Für Informationen über die Geschichte und Details zu den einzelnen HIPAA-Regeln besuchen Sie bitte https://www.hhs.gov/hipaa/for-professionals/index.html und klicken Sie auf „Privacy“, „Security“ oder „Breach Notification“ in der linken Symbolleiste.
Durchsetzungsergebnisse bis zum 28. Februar 2021
Seit dem Inkrafttreten der Privacy Rule im April 2003 hat OCR über 257.250 HIPAA-Beschwerden erhalten und über 1.070 Compliance-Prüfungen eingeleitet. Wir haben neunundneunzig Prozent dieser Fälle (253.573) gelöst.
OCR hat über 28.654 Fälle untersucht und gelöst, indem es Änderungen in den Datenschutzpraktiken und Korrekturmaßnahmen von HIPAA-abgedeckten Einrichtungen und ihren Geschäftspartnern verlangt oder ihnen technische Unterstützung angeboten hat. Die Korrekturmaßnahmen, die OCR von diesen Einrichtungen erwirkt hat, haben zu Veränderungen geführt, die systemisch sind und alle Personen betreffen, denen sie dienen. OCR hat die HIPAA-Regeln erfolgreich durchgesetzt, indem sie in allen Fällen, in denen eine Untersuchung auf eine Nichteinhaltung durch die betroffene Einrichtung oder ihren Geschäftspartner hinweist, Korrekturmaßnahmen ergriffen hat. Bis heute hat OCR in 97 Fällen einen Vergleich geschlossen oder eine zivilrechtliche Geldstrafe verhängt, was einem Gesamtbetrag von 135.203.482,00 $ entspricht. OCR hat Beschwerden gegen viele verschiedene Arten von Einrichtungen untersucht, darunter: nationale Apothekenketten, große medizinische Zentren, Gruppengesundheitspläne, Krankenhausketten und kleine Anbieterbüros.
In weiteren 12.864 Fällen haben unsere Untersuchungen ergeben, dass kein Verstoß vorlag.
Darüber hinaus hat OCR in 46.558 Fällen frühzeitig eingegriffen und technische Unterstützung für HIPAA-abgedeckte Einrichtungen, deren Geschäftspartner und Einzelpersonen, die ihre Rechte unter der Privacy Rule ausüben, bereitgestellt, ohne dass eine Untersuchung erforderlich war.
In den restlichen von uns abgeschlossenen Fällen (165.497) hat OCR entschieden, dass die Beschwerde keinen geeigneten Fall für eine Durchsetzung darstellt. Dazu gehören Fälle, in denen:
- OCR keine Zuständigkeit gemäß HIPAA besitzt. Zum Beispiel in Fällen, in denen ein Verstoß durch eine Einrichtung behauptet wird, die nicht unter den HIPAA fällt;
- Die Beschwerde ist verfrüht oder wurde vom Einreicher zurückgezogen; und
- Die beschriebene Aktivität verstößt nicht gegen die HIPAA-Regeln. Zum Beispiel in Fällen, in denen die betroffene Einrichtung geschützte Gesundheitsinformationen unter Umständen offengelegt hat, in denen die Privacy Rule eine solche Offenlegung erlaubt.
Die am häufigsten in Beschwerden vorgebrachten Compliance-Probleme sind, kumuliert in der Reihenfolge ihrer Häufigkeit, vom Zeitpunkt der Einhaltung bis heute:
- Unzulässige Verwendungen und Offenlegungen von geschützten Gesundheitsinformationen;
- Mangel an Schutzmaßnahmen für geschützte Gesundheitsinformationen;
- Mangel an Zugang der Patienten zu ihren geschützten Gesundheitsinformationen;
- Mangel an administrativen Schutzmaßnahmen für elektronische geschützte Gesundheitsinformationen; und
- Verwendung oder Offenlegung von mehr als den minimal notwendigen geschützten Gesundheitsinformationen.
Die häufigsten Arten von betroffenen Einrichtungen, denen Verstöße vorgeworfen werden, sind, in der Reihenfolge ihrer Häufigkeit:
- Allgemeine Krankenhäuser;
- Privatpraxen und Ärzte;
- Ambulante Einrichtungen;
- Apotheken; und
- Krankenversicherungen (Gruppen-Krankenversicherungen und Krankenversicherungsunternehmen).
Referrals
OCR verweist an das Department of Justice (DOJ) zur strafrechtlichen Untersuchung geeigneter Fälle, in denen es um die wissentliche Weitergabe oder Erlangung geschützter Gesundheitsinformationen unter Verletzung der Regeln geht. Zum Zeitpunkt dieser Zusammenfassung hat OCR 1.045 solcher Überweisungen an das DOJ vorgenommen.
Warten Sie auf monatliche Updates, die die Anzahl der eingegangenen, untersuchten oder gelösten Fälle melden.