Per informazioni sulla storia e i dettagli di ogni regola HIPAA, visita https://www.hhs.gov/hipaa/for-professionals/index.html e clicca su “Privacy”, “Security” o “Breach Notification” dalla barra degli strumenti a sinistra.
Risultati dell’applicazione al 28 febbraio 2021
Dalla data di entrata in vigore della Privacy Rule nell’aprile 2003, l’OCR ha ricevuto oltre 257.250 reclami HIPAA e ha avviato oltre 1.070 revisioni di conformità. Abbiamo risolto il novantanove per cento di questi casi (253.573).
OCR ha indagato e risolto oltre 28.654 casi richiedendo cambiamenti nelle pratiche di privacy e azioni correttive da parte, o fornendo assistenza tecnica, alle entità coperte da HIPAA e ai loro associati. Le azioni correttive ottenute dall’OCR da queste entità hanno portato a un cambiamento che è sistematico e che riguarda tutti gli individui che servono. L’OCR ha fatto rispettare con successo le regole dell’HIPAA applicando misure correttive in tutti i casi in cui un’indagine indica una non conformità da parte dell’entità coperta o del suo partner commerciale. Ad oggi, l’OCR ha patteggiato o imposto una sanzione civile in 97 casi per un totale di 135.203.482,00 dollari. L’OCR ha indagato sui reclami contro molti tipi diversi di entità, tra cui: catene nazionali di farmacie, grandi centri medici, piani sanitari di gruppo, catene di ospedali e piccoli uffici di fornitori.
In altri 12.864 casi, le nostre indagini non hanno rilevato alcuna violazione.
Inoltre, in 46.558 casi, l’OCR è intervenuto tempestivamente e ha fornito assistenza tecnica alle entità coperte dall’HIPAA, ai loro partner commerciali e alle persone che esercitano i loro diritti ai sensi della normativa sulla privacy, senza la necessità di un’indagine.
Nel resto dei nostri casi completati (165.497), l’OCR ha determinato che la denuncia non presentava un caso idoneo all’applicazione. Questi includono casi in cui:
- l’OCR non ha giurisdizione sotto l’HIPAA. Per esempio, nei casi che denunciano una violazione da parte di un’entità non coperta da HIPAA;
- il reclamo è intempestivo, o ritirato da chi lo presenta; e
- l’attività descritta non viola le norme HIPAA. Per esempio, nei casi in cui l’entità coperta ha divulgato informazioni sanitarie protette in circostanze in cui la Regola della Privacy permette tale divulgazione.
Dalla data di conformità ad oggi, i problemi di conformità più spesso citati nei reclami sono, compilati cumulativamente, in ordine di frequenza:
- Usi e divulgazioni inammissibili di informazioni sanitarie protette;
- Mancanza di salvaguardie di informazioni sanitarie protette;
- Mancanza di accesso del paziente alle proprie informazioni sanitarie protette;
- Mancanza di salvaguardie amministrative di informazioni sanitarie elettroniche protette; e
- Uso o divulgazione di più del minimo necessario di informazioni sanitarie protette.
I tipi più comuni di entità coperte che sono state accusate di aver commesso violazioni sono, in ordine di frequenza:
- Ospedali generali;
- Pratiche private e medici;
- Strutture per pazienti esterni;
- Farmacie; e
- Piani sanitari (piani sanitari di gruppo ed enti di assicurazione sanitaria).
Rinvii
OCR fa riferimento al Dipartimento di Giustizia (DOJ) per le indagini penali appropriate nei casi che coinvolgono la divulgazione o l’ottenimento consapevole di informazioni sanitarie protette in violazione delle regole. Alla data di questo riepilogo, l’OCR ha fatto 1.045 rinvii al DOJ.
Guarda gli aggiornamenti mensili che riportano il numero di casi ricevuti, indagati o risolti.