Aby uzyskać informacje na temat historii i szczegółów dotyczących każdej z zasad HIPAA, proszę odwiedzić stronę https://www.hhs.gov/hipaa/for-professionals/index.html i kliknąć na „Prywatność”, „Bezpieczeństwo” lub „Powiadomienie o naruszeniu” na pasku narzędzi po lewej stronie.
Wyniki egzekwowania przepisów na dzień 28 lutego 2021 r.
Od daty wprowadzenia Reguły Prywatności w kwietniu 2003 r. OCR otrzymało ponad 257 250 skarg dotyczących HIPAA i rozpoczęło ponad 1 070 przeglądów zgodności. Rozwiązaliśmy dziewięćdziesiąt dziewięć procent tych spraw (253 573).
OCR zbadał i rozwiązał ponad 28 654 sprawy, wymagając zmian w praktykach ochrony prywatności i działań naprawczych przez, lub zapewniając pomoc techniczną dla, podmiotów objętych HIPAA i ich partnerów biznesowych. Działania naprawcze uzyskane przez OCR od tych podmiotów doprowadziły do zmian, które mają charakter systemowy i dotyczą wszystkich osób, którym służą. OCR skutecznie egzekwuje przestrzeganie zasad HIPAA, stosując środki naprawcze we wszystkich przypadkach, w których dochodzenie wskazuje na nieprzestrzeganie zasad przez podmiot objęty HIPAA lub jego partnera biznesowego. Do tej pory OCR zawarło ugody lub nałożyło cywilne kary pieniężne w 97 przypadkach, co dało łączną kwotę 135 203 482,00 USD. OCR zbadał skargi przeciwko wielu różnym rodzajom podmiotów, w tym: krajowym sieciom aptek, dużym ośrodkom medycznym, grupowym planom zdrowotnym, sieciom szpitali i małym biurom świadczeniodawców.
W kolejnych 12 864 przypadkach nasze dochodzenia nie wykazały żadnych naruszeń.
Dodatkowo, w 46 558 przypadkach OCR podjęło wczesną interwencję i zapewniło pomoc techniczną podmiotom objętym HIPAA, ich partnerom biznesowym oraz osobom fizycznym korzystającym z praw przysługujących im na mocy przepisów o ochronie prywatności, bez konieczności przeprowadzania postępowania wyjaśniającego.
W pozostałych zakończonych sprawach (165 497) OCR stwierdziło, że skarga nie stanowi przypadku kwalifikującego się do egzekucji. Obejmują one sprawy, w których:
- OCR nie ma jurysdykcji w ramach HIPAA. Na przykład w sprawach dotyczących domniemanego naruszenia przez podmiot nieobjęty przepisami HIPAA;
- skarga jest nieterminowa lub wycofana przez składającego; oraz
- opisane działanie nie narusza przepisów HIPAA. Na przykład, w przypadkach, gdy podmiot objęty ochroną ujawnił chronione informacje zdrowotne w okolicznościach, w których Reguła Prywatności zezwala na takie ujawnienie.
Od daty zgodności do chwili obecnej, kwestie zgodności najczęściej podnoszone w skargach to, zestawione łącznie, w kolejności częstotliwości występowania:
- Niedopuszczalne zastosowania i ujawnienia chronionych informacji zdrowotnych;
- Brak zabezpieczeń chronionych informacji zdrowotnych;
- Brak dostępu pacjentów do ich chronionych informacji zdrowotnych;
- Brak zabezpieczeń administracyjnych elektronicznych chronionych informacji zdrowotnych; oraz
- Użycie lub ujawnienie więcej niż minimalnej niezbędnej chronionej informacji zdrowotnej.
Najczęstszymi typami podmiotów objętych ochroną, którym zarzuca się popełnienie naruszeń są, w kolejności częstości występowania:
- Szpitale ogólne;
- Prywatne praktyki i lekarze;
- Przychodnie;
- Farmaceutyki; oraz
- Plany Zdrowia (grupowe plany zdrowotne i wystawcy ubezpieczeń zdrowotnych).
Przekazy
OCR kieruje do Departamentu Sprawiedliwości (DOJ) w celu przeprowadzenia dochodzenia karnego w odpowiednich przypadkach dotyczących świadomego ujawnienia lub uzyskania chronionych informacji zdrowotnych z naruszeniem zasad. Na dzień sporządzenia niniejszego podsumowania OCR przekazał DOJ 1 045 takich spraw.
Zobacz comiesięczne aktualizacje raportujące liczbę otrzymanych, zbadanych lub rozwiązanych spraw.