Przypadki naruszeń HIPAA są bardzo częste, pomimo zwiększonych wysiłków w zakresie egzekwowania prawa. Chociaż często mówimy o tym, jak uniknąć naruszenia HIPAA i o potrzebie wprowadzenia procedur i zachowań zgodnych z HIPAA wśród pracowników, ważne jest, aby zdawać sobie sprawę z konsekwencji, które mogą nastąpić po naruszeniu HIPAA. Generalnie, sprawy dotyczące naruszeń HIPAA są badane i prowadzone przez Biuro Praw Obywatelskich Departamentu Zdrowia i Usług Społecznych (OCR). Dochodzenia te mogą wynikać z doniesień o naruszeniach złożonych przez pracowników lub pacjentów, lub w wyniku naruszenia danych, o którym OCR zostało poinformowane. W niektórych przypadkach prokuratorzy generalni lub nawet Departament Sprawiedliwości mogą prowadzić swoje własne dochodzenia.
Kary finansowe
W ostatnich latach zaobserwowano wzrost liczby przypadków naruszenia HIPAA, które doprowadziły do kar pieniężnych. Wiele z nich miało formę ugody. Na koniec stycznia 2018 roku Departament Zdrowia i Usług Społecznych otrzymał ponad 173 000 skarg dotyczących naruszeń HIPAA. Prawie 170 000 z tych spraw zostało rozwiązanych przez OCR. Podczas gdy tylko 53 sprawy zakończyły się grzywnami lub ugodami, w przeciwieństwie do ponad 25 000, które zostały rozwiązane poprzez działania naprawcze lub pomoc techniczną, łączna kwota pieniędzy wypłaconych przez organizacje opieki zdrowotnej wynosi łącznie ponad 75 milionów dolarów, lub średnio około 1,5 miliona dolarów na rozwiązanie finansowe.
Jako że OCR bada wszystkie sposoby organizacji, od krajowych sieci po prywatne kliniki, taka kara może mieć poważny wpływ lub nawet całkowicie zamknąć firmę.
Najczęstsze problemy
Najczęściej zgłaszanymi naruszeniami, które bada OCR są:
- Niedopuszczalne zastosowania i ujawnienia chronionych informacji zdrowotnych
- Brak zabezpieczeń chronionych informacji zdrowotnych
- Brak dostępu pacjentów do ich chronionych informacji zdrowotnych;
- Brak zabezpieczeń administracyjnych elektronicznych chronionych informacji zdrowotnych
- Użycie lub ujawnienie więcej niż minimum niezbędnych chronionych informacji zdrowotnych
Recent Violation Cases
Niektóre z ostatnich naruszeń podkreślonych na stronie internetowej OCR obejmują syndyka nieistniejącej firmy, który musiał zapłacić ugodę, firmę świadczącą usługi medyczne płacącą miliony po naruszeniach oraz naruszenie PHI jednego pacjenta prowadzące do ugody w wysokości prawie 400 000 USD.
Filefax, firma, która przechowywała, utrzymywała i dostarczała dokumentację medyczną dla podmiotów objętych HIPAA, została zamknięta w tym samym czasie, w którym toczyło się dochodzenie OCR. Syndyk został wyznaczony do likwidacji aktywów. Dochodzenie OCR wykazało, że z PHI obchodzono się niedbale, pozostawiając ją w niezamkniętym pojeździe, transportując przez nieupoważnione osoby i pozostawiając niezabezpieczoną poza placówką Filefax. Te wykroczenia stanowią niedopuszczalne ujawnienia i dotyczyły 2150 osób.
Dzięki tym działaniom, mimo że firma już nie działała, syndyk firmy zgodził się zapłacić 100 000 $ ugody i zobowiązał się do pozbycia się PHI, które nadal istnieje w placówce Filefax w sposób zgodny z HIPAA.
Fresenius Medical Care North America (FMCNA), który prowadzi sieć ośrodków dializ, ambulatoryjnych laboratoriów kardiologicznych i naczyniowych oraz centrów opieki w nagłych przypadkach, zgodził się zapłacić ugodę w wysokości 3,5 miliona dolarów w następstwie naruszeń w pięciu swoich placówkach. Podczas dochodzenia prowadzonego przez OCR stwierdzono, że FMCNA „nie przeprowadziła dokładnej i dogłębnej analizy ryzyka potencjalnych zagrożeń i podatności na poufność, integralność i dostępność wszystkich swoich danych ePHI” oraz że „w niedopuszczalny sposób ujawniła dane ePHI pacjentów poprzez zapewnienie nieautoryzowanego dostępu w celu niedozwolonym przez Regułę Prywatności”.
FMCNA musi wdrożyć plan działań naprawczych w celu rozwiązania wielu problemów, jak również zapłacić ugodę pieniężną. Zarówno ugody FMCNA, jak i Filefax zostały ogłoszone w lutym 2018 r., a kwoty mogą zostać dodane do 75 milionów dolarów kar pieniężnych wymienionych powyżej.
St. Luke’s-Roosevelt Hospital Center Inc. otrzymał silne przypomnienie o znaczeniu prawidłowego przekazywania PHI po naruszeniu, które dotknęło pojedynczą osobę. OCR orzekł, że jeden z podmiotów St. Luke’s „w sposób niedopuszczalny przesłał faksem dane PHI pacjenta do jego pracodawcy, zamiast wysłać je na wymaganą osobistą skrzynkę pocztową”. Przesłane dokumenty zawierały „poufne informacje dotyczące statusu HIV, opieki medycznej, chorób przenoszonych drogą płciową, leków, orientacji seksualnej, diagnozy zdrowia psychicznego i przemocy fizycznej”. Dochodzenie wykazało również, że podobne naruszenie miało miejsce wcześniej, ale kwestia ta nie została odpowiednio uwzględniona w programie zgodności mającym na celu zapobieganie takim niedozwolonym ujawnieniom. St. Luke’s rozstrzygnął sprawę na kwotę $387,200.
Ważność zgodności
Jak widać z tych trzech ostatnich przypadków, naruszenia HIPAA mają rzeczywisty wpływ na podmioty objęte ochroną, jak również na osoby fizyczne. Proste błędy, takie jak faksowanie PHI zamiast wysyłania go listem, mogą mieć tragiczne konsekwencje. Na większą skalę, brak opracowania i wdrożenia prawidłowych procedur może mieć wpływ na całą sieć placówek opieki zdrowotnej i jej pacjentów. Nawet pozbywanie się informacji PHI musi odbywać się prawidłowo – sprawa Filefax dotyczyła przewożenia i pozostawiania informacji PHI w zakładzie niszczenia i recyklingu.
Ocena ryzyka, szkolenia i świadomość zasad HIPAA muszą być wysokimi i powtarzającymi się priorytetami dla podmiotów objętych HIPAA. Jeśli nie, ryzykują, że dowiedzą się w trudny sposób, co dyrektor OCR Roger Severino stwierdził po sprawie Filefax: OCR jest zobowiązane do egzekwowania HIPAA. Kliknij ten link, aby zapoznać się z pełnym przewodnikiem po HIPAA.