A HIPAA-szabálysértési ügyek a fokozott végrehajtási erőfeszítések ellenére nagyon gyakoriak. Bár gyakran beszélünk arról, hogyan kerüljük el a HIPAA megsértését, és hogy a HIPAA-nak megfelelő eljárásokat és magatartást kell bevezetni az alkalmazottak körében, fontos tisztában lenni a HIPAA megsértését követő következményekkel. A HIPAA megsértésével kapcsolatos ügyeket általában az Egészségügyi és Emberi Szolgálatok Minisztériumának Polgári Jogi Hivatala (OCR) vizsgálja és üldözi. Ezek a vizsgálatok az alkalmazottak vagy a betegek által benyújtott jogsértési bejelentéseket követően, vagy az OCR-nek bejelentett adatvédelmi incidensek eredményeként merülhetnek fel. Egyes esetekben az állami főügyészek vagy akár az Igazságügyi Minisztérium is lefolytathatja saját vizsgálatát.
Pénzbírságok
Az elmúlt években megnőtt a pénzbírsággal járó HIPAA-szabálysértési ügyek száma. Ezek közül sokan egyezség formájában történtek. 2018. január végéig az Egészségügyi és Emberi Szolgálatok Minisztériumához több mint 173 000 panasz érkezett a HIPAA megsértése miatt. Ezek közül csaknem 170 000 ügyet oldott meg az OCR. Bár csak 53 eset vezetett pénzbírsághoz vagy egyezséghez, szemben a több mint 25 000-rel, amelyeket korrekciós intézkedések vagy technikai segítségnyújtás révén oldottak meg, az egészségügyi szervezetek által kifizetett teljes összeg meghaladja a 75 millió dollárt, vagyis átlagosan körülbelül 1,5 millió dollárt pénzügyi megoldásonként.
Mivel az OCR mindenféle szervezetet vizsgál, az országos láncoktól a magánklinikákig, egy ilyen büntetésnek komoly hatása lehet, vagy akár teljesen be is zárhat egy vállalkozást.
A leggyakoribb problémák
A leggyakrabban bejelentett jogsértések, amelyeket az OCR vizsgál, a következők:
- A védett egészségügyi információk tiltott felhasználása és nyilvánosságra hozatala
- A védett egészségügyi információk védelmének hiánya
- A betegek védett egészségügyi információikhoz való hozzáférésének hiánya;
- A védett elektronikus egészségügyi információk adminisztratív biztosítékainak hiánya
- A minimálisan szükségesnél több védett egészségügyi információ felhasználása vagy közzététele
Újabb jogsértési esetek
Az OCR weboldalán kiemelt közelmúltbeli jogsértések között szerepel, hogy egy megszűnt vállalat csődbiztosának egyezséget kellett fizetnie, egy egészségügyi szolgáltató vállalat milliókat fizetett a jogsértéseket követően, és egyetlen beteg PHI-jének megsértése közel 400 000 dolláros egyezséget eredményezett.
A HIPAA hatálya alá tartozó szervezetek számára orvosi nyilvántartásokat tároló, karbantartó és kézbesítő Filefax vállalatot az OCR vizsgálatával egy időben bezárták. Az eszközök felszámolására csődgondnokot neveztek ki. Az OCR vizsgálata arra a következtetésre jutott, hogy a PHI-t gondatlanul kezelték, mivel azt egy lezáratlan járműben hagyták, illetéktelen személyek szállították, és a Filefax létesítményén kívül nem biztosították. Ezek a vétségek megengedhetetlen nyilvánosságra hozatalnak minősülnek, és 2150 embert érintettek.
Az említett cselekmények miatt, annak ellenére, hogy a vállalat már nem működött, a vállalat csődgondnoka beleegyezett egy 100 000 dolláros kártérítés kifizetésébe, és vállalta, hogy a Filefax létesítményben még meglévő PHI-t a HIPAA-nak megfelelő módon ártalmatlanítja.
A Fresenius Medical Care North America (FMCNA), amely dialízislétesítmények, ambuláns szív- és érsebészeti laboratóriumok, valamint sürgősségi ellátóközpontok hálózatát működteti, beleegyezett, hogy 3,5 millió dolláros egyezséget fizet, miután öt létesítményében jogsértések történtek. Az OCR vizsgálata során megállapították, hogy az FMCNA “nem végzett pontos és alapos kockázatelemzést az összes ePHI bizalmas jellegét, integritását és rendelkezésre állását érintő potenciális kockázatokról és sebezhetőségekről”, és hogy “megengedhetetlenül nyilvánosságra hozták a betegek ePHI-it azáltal, hogy jogosulatlan hozzáférést biztosítottak az adatvédelmi szabály által nem megengedett céllal”.
Az FMCNA-nak a pénzbeli rendezés kifizetése mellett korrekciós intézkedési tervet kell végrehajtania a számos probléma orvoslására. Mind az FMCNA, mind a Filefax megegyezését 2018 februárjában jelentették be, és az összegek hozzáadhatók a fent említett 75 millió dolláros pénzbüntetéshez.
A St. Luke’s-Roosevelt Hospital Center Inc. erőteljes emlékeztetőt kapott a PHI megfelelő továbbításának fontosságára egy olyan jogsértést követően, amely egyetlen személyt érintett. Az OCR megállapította, hogy a St. Luke egyik szervezeti egysége “megengedhetetlen módon faxon továbbította a beteg PHI-jét a munkáltatójának ahelyett, hogy a kért személyes postafiókba küldte volna”. A kiküldött feljegyzések “HIV-státuszra, orvosi ellátásra, szexuális úton terjedő betegségekre, gyógyszerekre, szexuális irányultságra, mentális diagnózisra és fizikai bántalmazásra vonatkozó érzékeny információkat” tartalmaztak. A vizsgálat azt is megállapította, hogy korábban már történt egy kapcsolódó jogsértés, de a kérdéssel nem foglalkozott megfelelően az ilyen tiltott közlések megelőzését célzó megfelelőségi program. A St. Luke’s 387 200 dollárért rendezte az ügyet.
A megfelelés fontossága
Amint e három közelmúltbeli esetből is látható, a HIPAA megsértésének valós következményei vannak az érintett szervezetek és az egyének számára egyaránt. Az olyan egyszerű hibák, mint például a PHI faxolása ahelyett, hogy levélben küldenék el, súlyos következményekkel járhatnak. Nagyobb léptékben a megfelelő eljárások megtervezésének és végrehajtásának elmulasztása az egészségügyi intézmények egész hálózatát és annak betegeit érintheti. Még a PHI megsemmisítését is helyesen kell végezni – a Filefax-ügy a PHI szállítása és egy iratmegsemmisítő és újrahasznosító létesítményben hagyása körül forgott.
A kockázatértékelésnek, a képzésnek és a HIPAA-szabályokkal kapcsolatos tudatosságnak a HIPAA hatálya alá tartozó szervezetek számára kiemelt és visszatérő prioritásnak kell lennie. Ha nem így tesznek, akkor azt kockáztatják, hogy a saját bőrükön tapasztalják meg, amit Roger Severino, az OCR igazgatója a Filefax-ügyet követően kijelentett: Az OCR elkötelezett a HIPAA betartatása mellett. Kövesse ezt a linket a teljes HIPAA-útmutatóért.