Voor informatie over de geschiedenis van en details over elk van de HIPAA-regels gaat u naar https://www.hhs.gov/hipaa/for-professionals/index.html en klikt u op “Privacy”, “Security”, of “Breach Notification” in de werkbalk aan de linkerkant.
Handhavingsresultaten per 28 februari 2021
Sinds de nalevingsdatum van de Privacy Rule in april 2003 heeft OCR meer dan 257.250 HIPAA-klachten ontvangen en meer dan 1.070 nalevingsbeoordelingen geïnitieerd. Wij hebben 99% van deze zaken (253 573) opgelost.
HOCR heeft meer dan 28 654 zaken onderzocht en opgelost door wijzigingen in de privacypraktijken en corrigerende maatregelen te eisen van, of technische bijstand te verlenen aan, HIPAA-gedekte entiteiten en hun zakenpartners. De corrigerende maatregelen die het OCR van deze entiteiten heeft gekregen, hebben geleid tot veranderingen die systemisch zijn en gevolgen hebben voor alle personen die zij bedienen. Het OCR heeft de HIPAA-voorschriften met succes gehandhaafd door corrigerende maatregelen toe te passen in alle gevallen waarin een onderzoek uitwijst dat de betrokken entiteit of haar businesspartner niet aan de voorschriften voldoet. Tot dusver heeft het OCR in 97 gevallen een schikking getroffen of een civielrechtelijke geldboete opgelegd, waarmee een totaalbedrag van $ 135 203 482,00 gemoeid was. Het OCR heeft klachten onderzocht tegen veel verschillende soorten entiteiten, waaronder: nationale apotheekketens, grote medische centra, collectieve gezondheidsplannen, ziekenhuisketens en kleine providerbureaus.
In nog eens 12 864 gevallen bleek uit ons onderzoek dat er geen sprake was van een overtreding.
Daarnaast heeft OCR in 46.558 gevallen vroegtijdig ingegrepen en technische bijstand verleend aan HIPAA-gedekte entiteiten, hun zakenpartners en personen die hun rechten op grond van de Privacy Rule uitoefenen, zonder dat een onderzoek hoefde te worden ingesteld.
In de rest van onze afgeronde zaken (165.497) heeft OCR bepaald dat de klacht niet in aanmerking kwam voor handhaving. Hieronder vallen zaken waarin:
- OCR volgens de HIPAA niet bevoegd is. Bijvoorbeeld in gevallen waarin een schending wordt beweerd door een entiteit die niet onder de HIPAA valt;
- De klacht is niet op tijd, of door de indiener ingetrokken; en
- De beschreven activiteit is niet in strijd met de HIPAA-regels. Bijvoorbeeld in gevallen waarin de betrokken entiteit beschermde gezondheidsinformatie heeft bekendgemaakt in omstandigheden waarin de Privacy Rule een dergelijke bekendmaking toestaat.
Van de nalevingsdatum tot heden zijn de nalevingsproblemen die het vaakst in klachten worden aangehaald, cumulatief opgesomd, in volgorde van frequentie
- Toelaatbaar gebruik en openbaarmaking van beschermde gezondheidsinformatie;
- Gebrek aan waarborgen van beschermde gezondheidsinformatie;
- Gebrek aan toegang van patiënten tot hun beschermde gezondheidsinformatie;
- Gebrek aan administratieve waarborgen van elektronische beschermde gezondheidsinformatie; en
- Gebruik of openbaarmaking van meer dan de minimaal noodzakelijke beschermde gezondheidsinformatie.
De meest voorkomende soorten gedekte entiteiten waarvan wordt beweerd dat zij overtredingen hebben begaan, zijn, in volgorde van frequentie:
- Algemene ziekenhuizen;
- Particuliere praktijken en artsen;
- Outpatientenfaciliteiten;
- Papotheken; en
- Gezondheidsplannen (groepsgezondheidsplannen en ziektekostenverzekeringsuitgevende instellingen).
Referrals
OCR verwijst naar het Department of Justice (DOJ) voor strafrechtelijk onderzoek in passende gevallen waarbij sprake is van het bewust openbaar maken of verkrijgen van beschermde gezondheidsinformatie in strijd met de regels. Op de datum van dit overzicht heeft OCR 1.045 van dergelijke verwijzingen naar DOJ gedaan.
Wacht op maandelijkse updates waarin het aantal ontvangen, onderzochte of opgeloste zaken wordt gerapporteerd.