Escritto qui è un riassunto di alcuni dei casi più significativi di violazione HIPAA che hanno portato ad accordi transattivi con l’Office for Civil Rights (OCR) del Department of Health and Human Services.
Abbiamo anche elencato alcuni casi che sono stati perseguiti dall’OCR dopo che una serie di violazioni HIPAA sono state identificate nel corso di indagini sulla violazione dei dati HIPAA e indagini su reclami presentati da pazienti e personale sanitario.
L’OCR ha aumentato le sue capacità di applicazione dal 2018 portando a ulteriori casi di violazione HIPAA che garantiscono sanzioni finanziarie come accordi e multe monetarie civili. Ad oggi nel 2017, ci sono state nove multe HIPAA emesse per risolvere i casi di violazione. Nel 2016, un periodo record di 12 mesi per l’applicazione delle regole HIPAA, ci sono stati 12 insediamenti e una sanzione monetaria civile emessa per risolvere gli incidenti di violazione HIPAA.
A causa del miglioramento della sua capacità di applicazione, OCR sta indicando che qualsiasi violazione delle regole HIPAA porta alla punizione più severa possibile.
- Conseguenze della violazione dell’HIPAA Conseguenze della violazione
- Wakefern Food Corporation risolve il caso di violazione HIPAA con il procuratore generale del NJ per 235.000 dollari
- 48,2 milioni di dollari in sanzioni HIPAA pagati da Anthem per risolvere le indagini di violazione dei dati dei procuratori generali dello stato
- La causa Ransomware del Grays Harbor Community Hospital può essere risolta per $185.000
- Caso di violazione HIPAA risolto tra la società di ambulanze & OCR per $65.000
Conseguenze della violazione dell’HIPAA Conseguenze della violazione
Le conseguenze della violazione dell’HIPAA possono essere gravi ed è importante ricordare che le multe per una violazione dell’HIPAA possono essere sanzionate dall’Office for Civil Rights (OCR) dell’HHS anche se non c’è stata violazione di PHI. Le conseguenze finanziarie di una violazione dell’HIPAA dipendono dall’entità della negligenza e – se c’è stata una violazione – dalla quantità di dati eventualmente esposti dalla violazione e dal pericolo che può essere causato dalla divulgazione non autorizzata:
- Una violazione dell’HIPAA avvenuta per ignoranza può comportare una sanzione finanziaria di $100 – $50.000.
- Una violazione avvenuta per ragionevole vigilanza può comportare una sanzione finanziaria di $1.000 – $50.000.
- Una violazione che ha avuto luogo come risultato di negligenza intenzionale che viene affrontata entro trenta giorni si tradurrà in una sanzione finanziaria tra $10.000 e $50.000.
- Una violazione che ha avuto luogo come risultato di negligenza intenzionale che non viene affrontata entro 30 giorni porta ad una sanzione finanziaria massima di $50.000.
Le cifre qui incluse rappresentano le sanzioni finanziarie che possono essere sanzionate da OCR. I procuratori generali possono anche sanzionare sanzioni finanziarie se una violazione di PHI viola la legislazione statale; e – se si può dimostrare che un individuo ha subito un danno come risultato della negligenza di un’entità coperta o di un associato d’affari – è anche possibile per l’individuo avviare una causa civile per il risarcimento. In alcune giurisdizioni legali, l’importo dei danni punitivi assegnati potrebbe essere superiore alla multa massima di 1,5 milioni di dollari (per violazione) che può essere OCR.
Wakefern Food Corporation risolve il caso di violazione HIPAA con il procuratore generale del NJ per 235.000 dollari
A seguito di denunce di violazioni della legislazione federale e statale, legate a una violazione dei dati che coinvolge le informazioni sanitarie protette di 9.700 clienti di due supermercati ShopRite a Millville, New Jersey e Kingston NY, Wakefern Food Corporation ha accettato di pagare 235.000 dollari in sanzioni finanziarie civili e implementare una serie di miglioramenti della sicurezza.
Leggi di più qui.
48,2 milioni di dollari in sanzioni HIPAA pagati da Anthem per risolvere le indagini di violazione dei dati dei procuratori generali dello stato
Anthem Inc. ha raggiunto un accordo per risolvere le azioni dei procuratori generali dello stato in diversi stati degli Stati Uniti in relazione alla violazione di 78,8 milioni di dati del 2014. Insieme alla sanzione finanziaria di 48,2 milioni di dollari, Anthem si è impegnata ad attuare una serie di azioni correttive per migliorare le pratiche di sicurezza dei dati. Questi includono passi come la configurazione di un programma di sicurezza delle informazioni completo utilizzando i principi dell’architettura di fiducia zero. Gli aggiornamenti di sicurezza in corso sono ora condivisi con il consiglio di amministrazione e gli eventi di sicurezza significativi sono segnalati il più presto possibile al CEO.
Leggi di più qui.
La causa Ransomware del Grays Harbor Community Hospital può essere risolta per $185.000
Dopo i colloqui di mediazione, c’è stato un accordo per un accordo proposto tra il Grays Harbor Community Hospital e Harbor Medical Group e il querelante rappresentante in una proposta di azione legale collettiva collegata a un attacco ransomware del giugno 2019 che ha portato alla crittografia dei dati dei pazienti.
Leggi di più qui.
Caso di violazione HIPAA risolto tra la società di ambulanze & OCR per $65.000
Il Dipartimento della Salute e dei Servizi Umani ‘Office for Civil Rights (OCR) ha rivelato un accordo di violazione HIPAA di $65.000 con West Georgia Ambulance, Inc, per affrontare molteplici violazioni delle norme della legge sulla portabilità dell’assicurazione sanitaria e sulla responsabilità.
Leggi di più qui.