As violações HIPAA mais comuns que você deve estar ciente
As violações HIPAA mais comuns que resultaram em penalidades financeiras são a falha em realizar uma análise de risco em toda a organização para identificar riscos à confidencialidade e integridade e disponibilidade de informações protegidas de saúde (PHI); a falha em entrar em um acordo de parceiro comercial em conformidade com a HIPAA; divulgações inadmissíveis de PHI; notificações de violação atrasadas; e a falha em salvaguardar o PHI.
Os acordos perseguidos pelo Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos (OCR) são por violações flagrantes das Regras da HIPAA. Acordos também são buscados para destacar violações comuns da HIPAA para aumentar a conscientização sobre a necessidade de cumprir aspectos específicos das Regras da HIPAA.
Este artigo cobre cinco das violações mais comuns da HIPAA que resultaram em acordos com entidades cobertas e seus parceiros de negócios nos últimos anos.
As violações de dados da HIPAA são?
As violações de dados agora são um fato da vida. Mesmo com defesas de segurança cibernética em várias camadas, é provável que ocorram violações de dados de vez em quando. O OCR entende que as organizações de saúde estão sendo visadas por cibercriminosos e que não é possível implementar defesas de segurança inexpugnáveis.
Estar em conformidade com o HIPAA não significa garantir que as violações de dados nunca aconteçam. A conformidade com a HIPAA trata da redução do risco a um nível adequado e aceitável. Só porque uma organização experimenta uma violação de dados, isso não significa que a violação foi o resultado de uma violação da HIPAA.
O portal de violação de OCR agora reflete isso com mais clareza. Muitas violações de dados são investigadas pelo OCR e não envolvem quaisquer violações das regras da HIPAA. Consequentemente, as investigações são encerradas sem que nenhuma ação seja tomada.
Como as violações da HIPAA são descobertas?
As violações da HIPAA podem continuar por muitos meses, ou até anos, antes de serem descobertas. Quanto mais tempo eles persistirem, maior será a penalidade quando forem finalmente descobertos. Portanto, é importante que as entidades cobertas pela HIPAA conduzam análises de conformidade regulares da HIPAA para garantir que as violações da HIPAA sejam descobertas e corrigidas antes de serem identificadas pelos reguladores.
Existem três maneiras principais de as violações da HIPAA serem descobertas:
- Investigações sobre uma violação de dados por OCR (ou procuradores-gerais do estado)
- Investigações sobre reclamações sobre entidades cobertas e associados de negócios
- Auditorias de conformidade HIPAA
Mesmo quando uma violação de dados não envolve uma violação do HIPAA, ou uma reclamação se mostra infundada, o OCR pode descobrir violações não relacionadas do HIPAA que podem justificar uma penalidade financeira.
O que são as 10 violações HIPAA mais comuns?
Listadas abaixo estão 10 das violações HIPAA mais comuns, juntamente com exemplos de entidades cobertas pela HIPAA e associados de negócios que foram descobertos em violação das regras da HIPAA e que teve que resolver essas violações com OCR e procuradores-gerais estaduais. Em muitos casos, as investigações descobriram várias violações da HIPAA. Os valores do acordo refletem a gravidade da violação, o período de tempo em que a violação foi permitida persistir, o número de violações identificadas e a posição financeira da entidade coberta / parceiro de negócios.
Snooping on Healthcare Registros
O acesso aos registros de saúde de pacientes por motivos diferentes dos permitidos pela Regra de Privacidade – tratamento, pagamento e operações de saúde – é uma violação da privacidade do paciente. Bisbilhotar os registros de saúde de familiares, amigos, vizinhos, colegas de trabalho e celebridades é uma das violações da HIPAA mais comuns cometidas por funcionários. Quando descobertas, essas violações geralmente resultam em rescisão do contrato de trabalho, mas também podem resultar em acusações criminais para o funcionário em questão. Penalidades financeiras para organizações de saúde que não conseguiram evitar a espionagem são relativamente incomuns, mas são possíveis conforme o Sistema de Saúde da Universidade da Califórnia de Los Angeles descobriu.
O Sistema de Saúde da Universidade da Califórnia de Los Angeles foi multado em US $ 865.000 por não restringir acesso a prontuários médicos. O provedor de saúde foi investigado após a descoberta de que um médico acessou os registros médicos de celebridades e outros pacientes sem autorização. O Dr. Huping Zhou acessou os registros dos pacientes sem autorização 323 vezes, depois de saber que logo seria dispensado. Dr. Zhou se tornou o primeiro funcionário da área de saúde a ser preso por uma violação da HIPAA e foi condenado a quatro meses de prisão federal.
Falha ao realizar uma análise de risco em toda a organização
A falha realizar uma análise de risco em toda a organização é uma das violações HIPAA mais comuns que resultam em penalidades financeiras.Se a análise de risco não for realizada regularmente, as organizações não serão capazes de determinar se existem vulnerabilidades à confidencialidade, integridade e disponibilidade de PHI. Os riscos, portanto, provavelmente permanecerão sem solução, deixando a porta aberta para os hackers.
Os acordos da HIPAA com entidades cobertas pela falha em realizar uma avaliação de risco em toda a organização incluem:
- Premera Blue Cross – liquidação de $ 6.850.000 para análise de risco e falhas de gerenciamento de risco e outras violações potenciais da HIPAA
- Plano de saúde Excellus – liquidação de $ 5.100.000 para análise de risco e falhas de gestão de risco e outras violações potenciais da HIPAA
- Oregon Health & Science University – liquidação de $ 2,7 milhões pela falta de uma análise de risco em toda a empresa.
- Cardionet – liquidação de $ 2,5 milhões por risco incompleto análise e falta de processos de gestão de risco.
- Cancer Care Group – indenização de $ 750.000 pela falha em realizar uma análise de risco em toda a empresa.
- Lahey Hospital and Medical Center – indenização de $ 850.000 para o falha em conduzir uma avaliação de risco em toda a organização e ou suas violações do HIPAA.
- Steven A. Porter, MD – multa de $ 100.000 por análise de risco e falhas de gerenciamento de risco.
Falha em gerenciar riscos de segurança / falta de gerenciamento de risco Processo
Realizar uma análise de risco é essencial, mas não é apenas um item de caixa de seleção para conformidade. Os riscos identificados devem ser submetidos a um processo de gerenciamento de riscos. Eles devem ser priorizados e tratados em um prazo razoável. Saber sobre os riscos para PHI e deixar de abordá-los, uma das violações HIPAA mais comuns penalizadas pelo Office for Civil Rights.
Os acordos HIPAA com entidades cobertas pela falha em gerenciar riscos identificados incluem:
- Departamento de Saúde e Serviços Sociais do Alasca – multa de US $ 1,7 milhão por não realização de análises de risco e falhas de gerenciamento de risco.
- Universidade de Massachusetts Amherst (UMass) – multa de US $ 650.000 por falha de gerenciamento de risco .
- Metro Community Provider Network – penalidade de US $ 400.000 por falhas de gerenciamento de risco.
- Serviços de saúde mental da comunidade de Anchorage – penalidade de US $ 150.000 por falha no gerenciamento de risco para ePHI.
Negando aos pacientes o acesso aos registros de saúde / Excedendo o prazo para fornecer acesso
A regra de privacidade da HIPAA dá aos pacientes o direito de acessar seus registros médicos e obter cópias mediante solicitação. Isso permite que os pacientes verifiquem seus registros em busca de erros e os compartilhe com outras entidades e indivíduos. Negar aos pacientes cópias de seus registros de saúde, cobrar demais por cópias ou deixar de fornecer esses registros em 30 dias é uma violação da HIPAA. O OCR transformou as violações do direito de acesso da HIPAA em um de seus principais objetivos de aplicação no final de 2019.
Os acordos da HIPAA com entidades cobertas por negar aos pacientes o acesso aos seus registros ou atrasos desnecessários no fornecimento de acesso incluem:
- Cignet Health do condado de Prince Georges – multa de $ 4.300.000 por negar aos pacientes o acesso a seus registros médicos.
- Banner Health – $ 200.000 de multa por atraso na resposta à solicitação do paciente de uma cópia de seus registros médicos.
- Dignity Health, dba St. Josephs Hospital and Medical Center – multa de $ 160.000 por atraso na resposta à solicitação do paciente de uma cópia de seus registros médicos.
- NY Spine – multa de $ 100.000 por atraso na resposta ao paciente solicitação de cópia de seus registros médicos.
- Beth Israel Lahey Health Behavioral Services – multa de $ 70.000 por atraso na resposta à solicitação do paciente de cópia de seus registros médicos.
- University of Cincinnati Medical Centro – multa de $ 65.000 para de assentou a resposta ao pedido do paciente de uma cópia de seus registros médicos.
- Housing Works Inc – multa de $ 38.000 por atraso na resposta ao pedido do paciente de uma cópia de seus registros médicos.
- Peter Wrobel, MD, PC, dba Elite Primary Care – multa de $ 36.000 por atraso na resposta ao pedido do paciente de uma cópia de seus registros médicos.
- Riverside Psychiatric Medical Group – multa de $ 25.000 por atraso na resposta ao pedido do paciente de uma cópia de seu registros médicos.
- Dr. Rajendra Bhayani – multa de $ 15.000 por atraso na resposta à solicitação do paciente de uma cópia de seus registros médicos.
- All Inclusive Medical Services Inc – multa de $ 15.000 por atraso na resposta a pedido do paciente para uma cópia de seus registros médicos.
- Wise Psychiatry, PC – multa de $ 10.000 por resposta atrasada ao pedido do paciente de cópia de seus registros médicos.
- King MD – pena de $ 3.500 para resposta atrasada ao pedido do paciente para uma cópia de seu médico r ecords.
Falha ao celebrar um contrato de parceiro comercial compatível com HIPAA
A falha em celebrar um contrato de parceiro comercial compatível com HIPAA com todos os fornecedores fornecidos ou dados o acesso ao PHI é outra das violações mais comuns da HIPAA. Mesmo quando os acordos de parceria comercial são mantidos para todos os fornecedores, eles podem não estar em conformidade com a HIPAA, especialmente se não tiverem sido revisados após a Regra Final Omnibus.
Acordos notáveis para essas violações HIPAA comuns incluem:
- Raleigh Orthopaedic Clinic, PA da Carolina do Norte – acordo de US $ 750.000 pela não execução de um contrato de parceria comercial em conformidade com a HIPAA.
- North Memorial Health Care of Minnesota – acordo de US $ 1,55 milhão pela não celebração de um BAA com um contratante principal e outro HIPAA violações.
- Care New England Health System – acordo de US $ 400.000 pela falha na atualização dos contratos de parceiros comerciais
Controles de acesso ePHI insuficientes
A segurança HIPAA A regra exige que as entidades cobertas e seus associados de negócios limitem o acesso ao ePHI a indivíduos autorizados. A falha em implementar controles de acesso de ePHI apropriados também é uma das violações mais comuns da HIPAA e que atraiu várias penalidades financeiras.
As penalidades financeiras emitidas para entidades cobertas por falhas de controle de acesso de ePHI incluem:
- Anthem Inc. – multa de $ 16.000.000 por falhas de controle de acesso e outras violações graves da HIPAA.
- Memorial Healthcare System – multa de $ 5.500.000 por controles de acesso insuficientes de ePHI.
- Departamento do Texas Serviços de Envelhecimento e Incapacidade – multa de US $ 1.600.000 por falhas de análise de risco, falhas de controle de acesso e falhas de monitoramento do sistema de informações.
- Sistema de Saúde da Universidade da Califórnia em Los Angeles – multa de US $ 865.500 por falha em restringir o acesso a registros médicos.
- Pagosa Springs Medical Center – multa de $ 111.400 pelo não encerramento do acesso ao ePHI após o desligamento de um funcionário e pela falta de um contrato de parceria comercial.
Falha no uso de criptografiaou uma medida equivalente para proteger o ePHI em dispositivos portáteis
Um dos métodos mais eficazes de prevenção de violações de dados é criptografar o PHI. Violações de PHI criptografadas não são incidentes de segurança relatáveis, a menos que a chave para descriptografar os dados também seja roubada. A criptografia não é obrigatória pelas regras da HIPAA, mas não pode ser ignorada. Se for tomada a decisão de não usar criptografia, uma alternativa, medida de segurança equivalente deve ser usada em seu lugar.
Acordos recentes para a falha em proteger PHI incluem:
- Childrens Medical Center of Dallas – multa monetária civil de $ 3,2 milhões por não tomar medidas para lidar com os riscos conhecidos, incluindo a falha no uso de criptografia em dispositivos portáteis.
- Serviços Católicos de Saúde da Arquidiocese de Filadélfia – acordo de $ 650.000 pela falha no uso de criptografia, falha em conduzir uma análise de risco em toda a empresa e em gerenciar riscos.
- Entidade Afiliada Coberta do Sistema de Saúde da Vida – $ 1.040.000 de multa por falha na criptografia de dados e de dispositivo e mídia controles, resultando na divulgação inadmissível de ePHI de 20.431 pacientes
Excedendo o prazo de 60 dias para emissão de notificações de violação
A regra de notificação de violação da HIPAA exige que as entidades cobertas emitam notificações de violações sem atrasos desnecessários e, certamente, no máximo 60 dias após a descoberta de uma violação de dados. Exceder esse prazo é uma das violações mais comuns da HIPAA, que viu duas penalidades emitidas este ano:
- Presence Health – liquidação de $ 475.000 por atrasar a emissão de notificações de violação em um mês.
- CoPilot Provider Support Services Inc. – acordo de $ 130.000 com o Procurador-Geral de NY para notificações de violação atrasadas.
Divulgações inadmissíveis de informações protegidas de saúde
Qualquer divulgação de informações de saúde protegidas que não são permitidas pela regra de privacidade da HIPAA podem gerar uma penalidade financeira. Esta categoria de violação inclui divulgar PHI para o empregador de um paciente, divulgações potenciais após o roubo ou perda de laptops não criptografados, manuseio descuidado de PHI, divulgar PHI desnecessariamente, não aderir ao padrão “mínimo necessário” e divulgações de PHI após as autorizações do paciente terem expirou.
Acordos para divulgações inadmissíveis de PHI incluem:
- Memorial Hermann Health System – acordo de $ 2,4 milhões para divulgação de PHI de um paciente em um comunicado à imprensa.
- Hospital Presbiteriano de Nova York – multa de US $ 2.200.000 para filmar pacientes sem consentimento.
- Hospital Geral de Massachusetts – multa de US $ 515.000 para filmar pacientes sem consentimento.
- Lukes-Roosevelt Hospital Center – indenização de $ 387.000 por tratamento descuidado de PHI / divulgação do status de HIV de um paciente para seu empregador.
- Brigham and Womens Hospital – $ 384.000 de multa por filmar pacientes sem consentimento .
- Boston Medical Center – multa de US $ 100.000 por filmar pacientes sem consentimento.
Descarte impróprio de PHI
Quando PHI e ePHI físicos não forem mais necessário e os períodos de retenção expiraram, as regras da HIPAA exigem que as informações sejam destruídas de forma segura e permanente. Para registros em papel, isso pode envolver trituração ou polpação e para ePHI, desmagnetizar, limpar com segurança ou destruir os dispositivos eletrônicos nos quais o ePHI está armazenado para evitar divulgações inadmissíveis.
Penalidades financeiras emitidas para entidades cobertas por descarte impróprio de PHI / ePHI incluem:
- Parkview Health – multa de $ 800.000 por falha no descarte seguro de registros em papel contendo PHI.
- Cornell Prescription Pharmacy – multa de $ 125.000 pelo descarte impróprio de PHI.
- FileFax Inc. – multa de $ 100.000 para uma empresa extinta devido ao descarte impróprio de registros médicos.
Violações comuns da HIPAA por funcionários da área de saúde
Espiar os registros de saúde é uma violação bastante óbvia da HIPAA e que todos os funcionários da saúde que receberam treinamento HIPAA devem saber que é uma violação das políticas do empregador e das regras da HIPAA.
Outras violações comuns da HIPAA costumam ocorrer como resultado de mal-entendidos sobre HIPAA requisitos. Embora cada uma dessas violações comuns do HIPAA afete um número muito menor de pacientes do que as violações acima, elas ainda podem causar um dano significativo: Para o (s) paciente (s) envolvido (s) e seu empregador. Eles também podem resultar em ação disciplinar contra o funcionário responsável, incluindo demissão.
Abaixo estão algumas das violações comuns da HIPAA cometidas por funcionários da área de saúde. Essas violações comuns da HIPAA devem ser cobertas como parte do treinamento HIPAA dado aos funcionários para aumentar a conscientização sobre essas áreas frequentes de não conformidade.
Envio de ePHI para contas de e-mail pessoais e remoção de PHI de um estabelecimento de saúde
Pode ser difícil encontrar tempo para concluir todas as tarefas necessárias dentro do horário de trabalho e pode ser tentador levar o trabalho para casa para fazer. A remoção de informações protegidas de saúde de uma instituição de saúde coloca essas informações em risco de exposição. Esta é uma violação comum da HIPAA para funcionários e pode até ser uma prática de rotina em uma unidade de saúde com falta de pessoal. Isso não significa que seja uma prática aceitável.
O mesmo se aplica ao envio de ePHI para contas de e-mail pessoais. Independentemente das intenções, seja para obter ajuda com planilhas, concluir o trabalho em casa para seguir em frente para o dia seguinte ou para recuperar o atraso, é uma violação das regras da HIPAA. Além disso, qualquer e-mail enviado de ePHI para uma conta de e-mail pessoal pode ser considerado roubo, cujas repercussões podem ser muito mais graves do que a rescisão de um contrato de trabalho.
Deixando dispositivos eletrônicos portáteis e papelada sem supervisão
A regra de segurança HIPAA exige que as PHI e ePHI estejam protegidas o tempo todo. Se a papelada for deixada sem vigilância, ela poderá ser vista por um indivíduo não autorizado, seja um membro da equipe, paciente ou visitante da unidade de saúde. Se isso acontecer, seria considerada uma divulgação inadmissível de PHI.
Dispositivos eletrônicos que contêm ePHI devem ser protegidos da mesma forma em todos os momentos. Dispositivos eletrônicos são portáteis e valiosos. Ladrões oportunistas podem facilmente roubar um dispositivo autônomo e obter acesso ao ePHI. Tem havido muitos casos de funcionários de saúde removendo dispositivos não criptografados de instalações de saúde, apenas para serem roubados de veículos ou casas. O roubo também pode ocorrer facilmente dentro de uma instalação de saúde se os dispositivos não estiverem protegidos. Os funcionários da área de saúde devem garantir que as políticas de seu empregador sejam seguidas e as regras da HIPAA não sejam violadas, deixando dispositivos e papelada sem supervisão.
Liberando informações do paciente para um indivíduo não autorizado
Um formulário de autorização deve ser obtida de um paciente antes que qualquer uma de suas PHI possa ser divulgada a terceiros para uma finalidade diferente daquela expressamente permitida pela Regra de Privacidade da HIPAA. Divulgar PHI para fins diferentes de tratamento, pagamento de assistência médica ou operações de assistência médica (e outros casos limitados) é uma violação da HIPAA se a autorização não tiver sido recebida do paciente com antecedência.
Os funcionários da área de saúde devem garantir isso antes para divulgar PHI a um terceiro que a autorização foi obtida do paciente e que as informações não são divulgadas a qualquer indivíduo ou empresa que não esteja incluída no formulário de autorização. Os formulários de autorização são válidos apenas se forem assinados pelo paciente ou por seu representante nomeado.
Divulgação de informações do paciente sem autorização
De maneira semelhante ao ponto anterior, os funcionários da área de saúde também devem ter cautela sobre os tipos de informações que são divulgadas a terceiros, mesmo que seja uma autorização foi recebido um formulário que permite que um indivíduo, empresa ou organização específica receba PHI.
O formulário de autorização deve incluir os tipos de informação que foram autorizados a serem liberados. Qualquer informação que não esteja detalhada no formulário de autorização deve permanecer privada e confidencial e não deve ser compartilhada. A divulgação de informações adicionais violaria a regra de privacidade da HIPAA.
Divulgações de PHI a terceiros após a expiração de uma autorização
Todos os formulários de autorização da HIPAA devem incluir os nomes ou classes de indivíduos quem está sendo autorizado a receber PHI, os tipos de PHI que serão divulgados e os motivos das divulgações. Eles também devem incluir uma data de expiração para a autorização.
As PHI não devem ser divulgadas a nenhum indivíduo listado no formulário de autorização após a data de expiração, mesmo que a autorização tenha sido previamente concedida a essa entidade para receber PHI. Um novo formulário de autorização é necessário antes que qualquer outra divulgação ocorra. Também deve ser observado que um formulário de autorização sem uma data de validade não está em conformidade com a HIPAA.
Divulgações inadmissíveis de registros de saúde do paciente
A regra de privacidade da HIPAA permite que os pacientes obtenham uma cópia de seus registros de saúde a pedido ou ter seus registros fornecidos a um terceiro nomeado, como um representante pessoal ou outro indivíduo. Se não for coletado pessoalmente pelo paciente, o terceiro deve ter recebido autorização do paciente – em um formulário de autorização HIPAA – para receber os registros antes de serem liberados.
Antes de fornecer cópias do paciente registros de saúde, os funcionários de saúde devem verificar a identidade do paciente ou da pessoa que coleta os registros e devem garantir que os registros sejam liberados apenas para uma pessoa autorizada a recebê-los. Deve-se tomar cuidado para garantir que os registros corretos do paciente sejam liberados.
Baixando PHI para dispositivos não autorizados
Pode ser difícil para os departamentos de TI da saúde controlar todos os dispositivos que se conectam para a rede, considerando quantos dispositivos diferentes têm acesso à rede. Garantir que esses dispositivos sejam protegidos pode ser um problema ainda maior, mas é um requisito para conformidade com a HIPAA.
Os funcionários precisam estar cientes de que há riscos de privacidade e segurança associados ao download de ePHI para dispositivos eletrônicos portáteis não autorizados. Isso não só aumenta o risco de divulgação acidental de ePHI – no caso de o dispositivo ser perdido ou roubado – também pode ser visto como roubo e uma violação da HIPAA.
Fornecimento de acesso não autorizado a registros médicos
É responsabilidade da entidade coberta garantir que o acesso às informações de saúde do paciente e aos registros médicos seja concedido apenas a indivíduos autorizados. Isso é conseguido implementando controles de acesso por meio de logins exclusivos.
Os funcionários têm a responsabilidade de garantir que eles não dêem acesso a informações de saúde para colegas de trabalho que muitos não têm os mesmos direitos de acesso. O compartilhamento de credenciais de login não poderia apenas resultar em uma divulgação inadmissível de ePHI, todas as ações realizadas por esse funcionário seriam atribuídas ao indivíduo cujas credenciais de login foram usadas para obter acesso.
Perguntas frequentes
O que significa “reduzir o risco a um nível adequado e aceitável”?
Quando os riscos e vulnerabilidades potenciais são identificados, as entidades cobertas e associados de negócios têm que decidir quais medidas implementar de acordo com o tamanho, complexidade e capacidades das organizações, as medidas existentes já em vigor e o custo de implementação de outras medidas em relação à probabilidade de uma violação de dados e a escala de danos que isso causaria.
Como é possível evitar que funcionários espionem registros de saúde?
Embora muitos casos de espionagem de saúde sejam atribuíveis à curiosidade e não a intenção maliciosa, todos os casos de espionagem de saúde são violações da HIPAA. Para evitar que funcionários espionem saúde registros, as entidades cobertas devem implementar um programa de treinamento, garantir que os privilégios de acesso cumpram o Padrão Mínimo Necessário, ativar logs de auditoria e aplicar sanções.
Se a criptografia não for obrigatória, como pode ser uma violação da HIPAA se os registros não estão criptografados?
Embora a criptografia não seja obrigatória, é uma especificação de implementação endereçável da regra de segurança. Isso significa que as organizações só podem evitar a implementação do requisito se ele não for razoável e apropriado nas circunstâncias, ou se uma medida de segurança alternativa for igualmente eficaz. Se as organizações não conseguirem implementar a criptografia, elas terão que documentar os motivos.
Por que a multa por negar o acesso do paciente aos prontuários foi tão alta?
Neste caso específico, a não colaboração da entidade coberta contribuiu para o tamanho da multa (você pode ler sobre o caso aqui). Desde este caso, o programa de uso significativo do CMS evoluiu para o programa de promoção da interoperabilidade e – além de ser sancionado por uma violação do HIPAA – qualquer entidade coberta que não fornecer registros de saúde em tempo hábil pode agora também perder uma porcentagem de seus Pagamentos do Medicare.