Här listas en sammanfattning av några av de viktigaste fallen av HIPAA-överträdelser som har lett till förlikningsavtal med Office for Civil Rights (OCR) vid Department of Health and Human Services.
Vi har också listat några fall som har drivits av OCR efter att ett antal HIPAA-överträdelser identifierats i samband med under HIPAA dataöverträdelseutredningar och utredningar av klagomål som lämnats in av patienter och sjukvårdspersonal.
OCR har utökat sina verkställighetskapaciteter sedan 2018, vilket har lett till ytterligare HIPAA-överträdelsefall som berättigar till ekonomiska påföljder, t.ex. förlikningar och civila monetära böter. Hittills under 2017 har det utfärdats nio HIPAA-böter för att lösa fall av överträdelser. Under 2016, en rekordperiod på 12 månader för verkställighet av HIPAA-reglerna, utfärdades 12 förlikningar och en civilrättslig monetär sanktion för att lösa HIPAA-överträdelseärenden.
På grund av att OCR har förbättrat sin verkställighetskapacitet anger det att varje överträdelse av HIPAA-reglerna leder till det strängaste möjliga straffet.
- Konsekvenser av att bryta mot HIPAA Breach Consequences
- Wakefern Food Corporation löser HIPAA-överträdelseärendet med NJ Attorney General för 235 000 dollar
- Anthem betalar 48,2 miljoner dollar i HIPAA-böter för att lösa utredningar om dataintrång från delstatsåklagare
- Grays Harbor Community Hospital Ransomware Lawsuit May be Settled for $185,000
- HIPAA-överträdelseärende regleras mellan ambulansföretag & OCR för 65 000 dollar
Konsekvenser av att bryta mot HIPAA Breach Consequences
Konsekvenserna av att bryta mot HIPAA kan vara allvarliga och det är viktigt att komma ihåg att böter för en HIPAA-överträdelse kan bestraffas av HHS´ Office for Civil Rights (OCR) även om inget brott mot PHI har ägt rum. De ekonomiska konsekvenserna av att bryta mot HIPAA beror på omfattningen av oaktsamhet och – om ett brott har ägt rum – på hur många journaler som eventuellt exponeras av brottet och den fara som kan orsakas av det obehöriga avslöjandet:
- Ett brott mot HIPAA som ägde rum på grund av okunskap kan resultera i en ekonomisk påföljd på 100 – 50 000 dollar.
- Ett brott som ägde rum som ett resultat av rimlig vaksamhet kan resultera i en ekonomisk påföljd på 1 000 – 50 000 dollar.
- En överträdelse som skedde till följd av uppsåtlig försummelse som åtgärdas inom trettio dagar leder till en ekonomisk påföljd på mellan 10 000 och 50 000 dollar.
- En överträdelse som skedde till följd av uppsåtlig försummelse som inte åtgärdas inom trettio dagar leder till en maximal ekonomisk påföljd på 50 000 dollar.
Siffrorna som ingår här representerar de ekonomiska påföljder som kan sanktioneras av OCR. Om det kan visas att en enskild person har lidit skada till följd av försumlighet från en täckt enhet eller en affärspartner är det också möjligt för den enskilde att inleda en civilrättslig process för att få ersättning. I vissa juridiska jurisdiktioner kan beloppet för straffskadestånd som utdelas överstiga det maximala bötesbeloppet på 1,5 miljoner dollar (per överträdelse) som OCR kan utdöma.
Wakefern Food Corporation löser HIPAA-överträdelseärendet med NJ Attorney General för 235 000 dollar
Efter påståenden om överträdelser av federal och delstatlig lagstiftning, kopplade till en dataöverträdelse som involverade skyddade hälsouppgifter för 9 700 kunder hos två ShopRite-supermarknader i Millville, New Jersey och Kingston, New York, har Wakefern Food Corporation gått med på att betala 235 000 dollar i civilrättsliga ekonomiska påföljder och att genomföra en rad säkerhetsförbättringar.
Läs mer här.
Anthem betalar 48,2 miljoner dollar i HIPAA-böter för att lösa utredningar om dataintrång från delstatsåklagare
Anthem Inc. har ingått en överenskommelse om att lösa åtgärder som vidtagits av delstatsåklagare i olika amerikanska delstater i samband med dataintrånget från 2014 med 78,8 miljoner uppgifter. Tillsammans med den ekonomiska påföljden på 48,2 miljoner dollar har Anthem åtagit sig att genomföra ett antal korrigerande åtgärder för att förbättra datasäkerhetsrutinerna. Dessa inkluderar åtgärder som att konfigurera ett grundligt informationssäkerhetsprogram med hjälp av principerna för nollförtroendearkitektur. Fortlöpande säkerhetsuppdateringar delas nu med styrelsen och betydande säkerhetshändelser rapporteras så snart som möjligt till vd:n.
Läs mer här.
Grays Harbor Community Hospital Ransomware Lawsuit May be Settled for $185,000
Efter medlingsförhandlingar har man kommit överens om en föreslagen uppgörelse mellan Grays Harbor Community Hospital och Harbor Medical Group och den representativa käranden i en föreslagen grupptalan som är kopplad till en ransomware-attack i juni 2019 som ledde till kryptering av patientdata.
Läs mer här.
HIPAA-överträdelseärende regleras mellan ambulansföretag & OCR för 65 000 dollar
Det amerikanska hälsovårdsdepartementets Office for Civil Rights (OCR) har avslöjat att man kommit överens om en reglering för HIPAA-överträdelse på 65 000 dollar med West Georgia Ambulance, Inc, för att åtgärda flera överträdelser av reglerna i Health Insurance Portability and Accountability Act.
Läs mer här.