o que é uma violação HIPAA?

uma violação de HIPAA é uma divulgação irregular de PHI que compromete a privacidade e segurança das informações de saúde. Essencialmente, uma violação HIPAA ocorre quando alguém aprende algo que não deveria, porque não havia precauções suficientes para proteger a informação.,

na maioria dos casos, qualquer uso não autorizado ou divulgação de PHI é considerado uma violação, a menos que a organização ou empregado pode provar que há uma baixa probabilidade de que o PHI foi comprometido. A regulação do cumprimento da HIPAA é rigorosa e uma violação da HIPAA pode ser cara para entidades cobertas (por exemplo, cada hospital, Centro Médico, Consultório Médico, provedor de saúde e plano de saúde) e Associados de negócios (quaisquer terceiros que trabalham em nome de entidades Cobertas).quais são as penalizações por violações do HIPAA?,o Departamento de Saúde e Serviços Humanos do Escritório de Direitos Civis (OCR) aplica o cumprimento do HIPAA, penalizando qualquer hospital envolvido, centro de saúde ou serviço relacionado à saúde para pequenas e grandes violações do HIPAA. Mesmo que a informação de saúde do paciente não tenha sido comprometida, as penalidades por violação do HIPAA podem ser graves.

O custo de violações HIPAA varia de $ 100 a $50.000 com base em uma variedade de fatores, incluindo:

  • se houve ou não intenção maliciosa (civil vs.,asonable vigilância
  • $10.000 a r $50.000, quando a violação for atribuída a negligência grave, mas é corrigido, no prazo de 30 dias
  • $50,000 (máximo da coima por violação) quando uma violação ocorrer devido a negligência grave e não é corrigido, no prazo de 30 dias

SANÇÕES PENAIS

  • r$50.000, além de até um ano de prisão, se uma violação ocorre quando alguém conscientemente divulgadas PHI
  • us$100.000, além de até cinco anos de prisão, se uma violação ocorre sob falsos pretextos
  • $De 250.000, além de até 10 anos de prisão, se é cometida uma infração para obter vantagens pessoais (e.,G. venda de PHI)

indivíduos também podem apresentar ações judiciais civis ou estatais por violações do HIPAA contra leis do Estado que resultam em danos devido a negligência. Em alguns casos, estes processos de violação HIPAA podem resultar em multas de mais de US $ 1,5 milhões, que é a pena máxima por violação que a OCR pode emitir.

7 exemplos de casos de violação de HIPAA

pode levar meses e anos para o Departamento de Saúde e Serviços Humanos escritório de direitos civis para descobrir e resolver casos intencionais e acidentais de violação de HIPAA., E às vezes, violações adicionais HIPAA são encontradas durante as investigações. Conheça alguns dos casos mais desastrosos de HIPAA abaixo.

A Rede de saúde baseada em Illinois não realiza uma análise de risco completa.

em 2016, o maior acordo HIPAA resultou de três violações de dados que afetam quatro milhões de pessoas. Uma rede de saúde em Illinois pagou US $ 5,5 milhões depois que um laptop não criptografado foi roubado do carro de um funcionário, e, em um incidente separado, quatro computadores foram roubados., O Instituto dos Direitos Civis observou que o sistema hospitalar não conseguiu estabelecer uma análise de risco que tenha em conta as salvaguardas físicas e administrativas, além das salvaguardas técnicas em vigor.

lição a aprender: violações HIPAA são comuns como resultado de dispositivos organizacionais perdidos ou roubados, e é por isso que é tão importante analisar os riscos potenciais e mitigá-los com as devidas salvaguardas.

uma empresa de imagem no Tennessee viola várias regras HIPAA.,

em 2018, Uma Empresa de serviços de imagem médica baseada no Tennessee pagou US $3 milhões em penalidades e adotou um plano de ação corretiva (CAP) para resolver suas violações HIPAA. O FBI descobriu que um dos seus servidores estava acessível na Internet, permitindo a qualquer um procurar e ver a PHI por mais de 300.000 pessoas através de motores de busca. Após a descoberta, eles inicialmente não admitiram que a informação protegida tinha sido exposta e não notificaram os indivíduos afetados por 147 dias. Isto resultou em sanções adicionais devido a uma investigação atrasada e uma violação das regras de comunicação., Ao longo da investigação, o OCR também detectou casos em que não celebraram um acordo de associação comercial para serviços com fornecedores terceiros-um requisito ao abrigo do HIPAA.lição a aprender: quando surgem suspeitas ou conhecidas violações de segurança, as entidades Cobertas devem seguir as Diretrizes de comunicação para notificar as pessoas afetadas no prazo de 60 dias.

dados de membros roubados por criminosos cibernéticos usando phishing.uma grande seguradora de saúde nos EUA foi vítima de um ataque cibernético em 2015., A investigação, que concluiu em 2018 com um acordo de US $16 milhões, revelou uma violação de dados de mais de 78 milhões de registros de membros como criminosos cibernéticos usaram o phishing para entrar na rede e os dados dos membros do plano de acesso. A OCR identificou múltiplas violações do HIPAA, incluindo a incapacidade de impedir o acesso não autorizado ao ePHI como resultado de políticas e procedimentos técnicos insuficientes para manter a privacidade do ePHI. Como o maior acordo HIPAA de sempre, eles também pagaram danos aos Membros cuja privacidade foi comprometida.,lição a aprender: grandes organizações de saúde são alvos específicos para hackers, razão pela qual grandes entidades de saúde devem estabelecer políticas de senha fortes e monitorar regularmente a atividade do sistema de informação para mitigar os riscos potenciais.

Um sistema de saúde do Texas divulga informações não autorizadas identificáveis em um comunicado de imprensa.

em 2015, o sistema de saúde do Texas respondeu a um incidente envolvendo o uso de um cartão de identificação fraudulento por um paciente com um memorando para a imprensa., No comunicado de imprensa, o sistema hospitalar violou a privacidade do paciente envolvido ao incluir seu nome no título, que o OCR determinou ser uma falha intencional para proteger os direitos do paciente à privacidade. Embora a divulgação do nome do paciente à polícia fosse permitida, a declaração pública emitida pelo sistema hospitalar deveria ter protegido a privacidade do paciente. O fracasso em fazê-lo custou-lhes 2,4 milhões de dólares.,

lição a aprender: embora a maioria dos acordos de violação de HIPAA afetem um grande número de registros médicos, a OCR toma medidas sérias para manter as leis HIPAA, mesmo quando apenas os dados médicos de um indivíduo está envolvido. A regra de Privacidade da HIPAA exige que PHI não autorizado não deve ser divulgado.