Er gaat nauwelijks een dag voorbij zonder een nieuwsbericht over een ziekenhuis, gezondheidsplan of zorgverlener die de HIPAA schendt, maar wat is een HIPAA-overtreding en wat gebeurt er als er een overtreding plaatsvindt?
Wat is een HIPAA-overtreding?
De Health Insurance Portability and Accountability Act van 1996 is een mijlpaal in de wetgeving die is ingevoerd om de administratie van gezondheidszorg te vereenvoudigen, verspilling te elimineren, zorgfraude te voorkomen en dat werknemers zorg kunnen behouden tussen banen door.
Er zijn opmerkelijke updates van HIPAA om de privacybescherming voor patiënten en leden van gezondheidsplannen in de loop der jaren te verbeteren, waardoor de gezondheidsgegevens worden beschermd en de privacy van patiënten is beschermd. Die updates omvatten de HIPAA-privacyregel, de HIPAA-beveiligingsregel, de HIPAA-omnibusregel en de HIPAA-regel voor het melden van inbreuken.
Een HIPAA-overtreding is het niet naleven van enig aspect van de HIPAA-normen en bepalingen die gedetailleerd worden beschreven in 45 CFR Parts 160, 162 en 164.
De gecombineerde tekst van alle HIPAA-voorschriften gepubliceerd door de afdeling Het Health and Human Services Office for Civil Rights telt 115 paginas en bevat veel bepalingen. Er zijn honderden manieren waarop HIPAA-regels kunnen worden overtreden, hoewel de meest voorkomende HIPAA-overtredingen zijn:
- Ontoelaatbare openbaarmaking van beschermde gezondheidsinformatie (PHI)
- Ongeautoriseerde toegang tot PHI
- Onjuiste verwijdering van PHI
- Het niet uitvoeren van een risicoanalyse
- Het niet beheren van risicos voor de vertrouwelijkheid, integriteit en beschikbaarheid van PHI
- Het niet implementeren van waarborgen om de vertrouwelijkheid, integriteit en beschikbaarheid van PHI te waarborgen
- Het niet bijhouden en controleren van PHI-toegangslogboeken
- Het niet aangaan van een HIPAA-conforme zakenpartnerovereenkomst met leveranciers voorafgaand aan het verlenen van toegang tot PHI
- Patiënten niet voorzien van kopieën van hun PHI op verzoek
- Geen toegangscontrole implementeren om te beperken wie PHI kan bekijken
- Het niet beëindigen van toegangsrechten tot PHI wanneer deze niet langer vereist is
- De openbaarmaking van meer PHI dan nodig is om een bepaalde taak uit te voeren
- Fai lokken om HIPAA-training en veiligheidsbewustzijnstraining te geven
- Diefstal van patiëntendossiers
- Ongeautoriseerde vrijgave van PHI aan personen die niet geautoriseerd zijn om de informatie te ontvangen
- Delen van PHI online of via sociale media zonder toestemming
- PHI verkeerd gebruiken en verkeerd gebruiken
- PHI smsen
- PHI niet coderen of een alternatieve, gelijkwaardige maatregel gebruiken om ongeautoriseerde toegang / openbaarmaking te voorkomen
- Het nalaten om een persoon (of het Bureau voor Burgerrechten) op de hoogte te stellen van een beveiligingsincident waarbij PHI betrokken is binnen 60 dagen na de ontdekking van een inbreuk
- Het nalaten om nalevingsinspanningen te documenteren
Hoe worden HIPAA-overtredingen aan het licht gebracht?
Veel HIPAA-overtredingen worden ontdekt door HIPAA-gedekte entiteiten via interne audits. Leidinggevenden kunnen werknemers identificeren die de HIPAA-regels hebben overtreden en werknemers melden vaak zelf HIPAA-overtredingen en mogelijke schendingen door collegas.
Het HHS Office for Civil Rights is de belangrijkste handhaver van de HIPAA-regels en onderzoekt klachten over HIPAA-overtredingen gemeld door werknemers in de gezondheidszorg, patiënten en leden van gezondheidsplannen. OCR onderzoekt ook alle gedekte entiteiten die inbreuken op meer dan 500 records melden en voert onderzoeken uit naar bepaalde kleinere inbreuken. OCR voert ook periodieke audits uit van door HIPAA gedekte entiteiten en zakenpartners.
Overheidsadvocaten-generaal hebben ook de bevoegdheid om inbreuken te onderzoeken en onderzoeken worden vaak uitgevoerd naar aanleiding van klachten over mogelijke HIPAA-overtredingen en wanneer meldingen van inbreuken op patiëntendossiers ontvangen.
Wat zijn de straffen voor overtredingen van de HIPAA-regels?
De straffen voor overtredingen van de HIPAA-regels kunnen ernstig zijn. Openbare procureurs-generaal kunnen boetes opleggen tot een maximum van $ 25.000 per overtredingscategorie, per kalenderjaar. OCR kan boetes opleggen tot $ 1,5 miljoen per overtredingscategorie, per jaar. Boetes van meerdere miljoenen dollars kunnen worden – en zijn – uitgegeven.
Hoewel zorgverleners, gezondheidsplannen en zakenpartners van gedekte entiteiten boetes kunnen krijgen, zijn er ook mogelijke boetes voor personen die de HIPAA-regels overtreden en strafrechtelijke sancties kunnen passend zijn. Een gevangenisstraf voor het overtreden van HIPAA is mogelijk, en bij sommige overtredingen staat een gevangenisstraf van maximaal 10 jaar.
Meer informatie over de straffen voor HIPAA-overtredingen vindt u op deze pagina.
Recente straffen voor HIPAA-overtredingen en de HIPAA-sanctiestructuur worden gedetailleerd in de onderstaande infographic.
HIPAA-sancties voor overtredingen
Veelgestelde vragen
Hoe weet u of een organisatie de HIPAA schendt?
Gedekte entiteiten en zakenpartners worden door HIPAA verplicht om regelmatig risicoanalyses uit te voeren. De risicoanalyses moeten alle gebieden van niet-naleving identificeren die erop wijzen dat de organisatie de HIPAA schendt. Het niet uitvoeren en documenteren van een risicoanalyse is een schending van HIPAA zelf, evenals het niet aanpakken van problemen die zijn geïdentificeerd door een risicoanalyse.,
Wat is het verschil tussen een risicobeoordeling en een risicoanalyse?
Hoewel de meeste entiteiten een risicobeoordeling zouden beschouwen als een onderzoek naar mogelijke dreigingen, en een risicoanalyse als een berekening van hoe waarschijnlijk het is dat die dreigingen zullen optreden, is er een onduidelijkheid in HIPAA. Bijvoorbeeld, onder de sectie risicoanalyse van de beveiligingsregel Administratieve waarborgen (45 CFR § 164.308 (a)) moet de gedekte entiteit of zakenpartner: “Een nauwkeurige en grondige beoordeling uitvoeren van de potentiële risicos en kwetsbaarheden voor de vertrouwelijkheid, integriteit en beschikbaarheid van elektronisch beschermde gezondheidsinformatie die wordt bewaard door de gedekte entiteit of zakenpartner. ”,
Wat gebeurt er als mogelijke risicos en kwetsbaarheden worden geïdentificeerd?
Ook onder 45 CFR § 164.308 ( a), gedekte entiteiten en zakelijke partners zijn verplicht om beveiligingsmaatregelen te implementeren die voldoende zijn om risicos en kwetsbaarheden tot een redelijk en passend niveau te verminderen. Om te bepalen wat een “redelijk en passend niveau” is, moeten organisaties rekening houden (volgens 45 CFR § 164.306 (b)):
- De omvang, complexiteit en mogelijkheden van de organisatie
- De technische infrastructuur, hardware en softwarebeveiliging van de organisatie es
- De kosten van redelijke en passende beveiligingsmaatregelen
- De waarschijnlijkheid en kritiek van mogelijke risicos voor de integriteit van ePHI ”
Wat doet de “kritikaliteit van potentiële risicos” betekent?
De term kriticiteit van potentiële risicos verwijst naar de omvang van de verwonding die kan worden veroorzaakt door een HIPAA-overtreding. Een opslagvolume in de cloud – met de betalingsgegevens en burgerservicenummers van duizenden patiënten – opengelaten voor het openbare internet kan bijvoorbeeld meer letsel veroorzaken dan twee verpleegkundigen die de behandelingsopties voor patiënt A bespreken binnen gehoorsafstand van patiënt B.