I casi di violazione HIPAA sono molto comuni, nonostante i maggiori sforzi di applicazione. Mentre parliamo spesso di come evitare di violare l’HIPAA e della necessità di introdurre procedure e comportamenti conformi all’HIPAA tra i dipendenti, è importante essere consapevoli delle conseguenze che possono seguire le violazioni HIPAA. Generalmente, i casi di violazione dell’HIPAA sono indagati e perseguiti dall’Ufficio dei diritti civili (OCR) del Dipartimento della salute e dei servizi umani. Queste indagini possono sorgere a seguito di segnalazioni di violazioni presentate da dipendenti o pazienti, o come risultato di violazioni di dati segnalate all’OCR. In alcuni casi, i procuratori generali dello stato o anche il Dipartimento di Giustizia possono condurre le proprie indagini.
Penalità finanziarie
Gli ultimi anni hanno visto un aumento del numero di casi di violazione HIPAA che hanno portato a sanzioni monetarie. Molti di questi sono stati sotto forma di accordi. Alla fine di gennaio 2018, il Dipartimento della salute e dei servizi umani aveva ricevuto oltre 173.000 denunce di violazioni HIPAA. Quasi 170.000 di questi casi sono stati risolti dall’OCR. Mentre solo 53 casi hanno portato a multe o insediamenti, al contrario di oltre 25.000 che sono stati risolti attraverso azioni correttive o assistenza tecnica, l’importo totale di denaro che le organizzazioni sanitarie hanno pagato ammonta a oltre 75 milioni di dollari, o una media di circa 1,5 milioni di dollari per risoluzione finanziaria.
Come l’OCR indaga su tutti i tipi di organizzazioni, dalle catene nazionali alle cliniche private, una tale sanzione potrebbe avere un grave impatto o addirittura chiudere completamente un business.
I problemi più comuni
Le violazioni più frequenti su cui l’OCR indaga sono:
- Usi e divulgazioni inammissibili di informazioni sanitarie protette
- Mancanza di salvaguardia di informazioni sanitarie protette
- Mancanza di accesso del paziente alle proprie informazioni sanitarie protette;
- Mancanza di salvaguardie amministrative di informazioni sanitarie protette elettroniche
- Utilizzo o divulgazione di più del minimo necessario di informazioni sanitarie protette
Casi recenti di violazione
Alcune recenti violazioni evidenziate sul sito dell’OCR includono il curatore fallimentare di una società defunta che ha dovuto pagare un accordo, una società di servizi medici che paga milioni a seguito di violazioni, e una violazione delle PHI di un singolo paziente che ha portato a un accordo di quasi 400.000 dollari.
Filefax, un’azienda che archiviava, manteneva e consegnava documenti medici per entità coperte da HIPAA, è stata chiusa nello stesso momento in cui era in corso un’indagine dell’OCR. Un curatore è stato nominato per liquidare i beni. L’indagine dell’OCR ha concluso che la PHI era stata gestita incautamente, essendo stata lasciata in un veicolo non chiuso a chiave, essendo stata trasportata da persone non autorizzate, ed essendo stata lasciata non protetta fuori da una struttura Filefax. Questi reati costituiscono una divulgazione inammissibile e hanno interessato 2.150 persone.
A causa di queste azioni, anche se la società non era più in funzione, il curatore fallimentare della società ha accettato di pagare un risarcimento di 100.000 dollari e si è impegnato a smaltire le informazioni personali che ancora esistono presso la struttura Filefax in modo conforme alla HIPAA.
Fresenius Medical Care North America (FMCNA), che gestisce una rete di strutture di dialisi, laboratori cardiaci e vascolari ambulatoriali, e centri di assistenza urgente, hanno accettato di pagare un accordo di 3,5 milioni di dollari a seguito di violazioni in cinque delle sue strutture. Durante le indagini dell’OCR, si è scoperto che FMCNA “non ha condotto un’accurata e approfondita analisi dei rischi potenziali e delle vulnerabilità alla riservatezza, all’integrità e alla disponibilità di tutte le sue ePHI” e che “ha divulgato in modo inammissibile le ePHI dei pazienti fornendo un accesso non autorizzato per uno scopo non consentito dalla Privacy Rule”.
FMCNA deve attuare un piano di azione correttivo per rimediare ai molti problemi oltre a pagare l’accordo monetario. Entrambi gli insediamenti di FMCNA e Filefax sono stati annunciati nel febbraio 2018 e gli importi possono essere aggiunti ai 75 milioni di dollari di sanzioni monetarie di cui sopra.
St. Luke’s-Roosevelt Hospital Center Inc. ha ricevuto un forte richiamo all’importanza della corretta trasmissione di PHI a seguito di una violazione che ha interessato un singolo individuo. L’OCR ha stabilito che una delle entità di St. Luke aveva “inammissibilmente inviato via fax le PHI del paziente al suo datore di lavoro piuttosto che inviarle alla casella postale personale richiesta”. La documentazione inviata conteneva “informazioni sensibili riguardanti lo stato dell’HIV, le cure mediche, le malattie sessualmente trasmesse, i farmaci, l’orientamento sessuale, la diagnosi di salute mentale e gli abusi fisici”. L’indagine ha anche scoperto che una violazione correlata si era verificata in precedenza, ma il problema non era stato adeguatamente affrontato dal programma di conformità volto a prevenire tali divulgazioni inammissibili. St. Luke’s ha risolto il caso per 387.200 dollari.
L’importanza della conformità
Come si può vedere da questi tre casi recenti, le violazioni HIPAA hanno un impatto reale per le entità coperte così come per gli individui. Semplici errori, come l’invio di PHI via fax invece che per lettera, possono avere conseguenze disastrose. Su una scala più grande, non riuscire a progettare e implementare le procedure corrette può avere un impatto su un’intera rete di strutture sanitarie e i suoi pazienti. Anche lo smaltimento di PHI deve essere fatto correttamente – il caso Filefax ruotava intorno a PHI trasportate e lasciate in una struttura di triturazione e riciclaggio.
Le valutazioni del rischio, la formazione e la consapevolezza delle regole HIPAA devono essere tutte priorità alte e ricorrenti per le entità coperte da HIPAA. In caso contrario, rischiano di scoprire nel modo più duro ciò che il direttore dell’OCR Roger Severino ha dichiarato dopo il caso Filefax: L’OCR si impegna a far rispettare l’HIPAA. Seguite questo link per una guida completa sull’HIPAA.