Vous trouverez ici un résumé de certains des cas de violation HIPAA les plus importants qui ont conduit à des accords de règlement avec le bureau des droits civils (OCR) du département de la santé et des services sociaux.
Nous avons également énuméré certains cas qui ont été poursuivis par l’OCR après qu’un certain nombre de violations de l’HIPAA ont été identifiées au cours des enquêtes sur les violations de données HIPAA et des enquêtes sur les plaintes soumises par les patients et le personnel de santé.
L’OCR a accru ses capacités d’application depuis 2018, ce qui a conduit à des cas supplémentaires de violation de l’HIPAA qui justifient des sanctions financières telles que des règlements et des amendes monétaires civiles. À ce jour en 2017, neuf amendes HIPAA ont été émises pour résoudre des cas de violation. En 2016, une période record de 12 mois pour l’application des règles HIPAA, il y a eu 12 règlements et une amende monétaire civile émis pour régler les incidents de violation HIPAA.
En raison du renforcement de sa capacité d’application, l’OCR indique que toute violation des règles HIPAA conduit à la sanction la plus sévère possible.
- Conséquences d’une violation de l’HIPAA
- Wakefern Food Corporation règle une affaire de violation HIPAA avec le procureur général du NJ pour 235 000 $
- 48,2 millions de dollars de pénalités HIPAA payés par Anthem pour régler les enquêtes sur les violations de données des procureurs généraux des États
- La poursuite pour ransomware de l’hôpital communautaire de Grays Harbor pourrait être réglée pour 185 000 $
- Cas de violation de l’HIPAA réglé entre la société d’ambulance & OCR pour 65 000 $
Conséquences d’une violation de l’HIPAA
Les conséquences d’une violation de l’HIPAA peuvent être graves et il est important de se rappeler que des amendes pour une violation de l’HIPAA peuvent être sanctionnées par l’Office for Civil Rights (OCR) du HHS même si aucune violation de PHI n’a eu lieu. Les conséquences financières d’une violation de l’HIPAA dépendent de l’étendue de la négligence et – si une violation a eu lieu – de la quantité de dossiers éventuellement exposés par la violation et du danger qui peut être causé par la divulgation non autorisée :
- Une violation de l’HIPAA qui a eu lieu par ignorance peut entraîner une sanction financière de 100 à 50 000 $.
- Une violation qui a eu lieu suite à une vigilance raisonnable peut entraîner une sanction financière de 1 000 à 50 000 $.
- Une violation qui a eu lieu à la suite d’une négligence volontaire qui est traitée dans les trente jours entraînera une pénalité financière comprise entre 10 000 $ et 50 000 $.
- Une violation qui a eu lieu à la suite d’une négligence volontaire qui n’est pas traitée dans les 30 jours entraîne une pénalité financière maximale de 50 000 $.
Les chiffres inclus ici représentent les pénalités financières peuvent être sanctionnées par l’OCR. Les procureurs généraux peuvent également sanctionner des pénalités financières si une violation des RPS enfreint la législation de l’État ; et – s’il peut être démontré qu’un individu a subi un préjudice à la suite de la négligence d’une entité couverte ou d’un associé commercial – il est également possible pour l’individu d’engager une action civile pour obtenir une compensation. Dans certaines juridictions juridiques, le montant des dommages-intérêts punitifs accordés pourrait être supérieur à l’amende maximale de 1,5 million de dollars (par violation) qui peut être OCR.
Wakefern Food Corporation règle une affaire de violation HIPAA avec le procureur général du NJ pour 235 000 $
A la suite d’allégations de violations de la législation fédérale et étatique, liées à une violation de données impliquant les informations de santé protégées de 9 700 clients de deux supermarchés ShopRite à Millville, New Jersey et Kingston NY, Wakefern Food Corporation a accepté de payer 235 000 $ de pénalités financières civiles et de mettre en œuvre une série d’améliorations de la sécurité.
Lire la suite ici.
48,2 millions de dollars de pénalités HIPAA payés par Anthem pour régler les enquêtes sur les violations de données des procureurs généraux des États
Anthem Inc. est parvenu à un accord pour régler les actions des procureurs généraux de différents États américains en relation avec la violation de données de 78,8 millions d’enregistrements de 2014. Outre la pénalité financière de 48,2 millions de dollars, Anthem s’est engagée à mettre en œuvre un certain nombre de mesures correctives pour améliorer les pratiques de sécurité des données. Il s’agit notamment d’étapes telles que la configuration d’un programme de sécurité de l’information complet utilisant les principes de l’architecture de confiance zéro. Les mises à jour continues de la sécurité sont désormais partagées avec le conseil d’administration et les événements de sécurité importants sont signalés dès que possible au PDG.
Lire la suite ici.
La poursuite pour ransomware de l’hôpital communautaire de Grays Harbor pourrait être réglée pour 185 000 $
A la suite de pourparlers de médiation, il y a eu un accord sur une proposition de règlement entre l’hôpital communautaire de Grays Harbor et Harbor Medical Group et le représentant des demandeurs dans une proposition de recours collectif liée à une attaque de ransomware de juin 2019 qui a conduit au cryptage des données des patients.
Lire la suite ici.
Cas de violation de l’HIPAA réglé entre la société d’ambulance & OCR pour 65 000 $
Le Bureau des droits civils (OCR) du ministère de la Santé et des Services sociaux a révélé qu’un règlement de violation de l’HIPAA de 65 000 $ a été convenu avec West Georgia Ambulance, Inc, pour répondre à de multiples violations des règles de la loi sur la portabilité et la responsabilité en matière d’assurance maladie.
Lisez la suite ici.