Vad är en HIPAA brott?

en HIPAA-överträdelse är ett icke-konfidentiellt avslöjande av PHI som äventyrar integriteten och säkerheten för hälso-och sjukvårdsinformation. I huvudsak uppstår en HIPAA-överträdelse när någon lär sig något som de inte borde eftersom det inte fanns tillräckligt med försiktighetsåtgärder för att skydda informationen.,

i de flesta fall anses obehörig användning eller avslöjande av PHI vara ett brott, såvida inte organisationen eller medarbetaren kan bevisa att det finns en låg sannolikhet att PHI äventyrades. Reglering av HIPAA-överensstämmelse är strikt och en HIPAA-överträdelse kan vara dyr för täckta enheter (t.ex. varje sjukhus, sjukhus, läkarmottagning, vårdgivare och hälsoplan) och affärsbekanta (alla tredje parter som arbetar på uppdrag av täckta enheter).

vilka är straffen för HIPAA-överträdelser?,

avdelningen för hälso-och mänskliga tjänsters Kontor för medborgerliga rättigheter (OCR) upprätthåller HIPAA-överensstämmelse genom att bestraffa alla inblandade sjukhus, vårdcentraler eller hälsorelaterade tjänster för både små och stora HIPAA-överträdelser. Även om patienthälsoinformationen inte har äventyrats, kan HIPAA överträdelsestraff vara allvarliga.

kostnaden för HIPAA-överträdelser varierar från $ 100 till $ 50,000 baserat på en mängd olika faktorer, inklusive:

  • huruvida det fanns skadlig avsikt (civil vs,asonable vigilance
  • $10,000 till $50,000 när en överträdelse tillskrivs avsiktlig försummelse men korrigeras inom 30 dagar
  • $50,000 (högsta böter per överträdelse) när en överträdelse uppstår på grund av avsiktlig försummelse och inte korrigeras inom 30 dagar

straffrättsliga påföljder

  • $50,000 plus upp till ett års fängelse om en överträdelse inträffar när någon medvetet avslöjas PHI
  • $100,000 plus upp till fem års fängelse om en överträdelse inträffar under falska förespeglingar
  • $250,000 plus upp till 10 års fängelse om en överträdelse begås för personlig vinning (e.,g.selling PHI)

individer kan också lämna in civilrättsliga eller statliga stämningar för HIPAA-överträdelser mot statliga lagar som leder till skada på grund av försumlighet. I vissa fall kan dessa HIPAA överträdelsemål leda till böter över $ 1.5 miljoner, vilket är det maximala straffet per överträdelse som OCR kan utfärda.

7 exempel på HIPAA överträdelseärenden

det kan ta månader och år för avdelningen för hälsa och mänskliga tjänster kontor för medborgerliga rättigheter att upptäcka och lösa avsiktliga och oavsiktliga HIPAA överträdelseärenden., Och ibland finns ytterligare HIPAA-överträdelser under undersökningar. Lär dig om några av de mest katastrofala kränkningarna av HIPAEN Fall nedan.

Illinois-baserade hälsovårdsnätverket misslyckas med att genomföra en grundlig riskanalys.

under 2016 berodde den största HIPAA-uppgörelsen på tre dataöverträdelser som påverkade fyra miljoner människor. Ett sjukvårdsnätverk i Illinois betalade 5,5 miljoner dollar efter att en okrypterad bärbar dator stulits från en arbetstagares bil och i en separat händelse stals fyra datorer., Byrån för medborgerliga rättigheter noterade att sjukhussystemet misslyckades med att upprätta en riskanalys som stod för fysiska och administrativa skyddsåtgärder, utöver de tekniska skyddsåtgärder som fanns.

lektion att lära sig: HIPAA-överträdelser är vanliga som ett resultat av förlorade eller stulna organisatoriska enheter, varför det är så viktigt att analysera potentiella risker och mildra dem med rätt skyddsåtgärder.

ett bildföretag i Tennessee bryter mot flera HIPAA-regler.,

i 2018 betalade ett Tennessee-baserat medical imaging services-företag $3 miljoner i påföljder och antog en korrigerande handlingsplan (CAP) för att lösa sina HIPAA-överträdelser. FBI upptäckte att en av deras servrar var tillgänglig på Internet, så att alla kan söka och visa PHI för över 300,000 individer via sökmotorer. Efter upptäckten misslyckades de ursprungligen med att erkänna att den skyddade informationen hade exponerats och inte meddelade drabbade individer i 147 dagar. Detta resulterade i ytterligare påföljder på grund av en försenad undersökning och ett brott mot rapporteringsreglerna., Under hela undersökningen fann OCR också fall där de inte ingick ett affärsassocierat avtal för tjänster med tredjepartsleverantörer – ett krav enligt HIPAA.

lektion att lära: när misstänkta eller kända säkerhetsöverträdelser uppstår måste täckta enheter följa rapporteringsriktlinjerna för att meddela drabbade individer inom 60 dagar.

medlemsdata som stulits av cyberbrottslingar som använder phishing.

en stor hälsoförsäkringsgivare i USA var offer för en målinriktad cyberattack 2015., Undersökningen, som avslutades i 2018 med en $ 16 miljoner avveckling, avslöjade ett databrott på över 78 miljoner medlemsregister som cyberbrottslingar använde phishing för att komma in i nätverks-och åtkomstplanens medlemmars data. OCR identifierade flera HIPAA kränkningar, inklusive underlåtenhet att förhindra obehörig åtkomst till ePHI som ett resultat av otillräcklig teknisk politik och förfaranden för att upprätthålla ePHI integritet. Som den största HIPAA-bosättningen någonsin betalade de också skadestånd till medlemmar vars integritet äventyrades.,

lektion att lära sig: stora hälsoorganisationer är specifika mål för hackare, varför stora hälsovårdsenheter måste upprätta starka lösenordspolicyer och regelbundet övervaka informationssystemets aktivitet för att mildra potentiella risker.

En Texas health system avslöjar obehörig identifierbar information i ett pressmeddelande.

i 2015 svarade Texas-baserade hälsosystem på en incident som involverar användning av ett bedrägligt ID-kort av en patient med ett memo till pressen., I pressmeddelandet bröt sjukhussystemet den berörda patientens integritet genom att inkludera deras namn i titeln, vilket OCR bestämde sig för att vara ett avsiktligt misslyckande för att skydda patientens rättigheter till integritet. Även om det var tillåtet att släppa patientens namn till polisen, borde det utfärdade offentliga uttalandet från sjukhussystemet ha skyddat patientens integritet. Underlåtenhet att göra det kostade dem $ 2,4 miljoner.,

lektion att lära sig: medan de flesta HIPAA-överträdelsebosättningar påverkar ett stort antal medicinska journaler, vidtar OCR allvarliga åtgärder för att upprätthålla HIPAA-lagar, även när bara en persons medicinska data är inblandad. HIPAAS Sekretessregel kräver att obehörig PHI inte får avslöjas.