Als Führungskraft im Gesundheitswesen liegt die Verantwortung, Ihre Organisation konform zu halten, auf Ihren Schultern – und es ist eine Verantwortung, die ernst genommen werden muss.

Schließlich fühlt sich die Aussicht, 16 Millionen Dollar für HIPAA-Verstöße zu schulden, wahrscheinlich undenkbar an, wie es Anthem 2018 tat. Um sicherzustellen, dass Sie Strafen vermeiden und die Informationen Ihrer Patienten sicher halten, ist es ein guter Anfang zu erfahren, wer HIPAA durchsetzt.

In diesem Leitfaden erklären wir, wer für die Durchsetzung der HIPAA-Regeln verantwortlich ist, die Stufen der HIPAA-Verstoßstrafen und wie Sie sicherstellen, dass Ihre Organisation vor diesen Strafen geschützt ist.

Wer setzt HIPAA durch?

Hier ist die einfache Antwort: Das Office for Civil Rights (OCR) des US-Gesundheitsministeriums (HHS) ist der Hauptdurchsetzer der Datenschutz- und Sicherheitsregeln von HIPAA.

Das gesagt, gibt es ein paar andere Organisationen, die ebenfalls die Befugnis haben, HIPAA durchzusetzen, obwohl sie diese Macht seltener ausüben. Dazu gehören die Generalstaatsanwälte der Bundesstaaten und die Centers for Medicare and Medicaid Services (CMS).

OCR hat die größte Verantwortung, das Gesetz durchzusetzen, also beginnen wir damit, wie diese Durchsetzung aussieht.

HHS' Office for Civil Rights

OCR spielt mehrere Rollen bei der Durchsetzung der Datenschutz- und Sicherheitsregeln von HIPAA. Es untersucht Beschwerden, führt Compliance-Überprüfungen durch und bildet relevante Organisationen über Compliance-Anforderungen auf. Falls nötig, kann es Strafen gegen nicht konforme Organisationen verhängen und sie sogar an das Justizministerium verweisen.

Während das OCR Datenschutzverletzungen priorisiert, die mehr als 500 Personen betreffen, untersucht es auch Organisationen, die mehrere kleinere Verstöße erfahren haben. Datenschutzverletzungen bedeuten nicht immer, dass eine Organisation nicht konform mit HIPAA ist, aber das OCR hält Verstöße für Grund genug, um eine von HIPAA abgedeckte Organisation zu untersuchen.

Das OCR bevorzugt natürlich, HIPAA-Verstöße durch freiwillige Compliance zu lösen. Dabei korrigiert die schuldige Organisation freiwillig ihre Compliance-Probleme. Wenn dies nicht geschieht, wird das OCR wahrscheinlich rechtliche Schritte einleiten.

Das OCR teilt HIPAA-Verstöße in vier Kategorien ein, nach Schweregrad geordnet:

  • Kategorie 1: Ein Verstoß, von dem die betroffene Organisation nichts wusste und den sie wahrscheinlich nicht hätte vermeiden können. Die Organisation hat eindeutig versucht, HIPAA-compliant zu sein.
  • Kategorie 2: Ein Verstoß, von dem die beteiligte Organisation hätte wissen müssen, aber dennoch nicht vermieden werden konnte. Diese Kategorie stellt noch keine mutwillige Vernachlässigung dar.
  • Kategorie 3: Ein Verstoß aufgrund mutwilliger Vernachlässigung der HIPAA-Regeln. Um in diese Kategorie zu fallen, muss die Einrichtung versucht haben, ihre Fehler zu korrigieren.
  • Kategorie 4: Ein Verstoß aufgrund mutwilliger Vernachlässigung der HIPAA-Regeln, bei dem die Einrichtung sich ihrer Fehler bewusst war und nicht versuchte, sie zu korrigieren.

Aufschlüsselung der Strafen für HIPAA-Verstöße durch das OCR

Das OCR verhängt unterschiedliche Strafen für jede Kategorie von HIPAA-Verstößen. Diese sind wie folgt:

  • Kategorie 1: Eine Geldstrafe von 100 bis 50.000 US-Dollar pro Verstoß
  • Kategorie 2: Eine Geldstrafe von 1.000 bis 50.000 US-Dollar pro Verstoß
  • Kategorie 3: Eine Geldstrafe von 10.000 bis 50.000 US-Dollar pro Verstoß
  • Kategorie 4: Eine Geldstrafe von mindestens 50.000 US-Dollar pro Verstoß

Die Geldstrafen für Verstöße sind auf 1.500.000 US-Dollar pro Verstoß und Jahr begrenzt. Um eine spezifische Geldstrafe innerhalb dieser Kategorien festzulegen, berücksichtigt das OCR die folgenden Faktoren:

  • Die Größe der beteiligten Organisation
  • Die Art der offengelegten Daten
  • Die Dauer des Verstoßes
  • Die Anzahl der betroffenen Personen
  • Das Ausmaß des Schadens
  • Die Kooperation der Einrichtung bei der Untersuchung

Weitere Durchsetzer von HIPAA

Wie bereits erwähnt, ist das OCR nicht die einzige Entität, die befugt ist, die HIPAA-Regeln durchzusetzen. Obwohl sie nicht annähernd so oft eingreifen, haben auch die Generalstaatsanwälte der Bundesstaaten und das CMS hier Befugnisse. Als Nächstes erläutern wir, welche Befugnisse ihnen eingeräumt werden und wie sie die HIPAA durchsetzen.

Generalstaatsanwälte der Bundesstaaten

Im Jahr 2008 verlieh der Health Information Technology for Economic and Clinical Health (HITECH) Act den Generalstaatsanwälten der Bundesstaaten die Befugnis, die HIPAA in ihren Staaten durchzusetzen.

Anfangs zögerten die Bundesstaaten, diese Befugnis zu nutzen, und viele entschieden sich dagegen. Doch in letzter Zeit setzen die Generalstaatsanwälte die HIPAA aktiver durch. Im Jahr 2021 half beispielsweise New Jersey bei der Untersuchung des Datenschutzverstoßes von 2019 bei der American Medical Collection Agency (AMCA).

Während die zunehmende Beteiligung der Bundesstaaten teilweise darauf zurückzuführen ist, dass diese Praxis im Laufe der Zeit mehr Akzeptanz gefunden hat, ist es auch wahrscheinlich, dass Generalstaatsanwälte jetzt einen Teil der Bußgelder behalten dürfen.

Es ist wichtig zu beachten, dass die von den Generalstaatsanwälten der Bundesstaaten verhängten Strafen weit weniger streng sind als die des OCR und zwischen 100 und 25.000 US-Dollar liegen.

Die Centers for Medicare and Medicaid Services (CMS)

Neben den bekannten Vorschriften zur Patientensicherheit enthält die HIPAA auch Bestimmungen zur Verbesserung der Effizienz im Gesundheitssektor. Diese sind als HIPAA Administrative Simplification Regulations bekannt.

Es liegt in der Verantwortung des CMS, diese Vorschriften durchzusetzen. Das CMS untersucht gedeckte Einheiten, die gegen diesen Bereich von HIPAA verstoßen haben. Es verhängt jedoch keine Strafen gegen nicht konforme Einheiten, es sei denn, sie weigern sich, die Einhaltung zu erreichen.

4 Tipps zur Aufrechterhaltung der HIPAA-Konformität

Es versteht sich von selbst, dass die Einhaltung von HIPAA Ihnen eine Menge Ärger ersparen wird – sagen Sie dem Stress einer bevorstehenden Untersuchung auf Wiedersehen. Abgesehen davon, dass Sie den Sicherheits- und Datenschutzregeln von HIPAA folgen, haben wir einige bewährte Verfahren zusammengestellt, die Ihrer Organisation helfen sollen, konform zu bleiben.

  • Schulen Sie die Mitarbeiter in Datenschutz- und Sicherheitsrichtlinien: Idealerweise wäre es ausreichend, den Datenschutz- und Sicherheitsregeln von HIPAA zu folgen, um eine Organisation HIPAA-konform zu halten. Aber das ist nicht immer der Fall. Erstellen und aktualisieren Sie regelmäßig Datenschutz- und Sicherheitsrichtlinien und schulen Sie Ihre Mitarbeiter darauf, diese Richtlinien während ihres Einarbeitungsprozesses und regelmäßig zu befolgen.
  • Führen Sie regelmäßige Selbstaudits durch: Bedrohungen entwickeln sich weiter und Sicherheitsmaßnahmen versagen im Laufe der Zeit. Um konform zu bleiben, führen Sie regelmäßige Audits Ihrer physischen, technischen und administrativen Schutzmaßnahmen durch. Laut dem HSS sollten diese mindestens jährlich durchgeführt werden.
  • Dokumentiere alles: Wenn Ihre Organisation untersucht wird, wird der Prozess viel einfacher sein, wenn Sie alle Ihre Bemühungen zur HIPAA-Konformität dokumentiert haben. OCR und andere Vollstrecker werden wahrscheinlich Selbstaudit-Berichte, Datenschutz- und Sicherheitsrichtlinien sowie organisationsweite Schulungssitzungen sehen wollen.
  • Automatisieren Sie die Einhaltung: Die Automatisierung des Compliance-Prozesses macht es viel einfacher, kontinuierlich konform zu werden. Dies macht Audits und Untersuchungen weitaus weniger stressig.

Abdeckung Ihrer HIPAA-Grundlagen mit Secureframe

​​Secureframe nimmt das Rätselraten aus der HIPAA-Konformität. Wir zerlegen den Prozess in einfache Schritte, vom Erstellen von Datenschutz- und Sicherheitsrichtlinien bis hin zur Erleichterung der HIPAA-Schulung für Mitarbeiter.

Unsere Software macht es einfach sicherzustellen, dass auch Ihre Anbieter HIPAA-konform sind. Wir beseitigen Lieferantenrisiken von Grund auf und helfen Ihnen dabei, Business Associate Agreements für Partner zu erstellen, die Zugang zu Patientendaten haben.

 Für volles Vertrauen in Ihre HIPAA-Compliance-Strategie, fordern Sie noch heute eine Demo unserer Plattform an.

FAQs

Wer ist für die Durchsetzung von HIPAA verantwortlich?

Das Office for Civil Rights (OCR) im US-amerikanischen Gesundheitsministerium (HHS) ist hauptsächlich für die Durchsetzung der Datenschutz-, Sicherheits- und Benachrichtigungsregeln des Health Insurance Portability and Accountability Act (HIPAA) verantwortlich. Das OCR untersucht Beschwerden, führt Compliance-Überprüfungen durch und bietet Bildungs- und Aufklärungsmaßnahmen an, um die Einhaltung der HIPAA-Regeln zu fördern. Zusätzlich zum OCR können bestimmte Staaten eigene Behörden oder Generalstaatsanwälte haben, die HIPAA-Vorschriften durchsetzen können, insbesondere nach der Verabschiedung des Health Information Technology for Economic and Clinical Health (HITECH) Act, der den Generalstaatsanwälten der Bundesstaaten das Recht einräumte, Zivilklagen wegen HIPAA-Verstößen einzureichen.

Wer verhängt HIPAA-Strafen?

HIPAA-Strafen werden hauptsächlich vom Amt für Bürgerrechte (OCR) des US-Gesundheitsministeriums (HHS) verhängt, können aber auch von den Generalstaatsanwälten der Bundesstaaten und den Zentren für Medicare und Medicaid Services (CMS) verhängt werden. Es ist wichtig zu beachten, dass die von den Generalstaatsanwälten der Bundesstaaten verhängten Strafen weitaus weniger schwerwiegend sind als die vom OCR verhängten und zwischen 100 und 25.000 US-Dollar liegen. Außerdem untersucht das CMS nur betroffene Einheiten, die gegen die HIPAA-Administrative-Vereinfachungsregelungen verstoßen haben, und verhängt Strafen gegen Einheiten, die sich weigern, die Einhaltung zu erreichen.

Wer überwacht HIPAA-Beschwerden?

Das Amt für Bürgerrechte (OCR) des US-Gesundheitsministeriums (HHS) überwacht und untersucht HIPAA-Beschwerden, die von Einzelpersonen eingereicht werden, die der Meinung sind, dass eine betroffene Einheit oder ein Geschäftspartner ihre (oder die einer anderen Person) Datenschutzrechte im Gesundheitswesen verletzt hat oder einen anderen Verstoß gegen die Datenschutz-, Sicherheits- oder Benachrichtigungsregeln begangen hat.

Wie reichen Sie eine Beschwerde wegen eines HIPAA-Verstoßes beim Amt für Bürgerrechte ein?

Um eine Beschwerde wegen eines HIPAA-Verstoßes beim Amt für Bürgerrechte einzureichen, können Einzelpersonen das Patientensicherheits-Vertraulichkeitsbeschwerdeformular- PDF und das Zustimmungspaket- PDF im PDF-Format ausfüllen oder eine schriftliche Beschwerde in ihrem eigenen Format einreichen und diese dann an das zuständige regionale OCR-Büro senden oder faxen oder per E-Mail an OCRComplaint@hhs.gov senden. Alle Beschwerdeanforderungen finden Sie hier.

Wie werden die HIPAA-Vorschriften durchgesetzt?

Die HIPAA-Vorschriften werden durch eine Vielzahl von Mechanismen durchgesetzt:

  • Beschwerden: Einzelpersonen können beim OCR Beschwerden einreichen, wenn sie der Meinung sind, dass ihre Rechte nach HIPAA verletzt wurden. Das OCR untersucht diese Beschwerden und entscheidet, ob ein Verstoß vorliegt.
  • Compliance-Überprüfungen: Das OCR kann eine Compliance-Überprüfung einer betroffenen Einheit oder eines Geschäftspartners einleiten, um die Einhaltung der HIPAA-Regeln zu überprüfen.
  • Audits: Das HHS OCR hat ein Audit-Programm eingerichtet, um die Einhaltung der HIPAA-Datenschutz-, Sicherheits- und Benachrichtigungsregeln durch betroffene Einheiten und Geschäftspartner zu bewerten.
  • Korrekturmaßnahmenpläne: Wenn ein Verstoß festgestellt wird, kann das OCR von der betroffenen Einheit verlangen, einen Korrekturmaßnahmenplan zu implementieren, um den Verstoß zu beheben und zu beheben.
  • Zivilgeldstrafen: Im Falle einer Nichteinhaltung kann das OCR Zivilgeldstrafen gegen die verletzende Einheit verhängen. Die Höhe der Strafe basiert auf der Art und dem Umfang des Verstoßes und dem daraus resultierenden Schaden.
  • Vergleichsvereinbarungen: Das OCR kann eine Vergleichsvereinbarung mit der betroffenen Einheit oder dem Geschäftspartner abschließen, die typischerweise eine Geldzahlung und einen Korrekturmaßnahmenplan zur Lösung der Compliance-Probleme umfasst.

Was passiert, wenn das HIPAA verletzt wird?

Die Folgen eines HIPAA-Verstoßes können je nach Art und Umfang des Verstoßes und des verursachten Schadens unterschiedlich sein:

  • Untersuchung und Korrekturmaßnahmen: Zunächst kann der OCR freiwillige Compliance und Korrekturmaßnahmen von der Stelle verlangen, um den Verstoß zu beheben.
  • Zivilrechtliche Geldstrafen: Wenn der Verstoß schwerwiegend ist oder die Stelle nicht kooperiert, kann der OCR zivilrechtliche Geldstrafen verhängen. Die Strafen für HIPAA-Verstöße können zwischen 100 und 50.000 US-Dollar pro Verstoß oder pro Datensatz liegen, mit einem Höchstbetrag von 1,5 Millionen US-Dollar pro Jahr für Verstöße gegen eine identische Bestimmung.
  • Strafrechtliche Sanktionen: Bei vorsätzlicher Vernachlässigung oder Straftaten, wie z. B. der unrechtmäßigen Offenlegung von personenbezogenen Gesundheitsinformationen, können strafrechtliche Sanktionen verhängt werden. Diese Strafen können je nach Schwere des Verstoßes von Geldstrafen bis zu 250.000 US-Dollar bis hin zu zehn Jahren Haft reichen.
  • Vergleichsvereinbarungen: Die Stelle kann auch eine Vergleichsvereinbarung mit dem OCR eingehen, die eine finanzielle Einigung und einen Korrektionsplan umfassen kann, der Maßnahmen festlegt, die die Stelle ergreifen muss, um die Einhaltung der HIPAA-Vorschriften zu gewährleisten.

Verstöße können auch zu Reputationsschäden, Vertrauensverlust der Patienten und möglichen Klagen betroffener Personen führen.