivåer. En domare bestämmer villkoren i meningen, tillsammans med den ekonomiska påföljden, från fall till fall. Som med OCR beaktas flera allmänna faktorer som kommer att påverka straffet som utfärdats. Om en person har dragit nytta av stöld, tillgång eller utlämnande av PHI, kan det vara nödvändigt att alla mottagna pengar återbetalas, förutom betalning av böter.,Tier 1: rimlig orsak eller ingen kunskap om överträdelse – upp till 1 år i fängelse
Tier 2: att erhålla PHI under falska förespeglingar – upp till 5 år i fängelse
Tier 3: att erhålla PHI för personlig vinning eller med skadlig avsikt – upp till 10 år i fängelse
det har skett en kraftig ökning av antalet anställda som har upptäckt att de har tillgång till eller stjäl PHI. PHI har betydande ekonomiskt värde, särskilt på den svarta., Det är därför viktigt att kontroller införs för att begränsa enskilda personers möjlighet att stjäla patientdata, och att system och strategier införs för att säkerställa felaktig åtkomst och stöld av PHI identifieras snabbt.
all personal som sannolikt kommer att stöta på PHI som en del av sina arbetsuppgifter bör informeras om HIPAA straffrättsliga påföljder och att överträdelser inte bara kommer att leda till förlust av anställning, men potentiellt också en lång fängelsetid och en tung böter. Det är CE: s ansvar att se till att deras anställda agerar på ett ansvarsfullt sätt.,
State attorneys general slår ner på datastöld och är angelägna om att göra exempel på individer som visat sig ha brutit mot HIPAA sekretessregler. En fängelsetid för stöld av HIPAA-data är därför mycket sannolikt, eftersom det här är en stark signal till dem som frestas av de potentiella ekonomiska vinsterna.
ovetande brott mot HIPAA
som tidigare nämnts kan OCR avstå från ett civilt straff för dem som omedvetet brutit mot HIPAA., Okunnighet om HIPAA-reglerna betraktas dock inte som en motiverad ursäkt för en organisation som inte har genomfört lämpliga skyddsåtgärder mot överträdelser.
ett exempel på detta inträffade tidigare i år. Fjärrövervakningstjänsten CardioNet bötfälldes $ 2.5 miljoner för att inte fullt ut förstå HIPAA-kraven och därefter misslyckas med att genomföra en fullständig riskbedömning.
på grund av den ofullständiga riskbedömningen kunde PHI för 1 391 personer avslöjas utan officiellt tillstånd., Detta var resultatet av en enkel anställd fel; en bärbar dator som innehåller data stals från en bil parkerad utanför de anställda hemma. OCR-direktören Roger Severino beskrev denna händelse som ett fall av CE som omedvetet bryter mot HIPAA genom att bortse från säkerheten och inte skydda informationen ordentligt.
HIPAA regelefterlevnadsrevisioner och påföljder för HIPAA-överträdelser
om en revision är avslutad och ett CE eller BA inte har iakttagit HIPAA-reglerna har OCR befogenhet att utfärda påföljder för HIPAA-överträdelse., Detta kan inträffa även om det inte har skett något brott mot PHI eller inget klagomål.
den första fasen av HIPAA: s efterlevnadsrevisioner genomfördes 2011/2012 och visade att många täckta enheter kämpade för att uppfylla kraven. OCR tillhandahöll tekniskt bistånd för att hjälpa dessa enheter att korrigera områden med bristande efterlevnad och inga påföljder för HIPAA-överträdelser utfärdades. De gavs flera år för att förbättra sina resultat innan en annan revision planerades.
nu, 5 år senare, håller OCR på att genomföra denna andra fas av revisioner., Revisionerna utförs inte med det specifika syftet att hitta HIPAA-överträdelser och utfärda ekonomiska påföljder, även om allvarliga överträdelser av HIPAA-reglerna upptäcks kan ekonomiska påföljder anses lämpliga. CEs har haft gott om tid att utveckla sina efterlevnadsprogram. Den här gången förväntas OCR inte vara så lindrig.
revisionerna har upptäckt att de största områdena av bristande överensstämmelse med HIPAA-regler som upptäcktes under den första fasen av efterlevnadsrevisioner var misslyckandet med att genomföra en omfattande, organisationsomfattande riskbedömning.,
riskbedömningen är av största vikt för organisationens säkerhet. Om en riskbedömning inte genomförs kommer en täckt enhet att vara omedveten om några säkerhetsproblem finns som utgör en risk för konfidentialitet, integritet och tillgänglighet för ePHI. Dessa risker kommer därför inte att hanteras och reduceras till en acceptabel nivå. OCR kommer ofta att verkställa ekonomiska sanktioner om de har funnit otillräckliga riskbedömningar.,
underlåtenhet att slutföra Affärsassocierade avtal (BAAs) med tredjepartsleverantörer kan också leda till påföljder för HIPAA-bristande efterlevnad. Flera täckta enheter har bötfällts för att inte revidera BAAs skrivna före September 2014, när alla befintliga kontrakt ogiltigförklarades av den slutliga Omnibusregeln. I September 2016 bötfälldes Vård New England Health System $ 400,000 för HIPAA noncompliance som inkluderade misslyckandet att revidera en BAA som ursprungligen undertecknades i mars 2005.
BAAs är ett nyckelområde som OCR kommer att hålla ett öga på under hela sitt revisionsprogram., BAAs – avtal som fastställer tillåtna användningsområden och tillåtna upplysningar om PHI-bör undertecknas med varje tredje part tjänsteleverantör med vilken PHI avslöjas (inklusive advokater).
de senaste påföljderna för HIPAA-överträdelser
mellan januari och mars 2017 kom OCR överens om åtta bosättningar för att lösa HIPAA-överträdelser som upptäcktes vid undersökningar av dataöverträdelser och klagomål. Ett civilt monetärt straff har också utfärdats.,
syftet med dessa påföljder för HIPAA-överträdelser är delvis att straffa täckta enheter för allvarliga brott mot HIPAA-reglerna, men också att skicka ett meddelande till andra hälsovårdsorganisationer att bristande överensstämmelse med HIPAA-reglerna inte är acceptabelt.
en sammanfattning av 2017-påföljderna för HIPAA-överträdelser beskrivs nedan: