Hier vindt u een overzicht van enkele van de belangrijkste HIPAA-inbreukzaken die hebben geleid tot schikkingsovereenkomsten met het Office for Civil Rights (OCR) van het Department of Health and Human Services.
We hebben ook enkele zaken vermeld die door OCR zijn nagestreefd nadat een aantal HIPAA-schendingen waren vastgesteld in de loop van tijdens HIPAA-datalekonderzoeken en onderzoeken van klachten die door patiënten en zorgpersoneel waren ingediend.
OCR heeft zijn handhavingsmogelijkheden sinds 2018 uitgebreid, wat heeft geleid tot extra HIPAA-inbreukzaken die financiële sancties rechtvaardigen, zoals schikkingen en civiele geldboetes. Tot op heden in 2017 zijn er negen HIPAA-boetes uitgedeeld om inbreukzaken op te lossen. In 2016, een recordperiode van 12 maanden voor de handhaving van HIPAA-regels, waren er 12 schikkingen en één civiele geldboete uitgegeven om HIPAA-inbreukincidenten te regelen.
Door de verbetering van zijn handhavingscapaciteit geeft OCR aan dat elke inbreuk op de HIPAA-regels tot de zwaarst mogelijke sanctie leidt.
- Consequenties van schending van HIPAA Gevolgen van schending
- Wakefern Food Corporation schikt HIPAA-inbreukzaak met NJ Attorney General voor $ 235.000
- 48,2 miljoen dollar aan HIPAA-boetes betaald door Anthem om onderzoeken naar datalekken door State Attorneys General af te wikkelen
- Grays Harbor Community Hospital Ransomware Lawsuit May be Settled for $185,000
- HIPAA-overtredingszaak geschikt tussen Ambulancebedrijf & OCR voor $ 65.000
Consequenties van schending van HIPAA Gevolgen van schending
De gevolgen van schending van HIPAA kunnen ernstig zijn en het is belangrijk om te onthouden dat boetes voor een HIPAA-overtreding kunnen worden gesanctioneerd door het HHS´ Office for Civil Rights (OCR), zelfs als er geen inbreuk op PHI heeft plaatsgevonden. De financiële gevolgen van een inbreuk op de HIPAA-voorschriften zijn afhankelijk van de mate van nalatigheid en – indien een inbreuk heeft plaatsgevonden – de hoeveelheid gegevens die mogelijk door de inbreuk zijn blootgesteld en het gevaar dat kan worden veroorzaakt door de ongeoorloofde openbaarmaking:
- Een inbreuk op de HIPAA-voorschriften die heeft plaatsgevonden door onwetendheid kan resulteren in een financiële sanctie van $ 100 – $ 50.000.
- Een inbreuk die heeft plaatsgevonden als gevolg van redelijke waakzaamheid kan resulteren in een financiële sanctie van $ 1.000 – $ 50.000.
- Een inbreuk op de HIPAA-voorschriften die heeft plaatsgevonden als gevolg van redelijke waakzaamheid kan resulteren in een financiële sanctie van $ 1.000 – $ 50.000.
- Een overtreding die plaatsvond als gevolg van opzettelijke verwaarlozing die binnen dertig dagen wordt aangepakt, leidt tot een financiële sanctie van $10.000 tot $50.000.
- Een overtreding die plaatsvond als gevolg van opzettelijke verwaarlozing die niet binnen dertig dagen wordt aangepakt, leidt tot een maximale financiële sanctie van $50.000.
De hier opgenomen cijfers geven de financiële sancties weer die door OCR kunnen worden gesanctioneerd. Procureurs-generaal kunnen ook financiële sancties opleggen als een inbreuk op PHI in strijd is met de wetgeving van de staat; en – als kan worden aangetoond dat een persoon schade heeft geleden als gevolg van de nalatigheid van een Covered Entity of Business Associate – is het voor de persoon ook mogelijk een civiele rechtszaak aan te spannen voor schadevergoeding. In sommige rechtsgebieden kan het bedrag van de toegekende punitieve schadevergoeding hoger zijn dan de maximale boete van $ 1,5 miljoen (per overtreding) die de OCR kan opleggen.
Wakefern Food Corporation schikt HIPAA-inbreukzaak met NJ Attorney General voor $ 235.000
Naar aanleiding van claims over inbreuken op federale en staatswetgeving, gekoppeld aan een datalek waarbij de beschermde gezondheidsinformatie van 9.700 klanten van twee ShopRite-supermarkten in Millville, New Jersey en Kingston NY betrokken was, is Wakefern Food Corporation overeengekomen om $ 235.000 aan civiele financiële boetes te betalen en een reeks beveiligingsverbeteringen door te voeren.
Lees hier meer.
48,2 miljoen dollar aan HIPAA-boetes betaald door Anthem om onderzoeken naar datalekken door State Attorneys General af te wikkelen
Anthem Inc. is tot een overeenkomst gekomen om acties te schikken van State Attorneys General in verschillende Amerikaanse staten in verband met de datalek van 78,8 miljoen records in 2014. Samen met de financiële boete van $ 48,2 miljoen heeft Anthem toegezegd een aantal corrigerende acties uit te voeren om de gegevensbeveiligingspraktijken te verbeteren. Deze omvatten stappen zoals het configureren van een grondig informatiebeveiligingsprogramma met behulp van de principes van zero trust-architectuur. Voortdurende beveiligingsupdates worden nu gedeeld met de raad van bestuur en belangrijke beveiligingsgebeurtenissen worden zo snel mogelijk aan de CEO gemeld.
Lees hier meer.
Grays Harbor Community Hospital Ransomware Lawsuit May be Settled for $185,000
Na bemiddelingsgesprekken is er een akkoord bereikt over een voorgestelde schikking tussen Grays Harbor Community Hospital en Harbor Medical Group en de representatieve eiser in een voorgestelde class action rechtszaak die verband houdt met een ransomware-aanval in juni 2019 die leidde tot de versleuteling van patiëntgegevens.
Lees hier meer.
HIPAA-overtredingszaak geschikt tussen Ambulancebedrijf & OCR voor $ 65.000
Het Office for Civil Rights (OCR) van het ministerie van Volksgezondheid en Human Services heeft onthuld dat een HIPAA-overtredingsschikking van $ 65.000 is overeengekomen met West Georgia Ambulance, Inc, om meerdere schendingen van de regels van de Health Insurance Portability and Accountability Act aan te pakken.
Lees hier meer.