Che cos’è una violazione HIPAA?

Una violazione HIPAA è una divulgazione non conforme di PHI che compromette la privacy e la sicurezza delle informazioni sanitarie. In sostanza, una violazione HIPAA si verifica quando qualcuno impara qualcosa che non dovrebbe perché non c’erano abbastanza precauzioni in atto per proteggere le informazioni.,

Nella maggior parte dei casi, qualsiasi uso o divulgazione non autorizzata di PHI è considerata una violazione, a meno che l’organizzazione o il dipendente non possa dimostrare che c’è una bassa probabilità che il PHI sia stato compromesso. La regolamentazione della conformità HIPAA è rigorosa e una violazione HIPAA può essere costosa per le entità coperte (ad esempio ogni ospedale, centro medico, studio medico, fornitore di assistenza sanitaria e piano sanitario) e soci in affari (eventuali terze parti che lavorano per conto di entità coperte).

Quali sono le sanzioni per le violazioni HIPAA?,

L’Ufficio per i diritti civili (OCR) del Dipartimento della Salute e dei servizi umani applica la conformità HIPAA penalizzando qualsiasi ospedale, centro sanitario o servizio sanitario coinvolto per violazioni HIPAA di piccole e grandi dimensioni. Anche se le informazioni sulla salute del paziente non sono state compromesse, le sanzioni per violazione HIPAA possono essere gravi.

Il costo delle violazioni HIPAA varia da $100 a $50.000 in base a una varietà di fattori, tra cui:

  • Indipendentemente dal fatto che ci sia stato o meno un intento dannoso (civil vs.,asonable vigilanza
  • di$10.000 a $50.000, quando una violazione, è attribuita al intenzionale negligenza, ma è corretto entro 30 giorni
  • 50.000 dollari (importo massimo della multa per violazione) quando si verifica una violazione a causa intenzionale negligenza e non è corretto entro 30 giorni

SANZIONI PENALI

  • di$50.000 e fino a un anno di carcere se si verifica una violazione quando qualcuno consapevolmente comunicati PHI
  • di$100.000 e fino a cinque anni di carcere se si verifica una violazione sotto falsi pretesti
  • $A 250.000 e fino a 10 anni di carcere se la violazione è commessa per guadagno personale (e.,g. vendere PHI)

Gli individui possono anche presentare cause civili o statali per violazioni HIPAA contro le leggi statali che provocano danni a causa di negligenza. In alcuni casi, questi casi di violazione HIPAA possono comportare multe superiori a million 1,5 milioni, che è la pena massima per violazione che l’OCR può emettere.

7 Esempi di casi di violazione HIPAA

Può richiedere mesi e anni per il Dipartimento della Salute e dei Servizi umani Ufficio dei diritti civili per scoprire e risolvere i casi di violazione intenzionale e accidentale HIPAA., E a volte, durante le indagini si riscontrano ulteriori violazioni HIPAA. Scopri di seguito alcune delle violazioni più disastrose dei casi HIPAA.

Illinois-based healthcare network non riesce a condurre un’analisi approfondita del rischio.

Nel 2016, il più grande insediamento HIPAA è risultato da tre violazioni dei dati che colpiscono quattro milioni di persone. Una rete sanitaria in Illinois ha pagato million 5,5 milioni dopo che un laptop non crittografato è stato rubato dall’auto di un dipendente e, in un incidente separato, sono stati rubati quattro computer., L’Ufficio per i diritti civili ha osservato che il sistema ospedaliero non è riuscito a stabilire un’analisi del rischio che rappresentava le garanzie fisiche e amministrative, oltre alle garanzie tecniche in atto.

Lezione da imparare: le violazioni HIPAA sono comuni a causa di dispositivi organizzativi persi o rubati, motivo per cui è così importante analizzare i potenziali rischi e mitigarli con le opportune misure di sicurezza.

Una società di imaging in Tennessee viola più regole HIPAA.,

Nel 2018, una società di servizi di imaging medico con sede nel Tennessee ha pagato penalties 3 milioni di sanzioni e ha adottato un piano di azione correttivo (CAP) per risolvere le violazioni HIPAA. L’FBI ha scoperto che uno dei loro server era accessibile su Internet, consentendo a chiunque di cercare e visualizzare PHI per oltre 300.000 individui tramite i motori di ricerca. Dopo la scoperta, inizialmente non hanno ammesso che le informazioni protette erano state esposte e non hanno notificato le persone colpite per 147 giorni. Ciò ha comportato sanzioni aggiuntive a causa di un’indagine ritardata e di una violazione delle regole di segnalazione., Nel corso dell’indagine, l’OCR ha anche rilevato casi in cui non hanno stipulato un accordo di business associate per i servizi con fornitori di terze parti, un requisito ai sensi dell’HIPAA.

Lezione da imparare: quando si verificano violazioni della sicurezza sospette o note, le entità coperte devono seguire le linee guida di segnalazione per notificare le persone interessate entro 60 giorni.

Dati dei membri rubati dai criminali informatici che usano il phishing.

Un grande assicuratore sanitario negli Stati Uniti è stato vittima di un attacco informatico mirato nel 2015., L’indagine, che si è conclusa in 2018 con un accordo di million 16 milioni, ha rivelato una violazione dei dati di oltre 78 milioni di record membri in quanto i criminali informatici hanno utilizzato il phishing per entrare nella rete e accedere ai dati dei membri del piano. L’OCR ha identificato più violazioni HIPAA, inclusa la mancata prevenzione dell’accesso non autorizzato a ePHI a causa di politiche e procedure tecniche insufficienti per mantenere la privacy di ePHI. Come il più grande insediamento HIPAA mai, hanno anche pagato danni ai membri la cui privacy è stata compromessa.,

Lezione da imparare: le grandi organizzazioni sanitarie sono obiettivi specifici per gli hacker, motivo per cui le grandi entità sanitarie devono stabilire politiche di password complesse e monitorare regolarmente l’attività del sistema informativo per mitigare i potenziali rischi.

Un sistema sanitario del Texas divulga informazioni identificabili non autorizzate in un comunicato stampa.

Nel 2015, il sistema sanitario con sede in Texas ha risposto a un incidente che comportava l’uso di una carta d’identità fraudolenta da parte di un paziente con un memo alla stampa., Nel comunicato stampa, il sistema ospedaliero ha violato la privacy del paziente coinvolto includendo il loro nome nel titolo, che l’OCR ha determinato come un fallimento intenzionale per proteggere i diritti del paziente alla privacy. Sebbene fosse consentito rilasciare il nome del paziente alla polizia, la dichiarazione pubblica rilasciata dal sistema ospedaliero avrebbe dovuto proteggere la privacy del paziente. In caso contrario è costato loro million 2,4 milioni.,

Lezione da imparare: Mentre la maggior parte degli insediamenti di violazione HIPAA riguardano un gran numero di cartelle cliniche, l’OCR prende misure serie per sostenere le leggi HIPAA, anche quando sono coinvolti solo i dati medici di un individuo. La regola sulla privacy di HIPAA richiede che il PHI non autorizzato non debba essere divulgato.