Der er her en oversigt over nogle af de mest betydningsfulde sager om brud på HIPAA, som har ført til forligsaftaler med Office for Civil Rights (OCR) i Department of Health and Human Services.
Vi har også anført nogle sager, der er blevet forfulgt af OCR, efter at en række HIPAA-overtrædelser blev identificeret i løbet af under undersøgelser af HIPAA-databrud og undersøgelser af klager indgivet af patienter og sundhedspersonale.
OCR har udvidet sine håndhævelsesmuligheder siden 2018, hvilket har ført til yderligere HIPAA-overtrædelsessager, der berettiger økonomiske sanktioner såsom forlig og civile pengebøder. Indtil nu i 2017 er der i 2017 blevet udstedt ni HIPAA-bøder for at løse sager om brud. I 2016, en rekordperiode på 12 måneder for håndhævelse af HIPAA-reglerne, blev der udstedt 12 forlig og én civilretlig pengebøde for at løse HIPAA-overtrædelsessager.
På grund af forbedringen af sin håndhævelseskapacitet angiver OCR, at enhver overtrædelse af HIPAA-reglerne fører til den strengest mulige straf.
- Konsekvenser af overtrædelse af HIPAA Breach Consequences
- Wakefern Food Corporation indgår forlig om HIPAA-brudssag med NJ Attorney General for $235.000
- 48,2 millioner dollars i HIPAA-bøder betalt af Anthem for at afvikle statsadvokaternes undersøgelser af databrud
- Grays Harbor Community Hospital Ransomware-sag kan blive afgjort for 185.000 dollars
- HIPAA-overtrædelsessag afgjort mellem ambulanceselskab & OCR for 65.000 dollars
Konsekvenser af overtrædelse af HIPAA Breach Consequences
Konsekvenserne af overtrædelse af HIPAA kan være alvorlige, og det er vigtigt at huske bøder for en HIPAA-overtrædelse kan sanktioneres af HHS´ Office for Civil Rights (OCR), selv om der ikke har fundet et brud på PHI sted. De økonomiske konsekvenser af en overtrædelse af HIPAA afhænger af omfanget af uagtsomhed og – hvis en overtrædelse har fundet sted – mængden af optegnelser, der muligvis udsættes ved overtrædelsen, og den fare, der kan opstå som følge af den uautoriserede videregivelse:
- En overtrædelse af HIPAA, der fandt sted på grund af uvidenhed, kan resultere i en økonomisk sanktion på $100 – $50.000.
- En overtrædelse, der fandt sted som følge af rimelig årvågenhed, kan resultere i en økonomisk sanktion på $1.000 – $50.000.
- En overtrædelse, der fandt sted som følge af forsætlig forsømmelse, som er behandlet inden for 30 dage, vil resultere i en økonomisk sanktion på mellem $10.000 og $50.000.
- En overtrædelse, der fandt sted som følge af forsætlig forsømmelse, som ikke er behandlet inden for 30 dage, fører til en maksimal økonomisk sanktion på $50.000.
De tal, der er inkluderet her, repræsenterer de økonomiske sanktioner kan blive sanktioneret af OCR. Attorney Generals kan også sanktionere økonomiske sanktioner, hvis et brud på PHI overtræder statslig lovgivning; og – hvis det kan påvises, at en person har lidt skade som følge af forsømmelighed fra en omfattet enhed eller forretningsforbindelse – er det også muligt for den pågældende at indlede en civil retssag for at få erstatning. I nogle juridiske jurisdiktioner kan beløbet for den tildelte straffeskadeerstatning overstige den maksimale bøde på 1,5 millioner dollars (pr. overtrædelse), som OCR kan udstede.
Wakefern Food Corporation indgår forlig om HIPAA-brudssag med NJ Attorney General for $235.000
Efter påstande om brud på føderal og statslig lovgivning i forbindelse med et databrud, der involverede beskyttede sundhedsoplysninger for 9.700 kunder i to ShopRite-supermarkeder i Millville, New Jersey og Kingston NY, har Wakefern Food Corporation accepteret at betale $235.000 i civilretlige økonomiske sanktioner og gennemføre en række sikkerhedsforbedringer.
Læs mere her.
48,2 millioner dollars i HIPAA-bøder betalt af Anthem for at afvikle statsadvokaternes undersøgelser af databrud
Anthem Inc. har indgået en aftale om at afvikle sager fra statsadvokaternes generaladvokater i forskellige amerikanske stater i forbindelse med databruddet i 2014, der omfattede 78,8 millioner oplysninger. Sammen med den økonomiske sanktion på 48,2 mio. dollars har Anthem forpligtet sig til at gennemføre en række korrigerende foranstaltninger for at forbedre praksis for datasikkerhed. Disse omfatter skridt som f.eks. at konfigurere et grundigt informationssikkerhedsprogram ved hjælp af principperne for nultillidsarkitektur. Løbende sikkerhedsopdateringer deles nu med bestyrelsen, og væsentlige sikkerhedshændelser rapporteres så hurtigt som muligt til den administrerende direktør.
Læs mere her.
Grays Harbor Community Hospital Ransomware-sag kan blive afgjort for 185.000 dollars
Efter mæglingsforhandlinger er der indgået en aftale om et foreslået forlig mellem Grays Harbor Community Hospital og Harbor Medical Group og den repræsentative sagsøger i en foreslået gruppesag, der er forbundet med et ransomware-angreb i juni 2019, som førte til kryptering af patientdata.
Læs mere her.
HIPAA-overtrædelsessag afgjort mellem ambulanceselskab & OCR for 65.000 dollars
Det amerikanske Office for Civil Rights (OCR) fra Department of Health and Human Services har afsløret, at der er aftalt et HIPAA-overtrædelsesforlig på 65.000 dollars med West Georgia Ambulance, Inc, for at imødegå flere brud på reglerne i Health Insurance Portability and Accountability Act.
Læs mere her.