HIPAA-Verstöße sind trotz verstärkter Durchsetzungsbemühungen sehr häufig. Während wir oft darüber sprechen, wie man Verstöße gegen den HIPAA vermeiden kann und wie wichtig es ist, HIPAA-konforme Verfahren und Verhaltensweisen bei den Mitarbeitern einzuführen, ist es wichtig, sich der Konsequenzen bewusst zu sein, die auf HIPAA-Verstöße folgen können. Im Allgemeinen werden Fälle von HIPAA-Verstößen vom Office of Civil Rights (OCR) des Department of Health and Human Services untersucht und verfolgt. Diese Untersuchungen können aufgrund von Berichten von Mitarbeitern oder Patienten über Verstöße oder aufgrund von Datenschutzverletzungen, die der OCR gemeldet wurden, eingeleitet werden. In einigen Fällen führen die Generalstaatsanwälte der Bundesstaaten oder sogar das Justizministerium eigene Untersuchungen durch.
Geldstrafen
In den letzten Jahren ist die Zahl der Fälle von HIPAA-Verstößen, die zu Geldstrafen geführt haben, gestiegen. Viele davon erfolgten in Form von Vergleichen. Bis Ende Januar 2018 gingen beim Department of Health and Human Services über 173.000 Beschwerden über HIPAA-Verstöße ein. Fast 170.000 dieser Fälle wurden von der OCR beigelegt. Während nur 53 Fälle zu Geldstrafen oder Vergleichen geführt haben, im Gegensatz zu über 25.000 Fällen, die durch Korrekturmaßnahmen oder technische Unterstützung gelöst wurden, beläuft sich der Gesamtbetrag der von Gesundheitsorganisationen gezahlten Gelder auf über 75 Millionen US-Dollar, was einem Durchschnitt von etwa 1,5 Millionen US-Dollar pro finanzieller Lösung entspricht.
Da das OCR alle Arten von Organisationen untersucht, von nationalen Ketten bis hin zu Privatkliniken, könnte eine solche Strafe schwerwiegende Auswirkungen haben oder sogar ein Unternehmen vollständig schließen.
Häufigste Probleme
Die am häufigsten gemeldeten Verstöße, die OCR untersucht, sind:
- Unzulässige Verwendung und Weitergabe geschützter Gesundheitsdaten
- Mangelnde Schutzmaßnahmen für geschützte Gesundheitsdaten
- Mangelnder Zugang der Patienten zu ihren geschützten Gesundheitsdaten;
- Mangel an administrativen Sicherheitsvorkehrungen für elektronische geschützte Gesundheitsinformationen
- Nutzung oder Weitergabe von mehr als den minimal erforderlichen geschützten Gesundheitsinformationen
Rezente Verstöße
Zu den jüngsten Verstößen, die auf der OCR-Website hervorgehoben werden, gehören die Zahlung eines Vergleichs durch den Konkursverwalter eines nicht mehr existierenden Unternehmens, die Zahlung von Millionenbeträgen durch ein medizinisches Dienstleistungsunternehmen nach Verstößen und ein Verstoß gegen die Datenschutzbestimmungen eines einzelnen Patienten, der zu einem Vergleich in Höhe von fast 400.000 US-Dollar führte.
Filefax, ein Unternehmen, das medizinische Unterlagen für HIPAA-pflichtige Einrichtungen aufbewahrte, pflegte und auslieferte, wurde zur gleichen Zeit geschlossen, als eine OCR-Untersuchung im Gange war. Es wurde ein Konkursverwalter eingesetzt, um die Vermögenswerte zu liquidieren. Die Untersuchung der OCR ergab, dass PHI nachlässig gehandhabt wurden, indem sie in einem unverschlossenen Fahrzeug zurückgelassen, von unbefugten Personen transportiert und ungesichert außerhalb einer Filefax-Einrichtung aufbewahrt wurden. Diese Verstöße stellen unzulässige Offenlegungen dar und betrafen 2.150 Personen.
Aufgrund dieser Handlungen hat sich der Konkursverwalter des Unternehmens, obwohl das Unternehmen nicht mehr in Betrieb war, zur Zahlung einer Entschädigung in Höhe von 100.000 Dollar bereit erklärt und sich verpflichtet, die in der Filefax-Einrichtung noch vorhandenen PHI auf eine HIPAA-konforme Weise zu entsorgen.
Fresenius Medical Care North America (FMCNA), ein Betreiber eines Netzes von Dialyseeinrichtungen, ambulanten Herz- und Gefäßlabors und Notfallzentren, hat sich nach Datenschutzverletzungen in fünf seiner Einrichtungen zur Zahlung eines Vergleichs in Höhe von 3,5 Millionen Dollar bereit erklärt. Bei der Untersuchung durch die OCR wurde festgestellt, dass FMCNA „es versäumt hat, eine genaue und gründliche Risikoanalyse potenzieller Risiken und Schwachstellen für die Vertraulichkeit, Integrität und Verfügbarkeit aller seiner ePHI durchzuführen“ und dass sie „unzulässigerweise die ePHI von Patienten offengelegt haben, indem sie unbefugten Zugang zu einem Zweck gewährten, der nach der Datenschutzrichtlinie nicht zulässig ist“.
FMCNA muss neben der Zahlung des Geldbetrags auch einen Plan zur Behebung der zahlreichen Probleme umsetzen. Sowohl die FMCNA- als auch die Filefax-Vergleiche wurden im Februar 2018 bekannt gegeben, und die Beträge können zu den oben erwähnten Geldstrafen in Höhe von 75 Millionen US-Dollar hinzukommen.
St. Luke’s-Roosevelt Hospital Center Inc. wurde nach einem Verstoß, der eine einzelne Person betraf, eindringlich daran erinnert, wie wichtig die korrekte Übermittlung von PHI ist. Die OCR entschied, dass eine der Einrichtungen von St. Luke’s „unzulässigerweise die PHI des Patienten an seinen Arbeitgeber gefaxt hatte, anstatt sie an das angeforderte persönliche Postfach zu senden“. Die übermittelten Unterlagen enthielten „sensible Informationen über den HIV-Status, die medizinische Versorgung, sexuell übertragbare Krankheiten, Medikamente, die sexuelle Orientierung, psychische Diagnosen und körperliche Misshandlungen“. Die Untersuchung ergab außerdem, dass es bereits früher zu einem ähnlichen Verstoß gekommen war, der jedoch nicht angemessen durch das Compliance-Programm zur Verhinderung solcher unzulässigen Offenlegungen behandelt worden war. St. Luke’s hat den Fall gegen eine Zahlung von 387.200 Dollar beigelegt.
Die Bedeutung der Einhaltung der Vorschriften
Wie aus diesen drei aktuellen Fällen hervorgeht, haben Verstöße gegen den HIPAA sowohl für die betroffenen Einrichtungen als auch für Einzelpersonen reale Auswirkungen. Einfache Fehler, wie z. B. die Übermittlung von PHI per Fax statt per Brief, können schwerwiegende Folgen haben. In größerem Maßstab kann das Versäumnis, die richtigen Verfahren zu entwickeln und umzusetzen, Auswirkungen auf ein ganzes Netz von Gesundheitseinrichtungen und deren Patienten haben. Sogar die Entsorgung von PHI muss korrekt erfolgen – im Fall Filefax ging es um PHI, die in einer Schredder- und Recycling-Anlage transportiert und dort zurückgelassen wurden.
Risikobewertungen, Schulungen und das Bewusstsein für die HIPAA-Regeln müssen für die vom HIPAA erfassten Einrichtungen hohe und wiederkehrende Prioritäten sein. Andernfalls riskieren sie, auf die harte Tour zu erfahren, was OCR-Direktor Roger Severino nach dem Filefax-Fall erklärte: OCR ist entschlossen, den HIPAA durchzusetzen. Folgen Sie diesem Link für einen vollständigen HIPAA-Leitfaden.