ce este o încălcare a HIPAA?

o încălcare a HIPAA este o dezvăluire neconformă a PHI care compromite confidențialitatea și securitatea informațiilor medicale. În esență, o încălcare HIPAA apare atunci când cineva învață ceva ce nu ar trebui, deoarece nu au existat suficiente Precauții pentru a proteja informațiile.,în majoritatea cazurilor, orice utilizare sau divulgare neautorizată a PHI este considerată o încălcare, cu excepția cazului în care organizația sau angajatul poate dovedi că există o probabilitate mică ca PHI să fi fost compromisă. Reglementarea respectării HIPAA este strictă și o încălcare a HIPAA poate fi costisitoare pentru entitățile acoperite (de exemplu, fiecare spital, centru medical, cabinet medical, furnizor de asistență medicală și plan de sănătate) și asociații de afaceri (orice terțe părți care lucrează în numele entităților acoperite).

care sunt sancțiunile pentru încălcări HIPAA?,

Departamentul de sanatate si Servicii Umane’ Oficiul pentru Drepturile Civile (OCR) impune respectarea HIPAA prin penalizarea orice spital implicat, centru de sănătate, sau servicii legate de sănătate pentru ambele încălcări HIPAA mici și mari. Chiar dacă informațiile despre sănătatea pacientului nu au fost compromise, sancțiunile pentru încălcarea HIPAA pot fi severe.costul încălcărilor HIPAA variază de la $100 la $50,000 pe baza unei varietăți de factori, inclusiv:

  • indiferent dacă a existat sau nu intenție rău intenționată (civil vs.,o vigilență rezonabilă
  • $10,000 la $50,000 atunci când o încălcare este atribuită neglijării intenționate, dar este corectată în termen de 30 de zile
  • $50,000 (amendă maximă pentru fiecare încălcare) atunci când o încălcare apare din cauza neglijării intenționate și nu este corectată în termen de 30 de zile

sancțiuni penale

  • Phi
  • $100,000 plus până la cinci ani de închisoare în cazul în care o încălcare are loc sub pretexte false
  • $250,000 plus până la 10 ani de închisoare în cazul în care o încălcare este comisă pentru câștig personal (e.,persoanele fizice pot, de asemenea, să depună procese civile sau de stat pentru încălcări ale HIPAA împotriva legilor de stat care duc la daune din cauza neglijenței. În unele cazuri, aceste cazuri de proces de încălcare HIPAA pot duce la amenzi de peste $1.5 milioane, care este pedeapsa maximă pentru fiecare încălcare pe care OCR o poate emite.

    7 Exemple de cazuri de încălcare HIPAA

    poate dura luni și ani pentru Departamentul de sănătate și Servicii Umane Oficiul Drepturilor Civile Pentru a descoperi și rezolva cazurile de încălcare intenționată și accidentală HIPAA., Și, uneori, încălcări suplimentare ale HIPAA se găsesc în timpul investigațiilor. Aflați mai multe despre unele dintre cele mai dezastruoase încălcări ale cazurilor HIPAA de mai jos.

    rețeaua de asistență medicală din Illinois nu reușește să efectueze o analiză aprofundată a riscurilor.

    în 2016, cea mai mare decontare HIPAA a rezultat din trei încălcări ale datelor care afectează patru milioane de persoane. O rețea de asistență medicală din Illinois a plătit 5, 5 milioane de dolari după ce un laptop necriptat a fost furat din mașina unui angajat și, într-un incident separat, au fost furate patru computere., Oficiul pentru Drepturi Civile a menționat că sistemul spitalicesc nu a reușit să stabilească o analiză de risc care să reprezinte garanții fizice și administrative, pe lângă garanțiile tehnice în vigoare.

    lecție de învățat: încălcările HIPAA sunt frecvente ca urmare a dispozitivelor organizaționale pierdute sau furate, motiv pentru care este atât de important să analizăm riscurile potențiale și să le atenuăm cu garanțiile adecvate.

    o companie de imagistică din Tennessee încalcă mai multe reguli HIPAA.,

    în 2018, o companie de servicii de imagistică medicală din Tennessee a plătit penalități de 3 milioane de dolari și a adoptat un plan de acțiune corectivă (CAP) pentru a rezolva încălcările HIPAA. FBI a descoperit că unul dintre serverele lor era accesibil pe Internet, permițând oricui să caute și să vizualizeze PHI pentru peste 300,000 de persoane prin intermediul motoarelor de căutare. În urma descoperirii, inițial nu au recunoscut că informațiile protejate au fost expuse și nu au notificat persoanele afectate timp de 147 de zile. Acest lucru a dus la sancțiuni suplimentare din cauza unei investigații întârziate și a încălcării regulilor de raportare., Pe parcursul anchetei, OCR a constatat, de asemenea, cazuri în care nu au încheiat un acord de asociere în afaceri pentru servicii cu furnizori terți-o cerință în temeiul HIPAA.

    lecție de învățat: atunci când apar breșe de securitate suspectate sau cunoscute, entitățile acoperite trebuie să respecte liniile directoare de raportare pentru a notifica persoanele afectate în termen de 60 de zile.

    datele membrilor furate de infractorii cibernetici folosind phishing.

    un mare asigurător de sănătate din SUA a fost victima unui atac cibernetic vizat în 2015., Ancheta, care s-a încheiat în 2018 cu o decontare de 16 milioane de dolari, a dezvăluit o încălcare a datelor a peste 78 de milioane de înregistrări ale membrilor, deoarece infractorii cibernetici au folosit phishing pentru a intra în rețea și a accesa datele membrilor planului. OCR a identificat mai multe încălcări HIPAA, inclusiv eșecul de a preveni accesul neautorizat la ePHI, ca urmare a politicilor și procedurilor tehnice insuficiente pentru a menține confidențialitatea ePHI. Ca cea mai mare așezare HIPAA vreodată, au plătit, de asemenea, daune membrilor a căror Confidențialitate a fost compromisă.,

    lecție de învățat: organizațiile mari de sănătate sunt ținte specifice pentru hackeri, motiv pentru care entitățile mari de asistență medicală trebuie să stabilească politici puternice de parole și să monitorizeze periodic activitatea sistemului informațional pentru a atenua riscurile potențiale.

    un sistem de sănătate din Texas dezvăluie informații identificabile neautorizate într-un comunicat de presă.

    în 2015, Sistemul de sănătate din Texas a răspuns la un incident care implică utilizarea unei cărți de identitate frauduloase de către un pacient cu o notă către presă., În comunicatul de presă, sistemul spitalicesc a încălcat confidențialitatea pacientului implicat prin includerea numelui său în titlu, pe care OCR l-a determinat a fi un eșec intenționat de a proteja drepturile pacientului la confidențialitate. Deși eliberarea numelui pacientului la Poliție a fost permisă, declarația publică emisă de sistemul spitalicesc ar fi trebuit să protejeze confidențialitatea pacientului. Eșecul de a face acest lucru le-a costat 2,4 milioane de dolari.,

    lecție de învățat: în timp ce majoritatea așezărilor de încălcare a HIPAA afectează un număr mare de înregistrări medicale, OCR ia măsuri serioase pentru a susține legile HIPAA, chiar și atunci când sunt implicate doar datele medicale ale unui individ. Regula de confidențialitate HIPAA impune ca Phi neautorizată să nu fie dezvăluită.