Der Health Insurance Portability and Accountability Act ist seit 1996 in Kraft. Er erforderte die Entwicklung nationaler Standards zum Schutz der Privatsphäre von Patienten. Gemäß diesem Bundesgesetz dürfen die geschützten Gesundheitsinformationen (PHI) eines Patienten nicht ohne dessen Wissen oder Zustimmung weitergegeben oder verwendet werden.
Gesetze, die so umfangreich und komplex sind wie das HIPAA, werden auf Probleme stoßen. HIPAA-Verstöße sind zu erwarten und unvermeidlich. Selbst die kompetenteste Einrichtung oder das bestens ausgebildete Personal werden Fehler machen. Kleinere Verstöße sind selbstverständlich und werden schnell behoben.
Eine Datenschutzverletzung ist eine andere Sache. Einem Bericht zufolge waren von 250 bis 2005 rund 2019 Millionen Amerikaner von Sicherheitsverletzungen betroffen. Verstöße aufgrund menschlicher Fehler und mangelnder Ausbildung können auch schwerwiegende Probleme für Gesundheitsorganisationen und Patienten verursachen.
HIPAA-Verstöße kann vermieden werden. In diesem Artikel werden häufig gestellte Fragen zu HIPAA-Verstößen erörtert. Die bereitgestellten Informationen werden Unternehmen hoffentlich helfen, HIPAA-konform zu sein.
Was ist eine HIPAA-Verletzung?
Eine HIPAA-Verletzung ist ein Versäumnis einer betroffenen Einheit oder eines Geschäftspartners, die HIPAA-Regeln zu befolgen. Die Standards und Bestimmungen für dieses Gesetz werden in 45 CFR Teile 160, 162 und 164 erläutert.
HIPAA-Verstöße treten im Wesentlichen auf, wenn das Sammeln, der Zugriff, die Verwendung, das Teilen oder die Diskussion von geschützten Gesundheitsinformationen dazu führt, dass der Patient einem Risiko ausgesetzt wird.
Die HIPAA hat mehrere spezifische Regeln, die jede Gesundheitsorganisation, jeder Mitarbeiter und jeder Geschäftspartner kennen und einhalten sollte. Diese sind:
- HIPAA-Datenschutzregel
- HIPAA-Sicherheitsregel
- HIPAA-Durchsetzungsregel
- HITECH-Gesetz
- HIPAA Omnibus-Regel
Was sind die häufigsten Verstöße?
HIPAA-Verstöße variieren. Die häufigste betrifft die Verwendung und Offenlegung von PHI. Aber es gibt noch andere Verstöße, die ein Geschäftspartner oder eine betroffene juristische Person begehen kann. Hier sind Beispiele für häufige HIPAA-Verstöße:
- Unangemessener Zugriff, Offenlegung oder Verwendung von persönlichen Gesundheitsinformationen
- Unbefugter PHI-Zugriff
- Falsche Entsorgung von PHI
- Versäumnis, angemessene Risikoanalysen durchzuführen
- Versäumnis, Risiken für die Verfügbarkeit, Vertraulichkeit und Integrität von PHI zu überwachen
- Versäumnis, vorbeugende Maßnahmen zu ergreifen, um die Verfügbarkeit, Vertraulichkeit und Integrität von PHI sicherzustellen
- Versäumnis, Zugriffsprotokolle auf PHI zu überwachen und zu pflegen
- Versäumnis, ein HIPAA-konformes Business Associate Agreement (BAA) abzuschließen, bevor PHI geteilt wird
- Versäumnis, Patienten eine Rechenschaft über die angeforderten Offenlegungen zu geben
- Versäumnis, die Zugriffsrechte von Arbeitnehmern auf PHI zu kündigen, wenn sie nicht mehr im Unternehmen sind
- Versäumnis, vorgeschriebene Sicherheitsbewusstseinsschulungen bereitzustellen
- Teilen von PHU in sozialen Medien ohne schriftliche Genehmigung des Patienten
- SMS unverschlüsselt PHI
- Fehler beim Verschlüsseln von PHI
Was passiert, wenn ein Unternehmen/eine Person gegen die HIPAA-Regeln verstößt?
Was passiert, wenn jemand gegen die HIPAA-Regeln verstößt, hängt von der Art des Verstoßes und seiner Schwere ab. Es gibt vier mögliche Konsequenzen:
- Das Unternehmen wird den Verstoß intern behandeln.
- Der Vertrag des Täters wird gekündigt.
- Das Unternehmen oder der Mitarbeiter wird von Berufsverbänden sanktioniert.
- Das Unternehmen oder der Mitarbeiter wird strafrechtlich verfolgt. Die Untersuchung des Verstoßes kann zu Geld- oder Gefängnisstrafen führen.
Mehrere Faktoren bestimmen die Folgen von HIPAA-Verstößen. Die betroffene Organisation, Bundesbehörden, Berufsverbände, das Office of Civil Rights (OCR) und das Justizministerium werden Folgendes prüfen:
- Art der HIPAA-Verletzung
- Ob es einen klaren Hinweis darauf gibt, dass HIPAA-Regeln verletzt wurden, oder durchgeführte Untersuchungen ergaben, dass ein Verstoß aufgetreten ist
- Es werden Maßnahmen ergriffen, um den Fehler zu beheben
- Nachweis, dass die Verletzung der HIPAA-Regeln in böswilliger Absicht oder zum persönlichen Vorteil erfolgte
- Nachweis des durch den Verstoß verursachten Schadens
- Anzahl der Personen, die von der HIPAA-Verletzung betroffen sind
- Beweis der Verletzung der strafrechtlichen Bestimmungen von HIPAA
Als Vollstreckungsorgan für HIPAA wird das OCR die mutmaßlichen HIPAA-Verstöße untersuchen, die von Gesundheitsorganisationen und Patienten gemeldet wurden. Die Abteilung geht auch Beschwerden gegen betroffene Unternehmen nach. Die Generalstaatsanwälte können auch Meldungen über Datenschutzverletzungen nachgehen.
Was sind die Strafen für HIPAA-Verstöße?
HIPAA-Verstöße fallen unter zwei Kategorien – zivil- oder strafrechtlich. Jede Kategorie hat ihre Strafstruktur.
- Zivilrechtliche Sanktionen: Diese gelten für Fälle, in denen der Verstoß ohne böswillige Absicht geschah. Beispielsweise wusste der Mitarbeiter nicht, dass seine Handlung falsch war. Auch durch Fahrlässigkeit oder Fahrlässigkeit verursachte Fehler fallen unter diese Strafstruktur. Dies kann den Einzelnen zwischen 100 und 50,000 US-Dollar an Bußgeldern kosten.
- Strafrechtliche Sanktionen: In böswilliger Absicht begangene HIPAA-Verstöße fallen in diese Kategorie. Eine Person, die wissentlich auf PHI zugreift und sie weitergibt, kann mit einer Geldstrafe von 50,000 US-Dollar und einer einjährigen Haftstrafe belegt werden. Die Strafe für Verstöße, die zum persönlichen Vorteil begangen werden, wie der Verkauf von PHI, kann eine Geldstrafe von 250,000 US-Dollar und eine Gefängnisstrafe von 10 Jahren betragen.
Quelle: Plato Data Intelligence: PlatoData.io
