Případy porušení HIPAA jsou velmi časté, a to i přes zvýšené úsilí o jejich prosazování. Přestože často hovoříme o tom, jak se vyhnout porušení zákona HIPAA, a o potřebě zavést mezi zaměstnanci postupy a chování v souladu se zákonem HIPAA, je důležité si uvědomit důsledky, které mohou následovat po porušení zákona HIPAA. Obecně platí, že případy porušení HIPAA vyšetřuje a stíhá Úřad pro občanská práva (OCR) ministerstva zdravotnictví a sociálních služeb. Tato vyšetřování mohou vzniknout na základě oznámení o porušení předpisů podaných zaměstnanci nebo pacienty nebo v důsledku narušení bezpečnosti údajů, na které je OCR upozorněn. V některých případech mohou svá vlastní vyšetřování vést státní zastupitelství nebo dokonce ministerstvo spravedlnosti.
Finanční sankce
V posledních letech se zvýšil počet případů porušení zákona HIPAA, které vedly k peněžitým sankcím. Mnohé z nich měly formu narovnání. Ke konci ledna 2018 obdrželo ministerstvo zdravotnictví a sociálních služeb více než 173 000 stížností na porušení zákona HIPAA. Téměř 170 000 z těchto případů OCR vyřešilo. Ačkoli pouze 53 případů vyústilo v pokuty nebo narovnání, na rozdíl od více než 25 000 případů, které byly vyřešeny prostřednictvím nápravných opatření nebo technické pomoci, celková částka, kterou zdravotnické organizace vyplatily, činí více než 75 milionů dolarů, což je v průměru přibližně 1,5 milionu dolarů na jedno finanční řešení.
Vzhledem k tomu, že OCR vyšetřuje nejrůznější organizace, od celostátních řetězců až po soukromé kliniky, může mít taková pokuta vážný dopad nebo dokonce vést k úplnému uzavření podniku.
Nejčastější problémy
Nejčastěji hlášená porušení, která OCR vyšetřuje, jsou následující:
- Přípustné použití a zpřístupnění chráněných zdravotních informací
- Nedostatečné zabezpečení chráněných zdravotních informací
- Nedostatečný přístup pacientů k jejich chráněným zdravotním informacím;
- Nedostatek administrativních záruk elektronických chráněných zdravotních informací
- Použití nebo zpřístupnění více než nezbytného minima chráněných zdravotních informací
Případy porušení z poslední doby
Některá nedávná porušení zdůrazněná na webových stránkách OCR zahrnují nuceného správce zaniklé společnosti, který musel zaplatit vyrovnání, společnost poskytující zdravotnické služby, která zaplatila miliony po porušení předpisů, a porušení PHI jednoho pacienta, které vedlo k vyrovnání ve výši téměř 400 000 USD.
Filefax, společnost, která uchovávala, udržovala a dodávala zdravotnické záznamy pro subjekty, na které se vztahuje HIPAA, byla uzavřena ve stejné době, kdy probíhalo šetření OCR. K likvidaci majetku byl jmenován nucený správce. Šetření OCR dospělo k závěru, že s PHI bylo nakládáno nedbale, neboť byly ponechány v neuzamčeném vozidle, byly přepravovány neoprávněnými osobami a byly ponechány nezabezpečené mimo zařízení společnosti Filefax. Tyto přestupky představují nepřípustné zpřístupnění a týkaly se 2 150 osob.
Vzhledem k těmto činům, přestože společnost již nebyla v provozu, souhlasil správce konkurzní podstaty společnosti se zaplacením vyrovnání ve výši 100 000 USD a zavázal se zlikvidovat PHI, které stále existují v zařízení společnosti Filefax, způsobem odpovídajícím HIPAA.
Fresenius Medical Care North America (FMCNA), která provozuje síť dialyzačních zařízení, ambulantních kardiologických a cévních laboratoří a center urgentní péče, souhlasila se zaplacením vyrovnání ve výši 3,5 milionu dolarů v důsledku porušení ochrany osobních údajů v pěti svých zařízeních. Během šetření úřadu OCR bylo zjištěno, že společnost FMCNA „neprovedla přesnou a důkladnou analýzu rizik potenciálních rizik a slabých míst pro důvěrnost, integritu a dostupnost všech svých ePHI“ a že „nepřípustně zveřejnila ePHI pacientů tím, že poskytla neoprávněný přístup za účelem, který není povolen pravidly ochrany osobních údajů“.
FMCNA musí zavést plán nápravných opatření k nápravě mnoha problémů a také zaplatit finanční vyrovnání. Vyrovnání společností FMCNA i Filefax byla oznámena v únoru 2018 a částky lze přičíst k výše uvedeným peněžitým pokutám ve výši 75 milionů dolarů.
St. Luke’s-Roosevelt Hospital Center Inc. dostala důrazné upozornění na důležitost správného předávání PHI po narušení, které se týkalo jediné osoby. Úřad OCR rozhodl, že jeden ze subjektů společnosti St Luke „nepřípustně odfaxoval PHI pacienta jeho zaměstnavateli, místo aby je zaslal do požadované osobní poštovní schránky“. Zaslané záznamy obsahovaly „citlivé informace týkající se HIV statusu, lékařské péče, sexuálně přenosných chorob, léků, sexuální orientace, diagnózy duševního zdraví a fyzického zneužívání“. Šetřením bylo rovněž zjištěno, že k souvisejícímu porušení došlo již dříve, ale tento problém nebyl dostatečně řešen v rámci programu compliance zaměřeného na prevenci takového nepřípustného zveřejňování. Společnost St. Luke’s případ urovnala za 387 200 USD.
Důležitost dodržování předpisů
Jak je patrné z těchto tří nedávných případů, porušení zákona HIPAA má reálné dopady jak na subjekty, na které se vztahuje, tak na jednotlivce. Jednoduché chyby, jako je zaslání PHI faxem místo dopisem, mohou mít fatální následky. Ve větším měřítku může mít selhání při navrhování a provádění správných postupů dopad na celou síť zdravotnických zařízení a jejich pacienty. Dokonce i likvidace PHI musí být prováděna správně – případ Filefax se týkal přepravy a ponechání PHI ve skartovacím a recyklačním zařízení.
Posouzení rizik, školení a povědomí o pravidlech HIPAA musí být pro subjekty, na které se vztahuje HIPAA, vysokou a opakovanou prioritou. Pokud tak neučiní, riskují, že zjistí to, co po případu Filefax prohlásil ředitel OCR Roger Severino: OCR je odhodlán prosazovat HIPAA. Úplného průvodce HIPAA naleznete na tomto odkazu.