HIPAA-överträdelser är mycket vanliga, trots ökade insatser för att kontrollera efterlevnaden. Även om vi ofta talar om hur man undviker att bryta mot HIPAA och om behovet av att införa HIPAA-kompatibla förfaranden och beteenden bland de anställda, är det viktigt att vara medveten om de konsekvenser som kan följa på HIPAA-överträdelser. I allmänhet utreds och drivs fall av HIPAA-överträdelser av Office of Civil Rights (OCR) vid Department of Health and Human Services. Dessa utredningar kan uppstå efter rapporter om överträdelser som lämnats in av anställda eller patienter, eller som ett resultat av dataintrång som anmäls till OCR. I vissa fall kan delstaternas allmänna åklagare eller till och med justitiedepartementet genomföra egna utredningar.
Finansiella påföljder
Under de senaste åren har antalet fall av HIPAA-överträdelser som har lett till monetära påföljder ökat. Många av dessa har skett i form av förlikningar. I slutet av januari 2018 hade Department of Health and Human Services tagit emot över 173 000 klagomål om HIPAA-överträdelser. Nästan 170 000 av dessa ärenden har lösts av OCR. Även om endast 53 fall har resulterat i böter eller förlikningar, i motsats till de över 25 000 som löstes genom korrigerande åtgärder eller tekniskt stöd, uppgår den totala summan av pengar som hälso- och sjukvårdsorganisationer har betalat ut till över 75 miljoner dollar, eller i genomsnitt cirka 1,5 miljoner dollar per ekonomisk lösning.
Då OCR utreder alla typer av organisationer, från nationella kedjor till privata kliniker, kan en sådan påföljd få en allvarlig inverkan eller till och med helt och hållet stänga ner en verksamhet.
De vanligaste frågorna
De vanligaste rapporterade överträdelserna som OCR utreder är:
- Otillåtna användningar och avslöjanden av skyddad hälsoinformation
- Misslyckande med att skydda skyddad hälsoinformation
- Misslyckande med att ge patienten tillgång till sin skyddade hälsoinformation;
- Missbruk av administrativa skyddsåtgärder för elektronisk skyddad hälsoinformation
- Användning eller utlämnande av mer än den minsta nödvändiga skyddade hälsoinformationen
Renoverade överträdelseärenden
Några nyligen inträffade överträdelser som lyfts fram på OCR:s webbplats är bland annat att ett nedlagt företags konkursförvaltare tvingades betala en uppgörelse, att ett medicinskt tjänsteföretag betalade miljontals dollar efter överträdelser och att en enskild patients PHI-överträdelse ledde till en uppgörelse på nästan 400 000 dollar.
Filefax, ett företag som lagrade, förvaltade och levererade medicinska journaler för enheter som omfattas av HIPAA, stängdes samtidigt som en OCR-utredning pågick. En konkursförvaltare utsågs för att likvidera tillgångarna. I OCR:s utredning drogs slutsatsen att PHI hade hanterats slarvigt genom att den hade lämnats i ett olåst fordon, transporterats av obehöriga personer och lämnats osäkrad utanför Filefax anläggning. Dessa överträdelser utgör otillåtna avslöjanden och berörde 2 150 personer.
På grund av dessa handlingar, även om företaget inte längre var verksamt, har företagets konkursförvaltare gått med på att betala ett förlikningsbelopp på 100 000 dollar och har åtagit sig att göra sig av med de PHI som fortfarande finns kvar på Filefax-anläggningen på ett HIPAA-kompatibelt sätt.
Fresenius Medical Care North America (FMCNA), som driver ett nätverk av dialysanläggningar, hjärt- och kärllaboratorier i öppenvården och akutmottagningar, har gått med på att betala en förlikning på 3,5 miljoner dollar efter överträdelser vid fem av sina anläggningar. Under OCR:s utredning konstaterades att FMCNA ”misslyckades med att genomföra en korrekt och grundlig riskanalys av potentiella risker och sårbarheter för sekretessen, integriteten och tillgängligheten av all sin ePHI” och att de ”otillåtet avslöjade patienters ePHI genom att ge obehörig åtkomst i ett syfte som inte är tillåtet enligt sekretessreglerna”.
FMCNA måste genomföra en plan för korrigerande åtgärder för att avhjälpa de många problemen samt betala den monetära förlikningen. Både FMCNA:s och Filefax förlikningar tillkännagavs i februari 2018 och beloppen kan läggas till de 75 miljoner dollar i monetära påföljder som nämns ovan.
St. Luke’s-Roosevelt Hospital Center Inc. fick en stark påminnelse om vikten av att överföra PHI på ett korrekt sätt efter en överträdelse som drabbade en enskild individ. OCR beslutade att en av St Luke’s enheter hade ”otillåtet faxat patientens PHI till sin arbetsgivare i stället för att skicka den till den begärda personliga postboxen”. De skickade uppgifterna innehöll ”känslig information om hiv-status, medicinsk vård, sexuellt överförbara sjukdomar, mediciner, sexuell läggning, psykisk diagnos och fysisk misshandel”. Utredningen visade också att en relaterad överträdelse tidigare hade inträffat, men att frågan inte hade behandlats på lämpligt sätt i det program för efterlevnad som syftade till att förhindra sådana otillåtna utlämnanden. Luke’s löste fallet för 387 200 dollar.
Vikten av efterlevnad
Som framgår av dessa tre nyligen inträffade fall har HIPAA-överträdelser reella konsekvenser för de berörda enheterna såväl som för enskilda personer. Enkla misstag, t.ex. att faxa PHI i stället för att skicka den per brev, kan få allvarliga konsekvenser. I större skala kan underlåtenhet att utforma och genomföra korrekta förfaranden påverka ett helt nätverk av vårdinrättningar och dess patienter. Även bortskaffandet av PHI måste göras på rätt sätt – Filefax-fallet handlade om att PHI transporterades och lämnades på en makulerings- och återvinningsanläggning.
Riskbedömningar, utbildning och medvetenhet om HIPAA-reglerna måste alla vara höga och återkommande prioriteringar för de enheter som omfattas av HIPAA. Om de inte gör det riskerar de att få erfara på det hårda sättet vad OCR:s direktör Roger Severino sade efter Filefax-fallet: OCR har åtagit sig att se till att HIPAA efterlevs. Följ den här länken för en fullständig HIPAA-guide.