Co to jest naruszenie HIPAA?

naruszenie HIPAA jest niezgodnym ujawnieniem PHI, które narusza prywatność i bezpieczeństwo informacji medycznych. Zasadniczo naruszenie HIPAA ma miejsce, gdy ktoś dowie się czegoś, czego nie powinien, ponieważ nie było wystarczających środków ostrożności, aby chronić informacje.,

w większości przypadków każde nieautoryzowane użycie lub ujawnienie PHI jest uważane za naruszenie, chyba że organizacja lub pracownik może udowodnić, że istnieje małe prawdopodobieństwo, że Phi zostało naruszone. Przepisy dotyczące zgodności z HIPAA są surowe, a naruszenie przepisów HIPAA może być kosztowne dla podmiotów objętych ochroną (np. każdego szpitala, centrum medycznego, gabinetu lekarskiego, świadczeniodawcy i planu zdrowotnego) i współpracowników biznesowych (wszelkich stron trzecich, które pracują w imieniu podmiotów objętych ochroną).

jakie są kary za naruszenia przepisów HIPAA?,

Biuro Praw Obywatelskich Departamentu Zdrowia i usług ludzkich (OCR) egzekwuje przestrzeganie HIPAA, penalizując każdy zaangażowany Szpital, ośrodek zdrowia lub służby zdrowia zarówno za małe, jak i duże naruszenia HIPAA. Nawet jeśli informacje dotyczące zdrowia pacjenta nie zostały naruszone, kary za naruszenie przepisów HIPAA mogą być poważne.

koszt naruszeń HIPAA waha się od 100 do 50 000 USD w zależności od różnych czynników, w tym:

  • czy doszło do złośliwego zamiaru (cywilne vs.,asonable vigilance
  • $10,000 do $50,000, gdy naruszenie jest przypisane umyślnego zaniedbania, ale jest poprawione w ciągu 30 dni
  • $50,000 (maksymalna grzywna za naruszenie), gdy naruszenie występuje z powodu umyślnego zaniedbania i nie jest poprawione w ciągu 30 dni

kary karne

  • $50,000 plus do jednego roku więzienia, jeśli naruszenie występuje, gdy ktoś świadomie ujawnione Phi
  • $100,000 plus do pięciu lat więzienia, jeśli naruszenie występuje pod fałszywym pretekstem
  • $250,000 plus do 10 lat więzienia, jeśli naruszenie jest popełnione dla osobistych korzyści (e.,G.sprzedaż PHI)

Osoby fizyczne mogą również składać pozwy cywilne lub stanowe za naruszenia HIPAA przeciwko prawom stanowym, które skutkują szkodą z powodu zaniedbania. W niektórych przypadkach te pozwy o naruszenie HIPAA mogą skutkować grzywną w wysokości ponad 1,5 miliona USD, co jest maksymalną karą za naruszenie, które OCR może wydać.

7 przykłady przypadków naruszenia HIPAA

może upłynąć miesiące i lata, zanim Departament Zdrowia i usług ludzkich Office of Civil Rights odkryje i rozwiąże umyślne i przypadkowe przypadki naruszenia HIPAA., Czasami podczas dochodzeń wykrywa się dodatkowe naruszenia HIPAA. Poniżej dowiesz się o niektórych z najbardziej katastrofalnych przypadków naruszenia HIPAA.

Sieć opieki zdrowotnej w Illinois zapłaciła 5,5 miliona dolarów po tym, jak niezaszyfrowany laptop został skradziony z samochodu pracownika. w osobnym incydencie skradziono cztery komputery., Urząd Praw Obywatelskich zauważył, że system szpitalny nie opracował analizy ryzyka, która uwzględniała zabezpieczenia fizyczne i administracyjne, oprócz istniejących zabezpieczeń technicznych.

lekcja do nauczenia się: naruszenia przepisów HIPAA są powszechne w wyniku zgubienia lub kradzieży urządzeń organizacyjnych, dlatego tak ważne jest przeanalizowanie potencjalnych zagrożeń i złagodzenie ich za pomocą odpowiednich zabezpieczeń.

firma zajmująca się obrazowaniem w Tennessee narusza wiele zasad HIPAA.,

w 2018 roku firma świadcząca usługi obrazowania medycznego z Tennessee zapłaciła 3 miliony dolarów kar i przyjęła plan działań naprawczych (CAP) w celu rozwiązania naruszeń HIPAA. FBI odkryło, że jeden z ich serwerów jest dostępny w Internecie, umożliwiając każdemu wyszukiwanie i przeglądanie PHI dla ponad 300 000 osób za pośrednictwem wyszukiwarek. Po odkryciu początkowo nie przyznali się, że chronione informacje zostały ujawnione i nie powiadomili dotkniętych osób przez 147 dni. Spowodowało to dodatkowe kary z powodu opóźnionego dochodzenia i naruszenia zasad sprawozdawczości., W trakcie dochodzenia OCR odkryło również przypadki, w których nie zawarło umowy o świadczenie usług z dostawcami zewnętrznymi – co jest wymogiem HIPAA.

lekcja do nauczenia się: w przypadku podejrzenia lub stwierdzenia naruszenia bezpieczeństwa podmioty objęte ochroną muszą przestrzegać wytycznych dotyczących sprawozdawczości, aby powiadomić dotknięte osoby w ciągu 60 dni.

Dane członków skradzione przez cyberprzestępców za pomocą phishingu.

w 2015 r.ofiarą cyberataku padł duży ubezpieczyciel zdrowotny w USA., Dochodzenie, które zakończyło się w 2018 r. ugodą w wysokości 16 milionów dolarów, ujawniło naruszenie danych o ponad 78 milionach rekordów użytkowników, ponieważ cyberprzestępcy używali phishingu, aby wejść do sieci i uzyskać dostęp do danych członków planu. OCR zidentyfikowało wiele naruszeń HIPAA, w tym brak zapobiegania nieautoryzowanemu dostępowi do ePHI w wyniku niewystarczających polityk technicznych i procedur do utrzymania prywatności ePHI. Jako największa osada HIPAA w historii, wypłacali również odszkodowania członkom, których prywatność została naruszona.,

lekcja do nauczenia się: duże organizacje zdrowotne są specyficznymi celami dla hakerów, dlatego duże jednostki opieki zdrowotnej muszą ustanowić silne zasady haseł i regularnie monitorować aktywność systemu informacyjnego w celu ograniczenia potencjalnych zagrożeń.

system opieki zdrowotnej w Teksasie ujawnia nieautoryzowane dane identyfikacyjne w komunikacie prasowym.

, W komunikacie prasowym system szpitalny naruszył prywatność zaangażowanego pacjenta, umieszczając w tytule jego nazwisko, co OCR uznało za celowe naruszenie prawa pacjenta do prywatności. Mimo, że ujawnienie nazwiska pacjenta policji było dopuszczalne, wydane publiczne oświadczenie przez system szpitalny powinno chronić prywatność pacjenta. Ich niepowodzenie kosztowało 2,4 miliona dolarów.,

lekcja do nauczenia się: podczas gdy większość rozliczeń dotyczących naruszeń przepisów HIPAA dotyczy dużej liczby dokumentacji medycznej, OCR podejmuje poważne środki w celu przestrzegania przepisów HIPAA, nawet jeśli dotyczy to tylko danych medycznych jednej osoby. Zasady prywatności HIPAA wymagają, aby nieautoryzowane dane PHI nie były ujawniane.