Quase não passa um dia sem que uma notícia de um hospital, plano de saúde ou profissional de saúde viole o HIPAA, mas o que é uma violação do HIPAA e o que acontece quando ocorre uma violação?
O que é uma violação da HIPAA?
A Lei de Responsabilidade e Portabilidade de Seguro Saúde de 1996 é um marco legislativo que foi introduzido para simplificar a administração de assistência médica, eliminar desperdícios, prevenir fraude em assistência médica e garantir que os funcionários podem manter a cobertura de saúde entre os empregos.
Houve atualizações notáveis no HIPAA para melhorar as proteções de privacidade para pacientes e membros de planos de saúde ao longo dos anos, o que ajuda a garantir que os dados de saúde sejam protegidos e a privacidade dos pacientes está protegido. Essas atualizações incluem a regra de privacidade da HIPAA, a regra de segurança da HIPAA, a regra geral da HIPAA e a regra de notificação de violação da HIPAA.
Uma violação da HIPAA é uma falha no cumprimento de qualquer aspecto dos padrões e disposições da HIPAA detalhados em detalhes em 45 CFR Partes 160, 162 e 164.
O texto combinado de todos os regulamentos HIPAA publicados pelo Departamento de O Gabinete de Saúde e Serviços Humanos para os Direitos Civis tem 115 páginas e contém muitas disposições. Existem centenas de maneiras pelas quais as regras da HIPAA podem ser violadas, embora as violações mais comuns da HIPAA sejam:
- Divulgações inadmissíveis de informações protegidas de saúde (PHI)
- Acesso não autorizado de PHI
- Eliminação indevida de PHI
- Falha em conduzir uma análise de risco
- Falha em gerenciar riscos para a confidencialidade, integridade e disponibilidade de PHI
- Falha em implementar salvaguardas para garantir a confidencialidade, integridade e disponibilidade de PHI
- Falha em manter e monitorar registros de acesso de PHI
- Falha em entrar em um acordo de parceiro comercial em conformidade com HIPAA com fornecedores antes de conceder acesso ao PHI
- Falha em fornecer aos pacientes cópias de seu PHI mediante solicitação
- Falha em implementar controles de acesso para limitar quem pode visualizar PHI
- Falha em rescindir direitos de acesso ao PHI quando não for mais necessário
- A divulgação de mais PHI do que o necessário para uma determinada tarefa a ser realizada
- Fai isca para fornecer treinamento HIPAA e treinamento de conscientização de segurança
- Roubo de registros de pacientes
- Liberação não autorizada de PHI para indivíduos não autorizados a receber as informações
- Compartilhamento de PHI online ou via mídia social sem permissão
- Manuseio incorreto e envio incorreto de PHI
- Envio de mensagem de texto PHI
- Falha ao criptografar PHI ou usar uma medida alternativa equivalente para evitar acesso / divulgação não autorizados
- Falha em notificar um indivíduo (ou o Escritório de Direitos Civis) de um incidente de segurança envolvendo PHI dentro de 60 dias da descoberta de uma violação
- Falha em documentar esforços de conformidade
Como as violações da HIPAA são descobertas?
Muitas violações da HIPAA são descobertas por entidades cobertas pela HIPAA por meio de auditorias internas. Os supervisores podem identificar os funcionários que violaram as regras da HIPAA e os funcionários frequentemente relatam violações da HIPAA e potenciais violações por colegas de trabalho.
O Escritório de Direitos Civis do HHS é o principal aplicador das Regras da HIPAA e investiga reclamações de Violações da HIPAA relatadas por funcionários da área de saúde, pacientes e membros de planos de saúde. OCR também investiga todas as entidades cobertas que relatam violações de mais de 500 registros e conduz investigações sobre certas violações menores. O OCR também realiza auditorias periódicas de entidades cobertas pela HIPAA e associados comerciais.
Os procuradores-gerais do estado também têm o poder de investigar violações e as investigações são frequentemente conduzidas devido a reclamações sobre possíveis violações da HIPAA e quando relatos de violações de registros de pacientes são recebidos.
Quais são as penalidades para violações das regras da HIPAA?
As penalidades para violações das regras da HIPAA podem ser severas. Os procuradores-gerais do estado podem emitir multas de até US $ 25.000 por categoria de violação, por ano civil. O OCR pode emitir multas de até US $ 1,5 milhão por categoria de violação, por ano. Multas de vários milhões de dólares podem ser – e têm sido – emitidas.
Embora provedores de saúde, planos de saúde e parceiros de negócios de entidades cobertas possam ser multados, também há multas potenciais para indivíduos que violarem as regras da HIPAA e penalidades criminais podem ser apropriadas. A pena de prisão por violar HIPAA é uma possibilidade, com algumas violações acarretando uma pena de até 10 anos de prisão.
Você pode descobrir mais sobre as penalidades para violações de HIPAA nesta página.
As recentes penalidades de violação da HIPAA e a estrutura de penalidades da HIPAA são detalhadas no infográfico abaixo.
Penalidades de violação da HIPAA
FAQs
Como você pode saber se uma organização está violando a HIPAA?
As entidades cobertas e associados de negócios são obrigados pela HIPAA a realizar análises de risco regularmente. Convém que as análises de risco identifiquem quaisquer áreas de não conformidade que indiquem que a organização está violando o HIPAA. A falha em conduzir e documentar uma análise de risco é uma violação da própria HIPAA, assim como deixar de abordar os problemas identificados por uma análise de risco.,
Qual é a diferença entre uma avaliação de risco e uma análise de risco?
Embora a maioria das entidades consideraria uma avaliação de risco como uma investigação de possíveis ameaças e uma análise de risco um cálculo da probabilidade de ocorrência dessas ameaças, há uma falta de clareza no HIPAA. Por exemplo, na seção de análise de risco das Salvaguardas Administrativas da Regra de Segurança (45 CFR § 164.308 (a)), a entidade coberta ou associado comercial deve: “Realizar uma avaliação precisa e completa dos riscos e vulnerabilidades potenciais à confidencialidade, integridade e disponibilidade de informações de saúde protegidas eletrônicas mantidas pela entidade coberta ou associado comercial. ”,
Quando riscos e vulnerabilidades potenciais são identificados, o que acontece a seguir?
Também sob 45 CFR § 164.308 ( a), entidades cobertas e associados de negócios são obrigados a implementar medidas de segurança suficientes para reduzir os riscos e vulnerabilidades a um nível razoável e apropriado. A fim de determinar o que constitui um “nível razoável e apropriado”, as organizações devem levar em consideração (por 45 CFR § 164.306 (b)):
- O tamanho, complexidade e recursos da organização
- A infraestrutura técnica, hardware e capacidade de segurança de software da organização es
- O custo de medidas de segurança razoáveis e apropriadas
- A probabilidade e criticidade dos riscos potenciais para a integridade do ePHI ”
O que o “criticidade de riscos potenciais” significa?
O termo criticidade de riscos potenciais se refere à escala de lesão que pode ser causada por uma violação da HIPAA. Por exemplo, um volume de armazenamento em nuvem – contendo os detalhes de pagamento e números do Seguro Social de milhares de pacientes – deixado aberto à Internet pública tem o potencial de causar mais lesões do que duas enfermeiras discutindo as opções de tratamento para o paciente A ao alcance da voz do paciente B.