Pesquisa de site

Quais são as penalidades para violações da HIPAA?

A HIPAA 1996 (Health Insurance Portability and Accountability Act) é uma lei federal promulgada pelo Congresso dos EUA que regula como as organizações de saúde lidam com PHI (informações de saúde protegidas) e ePHI (informações de saúde protegidas eletrônicas).

Isso inclui regras complexas e extensas para proteger dados médicos críticos e informações confidenciais do paciente, portanto, a não conformidade com a HIPAA geralmente é punida com penalidades severas.

Alguns casos de violação da HIPAA incluem investigações de profissionais de saúde que resultaram em milhões de dólares em multas. Por exemplo, um dos maiores acordos de uma multa da HIPAA foi a violação de dados da Anthem em 2018, na qual a empresa de planos de saúde concordou em pagar US$16 milhões em multas ao HHS (Departamento de Saúde e Serviços Humanos). A série de ataques cibernéticos à Anthem resultou em uma violação de dados PHI que afetou 79 milhões de pessoas.

Os profissionais de saúde devem estar cientes das penalidades que acompanham a violação da conformidade com a HIPAA e o manuseio inadequado dos dados do paciente.

Este guia tem como objetivo informar todas as entidades em conformidade com a HIPAA sobre violações da HIPAA e cobrir penalidades criminais e civis. Ele também cobrirá responsabilidade, níveis de violação da HIPAA, custos máximos de penalidade, gravidade das violações da HIPAA e outras informações úteis para organizações de saúde.

Como a HIPAA regula a proteção contra PHI

Para regular como as entidades protegem seus dados médicos, o Departamento de Saúde e Serviços Humanos dos EUA (HHS) criou a Regra de Privacidade da HIPAA, a Regra de Segurança da HIPAA, a Regra Omnibus da HIPAA e a Regra de Notificação de Violação da HIPAA de acordo com as leis estaduais e federais.

  • De acordo com a Regra de Privacidade da HIPAA, todas as entidades cobertas pela HIPAA e seus parceiros de negócios são obrigados a proteger todas as informações de saúde individualmente identificáveis que armazenam, mantêm e transferem PHI.
  • A regra de segurança HIPAA se concentra no ePHI. Ele exige que todas as entidades de saúde compatíveis com HIPAA sigam salvaguardas que se concentram em políticas de segurança, procedimentos, controles de acesso para armazenamento de dados e comunicações para transmissão de ePHI por meio de redes abertas.
  • A regra geral da HIPAA exige que as entidades cobertas pela HIPAA, ou seja, provedores de serviços de saúde, atualizem regularmente seus contratos de parceiros comerciais para garantir a conformidade com a regra de segurança da HIPAA.
  • No caso de uma violação de dados envolvendo PHI, que geralmente ocorre em uma violação da HIPAA, a Regra de Notificação de Violação da HIPAA exige que as entidades cobertas pela HIPAA e seus parceiros de negócios notifiquem o HHS e as partes envolvidas "sem atrasos injustificados". " Considera um atraso razoável não superior a 60 dias após a descoberta. A entidade deve informar um grande meio de comunicação se a violação envolver 500 ou mais registros médicos.

O que é PHI?

A Regra de Privacidade da HIPAA define PHI como "qualquer informação mantida por uma entidade coberta que diga respeito ao estado de saúde, à prestação de cuidados de saúde ou ao pagamento de cuidados de saúde que possam ser vinculados a um indivíduo. ”

As informações de saúde individualmente identificáveis incluem todas as PHI (informações de saúde protegidas) de pacientes e membros de planos de saúde, como informações de tratamento, exames médicos, dados de prescrição, diagnósticos, números de previdência social, datas de nascimento, raça, etnia, telefones, e-mails e gêneros tratados pelos serviços de saúde.

Os dados médicos podem ser considerados PHI somente se um paciente puder ser reconhecido a partir deles. Todas as outras informações dos registros educacionais e de funcionários são excluídas. Quando todos os identificadores dos dados do sistema de saúde vinculados a um paciente são excluídos, os dados não são mais considerados PHI.

Todos os prestadores de serviços de saúde, parceiros de negócios e organizações médicas que lidam com PHI devem cumprir a HIPAA e suas regras. Estas são chamadas de entidades cobertas sujeitas à lei e também incluem planos de saúde, câmaras de compensação de saúde e entidades e patrocinadores relacionados ao Medicare.

Como a conformidade com a HIPAA é aplicada

O Escritório de Direitos Civis (OCR) investiga entidades de saúde por possíveis violações e pode receber reclamações contra entidades cobertas e seus parceiros de negócios.

Depois que o OCR recebe reclamações, investiga a entidade e encontra uma ou mais violações, o OCR toma medidas de fiscalização da HIPAA e cobra multas ou impõe penalidades civis, dependendo da gravidade da violação.

A Regra de Aplicação foi revisada entre 1996-2009 e foi posteriormente refinada pela HITECH (Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica).

Embora pacientes e entidades possam registrar reclamações por violações, a HIPAA também é aplicada pelo OCR por meio de revisões e investigações regulares de conformidade. De acordo com a Regra de Execução, revisada em 2006, o OCR pode:

  • Emitir penalidades financeiras
  • Faça planos de ação corretiva
  • Fazer acordos de resolução para ajudar as entidades cobertas a manter a conformidade com a HIPAA

Em alguns casos, multas e penalidades por violação da HIPAA também podem ser emitidas pelos procuradores-gerais do estado.

Saiba como escolher um produto ideal em conformidade com a HIPAA >

Exemplos de violações comuns da HIPAA

Violações comuns da HIPAA que acarretam penalidades financeiras severas incluem:

  • Falha na implementação de etapas de segurança e procedimentos de proteção em conformidade com a HIPAA
  • Falha em realizar uma análise de risco em toda a organização
  • Falha ao definir um contrato de parceiro comercial
  • Descarte inadequado de PHI
  • Notificações de violação atrasadas

Níveis de penalidade de violação da HIPAA

As penalidades e multas da HIPAA resultam do não cumprimento dos padrões da HIPAA. Dependendo do tipo e da gravidade da violação da HIPAA, podem ser penalidades civis ou criminais. Conforme avaliado pelo OCR, ambas as categorias são baseadas em quatro níveis graduados para determinar a penalidade de violação da HIPAA.

Normalmente, o OCR resolve violações da HIPAA por meios não punitivos, como planos de ação corretiva ou conformidade voluntária com assistência técnica para resolver problemas por meio de um prazo designado.

No entanto, se as violações da HIPAA forem consideradas graves o suficiente ou se as violações estiverem em andamento, o OCR poderá impor sanções financeiras por meio da estrutura de penalidades em camadas proporcional à violação.

Penalidades civis

Se o infrator não souber que cometeu uma violação da HIPAA, ele poderá receber uma penalidade civil.

As penalidades civis geralmente são impostas aos empregadores por violações cometidas por seus funcionários em organizações de saúde. Se a equipe de saúde abusar conscientemente das PHI, ela poderá ser responsabilizada criminalmente.

Três fatores determinam a gravidade da penalidade civil:

  • Com que facilidade o infrator poderia ter evitado a violação
  • O nível de negligência da entidade coberta
  • Quais ações a entidade coberta tomou para corrigir a violação

Se a entidade coberta cooperar totalmente, a penalidade pode ser menos severa. A penalidade civil tem quatro níveis de penalidades monetárias. A primeira - falta de conhecimento - é a menos grave. As multas são ajustadas pela inflação a partir de dezembro de 2022.

Nível Um: Falta de Conhecimento

Se a entidade coberta não estiver ciente da violação da HIPAA e não puder evitá-la com medidas razoáveis, a violação será considerada dentro do nível de falta de conhecimento, o mais baixo dos níveis.

  • Penalidade mínima por violação: $127
  • Penalidade máxima por violação: US$30.487
  • Limite do ano civil: $30,487

Nível Dois: Causa Razoável e Não Negligência Intencional

>

Se a entidade coberta estava ciente de uma violação, mas a violação não foi causada por negligência intencional (o que significa que não poderia ter evitado a violação mesmo com medidas razoáveis), isso é considerado uma causa razoável.

  • Penalidade mínima por violação: US$1.280
  • Penalidade máxima por violação: US$60.973
  • Limite do ano civil: $121,946

Nível Três: Negligência Intencional, Corrigida em 30 Dias

As entidades cobertas que negligenciaram intencionalmente uma violação, mas a corrigiram dentro de 30 dias com medidas razoáveis, são penalizadas pelo nível de gravidade de nível três.

  • Penalidade mínima por violação: US$12.794
  • Penalidade máxima por violação: US$60.973
  • Limite do ano civil: $304,865

Nível Quatro: Negligência intencional, não corrigida em 30 dias

O mais grave de todos os quatro níveis de violação das regras da HIPAA é considerado quando uma entidade negligencia deliberadamente os requisitos da HIPAA e não corrige uma violação dentro da janela de 30 dias.

O OCR está ciente de que não é razoável penalizar uma organização por violações não descobertas da HIPAA se não se espera que a organização evite uma violação de dados. É por isso que o OCR tem o poder de renunciar a uma multa. No entanto, o OCR não pode renunciar a uma penalidade que envolva negligência intencional das regras de privacidade, segurança e notificação de violação da HIPAA.

  • Penalidade mínima por violação: $60.973
  • Penalidade máxima por violação: US$1.919.173
  • Limite do ano civil: US$1.919.173

Penalidades criminais

Além das penalidades civis, a violação da HIPAA também pode resultar em acusações criminais contra qualquer indivíduo responsável por uma violação adequadamente grave da HIPAA.

Se uma entidade obtiver ou usar PHI sem permissão, penalidades criminais podem ocorrer. Se o OCR determinar que uma violação da HIPAA se enquadra no domínio das ações criminais, o Departamento de Justiça (DOJ) assumirá o caso.

Dependendo da gravidade, as penalidades criminais variam de multas severas a prisão. Um juiz do DOJ mede as penalidades e a duração da prisão com base em três categorias de violações criminais, cada uma com suas próprias penalidades financeiras.

Eles se aplicam a qualquer entidade que viole a HIPAA por motivos criminais. Isso inclui membros do conselho, membros da equipe e qualquer parceiro de negócios relacionado à organização que viole criminalmente a HIPAA.

Além disso, se a entidade lucrar com o roubo, acesso ou uso indevido de PHI, o custo total do lucro poderá ser incluído no reembolso e na liquidação da multa.

Nível 1: Divulgação indevida de PHI

O nível mais baixo de violação criminal é a divulgação indevida de PHI. Isso abrange 1) Casos de causa razoável em que uma entidade deveria ter agido adequadamente para resolver a violação e 2) Casos de falta de conhecimento em que a entidade não estava ciente de que violou uma regra da HIPAA.

O DOJ não reconhece não entender os regulamentos da HIPAA como uma explicação razoável para uma violação da HIPAA. Todas as entidades cobertas são consideradas totalmente responsáveis.

As penalidades máximas por divulgação indevida são de até US$50.000 em multas, até um ano de prisão ou ambos.

Nível 2: Divulgação indevida de PHI sob falsos pretextos

A obtenção ou uso indevido de PHI sob falsos pretextos é considerada como Nível Dois.

Um exemplo dessa violação é um membro da equipe do hospital acessando registros de pacientes que não estão sob seus cuidados. Alternativamente, considere uma entidade que divulga PHI sem a permissão do paciente.

A penalidade criminal máxima para este nível pode chegar a US$100.000 em multas, cinco anos de prisão ou ambos.

Nível 3: Divulgação indevida de PHI sob falsos pretextos com intenção maliciosa

O nível três inclui a violação mais grave na qual uma entidade usa indevidamente ou divulga PHI que obteve indevidamente com intenção maliciosa para ganho pessoal, ganho financeiro ou dano malicioso.

Isso pode levar os maus atores processados criminalmente à prisão por até dez anos, penalizá-los em até US$250.000 ou ambos.

Qual é a penalidade por não relatar uma violação da HIPAA?

Em caso de violação da HIPAA, todos os membros da área de saúde devem notificar imediatamente um responsável pela privacidade da HIPAA ou seu supervisor designado.

O diretor de privacidade é responsável por investigar a violação da HIPAA. Eles também fornecem diretrizes e etapas adicionais, como aconselhar a entidade com procedimentos de avaliação de risco e contenção de violações. O responsável pela privacidade determina o nível da violação e se é um incidente reportável por meio de avaliação de risco.

As entidades devem notificar o HHS e todas as partes envolvidas "sem demora injustificada" ou até 60 dias após a descoberta. Se a violação envolver 500 ou mais registros de PHI, a entidade também deve informar um grande meio de comunicação.

Todas as entidades que não notificarem o OCR, os indivíduos afetados ou um meio de comunicação podem ser multados dependendo da gravidade da violação.

É crime violar a HIPAA?

As penalidades criminais por violações da HIPAA são raras. Muitas violações da HIPAA são consideradas contravenções. É por isso que o OCR se concentra em abordar os motivos subjacentes às violações da HIPAA e ajuda as organizações de saúde a alcançar a conformidade.

A não conformidade com a HIPAA raramente envolve casos extremos de divulgação indevida de PHI com intenção maliciosa sob falsos pretextos, o que constituiria um crime. As violações geralmente resultam em sanções financeiras e medidas corretivas. Quando as violações de não conformidade com a HIPAA constituem um crime, as penalidades podem ser muito mais severas, conforme descrito acima.