Tässä on yhteenveto joistakin merkittävimmistä HIPAA-tietosuojaloukkaustapauksista, jotka ovat johtaneet sovintosopimuksiin Terveydenhuoltoministeriön (Department of Health and Human Services’ Office for Civil Rights, OCR) kanssa.
Olemme myös listanneet joitakin tapauksia, joita OCR on ajanut eteenpäin sen jälkeen, kun HIPAA-tietojen tietoturvaloukkauksia koskevissa tutkimuksissa sekä potilaiden ja terveydenhuoltohenkilöstön tekemien valitusten tutkimuksissa havaittiin useita HIPAA-rikkomuksia.
OCR on lisännyt täytäntöönpanovalmiuksiaan vuodesta 2018 lähtien, mikä on johtanut uusiin HIPAA-tietojen tietoturvaloukkauksia koskeviin tapauksiin, jotka oikeuttavat taloudellisiin rangaistuksiin, kuten sovintosopimuksiin ja siviilipoliittisiin rahasakkoihin. Tähän mennessä vuonna 2017 on annettu yhdeksän HIPAA-sakkoa rikkomustapausten ratkaisemiseksi. Vuonna 2016, joka oli HIPAA-sääntöjen täytäntöönpanon ennätyksellinen 12 kuukauden jakso, HIPAA-tietosuojaloukkaustapausten ratkaisemiseksi tehtiin 12 sovintoratkaisua ja annettiin yksi siviilioikeudellinen sakko.
Valvontakapasiteettiensa parantamisen ansiosta OCR osoittaa, että HIPAA-sääntöjen rikkominen johtaa mahdollisimman ankaraan rangaistukseen.
- HIPAA-sääntöjen rikkomisen seuraukset
- Wakefern Food Corporation sopii HIPAA-rikkomustapauksen NJ:n yleisen syyttäjän kanssa 235 000 dollarista
- 48,2 miljoonan dollarin HIPAA-sakot, jotka Anthem maksoi osavaltioiden syyttäjänvirastojen tietomurtotutkimusten selvittämiseksi
- Grays Harbor Community Hospital Ransomware-oikeudenkäynti saatetaan sopia 185 000 dollarilla
- HIPAA-rikkomusjuttu sovittiin ambulanssiyhtiön & OCR:n kanssa 65 000 dollarista
HIPAA-sääntöjen rikkomisen seuraukset
HIPAA-sääntöjen rikkomisen seuraukset voivat olla vakavia, ja on tärkeää muistaa, että HHS:n kansalaisoikeusvirasto (Office for Civil Rights, OCR) voi määrätä HIPAA-sääntöjen rikkomisesta sakkoja, vaikka PHI-tietoja ei olisi rikottu. HIPAA:n rikkomisen taloudelliset seuraukset riippuvat laiminlyönnin laajuudesta ja – jos rikkominen on tapahtunut – rikkomisen mahdollisesti paljastamien tietueiden määrästä ja vaarasta, joka voi aiheutua luvattomasta luovuttamisesta:
- Tietämättömyydestä johtuvasta HIPAA:n rikkomisesta voidaan määrätä 100 – 50 000 dollarin taloudellinen seuraamus.
- Kohtuullisen tarkkaavaisuuden seurauksena tapahtuneesta rikkomisesta voidaan määrätä 1 000 – 50 000 dollarin taloudellinen seuraamus.
- Tarkoituksellisen laiminlyönnin seurauksena tapahtuneesta rikkomuksesta, johon puututaan kolmenkymmenen päivän kuluessa, voidaan määrätä 10 000 – 50 000 dollarin taloudellinen seuraamus.
- Tarkoituksellisen laiminlyönnin seurauksena tapahtuneesta rikkomuksesta, johon ei puututa kolmenkymmenen päivän kuluessa, voidaan määrätä enimmillään 50 000 dollarin taloudellinen seuraamus.
Tässä esitetyt luvut kuvastavat taloudellisia rangaistuksia, joita OCR voi langettaa. Valtakunnansyyttäjät voivat myös määrätä taloudellisia seuraamuksia, jos henkilötietojen tietoturvaloukkaus rikkoo osavaltion lainsäädäntöä; ja – jos voidaan osoittaa, että henkilö on kärsinyt vahinkoa suojattavan yksikön tai liiketoimintayhteistyökumppanin laiminlyönnin seurauksena – henkilö voi myös nostaa siviilioikeudellisen kanteen korvauksen saamiseksi. Joillakin lainkäyttöalueilla rangaistusluonteisten vahingonkorvausten määrä voi olla suurempi kuin OCR:n maksimissaan määräämä 1,5 miljoonan dollarin sakko (rikkomusta kohden).
Wakefern Food Corporation sopii HIPAA-rikkomustapauksen NJ:n yleisen syyttäjän kanssa 235 000 dollarista
Wakefern Food Corporation on suostunut maksamaan 235 000 dollaria siviilioikeudellisia taloudellisia rangaistuksia ja toteuttamaan erilaisia tietoturvan parannuksia liittovaltion ja osavaltioiden lainsäädännön rikkomista koskevien väitteiden perusteella, jotka liittyvät tietoturvaloukkaukseen, joka koski 9700 asiakkaan suojattuja terveystietoja kahdessa ShopRite-supermarketissa Millvillessä New Jerseyssa (New Jerseyn osavaltiossa) ja New Yorkin Kingstonissa.
Lue lisää täältä.
48,2 miljoonan dollarin HIPAA-sakot, jotka Anthem maksoi osavaltioiden syyttäjänvirastojen tietomurtotutkimusten selvittämiseksi
Anthem Inc. on päässyt sopimukseen osavaltioiden syyttäjänvirastojen kanteiden selvittämisestä eri Yhdysvaltain osavaltioissa vuonna 2014 tapahtuneeseen 78,8 miljoonan tietueen tietomurtoon liittyen. Anthem on sitoutunut 48,2 miljoonan dollarin sakon ohella toteuttamaan useita korjaavia toimia tietoturvakäytäntöjen parantamiseksi. Näihin toimenpiteisiin kuuluu muun muassa perusteellisen tietoturvaohjelman laatiminen nollaluottamusarkkitehtuurin periaatteiden mukaisesti. Jatkuvat tietoturvapäivitykset jaetaan nyt hallituksen kanssa, ja merkittävistä tietoturvatapahtumista raportoidaan mahdollisimman pian toimitusjohtajalle.
Lue lisää täältä.
Grays Harbor Community Hospital Ransomware-oikeudenkäynti saatetaan sopia 185 000 dollarilla
Sovitteluneuvottelujen jälkeen Grays Harbor Community Hospital ja Harbor Medical Group ovat päässeet sopimukseen sovintoehdotuksesta Grays Harbor Community Hospitalin ja Harbor Medical Groupin sekä edustavan kantajan välillä ehdotetussa ryhmäkanneoikeudenkäynnissä, joka liittyy kesäkuussa 2019 tapahtuneeseen lunnasohjelmistohyökkäykseen, joka johti potilastietojen salakirjoittamiseen.
Lue lisää täältä.
HIPAA-rikkomusjuttu sovittiin ambulanssiyhtiön & OCR:n kanssa 65 000 dollarista
Terveys- ja terveyspalveluiden ministeriön kansalaisoikeuksien toimisto (Office for Civil Rights, OCR) on paljastanut, että West Georgia Ambulance, Inc:n kanssa on sovittu 65 000 dollarin sovintoratkaisusta HIPAA-rikkomuksesta, useiden sairausvakuutuksen siirrettävyyttä ja vastuuvelvollisuutta koskevan lain (Health Insurance Portability and Accountability Act) sääntöjen rikkomisen johdosta.
Lue lisää täältä.