HIPAA-rikkomustapaukset ovat hyvin yleisiä lisääntyneistä täytäntöönpanotoimista huolimatta. Vaikka puhumme usein siitä, miten HIPAA:n rikkomista voidaan välttää ja kuinka tärkeää on ottaa käyttöön HIPAA:n mukaisia menettelyjä ja käyttäytymistä työntekijöiden keskuudessa, on tärkeää olla tietoinen seurauksista, joita HIPAA:n rikkomisesta voi seurata. Yleisesti ottaen HIPAA:n rikkomustapauksia tutkii ja ajaa eteenpäin terveys- ja henkilöstöhallinnon ministeriön kansalaisoikeusvirasto (OCR). Nämä tutkimukset voivat olla seurausta työntekijöiden tai potilaiden tekemistä rikkomusilmoituksista tai OCR:lle ilmoitetuista tietomurroista. Joissakin tapauksissa osavaltioiden yleiset syyttäjät tai jopa oikeusministeriö voivat suorittaa omia tutkimuksiaan.
Rahamääräiset seuraamukset
Viime vuosina on lisääntynyt niiden HIPAA-rikkomustapausten määrä, jotka ovat johtaneet rahamääräisiin seuraamuksiin. Monet näistä ovat olleet sovintojen muodossa. Tammikuun 2018 loppuun mennessä terveysministeriö oli vastaanottanut yli 173 000 valitusta HIPAA-rikkomuksista. Lähes 170 000 näistä tapauksista OCR on ratkaissut. Vaikka vain 53 tapausta on johtanut sakkoihin tai sovintoratkaisuihin, kun taas yli 25 000 tapausta on ratkaistu korjaavien toimien tai teknisen avun avulla, terveydenhuollon organisaatioiden maksamien rahojen kokonaismäärä on yhteensä yli 75 miljoonaa dollaria eli keskimäärin noin 1,5 miljoonaa dollaria taloudellista ratkaisua kohden.
Koska OCR tutkii kaikenlaisia organisaatioita kansallisista ketjuista yksityisiin klinikoihin, tällaisella rangaistuksella voi olla vakavia seurauksia tai se voi jopa sulkea yrityksen kokonaan.
Yleisimmät ongelmat
OCR:n tutkimat yleisimmät ilmoitetut rikkomukset ovat:
- Suojattujen terveystietojen kielletyt käyttötarkoitukset ja luovutukset
- Suojattujen terveystietojen suojatoimien laiminlyönti
- Potilaiden pääsyn estäminen suojattuihin terveystietoihinsa;
- Suojattujen sähköisten terveystietojen hallinnollisten suojatoimien laiminlyönti
- Suojattujen terveystietojen käyttö tai luovuttaminen yli välttämättömän vähimmäismäärän
Viimeaikaiset rikkomustapaukset
OCR:n verkkosivustolla esiin nostettuja viimeaikaisia rikkomustapauksia ovat muun muassa se, että erään lakkautetun yrityksen konkurssipesän pesänselvittäjän oli maksettava sovinto, että eräs lääketieteellisiä palveluja tarjoava yritys maksoi miljoonia tietoturvaloukkausten seurauksena ja että yhden potilaan PHI-tietojen tietoturvaloukkaus johti melkein 400 000 Yhdysvaltain dollarin suuruiseen sovintoon.
Filefax, yritys, joka säilytti, ylläpiti ja toimitti potilastietoja HIPAA:n piiriin kuuluville yksiköille, suljettiin samaan aikaan, kun OCR:n tutkimus oli käynnissä. Varojen realisointia varten nimitettiin pesänhoitaja. OCR:n tutkimuksessa todettiin, että PHI-tietoja oli käsitelty huolimattomasti, koska ne oli jätetty lukitsemattomaan ajoneuvoon, luvattomat henkilöt olivat kuljettaneet niitä ja ne oli jätetty suojaamatta Filefaxin tilojen ulkopuolelle. Nämä rikkomukset merkitsevät kiellettyä tietojen luovuttamista, ja ne koskivat 2150 ihmistä.
Näiden tekojen vuoksi, vaikka yritys ei ollut enää toiminnassa, yrityksen konkurssipesän pesänhoitaja suostui maksamaan 100 000 dollarin korvauksen ja sitoutui hävittämään Filefaxin laitoksessa edelleen olevat PHI-tiedot HIPAA:n mukaisella tavalla.
Fresenius Medical Care North America (FMCNA), joka ylläpitää dialyysilaitosten, sydän- ja verisuonilaboratorioiden sekä kiireellisen hoidon keskusten verkostoa, on suostunut maksamaan 3,5 miljoonan dollarin korvauksen viidessä laitoksessaan tapahtuneiden tietoturvaloukkausten jälkeen. OCR:n tutkimuksissa todettiin, että FMCNA ”ei suorittanut tarkkaa ja perusteellista riskianalyysiä kaikkien sähköisten tietojensa luottamuksellisuuteen, eheyteen ja saatavuuteen kohdistuvista mahdollisista riskeistä ja haavoittuvuuksista” ja että he ”luovuttivat luvattomasti potilaiden sähköisiä tietoja tarjoamalla luvatonta pääsyä tarkoitukseen, jota yksityisyydensuojasääntö ei salli.”
FMCNA:n on toteutettava korjaussuunnitelma monien ongelmien korjaamiseksi sekä maksettava rahamääräinen korvaus. Sekä FMCNA:n että Filefaxin sovinnoista ilmoitettiin helmikuussa 2018, ja summat voidaan lisätä edellä mainittuihin 75 miljoonan dollarin rahamääräisiin rangaistuksiin.
St. Luke’s-Roosevelt Hospital Center Inc. sai vahvan muistutuksen PHI-tietojen asianmukaisen välittämisen tärkeydestä sen jälkeen, kun tietoturvaloukkaus koski yhtä henkilöä. OCR totesi, että yksi St. Luken yksiköistä oli ”luvattomasti faksannut potilaan PHI-tiedot työnantajalleen sen sijaan, että olisi lähettänyt ne pyydettyyn henkilökohtaiseen postilokeroon”. Lähetetyt tiedot sisälsivät ”arkaluonteisia tietoja HIV-statuksesta, sairaanhoidosta, sukupuolitaudeista, lääkkeistä, seksuaalisesta suuntautumisesta, mielenterveysdiagnoosista ja fyysisestä väkivallasta”. Tutkimuksessa todettiin myös, että asiaan liittyvä tietoturvaloukkaus oli tapahtunut aiemmin, mutta asiaa ei ollut käsitelty asianmukaisesti vaatimustenmukaisuusohjelmassa, jonka tarkoituksena oli estää tällaiset luvattomat luovutukset. St. Luke’s sopi tapauksen 387 200 dollarilla.
Säännösten noudattamisen tärkeys
Kuten näistä kolmesta viimeaikaisesta tapauksesta käy ilmi, HIPAA-tietosuojarikkomuksilla on todellisia vaikutuksia sekä suojattuihin yksiköihin että yksilöihin. Yksinkertaisilla virheillä, kuten PHI-tietojen faksaamisella sen sijaan, että ne olisi lähetetty kirjeitse, voi olla vakavia seurauksia. Laajemmassa mittakaavassa oikeiden menettelyjen suunnittelun ja täytäntöönpanon laiminlyönti voi vaikuttaa koko terveydenhuoltolaitosten verkostoon ja sen potilaisiin. Jopa PHI-tietojen hävittäminen on tehtävä oikein – Filefax-tapauksessa oli kyse PHI-tietojen kuljettamisesta ja jättämisestä silppuri- ja kierrätyslaitokseen.
Riskinarviointien, koulutuksen ja HIPAA-sääntöjen tuntemuksen on oltava HIPAA:n piiriin kuuluville yksiköille tärkeitä ja toistuvia prioriteetteja. Jos näin ei tapahdu, ne ovat vaarassa huomata kantapään kautta sen, mitä OCR:n johtaja Roger Severino totesi Filefaxin tapauksen jälkeen: OCR on sitoutunut valvomaan HIPAA:n noudattamista. Täydellinen HIPAA-opas löytyy tästä linkistä.