Wyszczególnione tutaj jest podsumowanie niektórych z najbardziej znaczących przypadków naruszenia HIPAA, które doprowadziły do ugody z Department of Health and Human Services 'Office for Civil Rights (OCR).
Wymieniliśmy również niektóre przypadki, które były ścigane przez OCR po zidentyfikowaniu szeregu naruszeń HIPAA w trakcie dochodzeń w sprawie naruszenia danych HIPAA oraz dochodzeń w sprawie skarg złożonych przez pacjentów i personel służby zdrowia.
OCR zwiększył swoje możliwości egzekwowania prawa od 2018 r., Prowadząc do dodatkowych przypadków naruszenia HIPAA, które uzasadniają kary finansowe, takie jak ugody i cywilne grzywny pieniężne. Do tej pory w 2017 r. wydano dziewięć grzywien HIPAA w celu rozwiązania spraw dotyczących naruszeń. W 2016 r., rekordowym okresie 12 miesięcy dla egzekwowania zasad HIPAA, było 12 ugód i jedna cywilna kara pieniężna wydana w celu rozstrzygnięcia incydentów naruszenia HIPAA.
Dzięki zwiększeniu możliwości egzekwowania, OCR wskazuje, że wszelkie naruszenia zasad HIPAA prowadzą do najsurowszej możliwej kary.
- Konsekwencje naruszenia zasad HIPAA
- Wakefern Food Corporation Settles HIPAA Breach Case with NJ Attorney General for $235,000
- $48.2 Million In HIPAA Penalties Paid by Anthem to Settles State Attorneys General Data Breach Investigations
- Grays Harbor Community Hospital Ransomware Lawsuit May be Settled for $185,000
- HIPAA Violation Case Settled Between Ambulance Company & OCR for $65,000
Konsekwencje naruszenia zasad HIPAA
Konsekwencje naruszenia zasad HIPAA mogą być poważne i należy pamiętać, że grzywny za naruszenie zasad HIPAA mogą być nakładane przez HHS´ Office for Civil Rights (OCR), nawet jeśli nie doszło do naruszenia PHI. Konsekwencje finansowe naruszenia HIPAA zależą od zakresu zaniedbania i – jeśli naruszenie miało miejsce – ilości rekordów potencjalnie narażonych przez naruszenie oraz niebezpieczeństwa, które może być spowodowane przez nieuprawnione ujawnienie:
- Naruszenie HIPAA, które miało miejsce z powodu niewiedzy, może skutkować karą finansową w wysokości 100-50 000 USD.
- Naruszenie, które miało miejsce w wyniku uzasadnionej czujności, może skutkować karą finansową w wysokości 1 000-50 000 USD.
- Naruszenie, które miało miejsce w wyniku umyślnego zaniedbania, które jest adresowane w ciągu trzydziestu dni spowoduje karę finansową w wysokości od $10,000 do $50,000.
- Naruszenie, które miało miejsce w wyniku umyślnego zaniedbania, które nie jest adresowane w ciągu 30 dni doprowadzić do maksymalnej kary finansowej w wysokości $50,000.
Liczby zawarte tutaj reprezentują kary finansowe mogą być sankcjonowane przez OCR. Prokuratorzy Generalni mogą również nakładać kary finansowe, jeżeli naruszenie PHI narusza ustawodawstwo stanowe; oraz – jeżeli można wykazać, że osoba fizyczna poniosła szkodę w wyniku zaniedbania Objętego Podmiotu lub Współpracownika Biznesowego – możliwe jest również, aby osoba fizyczna wszczęła proces cywilny o odszkodowanie. W niektórych jurysdykcjach prawnych kwota przyznanego odszkodowania karnego może przekraczać maksymalną grzywnę w wysokości 1,5 miliona USD (za naruszenie), która może zostać nałożona przez OCR.
Wakefern Food Corporation Settles HIPAA Breach Case with NJ Attorney General for $235,000
W następstwie roszczeń dotyczących naruszenia przepisów federalnych i stanowych, związanych z naruszeniem danych obejmujących chronione informacje zdrowotne 9,700 klientów dwóch supermarketów ShopRite w Millville, New Jersey i Kingston NY, Wakefern Food Corporation zgodziła się zapłacić $235,000 w cywilnych karach finansowych i wdrożyć szereg ulepszeń bezpieczeństwa.
Czytaj więcej tutaj.
$48.2 Million In HIPAA Penalties Paid by Anthem to Settles State Attorneys General Data Breach Investigations
Anthem Inc. doszedł do porozumienia w celu rozliczenia działań przez stanowych prokuratorów generalnych w różnych stanach USA w związku z naruszeniem danych o 78,8 mln rekordów w 2014 roku. Wraz z karą finansową w wysokości 48,2 mln USD, Anthem zobowiązał się do wdrożenia szeregu działań naprawczych w celu poprawy praktyk w zakresie bezpieczeństwa danych. Obejmują one takie kroki, jak skonfigurowanie dokładnego programu bezpieczeństwa informacji z wykorzystaniem zasad architektury zero zaufania. Bieżące aktualizacje zabezpieczeń są teraz udostępniane zarządowi, a znaczące zdarzenia związane z bezpieczeństwem są zgłaszane tak szybko, jak to możliwe do dyrektora generalnego.
Czytaj więcej tutaj.
Grays Harbor Community Hospital Ransomware Lawsuit May be Settled for $185,000
Po rozmowach mediacyjnych doszło do porozumienia w sprawie proponowanej ugody pomiędzy Grays Harbor Community Hospital i Harbor Medical Group a reprezentatywnym powodem w proponowanym pozwie zbiorowym związanym z atakiem ransomware z czerwca 2019 roku, który doprowadził do zaszyfrowania danych pacjentów.
Czytaj więcej tutaj.
HIPAA Violation Case Settled Between Ambulance Company & OCR for $65,000
The Department of Health and Human Services’ Office for Civil Rights (OCR) has revealed a $65,000 HIPAA violation settlement has been agreed with West Georgia Ambulance, Inc., w celu rozwiązania wielokrotnych naruszeń zasad ustawy o przenoszeniu i odpowiedzialności za ubezpieczenia zdrowotne.
Czytaj więcej tutaj.