Was ist eine HIPAA Verletzung lernen?

Eine HIPAA-Verletzung ist eine nicht vollständige Offenlegung von PHI, die die Privatsphäre und Sicherheit von Gesundheitsinformationen beeinträchtigt. Im Wesentlichen tritt eine HIPAA-Verletzung auf, wenn jemand etwas erfährt, das er nicht sollte, weil nicht genügend Vorsichtsmaßnahmen zum Schutz der Informationen getroffen wurden.,

In den meisten Fällen gilt jede unbefugte Nutzung oder Offenlegung von PHI als Verstoß, es sei denn, die Organisation oder der Mitarbeiter kann nachweisen, dass die Wahrscheinlichkeit gering ist, dass der PHI kompromittiert wurde. Die Regulierung der HIPAA-Konformität ist streng und eine HIPAA-Verletzung kann für abgedeckte Unternehmen (z. B. jedes Krankenhaus, jedes medizinische Zentrum, jede Arztpraxis, jeden Gesundheitsdienstleister und jeden Gesundheitsplan) und Geschäftspartner (alle Dritten, die im Namen von abgedeckten Unternehmen arbeiten) teuer sein.

Was sind die Strafen für HIPAA-Verstöße?,

Das Department of Health and Human Services‘ Office for Civil Rights (OCR) erzwingt HIPAA-compliance durch die Bestrafung aller beteiligten Krankenhaus, Gesundheitszentrum oder der Gesundheit,-related service für kleine und große HIPAA-Verstöße. Selbst wenn die Gesundheitsinformationen der Patienten nicht beeinträchtigt wurden, können Strafen für HIPAA-Verstöße schwerwiegend sein.

Die Kosten für HIPAA-Verstöße reichen von $100 bis $ 50,000, basierend auf einer Vielzahl von Faktoren, einschließlich:

  • Ob böswillige Absicht vorliegt oder nicht (Civil vs.,asonable vigilance
  • $10.000 bis $50.000, wenn ein Verstoß auf vorsätzliche Vernachlässigung zurückzuführen ist, aber innerhalb von 30 Tagen korrigiert wird
  • $50.000 (Höchststrafe pro Verstoß), wenn ein Verstoß aufgrund vorsätzlicher Vernachlässigung auftritt und nicht innerhalb von 30 Tagen korrigiert wird

STRAFRECHTLICHE SANKTIONEN

  • $50.000 plus bis zu einem Jahr Gefängnis, wenn ein Verstoß auftritt, wenn jemand wissentlich PHI
  • $100.000 plus bis zu fünf Jahre Gefängnis wenn ein Verstoß unter falschen Vorwänden auftritt
  • $250.000 plus bis zu 10 Jahre Gefängnis, wenn ein Verstoß zum persönlichen Vorteil begangen wird (e.,g. (PHI)

Einzelpersonen können auch zivil-oder staatliche Klagen wegen HIPAA-Verstößen gegen staatliche Gesetze einreichen, die fahrlässig zu Schäden führen. In einigen Fällen können diese Fälle von HIPAA-Verstößen zu Geldstrafen von mehr als 1,5 Millionen US-Dollar führen, was die Höchststrafe pro Verstoß darstellt, die OCR verhängen kann.

7 Beispiele für Fälle von HIPAA-Verstößen

Es kann Monate und Jahre dauern, bis das Amt für Bürgerrechte des Ministeriums für Gesundheit und menschliche Dienste Fälle von vorsätzlichen und versehentlichen HIPAA-Verstößen entdeckt und gelöst hat., Und manchmal werden bei Untersuchungen zusätzliche HIPAA-Verstöße festgestellt. Erfahren Sie unten mehr über einige der katastrophalsten Verstöße gegen HIPAA-Fälle.

Illinois-based healthcare network fehlschlägt, führen Sie eine Gründliche Risikoanalyse.

Im Jahr 2016 resultierte die größte HIPAA-Siedlung aus drei Datenschutzverletzungen, von denen vier Millionen Menschen betroffen waren. Ein Gesundheitsnetzwerk in Illinois zahlte 5,5 Millionen US-Dollar, nachdem ein unverschlüsselter Laptop aus dem Auto eines Mitarbeiters gestohlen worden war und bei einem separaten Vorfall vier Computer gestohlen wurden., Das Amt für Bürgerrechte stellte fest, dass das Krankenhaussystem neben den geltenden technischen Sicherheitsvorkehrungen keine Risikoanalyse durchgeführt habe, die physische und administrative Sicherheitsvorkehrungen berücksichtigte.

Lektion zum Lernen: HIPAA-Verstöße sind häufig als Folge von verlorenen oder gestohlenen Organisationsgeräten, weshalb es so wichtig ist, potenzielle Risiken zu analysieren und sie mit den richtigen Sicherheitsvorkehrungen zu mildern.

Ein Imaging-Unternehmen in Tennessee verstößt gegen mehrere HIPAA-Regeln.,

Im Jahr 2018 zahlte ein in Tennessee ansässiges Unternehmen für medizinische Bildgebungsdienste Strafen in Höhe von 3 Millionen US-Dollar und verabschiedete einen Aktionsplan zur Behebung ihrer HIPAA-Verstöße. Das FBI entdeckte, dass einer ihrer Server im Internet zugänglich war, sodass jeder PHI für über 300,000 Personen über Suchmaschinen suchen und anzeigen konnte. Nach der Entdeckung gaben sie zunächst nicht zu, dass die geschützten Informationen offengelegt worden waren, und benachrichtigten die betroffenen Personen 147 Tage lang nicht. Dies führte zu zusätzlichen Strafen wegen einer verzögerten Untersuchung und eines Verstoßes gegen die Berichtsregeln., Während der gesamten Untersuchung stellte die OCR auch Fälle fest, in denen sie keine Geschäftspartnervereinbarung für Dienstleistungen mit Drittanbietern abschlossen-eine Anforderung gemäß HIPAA.

Lesson to learn: Wenn vermutete oder bekannte Sicherheitsverletzungen auftreten, müssen betroffene Unternehmen die Berichtsrichtlinien befolgen, um betroffene Personen innerhalb von 60 Tagen zu benachrichtigen.

Mitglieder-Daten gestohlen, die von Cyberkriminellen über phishing genutzt.

A large health insurance in the U. S. was the victim of a targeted cyber attack in 2015., Die Untersuchung, die 2018 mit einem Vergleich in Höhe von 16 Millionen US-Dollar abgeschlossen wurde, ergab eine Datenverletzung von über 78 Millionen Mitgliederdatensätzen, da Cyberkriminelle Phishing verwendeten, um in das Netzwerk einzudringen und auf die Daten der Mitglieder zuzugreifen. Die OCR identifizierte mehrere HIPAA-Verstöße, darunter das Versäumnis, unbefugten Zugriff auf ePHI aufgrund unzureichender technischer Richtlinien und Verfahren zur Wahrung der Privatsphäre von ePHI zu verhindern. Als größte HIPAA-Siedlung aller Zeiten zahlten sie auch Schäden an Mitgliedern, deren Privatsphäre beeinträchtigt wurde.,

Lesson to learn: Große Gesundheitsorganisationen sind spezifische Ziele für Hacker, weshalb große Gesundheitseinrichtungen strenge Kennwortrichtlinien festlegen und die Aktivitäten des Informationssystems regelmäßig überwachen müssen, um potenzielle Risiken zu mindern.

Ein Texas health system weitergibt, unbefugten persönlichen Informationen, in einer Pressemitteilung.

Im Jahr 2015 reagierte das in Texas ansässige Gesundheitssystem auf einen Vorfall mit der Verwendung eines betrügerischen Personalausweises durch einen Patienten mit einem Memo an die Presse., In der Pressemitteilung verletzte das Krankenhaussystem die Privatsphäre des betroffenen Patienten, indem es seinen Namen in den Titel aufnahm, was die OCR als vorsätzliches Versäumnis bezeichnete, die Rechte des Patienten auf Privatsphäre zu schützen. Obwohl die Freigabe des Patientennamens an die Polizei zulässig war, hätte die veröffentlichte öffentliche Erklärung des Krankenhaussystems die Privatsphäre des Patienten schützen sollen. Das Scheitern kostete sie 2,4 Millionen Dollar.,

Lektion zu lernen: Während die meisten HIPAA-Verstöße eine große Anzahl von Krankenakten betreffen, ergreift die OCR ernsthafte Maßnahmen, um die HIPAA-Gesetze einzuhalten, selbst wenn nur die medizinischen Daten einer Person betroffen sind. HIPAAS Datenschutzregel verlangt, dass nicht autorisierte PHI nicht offengelegt werden dürfen.