Qu’est-ce qu’une violation HIPAA?

une violation HIPAA est une divulgation non conforme de PHI qui compromet la confidentialité et la sécurité des informations sur les soins de santé. Essentiellement, une violation HIPAA se produit lorsque quelqu’un apprend quelque chose qu’il ne devrait pas parce qu’il n’y avait pas assez de précautions en place pour protéger les informations.,

dans la plupart des cas, toute utilisation ou divulgation non autorisée de PHI est considérée comme une violation, à moins que l’organisation ou l’employé ne puisse prouver qu’il y a une faible probabilité que le PHI ait été compromis. La réglementation de la conformité HIPAA est stricte et une violation HIPAA peut être coûteuse pour les entités couvertes (par exemple, chaque hôpital, centre médical, Cabinet médical, fournisseur de soins de santé et plan de santé) et les associés commerciaux (tous les tiers qui travaillent pour le compte des entités couvertes).

quelles sont les sanctions pour les violations HIPAA?,

Le Bureau des droits civils (OCR) du Ministère de la santé et des Services sociaux applique la conformité HIPAA en pénalisant tout hôpital, centre de santé ou service lié à la santé pour les violations HIPAA petites et grandes. Même si les informations sur la santé des patients n’ont pas été compromises, les sanctions pour violation de la HIPAA peuvent être sévères.

Le coût des violations HIPAA varie de 100 $à 50 000 based en fonction d’une variété de facteurs, y compris:

  • Qu’il y ait eu ou non une intention malveillante (civil vs.,asonable vigilance
  • de 10 000$à 50 000 $lorsqu’une violation est imputable à la négligence volontaire mais est corrigé dans un délai de 30 jours
  • à 50 000$(montant maximum de l’amende par infraction) lorsqu’une violation se produit en raison de négligence volontaire et n’est pas corrigée dans un délai de 30 jours

des SANCTIONS PÉNALES

  • 50 000$plus d’un an d’emprisonnement si une violation se produit lorsque quelqu’un sciemment divulgué PHI
  • $plus de 100 000 jusqu’à cinq ans de prison si une violation se produit sous de faux prétextes
  • $Plus de 250 000 jusqu’à 10 ans de prison si une infraction est commise à des fins personnelles (e.,G. vente de PHI)

Les individus peuvent également intenter des poursuites civiles ou étatiques pour violation de la loi HIPAA contre les lois de l’état qui entraînent un préjudice dû à la négligence. Dans certains cas, ces poursuites pour violation de la loi HIPAA peuvent entraîner des amendes de plus de 1,5 million de dollars, soit la peine maximale par violation que la ROC peut émettre.

7 exemples de cas de violation HIPAA

Il peut prendre des mois et des années pour le Bureau des droits civils du Ministère de la santé et des Services sociaux pour découvrir et résoudre les cas de violation HIPAA intentionnelle et accidentelle., Et parfois, des violations HIPAA supplémentaires sont constatées lors des enquêtes. En savoir plus sur certaines des violations les plus désastreuses des cas HIPAA ci-dessous.

le réseau de soins de santé basé dans L’Illinois ne parvient pas à effectuer une analyse approfondie des risques.

en 2016, le plus grand règlement HIPAA a résulté de trois violations de données affectant quatre millions de personnes. Un réseau de soins de santé de L’Illinois a payé 5,5 millions de dollars après le vol d’un ordinateur portable non crypté dans la voiture d’un employé et, lors d’un incident distinct, quatre ordinateurs ont été volés., Le Bureau des droits civils a noté que le système hospitalier n & apos; avait pas établi d & apos; analyse des risques prenant en compte les garanties physiques et administratives, en plus des garanties techniques en place.

leçon à apprendre: les violations HIPAA sont courantes à la suite de la perte ou du vol d’appareils organisationnels, c’est pourquoi il est si important d’analyser les risques potentiels et de les atténuer avec les garanties appropriées.

une société d’imagerie du Tennessee enfreint plusieurs règles HIPAA.,

En 2018, une société de services d’imagerie médicale basée au Tennessee a payé 3 millions de dollars de pénalités et a adopté un plan d’action corrective (CAP) pour résoudre leurs violations HIPAA. Le FBI a découvert que l’un de leurs serveurs était accessible sur Internet, permettant à quiconque de rechercher et d’afficher PHI pour plus de 300 000 personnes via des moteurs de recherche. Après la découverte, ils ont d’abord omis d’admettre que les informations protégées avaient été exposées et n’ont pas informé les personnes concernées pendant 147 jours. Cela a entraîné des sanctions supplémentaires en raison d’une enquête retardée et d’une violation des règles de signalement., Tout au long de l’enquête, L’OCR a également constaté des cas où ils n’ont pas conclu d’accord d’associé d’affaires pour des services avec des fournisseurs tiers-une exigence en vertu de la HIPAA.

leçon à apprendre: lorsque des violations de sécurité soupçonnées ou connues surviennent, les entités visées doivent suivre les directives de déclaration pour aviser les personnes touchées dans les 60 jours.

les données des membres volées par des cybercriminels utilisant le phishing.

Un grand assureur-maladie aux États-Unis a été victime d’une cyberattaque ciblée en 2015., L’enquête, qui s’est terminée en 2018 par un règlement de 16 millions de dollars, a révélé une violation de données de plus de 78 millions de dossiers de membres, car les cybercriminels ont utilisé le phishing pour entrer dans le réseau et accéder aux données des membres du régime. L’OCR a identifié plusieurs violations HIPAA, y compris le défaut d’empêcher l’accès non autorisé à ePHI en raison de politiques et procédures techniques insuffisantes pour maintenir la confidentialité ePHI. Comme le plus grand règlement HIPAA jamais, ils ont également payé des dommages et Intérêts aux membres dont la vie privée a été compromise.,

leçon à apprendre: les grandes organisations de santé sont des cibles spécifiques pour les pirates, c’est pourquoi les grandes entités de santé doivent établir des politiques de mots de passe forts et surveiller régulièrement l’activité du système d’information pour atténuer les risques potentiels.

un système de santé du Texas divulgue des informations identifiables non autorisées dans un communiqué de presse.

En 2015, le système de santé basé au Texas a réagi à un incident impliquant l’utilisation d’une carte d’identité frauduleuse par un patient avec un mémo à la presse., Dans le communiqué de presse, le système hospitalier a violé la vie privée du patient concerné en incluant son nom dans le titre, ce que L’OCR a déterminé comme un manquement intentionnel à protéger les droits du patient à la vie privée. Bien qu’il soit permis de divulguer le nom du patient à la police, la déclaration publique publiée par le système hospitalier aurait dû protéger la vie privée du patient. Ne pas le faire leur a coûté 2,4 millions de dollars.,

leçon à apprendre: alors que la plupart des règlements de violation HIPAA affectent un grand nombre de dossiers médicaux, L’OCR prend des mesures sérieuses pour faire respecter les lois HIPAA, même lorsque les données médicales d’une seule personne sont impliquées. La règle de confidentialité de HIPAA exige que les PHI non autorisés ne doivent pas être divulgués.