Wat is een HIPAA-overtreding?

een HIPAA-overtreding is een niet-conforme openbaarmaking van PHI die de privacy en veiligheid van gezondheidsinformatie in gevaar brengt. In wezen, een HIPAA overtreding treedt op wanneer iemand iets leert dat ze niet moeten omdat er niet genoeg voorzorgsmaatregelen op zijn plaats om de informatie te beschermen.,

in de meeste gevallen wordt elk ongeoorloofd gebruik of openbaarmaking van PHI beschouwd als een inbreuk, tenzij de organisatie of werknemer kan bewijzen dat er een kleine kans is dat de PHI werd gecompromitteerd. De regelgeving voor HIPAA-naleving is strikt en een HIPAA-overtreding kan duur zijn voor onder de richtlijn vallende entiteiten (bijvoorbeeld elk ziekenhuis, medisch centrum, dokterspraktijk, zorgverlener en gezondheidsplan) en zakenpartners (derden die namens onder de richtlijn vallende entiteiten werken).

wat zijn de straffen voor HIPAA-overtredingen?,

het Department of Health and Human Services ‘ Office for Civil Rights (OCR) dwingt HIPAA-naleving af door alle betrokken ziekenhuizen, gezondheidscentra of gezondheidsgerelateerde diensten te straffen voor zowel kleine als grote HIPAA-schendingen. Zelfs als de informatie over de gezondheid van de patiënt niet in gevaar is gebracht, kunnen de sancties voor HIPAA-overtredingen ernstig zijn.

de kosten van HIPAA schendingen variëren van $ 100 tot $ 50.000 gebaseerd op een verscheidenheid van factoren, waaronder:

  • of er al dan niet sprake was van kwaadaardige bedoelingen (civil vs.,asonable waakzaamheid
  • $10.000 tot $50,000 wanneer een overtreding wordt toegerekend aan de opzettelijke verwaarlozing, maar is gecorrigeerd binnen 30 dagen
  • $50,000 (maximale boete per overtreding) wanneer een overtreding wordt veroorzaakt door opzettelijke verwaarlozing, en het is niet gecorrigeerd binnen 30 dagen

STRAFRECHTELIJKE SANCTIES

  • $50.000 plus tot één jaar gevangenisstraf als een overtreding treedt op wanneer iemand willens en wetens bekendgemaakt PHI
  • $100.000 tot vijf jaar gevangenisstraf als er een overtreding plaatsvindt onder valse voorwendselen.
  • $De 250.000 plus maximaal 10 jaar gevangenisstraf als er een overtreding is begaan voor persoonlijk gewin (e.,g. het verkopen van PHI)

individuen kunnen ook civiele of staatsrechtelijke procedures aanspannen voor HIPAA-schendingen tegen staatswetten die leiden tot schade als gevolg van nalatigheid. In sommige gevallen kunnen deze HIPAA inbreuk rechtszaak zaken resulteren in boetes van meer dan $1,5 miljoen, dat is de maximale boete per overtreding die OCR kan uitgeven.

7 voorbeelden van HIPAA-overtredingen

Het kan maanden en jaren duren voordat het Ministerie van Volksgezondheid en Human Services Office of Civil Rights opzettelijke en toevallige HIPAA-overtredingen ontdekt en oplost., En soms, extra HIPAA schendingen worden gevonden tijdens onderzoeken. Meer informatie over enkele van de meest rampzalige schending van HIPAA gevallen hieronder.

het gezondheidszorgnetwerk in Illinois voert geen grondige risicoanalyse uit.

in 2016 was de grootste HIPAA-schikking het gevolg van drie datalekken waarbij vier miljoen mensen betrokken waren. Een gezondheidszorg netwerk in Illinois betaalde $ 5,5 miljoen nadat een niet-versleutelde laptop werd gestolen uit de auto van een werknemer, en, in een afzonderlijk incident, vier computers werden gestolen., Het Bureau voor burgerrechten merkte op dat het ziekenhuissysteem geen risicoanalyse heeft opgesteld waarin naast de bestaande technische waarborgen ook fysieke en administratieve waarborgen zijn opgenomen.

Les om te leren: HIPAA schendingen komen vaak voor als gevolg van verloren of gestolen organisatorische apparaten, daarom is het zo belangrijk om potentiële risico ‘ s te analyseren en te beperken met de juiste voorzorgsmaatregelen.

een imaging bedrijf in Tennessee overtreedt meerdere HIPAA regels.,

in 2018 betaalde een in Tennessee gevestigd bedrijf voor medische beeldvormingsdiensten $3 miljoen aan boetes en keurde een correctief actieplan (cap) goed om hun HIPAA-schendingen op te lossen. De FBI ontdekte dat een van hun servers toegankelijk was op het Internet, waardoor iedereen via zoekmachines naar meer dan 300.000 personen kon zoeken en bekijken. Na de ontdekking, ze aanvankelijk niet om toe te geven dat de beschermde informatie was blootgesteld en niet op de hoogte getroffen individuen voor 147 dagen. Dit resulteerde in extra boetes als gevolg van een vertraagd onderzoek en een overtreding van de meldingsregels., Tijdens het onderzoek heeft de OCR ook gevallen gevonden waarin zij geen business associate agreement voor diensten met derden zijn aangegaan-een vereiste onder HIPAA.

Les om te leren: bij vermoedelijke of bekende inbreuken op de beveiliging moeten de onder de richtlijn vallende entiteiten de rapportagerichtsnoeren volgen om de getroffen personen binnen 60 dagen op de hoogte te brengen.

lidgegevens gestolen door cybercriminelen met behulp van phishing.

een grote zorgverzekeraar in de VS was het slachtoffer van een gerichte cyberaanval in 2015., Het onderzoek, die in 2018 afgesloten met een $ 16 miljoen schikking, bleek een inbreuk op gegevens van meer dan 78 miljoen lid records als cybercriminelen gebruikt phishing om het netwerk en toegang plan leden’ gegevens. De OCR identificeerde meerdere HIPAA schendingen, waaronder het niet voorkomen van ongeoorloofde toegang tot ePHI als gevolg van onvoldoende technisch beleid en procedures om ePHI privacy te behouden. Als de grootste HIPAA-schikking ooit, betaalden ze ook schade aan leden wier privacy werd aangetast.,

Les om te leren: grote gezondheidsorganisaties zijn specifieke doelen voor hackers, daarom moeten grote gezondheidsorganisaties een sterk wachtwoordbeleid opstellen en regelmatig de activiteiten van het informatiesysteem controleren om potentiële risico ‘ s te beperken.

een gezondheidssysteem in Texas onthult ongeoorloofde identificeerbare informatie in een persbericht.

in 2015 reageerde het in Texas gevestigde gezondheidssysteem op een incident waarbij een patiënt een frauduleuze identiteitskaart gebruikte met een memo aan de pers., In het persbericht schond het ziekenhuissysteem de privacy van de betrokken patiënt door hun naam op te nemen in de titel, wat volgens de OCR een opzettelijke schending was van de privacy-rechten van de patiënt. Hoewel het vrijgeven van de naam van de patiënt aan de politie toegestaan was, had de openbare verklaring van het ziekenhuisstelsel de privacy van de patiënt moeten beschermen. Als ze dat niet doen, kost dat $2,4 miljoen.,

Les om te leren: hoewel de meeste HIPAA-schikkingen invloed hebben op een groot aantal medische dossiers, neemt de OCR serieuze maatregelen om HIPAA-wetten te handhaven, zelfs wanneer het slechts om de medische gegevens van één persoon gaat. De privacyregel van HIPAA vereist dat ongeautoriseerde PHI niet openbaar mag worden gemaakt.