Gevallen van HIPAA-overtreding komen zeer vaak voor, ondanks de toegenomen inspanningen op het gebied van handhaving. Hoewel we het vaak hebben over hoe u overtredingen van de HIPAA kunt voorkomen en over de noodzaak om HIPAA-conforme procedures en gedrag onder werknemers in te voeren, is het belangrijk dat u zich bewust bent van de gevolgen die kunnen volgen op overtredingen van de HIPAA. Over het algemeen worden gevallen van schending van de HIPAA onderzocht en vervolgd door het Office of Civil Rights (OCR) van het Department of Health and Human Services. Deze onderzoeken kunnen ontstaan na meldingen van schendingen door werknemers of patiënten, of als gevolg van datalekken die aan het OCR zijn gemeld. In sommige gevallen kunnen procureurs-generaal van staten of zelfs het ministerie van Justitie hun eigen onderzoeken uitvoeren.
Financiële sancties
De afgelopen jaren is het aantal gevallen van HIPAA-overtredingen dat tot geldboetes heeft geleid, toegenomen. Veel daarvan zijn in de vorm van schikkingen. Vanaf eind januari 2018 had het ministerie van Volksgezondheid en Human Services meer dan 173.000 klachten over HIPAA-overtredingen ontvangen. Bijna 170.000 van deze gevallen zijn door het OCR opgelost. Hoewel slechts 53 gevallen hebben geresulteerd in boetes of schikkingen, in tegenstelling tot meer dan 25.000 die werden opgelost door middel van corrigerende maatregelen of technische bijstand, bedraagt het totale geldbedrag dat zorgorganisaties hebben betaald in totaal meer dan $ 75 miljoen, of een gemiddelde van ongeveer $ 1,5 miljoen per financiële resolutie.
Aangezien het OCR allerlei organisaties onderzoekt, van nationale ketens tot privéklinieken, kan zo’n boete een ernstige impact hebben of zelfs een bedrijf volledig sluiten.
Meest voorkomende kwesties
De meest gemelde overtredingen die OCR onderzoekt zijn:
- Ontoelaatbaar gebruik en onthulling van beschermde gezondheidsinformatie
- Tekort aan waarborgen van beschermde gezondheidsinformatie
- Tekort aan toegang van patiënten tot hun beschermde gezondheidsinformatie;
- Tekort aan administratieve waarborgen van elektronische beschermde gezondheidsinformatie
- Gebruik of openbaarmaking van meer dan de minimaal noodzakelijke beschermde gezondheidsinformatie
Recente schendingen
Enkele recente schendingen die op de OCR-website worden belicht, zijn onder meer de curator van een ter ziele gegaan bedrijf die een schikking moet betalen, een bedrijf voor medische diensten dat miljoenen betaalt na schendingen, en een schending van de PHI van één enkele patiënt die leidde tot een schikking van bijna $ 400.000.
Filefax, een bedrijf dat medische dossiers voor onder de HIPAA vallende entiteiten opsloeg, bijhield en afleverde, werd gesloten op hetzelfde moment dat een OCR-onderzoek gaande was. Er werd een curator aangesteld om de activa te liquideren. Uit het onderzoek van het OCR bleek dat er onzorgvuldig met PHI was omgesprongen doordat deze in een niet afgesloten voertuig waren achtergelaten, door onbevoegden waren vervoerd en onbeveiligd buiten een Filefax-vestiging waren achtergelaten. Deze overtredingen vormen ontoelaatbare openbaarmakingen en troffen 2.150 mensen.
Door deze acties, hoewel het bedrijf niet langer actief was, heeft de curator van het bedrijf ermee ingestemd een schikking van $ 100.000 te betalen en heeft hij toegezegd PHI die nog in de Filefax-faciliteit aanwezig is, op een HIPAA-conforme manier te verwijderen.
Fresenius Medical Care North America (FMCNA), dat een netwerk van dialysefaciliteiten, poliklinische hart- en vasculaire laboratoria en centra voor spoedeisende zorg exploiteert, heeft ingestemd met een schikking van 3,5 miljoen dollar na inbreuken in vijf van zijn faciliteiten. Tijdens een onderzoek door het OCR werd vastgesteld dat FMCNA “geen nauwkeurige en grondige risicoanalyse heeft uitgevoerd van de potentiële risico’s en kwetsbaarheden voor de vertrouwelijkheid, integriteit en beschikbaarheid van al haar ePHI” en dat zij “op ontoelaatbare wijze ePHI van patiënten openbaar hebben gemaakt door ongeautoriseerde toegang te verlenen voor een doel dat niet is toegestaan door de Privacy Rule”.
FMCNA moet een correctief actieplan implementeren om de vele problemen te verhelpen, evenals het betalen van de geldelijke schikking. Zowel de FMCNA- als Filefax-schikkingen werden in februari 2018 aangekondigd en de bedragen kunnen worden opgeteld bij de hierboven genoemde $ 75 miljoen aan geldboetes.
St. Luke’s-Roosevelt Hospital Center Inc. kreeg een sterke herinnering aan het belang van het correct doorgeven van PHI na een inbreuk die een enkele persoon trof. Het OCR oordeelde dat een van St. Luke’s entiteiten “ontoelaatbaar de PHI van de patiënt naar zijn werkgever had gefaxt in plaats van deze naar de gevraagde persoonlijke postbus te sturen”. De verstuurde gegevens bevatten “gevoelige informatie over de HIV-status, medische zorg, seksueel overdraagbare aandoeningen, medicatie, seksuele geaardheid, diagnose van de geestelijke gezondheid en fysieke mishandeling”. Uit het onderzoek bleek ook dat er al eerder een verwante inbreuk had plaatsgevonden, maar dat de kwestie niet adequaat was aangepakt door het nalevingsprogramma dat dergelijke ontoelaatbare openbaarmakingen moest voorkomen. St. Luke’s schikte de zaak voor $ 387.200.
Het belang van compliance
Zoals uit deze drie recente zaken blijkt, hebben HIPAA-overtredingen reële gevolgen voor zowel de betrokken entiteiten als voor individuen. Eenvoudige fouten, zoals het faxen van PHI in plaats van het per brief te verzenden, kunnen ernstige gevolgen hebben. Op grotere schaal kan het nalaten om de juiste procedures te ontwerpen en toe te passen gevolgen hebben voor een heel netwerk van zorginstellingen en de patiënten. Zelfs het weggooien van PHI moet correct gebeuren – de Filefax-zaak draaide om PHI die werd vervoerd en achtergelaten bij een versnipperings- en recyclingbedrijf.
Risicobeoordelingen, opleiding en bewustzijn van de HIPAA-regels moeten allemaal hoge en terugkerende prioriteiten zijn voor de HIPAA-gedekte entiteiten. Zo niet, dan lopen zij het risico hardhandig te moeten ondervinden wat OCR-directeur Roger Severino na de Filefax-zaak verklaarde: OCR is vastbesloten de HIPAA te handhaven. Volg deze link voor een volledige HIPAA-gids.