HIPAA-overtrædelsessager er meget almindelige på trods af en øget håndhævelsesindsats. Selv om vi ofte taler om, hvordan man undgår at overtræde HIPAA og om behovet for at indføre HIPAA-kompatible procedurer og adfærd blandt medarbejderne, er det vigtigt at være opmærksom på de konsekvenser, der kan følge af HIPAA-overtrædelser. Generelt undersøges og forfølges sager om HIPAA-overtrædelser af Office of Civil Rights (OCR) i Department of Health and Human Services. Disse undersøgelser kan opstå efter indberetninger om overtrædelser fra medarbejdere eller patienter eller som følge af databrud, som OCR bliver underrettet om. I nogle tilfælde kan statsadvokater eller endda justitsministeriet foretage deres egne undersøgelser.
Finansielle sanktioner
I de seneste år er der sket en stigning i antallet af HIPAA-overtrædelsessager, der har ført til økonomiske sanktioner. Mange af disse har været i form af forlig. Ved udgangen af januar 2018 havde Department of Health and Human Services modtaget over 173.000 klager over HIPAA-overtrædelser. Næsten 170.000 af disse sager er blevet løst af OCR. Selv om kun 53 sager har resulteret i bøder eller forlig, i modsætning til over 25.000 sager, der blev løst gennem korrigerende foranstaltninger eller teknisk bistand, udgør det samlede beløb, som sundhedsorganisationer har betalt, i alt over 75 millioner dollars, eller et gennemsnit på omkring 1,5 millioner dollars pr. finansiel løsning.
Da OCR undersøger alle slags organisationer, fra nationale kæder til private klinikker, kan en sådan sanktion have en alvorlig indvirkning eller endda helt lukke en virksomhed.
Mest almindelige problemer
De hyppigst rapporterede overtrædelser, som OCR undersøger, er:
- Utilladelig brug og videregivelse af beskyttede sundhedsoplysninger
- Mangel på sikkerhedsforanstaltninger for beskyttede sundhedsoplysninger
- Mangel på patientadgang til deres beskyttede sundhedsoplysninger;
- Mangel på administrative sikkerhedsforanstaltninger for elektroniske beskyttede sundhedsoplysninger
- Brug eller videregivelse af mere end det nødvendige minimum af beskyttede sundhedsoplysninger
Sager om nyere overtrædelser
Nogle af de seneste overtrædelser, der er fremhævet på OCR’s websted, omfatter en konkursbo, der måtte betale et forlig, en virksomhed, der er gået konkurs, der måtte betale millioner efter overtrædelser, og en overtrædelse af en enkelt patients PHI, der førte til et forlig på næsten 400.000 dollars.
Filefax, en virksomhed, der opbevarede, vedligeholdt og leverede medicinske journaler for HIPAA-dækkede enheder, blev lukket ned samtidig med, at en OCR-undersøgelse var i gang. Der blev udpeget en kurator til at afvikle aktiverne. OCR’s undersøgelse konkluderede, at PHI var blevet håndteret skødesløst, idet de var blevet efterladt i et ulåst køretøj, de var blevet transporteret af uautoriserede personer, og de var blevet efterladt usikret uden for et Filefax-anlæg. Disse overtrædelser udgør ulovlige videregivelser og berørte 2 150 personer.
På grund af disse handlinger, selv om virksomheden ikke længere var i drift, har virksomhedens kurator accepteret at betale et forlig på 100 000 USD og har forpligtet sig til at bortskaffe PHI, der stadig findes på Filefax-anlægget, på en HIPAA-kompatibel måde.
Fresenius Medical Care North America (FMCNA), der driver et netværk af dialysefaciliteter, ambulante hjerte- og kardiologiske og vaskulære laboratorier samt akutte behandlingscentre, er gået med til at betale et forlig på 3,5 millioner dollars efter brud på fem af sine faciliteter. Under OCR’s undersøgelse blev det konstateret, at FMCNA “undlod at foretage en nøjagtig og grundig risikoanalyse af potentielle risici og sårbarheder for fortroligheden, integriteten og tilgængeligheden af alle sine ePHI”, og at de “utilladeligt videregav patienternes ePHI ved at give uautoriseret adgang til et formål, der ikke er tilladt i henhold til Privacy Rule”.
FMCNA skal gennemføre en plan for afhjælpende foranstaltninger for at afhjælpe de mange problemer samt betale det monetære forlig. Både FMCNA- og Filefax-forliget blev annonceret i februar 2018, og beløbene kan lægges oveni de 75 millioner dollars i pengebøder, der er nævnt ovenfor.
St. Luke’s-Roosevelt Hospital Center Inc. fik en kraftig påmindelse om vigtigheden af korrekt overførsel af PHI efter et brud, der ramte en enkelt person. OCR fastslog, at en af St. Luke’s-enhederne havde “på utilladelig vis faxet patientens PHI til sin arbejdsgiver i stedet for at sende den til den ønskede personlige postboks”. De sendte journaler indeholdt “følsomme oplysninger om HIV-status, medicinsk behandling, seksuelt overførte sygdomme, medicinering, seksuel orientering, psykisk diagnose og fysisk misbrug”. Undersøgelsen viste også, at der tidligere havde fundet et relateret brud sted, men at problemet ikke var blevet behandlet tilstrækkeligt i det program for overholdelse af reglerne, der havde til formål at forebygge sådanne utilladelige videregivelser. Luke’s indgik forlig i sagen for 387.200 dollars.
Vigtigheden af overholdelse
Som det fremgår af disse tre nylige sager, har HIPAA-overtrædelser reelle konsekvenser for de omfattede enheder såvel som for enkeltpersoner. Simple fejl, som f.eks. at faxe PHI i stedet for at sende den pr. brev, kan have alvorlige konsekvenser. I større skala kan det at undlade at udforme og implementere de korrekte procedurer få konsekvenser for et helt netværk af sundhedsfaciliteter og dets patienter. Selv bortskaffelse af PHI skal gøres korrekt – Filefax-sagen drejede sig om PHI, der blev transporteret og efterladt på et makulerings- og genbrugsanlæg.
Risikovurderinger, uddannelse og bevidsthed om HIPAA-reglerne skal alle være høje og tilbagevendende prioriteter for HIPAA-dækkede enheder. Hvis ikke, risikerer de at finde ud af på den hårde måde, hvad OCR-direktør Roger Severino udtalte efter Filefax-sagen: OCR er fast besluttet på at håndhæve HIPAA. Følg dette link for at få en komplet HIPAA-vejledning.