Co się dzieje z obiektami po naruszeniach HIPAA?
Wiele firm, takich jak szpitale, ubezpieczyciele i lekarze, ma dostęp do osobistych informacji medycznych. Rząd federalny uchwalił w 1996 r. Ustawę o przenośności ubezpieczeń zdrowotnych i odpowiedzialności, zwaną HIPAA, w celu ochrony informacji. HIPAA wymaga od wielu firm zachowania poufności informacji medycznych. Jeśli Twoja placówka narusza wymagania HIPAA, może okazać się to kosztownym błędem.
Dostarczanie złych wiadomości
Jedną z pierwszych rzeczy, które twój zakład musi zrobić po naruszeniu, jest powiadomienie ofiar. Zasada powiadamiania o naruszeniu HIPAA mówi, że wszyscy dotknięci tym problemem muszą skontaktować się pocztą lub e-mailem, jeśli wyrazili na to zgodę. Robisz to bez żadnych nieuzasadnionych opóźnień i nigdy nie później niż 60 dni po odkryciu naruszenia. Obwieszczenie zawiera szczegóły naruszenia, rodzaj informacji i wszelkie kroki, jakie pacjenci powinni podjąć, aby zminimalizować szkody. Jeśli naruszenie dotyczy więcej niż 500 osób, być może będziesz musiał poinformować o tym również media.
Rozpoczyna się dochodzenie
Biuro ds. Praw Obywatelskich rządu federalnego (OCR) jest oddziałem Departamentu Zdrowia i Opieki Społecznej odpowiedzialnym za egzekwowanie HIPAA. To często obejmuje zbadanie obiektu w następstwie naruszenia. OCR może powiadomić Cię z wyprzedzeniem lub zaplanować kontrolę niespodzianki. Inspektor OCR zajmie się twoimi zasadami i procedurami, szkoleniem pracowników, umowami z partnerami biznesowymi - w jaki sposób będziesz ich wymagać w celu postępowania z informacjami medycznymi - oraz twoimi wewnętrznymi zasadami zarządzania ryzykiem. Jeśli agencja rozpocznie śledztwo, przygotuj się na dostarczenie żądanych dokumentów.
Kary i kara
Jeśli rząd uzna winę za awarię, może zastosować kary zarówno cywilne, jak i karne. Maksymalna kara cywilna wynosi 50 000 USD za naruszenie, przy maksymalnej łącznej wartości 1, 5 miliona USD. Minimalna kara wynosi 100 $, jeśli osoba odpowiedzialna nie mogła wiedzieć, że narusza HIPAA. Jeśli rząd znajdzie umyślne zaniedbanie i zauważy, że nie podjęto prób rozwiązania tego problemu, minimalna kwota wynosi 50 000 USD za każde naruszenie. Może również wykluczyć twój zakład z uczestnictwa w Medicare.
Sankcje karne
Sankcje karne za naruszenia HIPAA mogą obejmować zarówno grzywny, jak i kary więzienia. Świadome uzyskiwanie lub ujawnianie informacji może przynieść grzywnę w wysokości 50 000 USD i rok w więzieniu. Sprzedawanie, przekazywanie lub wykorzystywanie poufnych informacji zdrowotnych dla osobistych korzyści z naruszeniem zasad może prowadzić do 250 000 USD grzywien i 10 lat za kratkami. Departament Sprawiedliwości twierdzi, że może zastosować kary do zakładów, kierowników i pracowników, w zależności od okoliczności.