Zde je uveden přehled některých nejvýznamnějších případů porušení HIPAA, které vedly k dohodám o narovnání s Úřadem pro občanská práva (OCR) ministerstva zdravotnictví a sociálních služeb.
Uvedli jsme také některé případy, které OCR řešil poté, co byla v průběhu vyšetřování narušení HIPAA a vyšetřování stížností podaných pacienty a zdravotnickým personálem zjištěna řada porušení HIPAA.
OCR od roku 2018 rozšířil své možnosti prosazování, což vedlo k dalším případům narušení HIPAA, které odůvodňují finanční postihy, jako jsou dohody o narovnání a občanskoprávní peněžité pokuty. K dnešnímu dni bylo v roce 2017 uděleno devět pokut HIPAA za řešení případů porušení. V roce 2016, což je rekordní období 12 měsíců pro prosazování pravidel HIPAA, bylo vydáno 12 urovnání a jedna občanskoprávní peněžitá pokuta za účelem vyřešení případů porušení pravidel HIPAA.
Vzhledem k posílení svých schopností prosazování dává OCR najevo, že jakékoli porušení pravidel HIPAA vede k nejpřísnějšímu možnému trestu.
- Důsledky porušení pravidel HIPAA Důsledky porušení pravidel HIPAA
- Společnost Wakefern Food Corporation urovnala s generálním prokurátorem NJ případ porušení HIPAA za 235 000 dolarů
- Sankce ve výši 48,2 milionu dolarů za porušení zákona HIPAA zaplatila společnost Anthem, aby urovnala vyšetřování generálních státních zástupců v souvislosti s porušením ochrany osobních údajů
- Soudní spor o ransomware v nemocnici Grays Harbor Community Hospital může být urovnán za 185 000 dolarů
- Případ porušení HIPAA urovnán mezi ambulanční společností & OCR za 65 000 dolarů
Důsledky porušení pravidel HIPAA Důsledky porušení pravidel HIPAA
Důsledky porušení pravidel HIPAA mohou být závažné a je důležité mít na paměti, že pokuty za porušení pravidel HIPAA může Úřad pro občanská práva (OCR) HHS´ uložit, i když nedošlo k porušení informací PHI. Finanční důsledky porušení HIPAA závisí na míře nedbalosti a – pokud k porušení došlo – na množství záznamů, které mohou být porušením vystaveny, a na nebezpečí, které může být neoprávněným zveřejněním způsobeno:
- Porušení HIPAA, ke kterému došlo z neznalosti, může mít za následek finanční postih ve výši 100 – 50 000 USD.
- Porušení, ke kterému došlo v důsledku přiměřené ostražitosti, může mít za následek finanční postih ve výši 1 000 – 50 000 USD.
- Porušení, ke kterému došlo v důsledku úmyslné nedbalosti a které je řešeno do třiceti dnů, vede k finančnímu postihu ve výši 10 000 až 50 000 USD.
- Porušení, ke kterému došlo v důsledku úmyslné nedbalosti a které není řešeno do 30 dnů, vede k finančnímu postihu v maximální výši 50 000 USD.
Uvedené údaje představují finanční postihy, které může OCR sankcionovat. Generální prokurátoři mohou rovněž sankcionovat finančními pokutami, pokud porušením informací PHI dojde k porušení státních právních předpisů; a – pokud lze prokázat, že jednotlivec utrpěl újmu v důsledku nedbalosti krytého subjektu nebo obchodního partnera – je rovněž možné, aby jednotlivec zahájil občanskoprávní řízení o náhradu škody. V některých právních řádech může výše přiznané sankční náhrady škody přesáhnout maximální pokutu 1,5 milionu USD (za porušení), kterou může OCR udělit.
Společnost Wakefern Food Corporation urovnala s generálním prokurátorem NJ případ porušení HIPAA za 235 000 dolarů
V návaznosti na tvrzení o porušení federálních a státních právních předpisů v souvislosti s únikem chráněných zdravotních informací 9 700 zákazníků dvou supermarketů ShopRite v Millville ve státě New Jersey a Kingstonu ve státě New York souhlasila společnost Wakefern Food Corporation se zaplacením 235 000 dolarů ve formě občanskoprávních finančních sankcí a zavedením řady bezpečnostních vylepšení.
Další informace naleznete zde.
Sankce ve výši 48,2 milionu dolarů za porušení zákona HIPAA zaplatila společnost Anthem, aby urovnala vyšetřování generálních státních zástupců v souvislosti s porušením ochrany osobních údajů
Společnost Anthem Inc. uzavřela dohodu o urovnání žalob generálních státních zástupců v různých státech USA v souvislosti s porušením ochrany osobních údajů o 78,8 milionu záznamů z roku 2014. Spolu s finanční pokutou ve výši 48,2 milionu dolarů se společnost Anthem zavázala zavést řadu nápravných opatření ke zlepšení postupů zabezpečení dat. Patří mezi ně kroky, jako je nastavení důkladného programu zabezpečení informací s využitím zásad architektury nulové důvěry. Průběžné bezpečnostní aktualizace jsou nyní sdíleny s představenstvem a významné bezpečnostní události jsou co nejdříve hlášeny generálnímu řediteli.
Další informace naleznete zde.
Soudní spor o ransomware v nemocnici Grays Harbor Community Hospital může být urovnán za 185 000 dolarů
Po zprostředkovatelských jednáních došlo k dohodě o navrhovaném urovnání mezi nemocnicemi Grays Harbor Community Hospital a Harbor Medical Group a zástupcem žalobce v navrhovaném hromadném soudním sporu souvisejícím s útokem ransomwaru z června 2019, který vedl k zašifrování dat pacientů.
Další informace naleznete zde.
Případ porušení HIPAA urovnán mezi ambulanční společností & OCR za 65 000 dolarů
Úřad pro občanská práva ministerstva zdravotnictví a sociálních služeb (OCR) odhalil, že se společností West Georgia Ambulance, Inc. bylo dohodnuto urovnání porušení HIPAA ve výši 65 000 dolarů, v souvislosti s několikanásobným porušením pravidel zákona o přenositelnosti a odpovědnosti zdravotního pojištění.
Další informace naleznete zde.