background

HIPAA-Verstöße: Beispiele, Strafen + 5 Fälle zum Lernen

  • hipaaangle-right
  • HIPAA-Verstöße: Beispiele, Strafen + 5 Fälle zum Lernen

Laut dem HIPAA Journal wurden allein im ersten Halbjahr 2022 fast 20,2 Millionen Gesundheitsakten verletzt.

Um die Anzahl der verletzten Aufzeichnungen zu reduzieren und geschützte Gesundheitsinformationen (PHI) zu schützen, ist es von größter Bedeutung, dass Sie HIPAA-Vorschriften umsetzen. HIPAA-Verstöße können nicht nur Ihren Ruf und das Vertrauen der Patienten schädigen – sie können auch teure Geldstrafen nach sich ziehen, die Ihrem Geschäftsergebnis schaden.

Wir führen Sie durch häufige HIPAA-Verstöße und die Strafen für Verstöße. Wir werden auch Fälle durchgehen, die beweisen, wie wichtig es für Organisationen ist, HIPAA-Konformität zu erreichen und aufrechtzuerhalten.

Was ist ein HIPAA-Verstoß?

Das Health Insurance Portability and Accountability Act (HIPAA) wurde 1996 verabschiedet, um die Verwaltung im Gesundheitswesen zu vereinfachen, Betrug zu verhindern und die privaten medizinischen Informationen der Patienten zu schützen.

Das US-Gesundheitsministerium (HHS) hat Regeln erlassen, um Organisationen zu helfen, die Anforderungen dieses Rahmens zu erfüllen. Diese Regeln sind unten definiert.

  • Sicherheitsregel: Organisationen müssen physische, technische und administrative Maßnahmen ergreifen, um Gesundheitsinformationen zu schützen.
  • Datenschutzregel: Organisationen dürfen die persönlichen Gesundheitsinformationen eines Patienten ohne deren Wissen oder Zustimmung nicht weitergeben.
  • Regel zur Benachrichtigung bei Verstößen: Organisationen müssen betroffene Personen innerhalb von 60 Tagen nach einem Datenverstoß benachrichtigen.
  • Omnibus-Regel: Organisationen müssen dem Antrag eines Patienten auf Zugang zu oder Weitergabe von deren medizinischen Aufzeichnungen nachkommen.
  • Durchsetzungsregel: Definiert, wie Untersuchungen von Beschwerden und Verstößen durchgeführt werden und wie Geldstrafen und Strafen festgelegt werden, wenn eine Organisation die oben genannten vier Regeln nicht befolgt.

Alle betroffenen Einrichtungen (Gesundheitsdienstleister, Gesundheitspläne und Clearingstellen im Gesundheitswesen) und deren Geschäftspartner müssen die HIPAA-Vorschriften einhalten, einschließlich der oben genannten fünf Regeln.

Die Nichteinhaltung einer Bestimmung dieser Regeln stellt einen HIPAA-Verstoß dar. In der Praxis ist ein HIPAA-Verstoß so einfach wie ein Mitarbeiter, der die Krankenakte eines Kunden auf seinem Computerbildschirm lässt, während er eine Tasse Kaffee holt.

Häufige HIPAA-Verstöße zu vermeiden

Hier sind einige der häufigsten HIPAA-Verstöße und wie man sie vermeidet:

1. Zugriff auf Gesundheitsakten ohne Erlaubnis oder Genehmigung:

Stellen Sie sicher, dass Patientenakten nur zu Behandlungs-, Zahlungs- oder Gesundheitszwecken eingesehen werden.

2. Keine organisationsweite Risikoanalyse durchführen:

Führen Sie regelmäßig HIPAA-Risikoanalysen durch, um Schwachstellen im PHI zu identifizieren.

3. Sicherheitsrisiken nicht angehen:

Priorisieren Sie die Bearbeitung aller Risiken, die während der Audits identifiziert werden.

4. Patienten den Zugang zu ihren Gesundheitsakten verweigern:

Stellen Sie sicher, dass Menschen auf Anforderung und ohne Verzögerung Zugang zu ihren Krankenakten erhalten.

5. Unterlassen, HIPAA-konforme Business Associate Agreements abzuschließen:

Stellen Sie sicher, dass alle Drittanbieter mit Zugriff auf PHI ebenfalls HIPAA-konform sind.

6. Unzureichende Zugangskontrollen für ePHI:

Stellen Sie sicher, dass nur berechtigte Personen auf elektronische geschützte Gesundheitsinformationen (ePHI) zugreifen können.

7. Keine Verschlüsselung oder gleichwertige Sicherheitsmaßnahmen zum Schutz von ePHI verwenden:

Verschlüsselung ist gemäß HIPAA nicht zwingend erforderlich, aber gleichwertige Sicherheitsmaßnahmen müssen ePHI schützen.

8. Überschreitung der 60-Tage-Frist für Sicherheitsverletzungsbenachrichtigungen:

Wenn Ihre Organisation eine Datenverletzung entdeckt, müssen Sie die betroffenen Personen innerhalb von 60 Tagen schriftlich benachrichtigen.

9. Unbefugte Offenlegung von PHI:

Patienten müssen jede Weitergabe ihrer PHI genehmigen.

10. Unsachgemäße Entsorgung von PHI:

PHI muss sicher und dauerhaft vernichtet werden, wenn es nicht mehr benötigt wird.

11. Herunterladen von PHI auf unbefugte Geräte:

Mitarbeiter dürfen nur autorisierte und sichere Geräte verwenden, um auf PHI zuzugreifen.

12. Senden von ePHI an persönliche E-Mail-Konten:

Stellen Sie sicher, dass Mitarbeiter keine ePHI an ihre persönlichen E-Mail-Konten senden oder anderweitig ePHI aus der Gesundheitseinrichtung entfernen.

13. Unbeaufsichtigtes Lassen von Papierunterlagen oder Geräten:

Papierunterlagen und elektronische Geräte, die ePHI enthalten, müssen jederzeit gesichert werden, um unzulässige Offenlegungen von PHI zu vermeiden.

14. Offenlegung von PHI nach Ablaufdatum einer Genehmigung:

Wenn das Ablaufdatum eines HIPAA-Genehmigungsformulars abgelaufen ist, müssen Sie ein neues Formular erhalten, um PHI an eine im Originalformular aufgeführte Person weiterzugeben.

Wie werden Verstöße entdeckt?

HIPAA-Verstöße werden oft durch Selbstanzeige oder Untersuchungen Dritter entdeckt.

HIPAA-gedeckte Organisationen führen interne Audits durch und melden alle Verstöße, die sie entdecken. Mitarbeiter melden auch selbst HIPAA-Verstöße, die sie oder ihre Kollegen begehen.

Das Büro für Bürgerrechte (OCR) des Gesundheitsministeriums untersucht HIPAA-Beschwerden. Das OCR führt auch regelmäßige Audits von HIPAA-abgedeckten Einrichtungen und deren Geschäftspartnern durch. Wenn Datenverletzungen auftreten, untersucht das OCR Fälle mit 500 oder mehr betroffenen Datensätzen.

Staatsanwälte können auch Beschwerden über potenzielle Verstöße untersuchen.

Empfohlene Lektüre

Wer setzt HIPAA durch + Wie man sicherstellt, dass Ihr Unternehmen konform ist

Read Moreangle-right

Was sind die Strafen für HIPAA-Verstöße?

Es gibt zwei Arten von HIPAA-Verstößen: zivile und strafrechtliche. Die Strafen können Geldbußen, Korrekturmaßnahmenpläne oder sogar Gefängnisstrafen umfassen.

Das OCR verhängt Strafen für HIPAA-Verstöße. Diese variieren in ihrer Schwere je nach Art des Verstoßes und dem Wissen des Täters über den Verstoß. HIPAA-Verstöße können die PHI einer einzelnen Person betreffen.

Zwar seltener, aber auch Generalstaatsanwälte der Bundesstaaten können HIPAA-bedeckte Einheiten bestrafen.

Zivile Strafen

Zivile Strafen werden normalerweise in Fällen verhängt, in denen der Täter nicht wusste, dass er einen HIPAA-Verstoß beging.

Die Strafen reichen von:

  • Einer Mindeststrafe von 100 $ wenn eine Person sich nicht bewusst war, dass sie gegen die HIPAA-Regeln verstieß, und maximal 25.000 $ pro Jahr.
  • Einer Mindeststrafe von 1.000 $ wenn eine Person vernünftige Gründe für ihr Handeln hatte und nicht „vorsätzlich nachlässig“ war, und maximal 100.000 $ pro Jahr.
  • Einer Mindeststrafe von 10.000 $ wenn eine Person vorsätzlich nachlässig handelte, aber danach zur Behebung des Problems beitrug, und maximal 250.000 $ pro Jahr.
  • Einer Mindeststrafe von 50.000 $ wenn eine Person vorsätzlich nachlässig handelte und danach das Problem nicht behob, und maximal 1,5 Millionen $ pro Jahr.

Strafrechtliche Strafen

Strafrechtliche Strafen werden normalerweise in Fällen verhängt, in denen Personen wissentlich PHI ohne Erlaubnis erhalten oder verwenden.

Strafrechtliche HIPAA-Verstöße und Strafen fallen in drei Ebenen:

  • Ebene 1: Vorsätzliches Erhalten und Offenlegen von PHI ohne Genehmigung - bis zu einem Jahr Gefängnis und einer Geldstrafe von 50.000 $.
  • Ebene 2: Erhalten von PHI unter falschen Vorwänden - bis zu fünf Jahre Gefängnis und einer Geldstrafe von 100.000 $.
  • Ebene 3: Erhalten von PHI zum persönlichen Vorteil oder mit böswilliger Absicht - bis zu 10 Jahre Gefängnis und einer Geldstrafe von 250.000 $.

5 HIPAA-Verstoßbeispiele zum Lernen

In den letzten Jahren gab es mehrere bemerkenswerte Beispiele für HIPAA-Verstöße. Selbst bei unbeabsichtigten HIPAA-Verstößen können die Folgen schwerwiegend sein. Hier sind fünf verheerende HIPAA-Verstoßfälle und die Lehren, die wir aus jedem ziehen können.

Eine Versicherungsgesellschaft wird wegen eines Datenverstoßes mit 6,85 Millionen Dollar bestraft

Im Jahr 2020 untersuchte das OCR einen Krankenversicherungsanbieter, nachdem Hacker die PHI von fast 10,5 Millionen Personen erlangt hatten.

Die Hacker erhielten Zugang zum Computersystem des Anbieters durch eine Phishing-E-Mail, die Malware installierte. Die Malware verschaffte der Gruppe Zugang zu ePHI, die neun Monate lang unentdeckt blieb.

Die Untersuchung des OCR ergab „systemische Nichteinhaltung“ der HIPAA-Regeln. Laut OCR hat die Organisation versäumt:

  • Eine umfassende und genaue Risikobewertung durchzuführen, um Bedrohungen für die Vertraulichkeit, Integrität und Verfügbarkeit von ePHI zu identifizieren.
  • Risiken und Schwachstellen von ePHI auf ein angemessenes und angemessenes Niveau zu reduzieren.
  • Ausreichende Hardware, Software und Verfahren zu implementieren, um Aktivitäten im Zusammenhang mit Informationssystemen, die ePHI enthalten, aufzuzeichnen und zu analysieren.
  • Unbefugten Zugriff auf die ePHI von über 10 Millionen Personen zu verhindern.

Das OCR bestrafte das Unternehmen mit 6,85 Millionen Dollar wegen der Verletzung der HIPAA-Sicherheitsregel. Das Unternehmen schloss auch einen multistaatlichen Rechtsstreit für 10 Millionen Dollar und eine Sammelklage für 74 Millionen Dollar ab.

Lehren:

  • Führen Sie regelmäßig gründliche Risikoanalysen durch.
  • Verwenden Sie Verschlüsselung oder ähnliche Sicherheitsmaßnahmen, um private Gesundheitsdaten zu schützen.

Ein Bildgebungsunternehmen verstößt gegen mehrere HIPAA-Regeln

Im Jahr 2018 entdeckte das FBI, dass einer der Server eines in Tennessee ansässigen Unternehmens für medizinische Bildgebungsdienste über das Internet zugänglich war. Jeder konnte mit einer einfachen Suche auf die PHI von über 300.000 Personen zugreifen und sie einsehen.

Das Unternehmen benachrichtigte die betroffenen Personen erst 147 Tage nach der Entdeckung.

Aufgrund eines Verstoßes gegen die Regeln zur Benachrichtigung bei Datenverstößen wurde das Unternehmen zur Zahlung von 3 Millionen Dollar Strafe und zur Umsetzung eines Korrekturmaßnahmenplans verurteilt.

Lektionen zu lernen:

  • Benachrichtigen Sie betroffene Personen innerhalb von 60 Tagen nach Entdeckung eines Datenverstoßes.
  • Organisationen sind dafür verantwortlich, dass auch ihre Anbieter (wie ein Server-Host) die HIPAA-Compliance-Standards einhalten.

Eine Stadt versäumt es, HIPAA-Datenschutzrichtlinien umzusetzen

Im Jahr 2017 meldete eine Stadt einen Datenverstoß, nachdem ein entlassener Mitarbeiter seine Anmeldeinformationen verwendet hatte, um auf einen Arbeitscomputer zuzugreifen und ePHI-Daten auf ein USB-Laufwerk zu kopieren.

OCR stellte fest, dass die Stadt in mehrfacher Hinsicht den HIPAA-Datenschutz nicht geschützt hatte. Die Stadt hatte die Anmeldeinformationen des ehemaligen Mitarbeiters zum Zeitpunkt seiner Entlassung nicht deaktiviert. Den Mitarbeitern wurden auch keine eindeutigen Anmeldeinformationen zugewiesen, um ihre Systemaktivitäten und Interaktionen mit ePHI zu identifizieren.

Die Organisation hat auch keine Risikoanalyse durchgeführt, um die potenziellen Risiken und Schwachstellen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit von ePHI zu identifizieren.

Aufgrund dieser Versäumnisse zahlte die Stadt über 200.000 Dollar an finanziellen Strafen und stimmte einem Korrekturmaßnahmenplan zu.

Lektionen zu lernen:

  • Behalten Sie strenge Kontrollen darüber, wer Zugang zu sensiblen Informationen hat.
  • Führen Sie umfassende Risikoanalysen durch.
  • Geben Sie eindeutige IDs aus, um die Aktivitäten im Zusammenhang mit ePHI zu überwachen.

Ein Gesundheitssystem gibt PHI in einer Pressemitteilung bekannt

Im Jahr 2015 gab ein Gesundheitssystem eine Pressemitteilung als Reaktion auf einen Polizeieinsatz, an dem ein Patient beteiligt war, heraus. In der Pressemitteilung wurde der Name des Patienten genannt.

Das OCR stellte fest, dass dies ein vorsätzliches Versäumnis war, die Rechte des Patienten auf Privatsphäre zu schützen. Infolgedessen ordnete das OCR an, dass das Gesundheitssystem eine Geldstrafe von 2,4 Millionen Dollar zahlen muss.

Lektionen zu lernen:

  • PHI dürfen ohne Genehmigung des Patienten nicht offengelegt werden.
  • Die Strafen für einen einzigen Verstoß gegen die Datenschutzrichtlinien können astronomisch sein.

Ein Gesundheitssystem begeht jahrelang mehrere HIPAA-Verstöße

Im Jahr 2015 eröffnete das OCR eine Untersuchung gegen ein gemeinnütziges akademisches Gesundheitssystem, nachdem ein Reporter ein Foto in den sozialen Medien geteilt hatte, das die medizinischen Informationen eines Patienten enthielt.

Die Untersuchung deckte mehrere HIPAA-Verstöße über mehrere Jahre auf, darunter:

  • Ein Mitarbeiter griff auf die Daten von mehr als 24.000 Patienten zu und verkaufte sie.
  • Das Gesundheitssystem hat es versäumt, die OCR rechtzeitig über den Verstoß zu informieren – eine Anforderung gemäß HIPAA – und die Zugriffe der Mitarbeiter auf Patientendaten zu beschränken.
  • Das Gesundheitssystem meldete, dass es 2012 die Papierakten von über 750 Patienten verloren hatte, meldete jedoch die Gesamtanzahl der betroffenen Patienten erst 2016.

Das OCR verhängte gegen das Gesundheitssystem eine Geldstrafe von 2,15 Millionen Dollar wegen Versäumnisses, den Diebstahl und Verkauf von Patientendaten zu erkennen, das OCR über verlorene Patientendaten zu informieren und PHI, die an die Medien weitergegeben wurden, zu schützen.

Lektionen zu lernen:

  • Sichern Sie PHI ordnungsgemäß, um Datenlecks zu vermeiden.
  • Unterhalten Sie Systeme, um sicherzustellen, dass PHI nur von autorisierten Mitarbeitern für angemessene Zwecke eingesehen wird.
  • Wenn Datenverstöße auftreten, benachrichtigen Sie das OCR und die betroffenen Personen so schnell wie möglich.

Wie man HIPAA-Verstöße vermeidet

HIPAA-Verstöße sind häufig auf Nachlässigkeit oder Unwissenheit der HIPAA-Gesetze zurückzuführen. Arbeitgeber können viele potenzielle Kopfschmerzen vermeiden, indem sie ihren Mitarbeitern eine angemessene HIPAA-Schulung anbieten.

Für alle Mitarbeiter, die mit geschützten Gesundheitsinformationen (PHI) umgehen, gibt es einige weitere einfache Möglichkeiten, HIPAA-Verstöße zu vermeiden:

  • Keine Passwörter oder Anmeldeinformationen weitergeben
  • Tragbare Geräte niemals unbeaufsichtigt lassen
  • Keine SMS-Nachrichten mit PHI versenden
  • PHI nicht in den Müll werfen
  • ePHI nicht in sozialen Medien teilen
  • Keine Patientenakten ohne gültigen Grund einsehen
  • Nehmen Sie keine medizinischen Aufzeichnungen mit, wenn Sie den Arbeitsplatz wechseln
  • Mögliche HIPAA-Verstöße melden

Wie Sie die HIPAA-Compliance mit Secureframe vereinfachen können

Für Organisationen, die geschützte Gesundheitsinformationen verarbeiten, ist die Nichteinhaltung der HIPAA keine Option. Dennoch ist es nicht einfach, mit der sich weiterentwickelnden Technologie und den regulatorischen Änderungen Schritt zu halten.

Secureframe macht es schnell und einfach, die HIPAA-Compliance zu erreichen, indem der Prozess in einige wichtige Schritte vereinfacht wird.

Mit einer Plattform können Sie sicherstellen, dass Sie keinen HIPAA-Verstößen unterliegen, indem Sie:

  • HIPAA-Datenschutz- und Sicherheitsrichtlinien erstellen
  • Mitarbeiter über HIPAA-Anforderungen und Best Practices schulen
  • Den Überblick über Anbieter mit Zugang zu PHI behalten
  • Sicherstellen, dass Ihre Geschäftspartner PHI schützen
  • Ihre HIPAA-Schutzmaßnahmen stetig verbessern und überwachen

Secureframe ermöglicht es Ihnen, sich auf das Wachstum Ihres Unternehmens zu konzentrieren. Kontaktieren Sie uns, um zu erfahren, wie Sie noch heute Ihre HIPAA-Compliance automatisieren können.

FAQs

Welche Arten von HIPAA-Verstößen gibt es?

Es gibt zwei Arten von HIPAA-Verstößen: zivilrechtliche und strafrechtliche. Zivilrechtliche Strafen werden in der Regel verhängt, wenn der Täter nicht wusste, dass er gegen die HIPAA verstößt, und können Geldstrafen und Korrekturmaßnahmenpläne beinhalten. Strafrechtliche Strafen werden in der Regel in Fällen verhängt, in denen Einzelpersonen wissentlich PHI ohne Erlaubnis erhalten oder verwenden, und können Geldstrafen, Korrekturmaßnahmenpläne und Gefängnisstrafen umfassen.

Was qualifiziert als ein HIPAA-Verstoß?

Ein Verstoß gegen eine der Bestimmungen der HIPAA-Sicherheits-, Datenschutz-, Verletzungsbenachrichtigungs-, Durchsetzungs- oder Omnibus-Regel qualifiziert sich als HIPAA-Verstoß. Alle folgenden Punkte qualifizieren sich als HIPAA-Verstoß:

  • jeglicher unautorisierter Zugriff, Nutzung oder Offenlegung von PHI
  • die Nichterteilung von Zugang zu PHI für Patienten
  • das Fehlen von Maßnahmen zum Schutz von PHI
  • das Versäumnis, regelmäßig Risikobewertungen durchzuführen
  • unzureichende Schulung der Mitarbeiter zu HIPAA-Regelungen

Es ist wichtig zu verstehen, dass bestimmte Handlungen als HIPAA-Verstöße qualifizieren können, selbst wenn kein Patientenschaden entsteht. Beispielsweise würde es als HIPAA-Verstoß gelten, wenn ein Mitarbeiter die medizinische Akte eines Kunden auf seinem Computerbildschirm lässt, während er sich eine Tasse Kaffee holt.

Wie wirken sich HIPAA-Verstöße auf Patienten aus?

Das hängt von dem Verstoß ab. Wenn ein HIPAA-Verstoß zur Offenlegung von Millionen von PHI-Datensätzen führt, könnte dies die Patienten erheblich beeinträchtigen. Sie könnten das Vertrauen in Ihre Gesundheitseinrichtung verlieren und woanders hingehen oder aufgrund der Datenoffenlegung Opfer von Identitätsdiebstahl werden.

Woran erkennt man, ob eine Organisation gegen die HIPAA verstößt?

Ihre Compliance-Strategie sollte mit einer gründlichen Selbstprüfung beginnen. Dies wird Ihnen helfen, Bereiche zu identifizieren, in denen Ihr Unternehmen anfällig für HIPAA-Nichtkonformität sein könnte.

Das Versäumnis, entdeckte Probleme anzugehen, stellt einen Verstoß gegen HIPAA dar. Ihr nächster Schritt sollte die Erstellung eines umfassenden Sanierungsplans sein. Dieser Plan sollte dokumentiert werden und einen Zeitplan für die Behebung von Compliance-Lücken enthalten.

Ist Verschlüsselung unter HIPAA obligatorisch?

Verschlüsselung ist nicht obligatorisch, aber Organisationen, die keine Verschlüsselung implementieren, müssen die Gründe dafür dokumentieren. Ein Grund könnte sein, dass sie eine andere Sicherheitsmaßnahme implementiert haben, die ebenso effektiv beim Schutz von ePHI bei Speicherung und Übertragung ist.

Was sind die Strafen für Verstöße gegen HIPAA?

Die Strafen für Verstöße gegen HIPAA können je nach Faktoren wie der Art des Verstoßes, ob das betroffene Unternehmen oder der Geschäftspartner von dem Verstoß wusste oder wissen musste und ob der Verstoß auf vorsätzlicher Vernachlässigung beruhte, erheblich variieren. HIPAA-Strafen sind in verschiedene Stufen unterteilt, die den Schweregrad und die Art des Verstoßes widerspiegeln:

Stufe 1: Unwissenheit

Das betroffene Unternehmen oder der Geschäftspartner war sich des Verstoßes nicht bewusst und konnte ihn mit angemessener Sorgfalt realistisch nicht vermeiden.

Strafrahmen: $100 bis $50.000 pro Verstoß, mit einem jährlichen Höchstbetrag von $1,5 Millionen für identische Verstöße.

Stufe 2: Vernünftiger Grund

Der Verstoß hatte einen vernünftigen Grund und beruhte nicht auf vorsätzlicher Vernachlässigung. Dies bedeutet, dass das Unternehmen wusste oder durch angemessene Sorgfalt hätte wissen müssen, dass die Handlung oder Unterlassung ein Verstoß war, das Unternehmen jedoch nicht vorsätzlich handelte.

Strafrahmen: $1.000 bis $50.000 pro Verstoß, mit einem jährlichen Höchstbetrag von $1,5 Millionen für identische Verstöße.

Stufe 3: Vorsätzliche Vernachlässigung-Korrigiert

Der Verstoß beruhte auf vorsätzlicher Vernachlässigung, aber das Unternehmen hat den Verstoß innerhalb der erforderlichen Frist (in der Regel 30 Tage ab dem Zeitpunkt, an dem das Unternehmen von dem Verstoß wusste oder wissen musste) korrigiert.

Strafrahmen: $10.000 bis $50.000 pro Verstoß, mit einem jährlichen Höchstbetrag von $1,5 Millionen für identische Verstöße.

Stufe 4: Vorsätzliche Vernachlässigung-Nicht Korrigiert

Der Verstoß beruhte auf vorsätzlicher Vernachlässigung und wurde nicht rechtzeitig korrigiert.

Strafe: $50.000 pro Verstoß, mit einem jährlichen Höchstbetrag von $1,5 Millionen für identische Verstöße.

Zusätzlich zu diesen zivilrechtlichen Geldstrafen können bei bestimmten Verstößen, wie dem wissentlich rechtswidrigen Erwerb oder der Offenlegung von PHI, oder unter falschen Vorwänden, auch strafrechtliche Strafen verhängt werden. Strafrechtliche Strafen können von Geldstrafen bis zu $250.000 und Freiheitsstrafen von bis zu zehn Jahren reichen, je nach Schwere des Fehlverhaltens.

Es ist auch wichtig zu beachten, dass diese Strafen pro Verstoß gelten und mehrfache Verstöße zu erheblichen kumulativen Strafen führen können. Unternehmen, die gegen HIPAA verstoßen, können auch verpflichtet sein, Korrekturmaßnahmen zur Behebung der Verstöße zu ergreifen, einschließlich der Implementierung neuer Richtlinien und Verfahren, Schulungen für Mitarbeiter und erheblicher Änderungen ihrer Betriebs- und IT-Infrastruktur.

angle-rightWer setzt HIPAA durch + Wie Sie sicherstellen, dass Ihr Unternehmen konform istHIPAA-Ausnahmen: Was ist nicht durch das Datenschutzgesetz abgedeckt?angle-right

HIPAA-Übersicht

HIPAA-Regeln und -Anforderungen

Erreichen der HIPAA-Konformität

HIPAA-Verstöße

Automatisierung der HIPAA-Compliance

HIPAA-Tools und Ressourcen