Hvad er en HIPAA-overtrædelse?

en HIPAA-overtrædelse er en ikke-kompatibel offentliggørelse af PHI, der kompromitterer privatlivets fred og sikkerhed for sundhedsoplysninger. I det væsentlige opstår en HIPAA-overtrædelse, når nogen lærer noget, de ikke burde, fordi der ikke var nok forholdsregler til at beskytte oplysningerne.,

i de fleste tilfælde betragtes enhver uautoriseret brug eller afsløring af PHI som et brud, medmindre organisationen eller medarbejderen kan bevise, at der er en lav sandsynlighed for, at PHI blev kompromitteret. Regulering af HIPAA-overholdelse er streng, og en HIPAA-overtrædelse kan være dyr for dækkede enheder (f.eks. hvert hospital, medicinsk center, lægekontor, sundhedsudbyder og sundhedsplan) og forretningsforbindelser (enhver tredjepart, der arbejder på vegne af dækkede enheder).

Hvad er straffen for HIPAA-overtrædelser?,

Department of Health and Human Services’ Office For Civil Rights (OCR) håndhæver HIPAA-overholdelse ved at straffe ethvert involveret hospital, sundhedscenter eller sundhedsrelateret service for både små og store HIPAA-overtrædelser. Selv hvis patientens sundhedsoplysninger ikke er blevet kompromitteret, kan HIPAA-overtrædelses sanktioner være alvorlige.

omkostningerne ved HIPAA-overtrædelser varierer fra $ 100 til $ 50.000 baseret på en række faktorer, herunder:

  • hvorvidt der var ondsindet hensigt eller ej (civil vs.,asonable årvågenhed
  • $10.000 til $50.000, når en overtrædelse henføres til grov forsømmelse, men er rettet inden for 30 dage
  • $50,000 (maksimal bøde per overtrædelse) når en krænkelse opstår på grund af forsætlig forsømmelse og ikke afhjælpes inden for 30 dage

STRAFFERETLIGE SANKTIONER

  • $50,000 plus op til et års fængsel, hvis en overtrædelse sker, når nogen bevidst videregives PHI
  • $100,000 plus op til fem års fængsel, hvis en krænkelse opstår under falske forudsætninger
  • $250,000 plus op til 10 års fængsel, hvis en overtrædelse er begået for at opnå personlige fordele (e.,personer kan også indgive civile eller statslige retssager for HIPAA-overtrædelser af statslige love, der resulterer i skade på grund af uagtsomhed. I nogle tilfælde kan disse sager om overtrædelse af HIPAA-overtrædelse resultere i bøder over $1.5 millioner, hvilket er den maksimale straf pr.

    7 Eksempler på HIPAA overtrædelse tilfælde

    Det kan tage måneder og år for Department of Health and Human Services Office of Civil Rettigheder til at opdage og løse tilsigtet og utilsigtet HIPAA overtrædelse sager., Og nogle gange findes yderligere HIPAA-overtrædelser under undersøgelser. Lær om nogle af de mest katastrofale overtrædelser af HIPAA-sager nedenfor.

    Illinois-baserede healthcare net .ork undlader at foretage en grundig risikoanalyse.

    i 2016 skyldtes den største HIPAA-afvikling tre dataovertrædelser, der ramte fire millioner mennesker. Et sundhedsnetværk i Illinois betalte 5,5 millioner dollars, efter at en ukrypteret bærbar computer blev stjålet fra en medarbejders bil, og i en separat hændelse blev fire computere stjålet., Kontoret for borgerlige rettigheder bemærkede, at hospitalssystemet ikke kunne etablere en risikoanalyse, der tegnede sig for fysiske og administrative sikkerhedsforanstaltninger, ud over de tekniske sikkerhedsforanstaltninger, der var på plads.

    lektion at lære: HIPAA-overtrædelser er almindelige som følge af mistede eller stjålne organisatoriske enheder, hvorfor det er så vigtigt at analysere potentielle risici og afbøde dem med de rette sikkerhedsforanstaltninger.

    et billedselskab i Tennessee overtræder flere HIPAA-regler.,

    i 2018 betalte et Tennessee-baseret medicinsk billedbehandlingsselskab $3 millioner i sanktioner og vedtog en korrigerende handlingsplan (CAP) for at løse deres HIPAA-overtrædelser. FBI opdagede, at en af deres servere var tilgængelig på internettet, så alle kunne søge og se PHI for over 300.000 individer via søgemaskiner. Efter opdagelsen undlod de oprindeligt at indrømme, at de beskyttede oplysninger var blevet udsat og ikke underrettede berørte personer i 147 dage. Dette resulterede i yderligere sanktioner på grund af en forsinket undersøgelse og en overtrædelse af rapporteringsreglerne., Under hele undersøgelsen fandt OCR også tilfælde, hvor de ikke indgik en forretningsforbindelsesaftale for tjenester med tredjepartsleverandører-et krav under HIPAA.

    lektion at lære: når der opstår mistanke om eller kendte sikkerhedsbrud, skal dækkede enheder følge rapporteringsretningslinjerne for at underrette berørte personer inden for 60 dage.

    medlemsdata stjålet af cyberkriminelle ved hjælp af phishing.

    et stort sundhedsforsikringsselskab i USA var offer for et målrettet cyberangreb i 2015., Undersøgelsen, der blev afsluttet i 2018 med en afvikling på $16 millioner, afslørede et dataovertrædelse på over 78 millioner medlemsposter, da cyberkriminelle brugte phishing til at komme ind i netværket og få adgang til planmedlemmernes data. OCR identificerede flere HIPAA-overtrædelser, herunder manglende forebyggelse af uautoriseret adgang til ePHI som følge af utilstrækkelige tekniske politikker og procedurer til at opretholde ePHI-privatlivets fred. Som den største HIPAA-bosættelse nogensinde, de betalte også erstatning til medlemmer, hvis privatliv blev kompromitteret.,

    lektion at lære: store sundhedsorganisationer er specifikke mål for hackere, hvorfor store sundhedsenheder skal etablere stærke adgangskodepolitikker og regelmæssigt overvåge informationssystemaktivitet for at afbøde potentielle risici.

    et te .as-sundhedssystem afslører uautoriserede identificerbare oplysninger i en pressemeddelelse.

    i 2015 reagerede te .as-baserede sundhedssystem på en hændelse, der involverede brug af et svigagtigt ID-kort af en patient med et memo til pressen., I pressemeddelelsen krænkede hospitalssystemet privatlivets fred for den involverede patient ved at inkludere deres navn i titlen, som OCR besluttede at være en forsætlig manglende beskyttelse af patientens rettigheder til privatlivets fred. Selvom det var tilladt at frigive patientens navn til politiet, skulle den udstedte offentlige erklæring fra hospitalssystemet have beskyttet patientens privatliv. Undladelse af at gøre det koste dem $2,4 millioner.,

    lektion at lære: mens de fleste HIPAA-overtrædelses-bosættelser påvirker et stort antal medicinske poster, tager OCR seriøse foranstaltninger for at opretholde HIPAA-love, selv når kun en enkelt persons medicinske data er involveret. HIPAAS Privatlivsregel kræver, at uautoriseret PHI ikke må afsløres.