HIPAA casos de violação são muito comuns, apesar do aumento dos esforços de aplicação da lei. Embora falemos frequentemente sobre como evitar a violação da HIPAA e a necessidade de introduzir procedimentos e comportamentos compatíveis com a HIPAA entre os funcionários, é importante estar ciente das consequências que podem acompanhar as violações da HIPAA. Geralmente, os casos de violação da HIPAA são investigados e perseguidos pelo Gabinete do Departamento de Saúde e Serviços Humanos ou Direitos Civis (OCR). Estas investigações podem surgir na sequência de denúncias de violações apresentadas por funcionários ou pacientes, ou como resultado de violações de dados terem sido aconselhadas ao OCR. Em alguns casos, os procuradores-gerais estaduais ou mesmo o Departamento de Justiça podem conduzir suas próprias investigações.
Penas financeiras
Nos últimos anos, houve um aumento no número de casos de violação do HIPAA que levaram a penalidades monetárias. Muitos destes têm sido sob a forma de acordos. Até ao final de Janeiro de 2018, o Departamento de Saúde e Serviços Humanos tinha recebido mais de 173.000 queixas de violações da HIPAA. Quase 170.000 destes casos foram resolvidos pelo OCR. Embora apenas 53 casos tenham resultado em multas ou acordos, em oposição a mais de 25.000 que foram resolvidos através de ações corretivas ou assistência técnica, o total de dinheiro que as organizações de saúde pagaram totaliza mais de US$ 75 milhões, ou uma média de cerca de US$ 1,5 milhões por resolução financeira.
Como o OCR investiga todos os tipos de organizações, desde cadeias nacionais a clínicas privadas, tal penalidade poderia ter um sério impacto ou mesmo fechar completamente um negócio.
Problemas mais comuns
As violações mais frequentemente relatadas são investigadas pelo OCR:
- Usos permitidos e divulgação de informações de saúde protegidas
- falta de salvaguardas de informações de saúde protegidas
- falta de acesso do paciente às suas informações de saúde protegidas;
- Falta de salvaguardas administrativas de informação de saúde protegida electronicamente
- Uso ou divulgação de mais do que o mínimo necessário de informação de saúde protegida
Casos de Violação Recente
Algumas violações recentes destacadas no site do OCR incluem um receptor defunto da empresa que tem de pagar um acordo, uma empresa de serviços médicos que paga milhões na sequência de violações, e uma violação de um único paciente do PHI que leva a um acordo de quase $400.000.
Filefax, uma empresa que armazenou, manteve e entregou registros médicos para entidades cobertas pelo HIPAA, foi fechada ao mesmo tempo em que uma investigação de OCR estava em andamento. Foi nomeado um liquidatário para liquidar os ativos. A investigação do OCR concluiu que os PHI tinham sido tratados descuidadamente, tendo sido deixados num veículo destrancado, tendo sido transportados por indivíduos não autorizados, e tendo sido deixados sem segurança fora de uma instalação Filefax. Essas ofensas constituem revelações inadmissíveis e afetaram 2.150 pessoas.
Devido a essas ações, mesmo que a empresa não estivesse mais em operação, o receptor da empresa concordou em pagar um acordo de $100.000 e se comprometeu a dispor das PHI que ainda existem nas instalações do Filefax de uma maneira compatível com a HIPAA.
Fresenius Medical Care North America (FMCNA), que administra uma rede de instalações de diálise, laboratórios ambulatoriais cardíacos e vasculares e centros de atendimento de urgência, concordaram em pagar um acordo de $3,5 milhões de dólares, após falhas em cinco de suas instalações. Durante a investigação do OCR, descobriu-se que a FMCNA “não realizou uma análise de risco precisa e completa dos riscos e vulnerabilidades potenciais à confidencialidade, integridade e disponibilidade de toda a sua IHP” e que “divulgou impermissivelmente a IHP dos pacientes, fornecendo acesso não autorizado para um propósito não permitido pela Regra de Privacidade”.
FMCNA deve implementar um plano de ação corretiva para remediar os muitos problemas, bem como pagar o acordo monetário. Tanto o acordo FMCNA como Filefax foram anunciados em fevereiro de 2018 e os valores podem ser adicionados aos $75 milhões em penalidades monetárias mencionadas acima.
St. Luke’s-Roosevelt Hospital Center Inc. recebeu um forte lembrete da importância de transmitir corretamente os PHI após uma violação que afetou um único indivíduo. O OCR decidiu que uma das entidades de St. Luke’s-Roosevelt tinha “mandado impermissivelmente por fax os DCC do paciente ao seu empregador em vez de os enviar para a caixa postal pessoal solicitada”. Os registos enviados continham “informação sensível relativa ao estado do HIV, cuidados médicos, doenças sexualmente transmissíveis, medicamentos, orientação sexual, diagnóstico de saúde mental, e abuso físico”. A investigação também descobriu que uma violação relacionada tinha ocorrido anteriormente, mas a questão não tinha sido adequadamente abordada pelo programa de cumprimento destinado a evitar tais revelações inadmissíveis. St. Luke’s resolveu o caso por $387.200,
A Importância da Conformidade
Como se pode ver a partir desses três casos recentes, as violações do HIPAA têm impactos reais tanto para entidades cobertas quanto para indivíduos. Erros simples, tais como enviar DCC por fax em vez de o enviar por carta, podem ter consequências terríveis. Em maior escala, a falha na concepção e implementação dos procedimentos correctos pode ter impacto em toda uma rede de estabelecimentos de saúde e nos seus pacientes. Mesmo a eliminação dos DCC deve ser feita correctamente – o caso Filefax girava em torno dos DCC transportados e deixados numa instalação de retalhamento e reciclagem.
As avaliações de risco, treino, e conhecimento das Regras HIPAA devem ser prioridades altas e recorrentes para as entidades abrangidas pela HIPAA. Caso contrário, arriscam-se a descobrir da maneira mais difícil o que o Diretor de OCR Roger Severino declarou após o caso Filefax: O OCR está empenhado em fazer cumprir as Regras HIPAA. Siga este link para um guia HIPAA completo.