Es vergeht kaum ein Tag ohne einen Bericht über ein Krankenhaus, einen Gesundheitsplan oder ein medizinisches Fachpersonal, das gegen die HIPAA verstößt. Was ist jedoch eine HIPAA-Verletzung und was passiert, wenn eine Verletzung auftritt?
Was ist ein Verstoß gegen die HIPAA?
Das Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen von 1996 ist ein wegweisendes Gesetz, das eingeführt wurde, um die Verwaltung der Gesundheitsversorgung zu vereinfachen, Verschwendung zu beseitigen, Betrug im Gesundheitswesen zu verhindern und sicherzustellen dass Mitarbeiter zwischen den Arbeitsplätzen die Krankenversicherung aufrechterhalten können.
Die HIPAA wurde im Laufe der Jahre erheblich aktualisiert, um den Schutz der Privatsphäre von Patienten und Mitgliedern des Gesundheitsplans zu verbessern und so sicherzustellen, dass die Gesundheitsdaten und die Privatsphäre der Patienten geschützt werden ist geschützt. Zu diesen Aktualisierungen gehören die HIPAA-Datenschutzregel, die HIPAA-Sicherheitsregel, die HIPAA-Omnibus-Regel und die HIPAA-Regel zur Benachrichtigung über Verstöße 45 CFR-Teile 160, 162 und 164.
Der kombinierte Text aller von der Abteilung für HIPAA veröffentlichten Vorschriften Das Amt für Bürgerrechte für Gesundheit und menschliche Dienste umfasst 115 Seiten und enthält viele Bestimmungen. Es gibt Hunderte von Möglichkeiten, wie HIPAA-Regeln verletzt werden können, obwohl die häufigsten HIPAA-Verstöße sind:
- Unzulässige Offenlegung von geschützten Gesundheitsinformationen (PHI)
- Nicht autorisierter Zugriff auf PHI
- Unsachgemäße Entsorgung von PHI
- Nichtdurchführung einer Risikoanalyse
- Nichtmanagement von Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit von PHI
- Keine Implementierung von Schutzmaßnahmen zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von PHI
- Fehler bei der Verwaltung und Überwachung von PHI-Zugriffsprotokollen
- Fehler beim Abschluss einer HIPAA-konformen Geschäftspartnervereinbarung mit Anbietern vor dem Zugriff auf PHI
- Keine Bereitstellung von Kopien ihrer PHI auf Anfrage für Patienten
- Keine Implementierung von Zugriffskontrollen, um die Anzeige von PHI zu beschränken
- Fehler beim Beenden der Zugriffsrechte auf PHI, wenn dies nicht mehr erforderlich ist.
- Die Offenlegung enthält mehr PHI als für die Ausführung einer bestimmten Aufgabe erforderlich ist.
- Fai locken, HIPAA-Schulungen und Schulungen zum Sicherheitsbewusstsein anzubieten
- Diebstahl von Patientenakten
- Nicht autorisierte Freigabe von PHI an Personen, die nicht berechtigt sind, die Informationen zu erhalten
- Weitergabe von PHI online oder über soziale Medien ohne Erlaubnis
- Misshandlung und Nichtübermittlung von PHI
- SMS-PHI
- Nichtverschlüsselung von PHI oder Verwendung einer alternativen, gleichwertigen Maßnahme, um unbefugten Zugriff / unbefugte Offenlegung zu verhindern
- Versäumnis, eine Person (oder das Amt für Bürgerrechte) innerhalb von 60 Tagen nach Feststellung eines Verstoßes über einen Sicherheitsvorfall mit PHI zu informieren.
- Versäumnis, Compliance-Bemühungen zu dokumentieren
Wie werden HIPAA-Verstöße aufgedeckt?
Viele HIPAA-Verstöße werden von HIPAA-abgedeckten Stellen durch interne Audits entdeckt. Vorgesetzte können Mitarbeiter identifizieren, die gegen die HIPAA-Regeln verstoßen haben, und Mitarbeiter melden häufig selbst Verstöße gegen die HIPAA und potenzielle Verstöße von Mitarbeitern.
Das HHS-Büro für Bürgerrechte ist der Hauptdurchsetzer der HIPAA-Regeln und untersucht Beschwerden von Von Mitarbeitern des Gesundheitswesens, Patienten und Mitgliedern des Gesundheitsplans gemeldete Verstöße gegen die HIPAA. OCR untersucht auch alle betroffenen Unternehmen, die Verstöße gegen mehr als 500 Aufzeichnungen melden, und führt Untersuchungen zu bestimmten kleineren Verstößen durch. OCR führt auch regelmäßige Audits von von der HIPAA abgedeckten Unternehmen und Geschäftspartnern durch.
Generalstaatsanwälte sind auch befugt, Verstöße zu untersuchen, und Untersuchungen werden häufig aufgrund von Beschwerden über mögliche Verstöße gegen die HIPAA und bei Berichten über Verstöße gegen Patientenakten durchgeführt empfangen werden.
Was sind die Strafen für Verstöße gegen HIPAA-Regeln?
Die Strafen für Verstöße gegen HIPAA-Regeln können schwerwiegend sein. Generalstaatsanwälte können Bußgelder bis zu einem Höchstbetrag von 25.000 USD pro Verstoßkategorie und Kalenderjahr verhängen. OCR kann pro Verstoßkategorie und Jahr Geldstrafen von bis zu 1,5 Millionen US-Dollar verhängen. Bußgelder in Höhe von mehreren Millionen Dollar können und wurden verhängt.
Während Gesundheitsdienstleister, Krankenversicherungen und Geschäftspartner von versicherten Unternehmen mit Bußgeldern belegt werden können, gibt es auch potenzielle Bußgelder für Personen, die gegen die HIPAA-Regeln verstoßen und strafrechtliche Sanktionen können angemessen sein. Eine Haftstrafe wegen Verstoßes gegen die HIPAA ist möglich. Bei einigen Verstößen wird eine Strafe von bis zu 10 Jahren im Gefängnis verhängt.
Weitere Informationen zu den Strafen für Verstöße gegen die HIPAA finden Sie auf dieser Seite.
Die jüngsten Strafen für HIPAA-Verstöße und die HIPAA-Strafenstruktur sind in der folgenden Infografik aufgeführt.
Strafen für HIPAA-Verstöße
FAQs
Wie können Sie feststellen, ob eine Organisation gegen HIPAA verstößt?
Versicherte Unternehmen und Geschäftspartner sind von der HIPAA verpflichtet, regelmäßig Risikoanalysen durchzuführen. Die Risikoanalysen sollten alle Bereiche identifizieren, in denen Verstöße vorliegen, die darauf hinweisen, dass die Organisation gegen die HIPAA verstößt. Das Versäumnis, eine Risikoanalyse durchzuführen und zu dokumentieren, stellt einen Verstoß gegen die HIPAA selbst dar, ebenso wie das Versäumnis, durch eine Risikoanalyse festgestellte Probleme anzugehen.
Was ist der Unterschied zwischen einer Risikobewertung und einer Risikoanalyse?
Während die meisten Unternehmen eine Risikobewertung als Untersuchung möglicher Bedrohungen und eine Risikoanalyse als Berechnung der Wahrscheinlichkeit des Auftretens dieser Bedrohungen betrachten würden, besteht in der HIPAA ein Mangel an Klarheit. Im Abschnitt Risikoanalyse der Sicherheitsregel Administrative Schutzmaßnahmen (45 CFR § 164.308 (a)) muss beispielsweise das abgedeckte Unternehmen oder der Geschäftspartner: „Eine genaue und gründliche Bewertung der potenziellen Risiken und Schwachstellen für die Vertraulichkeit, Integrität und Sicherheit durchführen Verfügbarkeit elektronisch geschützter Gesundheitsinformationen des versicherten Unternehmens oder Geschäftspartners. “,
Was passiert als Nächstes, wenn potenzielle Risiken und Schwachstellen identifiziert werden?
Auch unter 45 CFR § 164.308 ( a) Abgedeckte Unternehmen und Geschäftspartner müssen Sicherheitsmaßnahmen ergreifen, die ausreichen, um Risiken und Schwachstellen auf ein angemessenes und angemessenes Maß zu reduzieren. Um festzustellen, was ein „angemessenes und angemessenes Maß“ darstellt, sollten Organisationen berücksichtigen (gemäß 45 CFR) § 164.306 (b)):
- Größe, Komplexität und Fähigkeiten der Organisation
- Die technischen Infrastruktur-, Hardware- und Software-Sicherheitsfunktionen der Organisation es
- Die Kosten angemessener und angemessener Sicherheitsmaßnahmen
- Die Wahrscheinlichkeit und Kritikalität potenzieller Risiken für die Integrität von ePHI ”
Was bedeutet das? „Kritikalität potenzieller Risiken“ bedeutet?
Der Begriff Kritikalität potenzieller Risiken bezieht sich auf das Ausmaß der Verletzung, die durch einen HIPAA-Verstoß verursacht werden kann. Beispielsweise kann ein Cloud-Speichervolumen, das die Zahlungsdetails und Sozialversicherungsnummern von Tausenden von Patienten enthält und für das öffentliche Internet offen gelassen wird, mehr Verletzungen verursachen als zwei Krankenschwestern, die die Behandlungsoptionen für Patient A in Hörweite von Patient B diskutieren.