Nach welchen Standards werden HIPAA-Bußgelder berechnet?

Wie wichtig ist es Ihnen, nicht im Gefängnis zu landen? Wenn Sie ein hart arbeitender Bürger sind, ist Gefängnis keine Option, genauso wenig wie für mich. Sie werden jedoch überrascht sein, wie schnell man in einer 2×4-Zelle landet, nur weil man vertrauliche Informationen eingesehen und sich mit einem Verstoß gegen HIPAA herumgeschlagen hat. Vielleicht haben Sie gehört, dass der ehemalige Mitarbeiter des UCLA Medical Center in LA – Huping Zhou – 2010 strafrechtlich verfolgt und zu 4 Monaten Haft sowie einer Geldstrafe von 2.000 US-Dollar verurteilt wurde. Nach seiner Entlassung durchsuchte er weiterhin illegal die Datenbank der Arztpraxis nach vertraulichen Patienteninformationen. Darüber hinaus suchte er sogar nach Informationen über Prominente wie Arnold Schwarzenegger, Tom Hanks, Drew Barrymore und Leonardo DiCaprio.

Ja, ich weiß, es ist Ihnen egal, wie gesund oder ungesund Hollywood-Stars sind, aber seien Sie vorsichtig – das Office for Civil Rights schläft nie! Sie führen zahlreiche Untersuchungen durch und bestrafen Verstöße regelmäßig. Passen Sie auf! Sie und ich könnten ihr nächstes Ziel werden, wenn wir nicht im Einklang mit HIPAA handeln!

VERSTOSS GEGEN HIPAA-BUSSGELDSTANDARDS

Es gibt bestimmte Standards für die Berechnung von HIPAA-Bußgeldern. Der Betrag kann zwischen 100 und 50.000 US-Dollar pro Verstoß liegen. Gleichzeitig kann der Bußgeldbetrag auf 1.500.000 US-Dollar steigen.

Die Höhe der Strafe wird in Stufen geregelt. Es gibt vier davon:

• Ein Unternehmen weiß nichts von einem Verstoß und verfügt über keine hinreichenden Informationen – 100.000 bis 50.000 US-Dollar pro Vorfall;
• Ein Unternehmen wusste von dem Verstoß, handelte jedoch nicht entsprechend dem vorsätzlichen Verstoß – 1.000 – 50.000 US-Dollar pro Vorfall;
• Ein Unternehmen beging einen vorsätzlichen Verstoß, behob das Problem jedoch innerhalb von 30 Tagen nach den Verstößen – 10.000 bis 50.000 US-Dollar pro Vorfall;
• Ein Unternehmen beging einen vorsätzlichen Verstoß und korrigierte das Problem nicht rechtzeitig – 50.000 USD pro Vorfall.

Wir betonen noch einmal, dass sich die Höhe der Geldbuße in besonderen Fällen auf bis zu 1.500.000 US-Dollar pro Verstoß und Jahr erhöhen kann.

Daher ist die Verantwortung für Verstöße sehr hoch. Aus diesem Grund sind die persönlichen Daten der Patienten vertraulich und müssen gut geschützt werden. Folglich müssen ihre Interessen geschützt werden.

Beispiele für Unternehmensstrafen

Trotz der Ernsthaftigkeit der Einhaltung des Gesetzes wurde es von verschiedenen Unternehmen wiederholt verletzt. Hier sind die Beispiele für die Bußgelder für Verstöße gegen HIPAA im Jahr 2017:

• Memorial Healthcare Systems – 5.500.000 US-Dollar für den Zugriff auf vertrauliche Informationen von 115.143 Patienten
• Children's Medical Center of Dallas – 3.200.000 US-Dollar wegen mangelnden Schutzes der persönlichen Patientendaten und Nichteinhaltung der OCR-Richtlinien
• CardioNet – 2.500.000 US-Dollar wegen möglicher Nichteinhaltung der HIPAA-Datenschutz- und Sicherheitsvorschriften
• Memorial Hermann Health System (MHHS) – 2.400.000 US-Dollar wegen nicht rechtzeitiger Lösung möglicher HIPAA-Verstöße

Würden Medizinunternehmen der Datensicherheit und dem vertraulichen Umgang mit Patienten mehr Aufmerksamkeit schenken, könnten Bußgelder leicht vermieden werden. Unternehmen, die das Thema nicht ernst nehmen, müssen leider hohe Bußgelder zahlen.

PRAKTISCHE SCHRITTE ZUR VERMEIDUNG VON STRAFEN

Alle Eigentümer von Gesundheitsunternehmen möchten den Verlust und die illegale Nutzung von Patientendaten vermeiden. Es ist nicht nur wichtig, diese Bußgelder zu umgehen, sondern die Wahrscheinlichkeit ihres Auftretens vollständig auszuschließen.

Was muss also getan werden? Die Antwort liegt auf der Hand: Es muss sichergestellt werden, dass die personenbezogenen Daten der Patienten vollständig geschützt sind und rechtzeitig und korrekt verarbeitet werden. Um den aktuellen Stand der internen Prozesse des jeweiligen Unternehmens zu analysieren, müssen folgende Fragen beantwortet werden:

• Wo und wie werden die Informationen gespeichert?
• Wie werden diese Informationen verwendet?
• Wer ist für die Verwendung der Informationen verantwortlich?
• Besteht das Risiko einer Verletzung der Sicherheit personenbezogener Patientendaten?

Angesichts der modernen Technologien werden Informationen zum größten Teil auf elektronischen Geräten gespeichert. Es ist jedoch wichtig zu verstehen, dass elektronisch gespeicherte Informationen vor Hackerangriffen geschützt werden müssen – sowohl vor externen als auch internen. Externes Hacken bedeutet, dass persönliche Informationen gestohlen werden und es zu illegalem Zugriff auf die Datenbanken kommt. Internes Hacken bedeutet dasselbe für jeden trickreichen Mitarbeiter. Papierakten müssen ebenfalls an einem sicheren Ort aufbewahrt werden.

Die persönlichen Daten der Patienten dürfen ausschließlich für den vorgesehenen Zweck verwendet werden – nämlich für ihre Pflege. Das mag absolut offensichtlich erscheinen, ist aber wichtig zu erwähnen. Jede nicht zielgerichtete Aktion mit Kundendaten ist inakzeptabel. Alle Unternehmensvorgänge sollten, wenn möglich, durch automatisierte Systeme aufgezeichnet werden.

Die Verantwortung für die Speicherung und Verwendung personenbezogener Patientendaten sollte gleichmäßig zwischen Vorgesetzten und Mitarbeitern aufgeteilt werden. Im Falle einer Verletzung oder eines Datenverlusts tragen beide Parteien die Verantwortung. Solche Richtlinien gewährleisten die Sicherheit und sind darüber hinaus im besten Interesse des Personals.

Es ist wichtig, potenzielle Risiken einer Verletzung der Patientenrechte zu bewerten. Die Risikobewertung kann durch einen Vergleich des Grads der Einhaltung der HIPAA-Standards durch die Arbeit der Mitarbeiter erfolgen. Sie müssen alle Anforderungen dieses Gesetzes überprüfen und eine ordnungsgemäße Prüfung durchführen. Das ist ziemlich einfach.

ZUSAMMENFASSUNG

Zusammenfassend lässt sich sagen, dass der Verlust und die illegale Nutzung personenbezogener Patientendaten absolut inakzeptabel sind. Das HIPAA-Gesetz wurde 1996 verabschiedet, um die oben genannten Fälle zu verhindern.

Die Einhaltung dieses Gesetzes vermeidet nicht nur Strafen, sondern verbessert auch den Ruf des Unternehmens. Alle, die gegen dieses Gesetz verstoßen, werden einen schlechten Ruf als Unternehmen haben. Wie Sie wissen, bevorzugen Kunden zuverlässige und stabile Unternehmen.

Die Einhaltung dieses Gesetzes ist kein Problem. Seine Regeln sind absolut und klar – von den Eigentümern des Unternehmens wird lediglich verlangt, ihre Arbeitstätigkeit mit diesen Anforderungen in Einklang zu bringen. Auch wenn dafür einige Ausgaben erforderlich sind, sind diese notwendig.

Unserer Erfahrung nach ist der Einsatz spezieller Softwarelösungen zur Verhinderung solcher Verstöße ein Muss. Die Verwendung von 2-Stufen-Authentifizierung, Anti-Phishing-Add-ons und Protokollanalysatoren sind perfekte Beispiele für solche Lösungen. Und dies ist die Liste der Informationen, die vertraulich bleiben müssen:

• Persönliche Patientendaten
• Benutzerdefiniertes Reporting
• Elektronische Signaturen
• Allgemeine Buchhaltung

Unser Hauptziel besteht darin, eine Lösung zu schaffen, die Ihnen nicht nur dabei hilft, das HIPAA-Gesetz einzuhalten, sondern auch Folgendes:

• Systemintegration
• Mitarbeiterkommunikation
• Besuchskontrollen
• Zeitplanoptimierung

Darüber hinaus werden durch den Einsatz unserer Lösungen die Arbeitsprozesse in jedem Unternehmen deutlich verbessert, was sich zweifellos auf die Kundenzufriedenheit auswirkt.

HIPAA-Verstöße zeigen also, wie gewissenhaft und verantwortungsbewusst Gesundheitsorganisationen alle vertraulichen Aktivitäten für ihre Patienten durchführen. Vorsichtsmaßnahmen zahlen sich im Wesentlichen von selbst, und Sie können die Kosten dafür nicht als nutzlos abtun!