¿qué es una violación de HIPAA?

una violación de HIPAA es una divulgación no compatible de PHI que compromete la privacidad y la seguridad de la información de atención médica. Esencialmente, una violación de HIPAA ocurre cuando alguien aprende algo que no debería porque no había suficientes precauciones para proteger la información.,

en la mayoría de los casos, cualquier uso no autorizado o divulgación de PHI se considera una violación, a menos que la organización o el empleado puedan probar que hay una baja probabilidad de que la PHI se haya comprometido. La regulación del cumplimiento de la HIPAA es estricta y una violación de la HIPAA puede ser costosa para las entidades cubiertas (por ejemplo, todos los hospitales, centros médicos, consultorios médicos, proveedores de atención médica y planes de salud) y los socios comerciales (cualquier tercero que trabaje en nombre de las entidades cubiertas).

¿Cuáles son las sanciones por violaciones de HIPAA?,

La Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos hace cumplir la HIPAA penalizando a cualquier hospital, Centro de salud o servicio relacionado con la salud involucrado por violaciones Pequeñas y grandes de la HIPAA. Incluso si la información de salud del paciente no ha sido comprometida, las sanciones por violación de HIPAA pueden ser severas.

el costo de las violaciones de HIPAA oscila entre $100 y 5 50,000 según una variedad de factores, incluyendo:

  • Si hubo o no intención maliciosa (civil vs.,asonable vigilancia
  • $10,000 a $50,000, cuando la violación se atribuye a negligencia intencional, pero se corrige dentro de los 30 días
  • $50,000 (multa máxima por violación) cuando se produce una violación debido a negligencia intencional y que no sea subsanado dentro de los 30 días

las SANCIONES PENALES

  • $50,000 más de un año de cárcel si se produce una violación cuando alguien a sabiendas divulgado su PHI
  • $100.000 más de cinco años de cárcel si se produce una violación bajo falsos pretextos
  • $Mas de 250,000 hasta 10 años de cárcel si se comete una infracción para ganancia personal (e.,g. venta de PHI)

Las personas también pueden presentar demandas civiles o estatales por violaciones de HIPAA contra las leyes estatales que resulten en daños debido a negligencia. En algunos casos, estos casos de demandas por violación de HIPAA pueden resultar en multas de más de $1.5 millones, que es la pena máxima por violación que OCR puede emitir.

7 ejemplos de casos de violación de HIPAA

la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos puede tardar meses y años en descubrir y resolver casos de violación intencional y accidental de HIPAA., Y a veces, se encuentran violaciones adicionales de HIPAA durante las investigaciones. Aprenda sobre algunos de los casos más desastrosos de violación de HIPAA a continuación.

la red de atención médica con sede en Illinois no realiza un análisis exhaustivo de riesgos.

en 2016, el Acuerdo más grande de HIPAA resultó de tres violaciones de datos que afectaron a cuatro millones de personas. Una red de atención médica en Illinois pagó 5 5.5 millones después de que una computadora portátil sin cifrar fuera robada del automóvil de un empleado y, en un incidente separado, cuatro computadoras fueron robadas., La Oficina de Derechos Civiles señaló que el sistema hospitalario no había establecido un análisis de riesgos que tuviera en cuenta las salvaguardias físicas y administrativas, además de las salvaguardias técnicas existentes.

lección a aprender: las violaciones de HIPAA son comunes como resultado de dispositivos organizacionales perdidos o robados, por lo que es tan importante analizar los riesgos potenciales y mitigarlos con las salvaguardias adecuadas.

una compañía de imágenes en Tennessee viola múltiples reglas de HIPAA.,

en 2018, una compañía de servicios de imágenes médicas con sede en Tennessee pagó penalties 3 millones en multas y adoptó un plan de acción correctiva (CAP) para resolver sus violaciones de HIPAA. El FBI descubrió que uno de sus servidores era accesible en Internet, lo que permite a cualquiera buscar y ver la PHI de más de 300,000 personas a través de motores de búsqueda. Después del descubrimiento, inicialmente no admitieron que la información protegida había sido expuesta y no notificaron a los individuos afectados durante 147 días. This resulted in additional penalties because of a delayed investigation and a violation of reporting rules., A lo largo de la investigación, la OCR también encontró casos en los que no firmaron un acuerdo de asociado comercial para servicios con proveedores externos, un requisito bajo la HIPAA.

lección a aprender: cuando surgen violaciones de seguridad sospechosas o conocidas, las entidades cubiertas deben seguir las pautas de presentación de informes para notificar a las personas afectadas dentro de los 60 días.

datos de miembros robados por ciberdelincuentes mediante phishing.

una gran aseguradora de salud en los Estados Unidos fue víctima de un ciberataque dirigido en 2015., La investigación, que concluyó en 2018 con un acuerdo de $16 millones, reveló una violación de datos de más de 78 millones de registros de miembros, ya que los ciberdelincuentes utilizaron el phishing para ingresar a la red y acceder a los datos de los miembros del plan. La OCR identificó múltiples violaciones de la HIPAA, incluida la falta de prevención del acceso no autorizado a ePHI como resultado de políticas y procedimientos técnicos insuficientes para mantener la privacidad de ePHI. Como el Acuerdo HIPAA más grande de la historia, también pagaron daños a los miembros cuya privacidad se vio comprometida.,

lección a aprender: las grandes organizaciones de salud son objetivos específicos para los hackers, por lo que las grandes entidades de salud deben establecer políticas de contraseñas seguras y monitorear regularmente la actividad del sistema de información para mitigar los riesgos potenciales.

un sistema de salud de Texas divulga información identificable no autorizada en un comunicado de prensa.

en 2015, el sistema de salud con sede en Texas respondió a un incidente relacionado con el uso de una tarjeta de identificación fraudulenta por un paciente con un memorando a la prensa., En el comunicado de prensa, el sistema hospitalario violó la privacidad del paciente involucrado al incluir su nombre en el título, lo que la OCR determinó que era una falla intencional para proteger los derechos del paciente a la privacidad. Aunque la divulgación del nombre del paciente a la Policía era permisible, la declaración pública emitida por el sistema hospitalario debería haber protegido la privacidad del paciente. No hacerlo les costó 2,4 millones de dólares.,

lección a aprender: si bien la mayoría de los acuerdos de violación de la HIPAA afectan a una gran cantidad de registros médicos, la OCR toma medidas serias para defender las leyes de la HIPAA, incluso cuando solo están involucrados los datos médicos de una persona. La regla de Privacidad de HIPAA requiere que no se divulgue la PHI no autorizada.