katasztrofális HIPAA megsértési esetekből | 7 esetekből kell tanulni a

mi a HIPAA megsértése?

a HIPAA megsértése a PHI nem megfelelő nyilvánosságra hozatala, amely veszélyezteti az egészségügyi információk magánéletét és biztonságát. Lényegében, a HIPAA megsértése akkor fordul elő, amikor valaki megtanul valamit, amit nem kellene, mert nem volt elég óvintézkedések a helyén, hogy megvédje az információt.,

a legtöbb esetben a PHI jogosulatlan használata vagy nyilvánosságra hozatala jogsértésnek minősül, kivéve, ha a szervezet vagy a munkavállaló bizonyítani tudja, hogy alacsony a valószínűsége annak, hogy a PHI veszélybe került. A HIPAA-megfelelés szabályozása szigorú, és a HIPAA-jogsértés költséges lehet az érintett szervezetek (például minden kórház, orvosi központ, orvosi rendelő, egészségügyi szolgáltató és egészségügyi terv) és üzleti partnerek (bármely harmadik fél, aki fedett szervezetek nevében dolgozik) számára.

mik a szankciók HIPAA megsértése?,

Az Egészségügyi Minisztérium Polgári Jogi Hivatala (OCR) a HIPAA-megfelelést úgy érvényesíti, hogy bünteti az érintett kórházakat, egészségügyi központokat vagy egészségügyi szolgáltatásokat mind a kis, mind a nagy HIPAA-jogsértések miatt. Még akkor is, ha a beteg egészségi adatait nem veszélyeztették, a HIPAA megsértése súlyos lehet.

a HIPAA megsértésének költsége 100-50 000 dollár között mozog, különféle tényezők alapján, beleértve:

• volt-e rosszindulatú szándék (polgári vs.,asonable éberség
• $10.000 $50,000 amikor megsértése, annak tudatos gondatlanság, de kijavítani 30 napon belül
• 50000 dollár (maximális jól per megsértése) amikor megsértése miatt előfordul, hogy szándékos elhanyagolása, illetve nem korrigált 30 napon belül

BÜNTETŐJOGI SZANKCIÓK

• $50,000 ráadásul akár egy év börtön is, ha szabálysértést akkor fordul elő, amikor valaki tudatosan nyilvánosságra PHI
• 100 000 dollárt, plusz akár öt év börtön jár, ha egy-megsértés fondorlattal
• $250,000 plusz akár 10 év börtön is, ha szabálysértést elkövették, a személyes nyereség (e.,g. értékesítési PHI)

egyének is fájlba polgári vagy állami perek HIPAA megsértése ellen állami törvények, amelyek kárt okoznak gondatlanság miatt. Bizonyos esetekben ezek a HIPAA jogsértési peres ügyek több mint 1, 5 millió dollár bírságot eredményezhetnek,ami az OCR által kiszabható maximális büntetés.

7 példa a HIPAA jogsértési esetekre

hónapokig és évekig tarthat, amíg az egészségügyi és Emberi Jogi Minisztérium Polgári Jogi Hivatala felfedezi és megoldja a szándékos és véletlen HIPAA jogsértési eseteket., Néha további HIPAA jogsértéseket találnak a vizsgálatok során. Tudjon meg többet a HIPAA esetek legpusztítóbb megsértéséről.

az Illinois-i székhelyű egészségügyi hálózat nem végez alapos kockázatelemzést.

2016 – ban a legnagyobb HIPAA település három, négymillió embert érintő adatsértésből származott. Egy Illinois-i Egészségügyi hálózat 5,5 millió dollárt fizetett, miután egy titkosítatlan laptopot elloptak egy alkalmazott autójából, és egy külön incidensben négy számítógépet loptak el., A Polgári Jogi Hivatal megállapította, hogy a kórházi rendszer nem hozott létre olyan kockázatelemzést, amely a hatályos technikai biztosítékok mellett fizikai és adminisztratív biztosítékokat is tartalmazott volna.

tanulság: a HIPAA megsértése gyakori az elveszett vagy ellopott szervezeti eszközök miatt, ezért olyan fontos, hogy elemezzük a lehetséges kockázatokat, és megfelelő biztosítékokkal enyhítsük őket.

egy képalkotó vállalat Tennessee-ben több HIPAA szabályt sért.,

2018-ban egy Tennessee-i székhelyű Orvosi Képalkotó szolgáltató cég 3 millió dollár büntetést fizetett ki, és korrekciós cselekvési tervet (CAP) fogadott el a HIPAA megsértésének megoldására. Az FBI felfedezte, hogy az egyik szerverük elérhető az interneten, így bárki kereshet és nézhet PHI-t több mint 300 000 személy számára keresőmotorokon keresztül. A felfedezést követően kezdetben nem ismerték el, hogy a Védett Információkat felfedték, és 147 napig nem értesítették az érintett személyeket. Ez további szankciókat eredményezett a késedelmes vizsgálat és a jelentéstételi szabályok megsértése miatt., A vizsgálat során az OCR is talált esetek, amikor nem lép üzleti partnerek megállapodás a szolgáltatás harmadik féltől—követelmény alapján HIPAA.

tanulság: ha gyanús vagy ismert biztonsági jogsértések merülnek fel, az érintett szervezeteknek be kell tartaniuk a jelentési irányelveket, hogy 60 napon belül értesítsék az érintett személyeket.

A kiberbűnözők által adathalászattal ellopott Tagadatok.

az Egyesült Államokban egy nagy egészségbiztosító 2015-ben célzott kibertámadás áldozata volt., A vizsgálat, amely megállapította, 2018-ban a $16 millió település, kiderült, adatok megsértése több mint 78 millió tagja, feljegyzések, mint a kiberbűnözők használt adathalászat, hogy írja be a hálózat-hozzáférési tervet a tagok adatait. Az OCR több HIPAA-jogsértést azonosított, beleértve az ephi-hez való jogosulatlan hozzáférés megakadályozásának elmulasztását az ePHI adatvédelmének fenntartására vonatkozó elégtelen MŰSZAKI irányelvek és eljárások miatt. Mint a valaha volt legnagyobb HIPAA település, kártérítést fizettek azoknak a tagoknak is, akiknek magánéletét veszélybe sodorták.,

tanulság: a nagy egészségügyi szervezetek konkrét célpontok a hackerek számára, ezért a nagy egészségügyi szervezeteknek erős jelszópolitikát kell létrehozniuk, és rendszeresen figyelemmel kell kísérniük az információs rendszer tevékenységét a lehetséges kockázatok csökkentése érdekében.

egy texasi egészségügyi rendszer sajtóközleményben közzéteszi a jogosulatlan azonosítható információkat.

2015-ben a texasi székhelyű egészségügyi rendszer reagált egy olyan eseményre, amelyben a páciens csalárd személyi igazolványt használt a sajtónak küldött emlékeztetővel., A sajtóközleményben a kórházi rendszer megsértette az érintett beteg magánéletét azáltal, hogy nevüket beillesztette a címbe, amelyet az OCR úgy határozott, hogy szándékosan nem védi meg a beteg magánélethez fűződő jogait. Bár megengedhető volt a beteg nevének a rendőröknek történő kiadása, a kórházi rendszer által kiadott nyilvános nyilatkozatnak meg kellett volna védenie a beteg magánéletét. Ennek elmulasztása 2,4 millió dollárba került.,

tanulság: míg a legtöbb HIPAA megsértése települések befolyásolják számos orvosi feljegyzések, az OCR komoly intézkedéseket, hogy fenntartsák HIPAA törvények, akkor is, ha csak egy egyén orvosi adatok részt. A HIPAA Adatvédelmi szabálya előírja, hogy az illetéktelen PHI-t nem szabad nyilvánosságra hozni.