Cazurile de încălcare a HIPAA sunt foarte frecvente, în ciuda eforturilor sporite de aplicare a legii. Deși vorbim adesea despre cum să evităm încălcarea HIPAA și despre necesitatea de a introduce proceduri și comportamente conforme cu HIPAA în rândul angajaților, este important să fim conștienți de consecințele care pot urma încălcărilor HIPAA. În general, cazurile de încălcare a HIPAA sunt investigate și urmărite de către Biroul pentru drepturi civile (OCR) al Departamentului pentru Sănătate și Servicii Umane. Aceste investigații pot apărea ca urmare a rapoartelor de încălcare depuse de angajați sau pacienți sau ca urmare a încălcărilor de date care sunt comunicate OCR. În unele cazuri, procurorii generali ai statelor sau chiar Departamentul de Justiție pot efectua propriile investigații.
Sancțiuni financiare
În ultimii ani, s-a înregistrat o creștere a numărului de cazuri de încălcare a HIPAA care au dus la sancțiuni pecuniare. Multe dintre acestea au fost sub forma unor înțelegeri. Până la sfârșitul lunii ianuarie 2018, Departamentul de Sănătate și Servicii Umane a primit peste 173 000 de plângeri de încălcări ale HIPAA. Aproape 170.000 dintre aceste cazuri au fost soluționate de OCR. Deși doar 53 de cazuri s-au soldat cu amenzi sau înțelegeri, spre deosebire de cele peste 25.000 care au fost rezolvate prin acțiuni corective sau asistență tehnică, suma totală de bani plătită de organizațiile din domeniul sănătății se ridică la peste 75 de milioane de dolari, sau o medie de aproximativ 1,5 milioane de dolari pentru fiecare rezoluție financiară.
Cum OCR investighează tot felul de organizații, de la lanțuri naționale la clinici private, o astfel de sancțiune ar putea avea un impact serios sau chiar închide complet o afacere.
Cele mai frecvente probleme
Cele mai frecvente încălcări raportate pe care OCR le investighează sunt:
- Utilizări și dezvăluiri nepermise de informații medicale protejate
- Lipsă de protecție a informațiilor medicale protejate
- Lipsă de acces al pacienților la informațiile lor medicale protejate;
- Lipsă de garanții administrative ale informațiilor medicale protejate electronice
- Utilizarea sau divulgarea mai mult decât minimul necesar de informații medicale protejate
Cazuri recente de încălcare
Câteva încălcări recente evidențiate pe site-ul web al OCR includ administratorul judiciar al unei companii defuncte care a trebuit să plătească o despăgubire, o companie de servicii medicale care a plătit milioane de dolari în urma unor încălcări și o încălcare a informațiilor medicale protejate ale unui singur pacient care a dus la o despăgubire de aproape 400.000 de dolari.
Filefax, o companie care a stocat, păstrat și livrat dosare medicale pentru entitățile acoperite de HIPAA, a fost închisă în același timp cu o investigație a OCR în curs de desfășurare. Un administrator judiciar a fost numit pentru a lichida activele. Ancheta OCR a concluzionat că PHI au fost manipulate cu neglijență prin faptul că au fost lăsate într-un vehicul descuiat, că au fost transportate de persoane neautorizate și că au fost lăsate nesigure în afara unei unități Filefax. Aceste infracțiuni constituie divulgări nepermise și au afectat 2.150 de persoane.
Datorită acestor acțiuni, chiar dacă societatea nu mai era în funcțiune, administratorul judiciar al societății a fost de acord să plătească o înțelegere de 100.000 de dolari și s-a angajat să elimine PHI care încă mai există la instalația Filefax într-o manieră conformă cu HIPAA.
Fresenius Medical Care North America (FMCNA), care administrează o rețea de centre de dializă, laboratoare cardiace și vasculare ambulatorii și centre de îngrijire urgentă, au fost de acord să plătească o despăgubire de 3,5 milioane de dolari în urma unor încălcări ale securității la cinci dintre unitățile sale. În timpul investigației efectuate de OCR, s-a constatat că FMCNA „nu a reușit să efectueze o analiză de risc precisă și completă a riscurilor potențiale și a vulnerabilităților la adresa confidențialității, integrității și disponibilității tuturor informațiilor sale ePHI” și că „au divulgat în mod nepermis informațiile ePHI ale pacienților, oferind acces neautorizat într-un scop nepermis de Privacy Rule”.
FMCNA trebuie să implementeze un plan de acțiuni corective pentru a remedia numeroasele probleme, precum și să plătească înțelegerea monetară. Atât tranzacția FMCNA, cât și cea cu Filefax au fost anunțate în februarie 2018, iar sumele pot fi adăugate la sancțiunile pecuniare de 75 de milioane de dolari menționate mai sus.
St. Luke’s-Roosevelt Hospital Center Inc. a primit o reamintire puternică a importanței transmiterii corecte a ISP în urma unei încălcări care a afectat o singură persoană. OCR a hotărât că una dintre entitățile St. Luke’s „a trimis în mod nepermis prin fax PHI ale pacientului către angajatorul său, în loc să le trimită la căsuța poștală personală solicitată”. Dosarele trimise conțineau „informații sensibile privind statutul HIV, îngrijirea medicală, bolile cu transmitere sexuală, medicamentele, orientarea sexuală, diagnosticul de sănătate mintală și abuzul fizic”. Ancheta a constatat, de asemenea, că o încălcare conexă a avut loc anterior, dar problema nu a fost abordată în mod adecvat de către programul de conformitate menit să prevină astfel de dezvăluiri nepermise. St. Luke’s a soluționat cazul pentru 387.200 de dolari.
Importanța conformității
După cum se poate observa din aceste trei cazuri recente, încălcările HIPAA au un impact real atât pentru entitățile acoperite, cât și pentru persoanele fizice. Greșeli simple, cum ar fi trimiterea prin fax a PHI în loc să o trimită prin scrisoare, pot avea consecințe grave. La o scară mai mare, faptul de a nu concepe și de a nu pune în aplicare procedurile corecte poate avea un impact asupra unei întregi rețele de unități de asistență medicală și a pacienților săi. Chiar și eliminarea ISP trebuie să se facă în mod corect – cazul Filefax s-a învârtit în jurul faptului că ISP au fost transportate și lăsate la o instalație de distrugere și reciclare.
Evaluarea riscurilor, formarea și conștientizarea regulilor HIPAA trebuie să fie priorități ridicate și recurente pentru entitățile acoperite de HIPAA. În caz contrar, acestea riscă să afle pe calea cea mai grea ceea ce directorul OCR, Roger Severino, a declarat în urma cazului Filefax: OCR se angajează să pună în aplicare HIPAA. Urmați acest link pentru un ghid HIPAA complet.
.