HIPAA-overtredingen

Image of Iron Brands

Gepubliceerd op 3 okt 2023 en bijgewerkt op 18 okt 2023 door Iron Brands

Niet-naleving van de HIPAA kan veel geld kosten - daarom komen overtredingen van de HIPAA vaak in het nieuws. Maar wat gebeurt er als de HIPAA wordt overtreden en wat zijn de gevolgen? Dat zoeken we uit!

  1. Wat is de HIPAA?
  2. Hoe wordt de HIPAA overtreden?
  3. Wie moet zich zorgen maken over overtredingen van de HIPAA?
  4. Hoe wordt de HIPAA gehandhaafd?
  5. Wat zijn de gevolgen van HIPAA-schendingen?
  6. Wat zijn de civielrechtelijke sancties onder de HIPAA?
  7. Wat zijn de strafrechtelijke sancties onder de HIPAA?
  8. Conclusies
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Wat is de HIPAA?

De Health Insurance Portability and Accountability Act (HIPAA) is een complexe wet die betrekking heeft op vele aspecten van het gebruik van beschermde gezondheidsinformatie (PHI) in de gezondheidszorg.

Het meest bekende en besproken deel van de HIPAA is de Privacy Rule, die gaat over geautoriseerde openbaarmakingen. Met andere woorden, de Privacy Rule vertelt zorgverleners en hun partners wanneer ze beschermde gezondheidsinformatie mogen vrijgeven en aan wie.

De HIPAA omvat echter nog een groot aantal andere onderwerpen: gegevensbeheer, technische standaarden voor elektronische patiëntendossiers en contractuele afspraken met zakelijke partners.

Hoe wordt de HIPAA overtreden?

Omdat de wet zo verstrekkend is, kunnen overtredingen van de HIPAA vele vormen aannemen. De schendingen die het nieuws halen, zijn meestal privacyschendingen als gevolg van ongeautoriseerde openbaarmakingen of datalekken. Maar het komt ook vaak voor dat bedrijven de HIPAA overtreden door patiënten de toegang tot hun gegevens te ontzeggen, door geen overeenkomst met derden te hebben wanneer de wet dat voorschrijft, door een datalek niet te melden, door het personeel geen bewustwordingstraining over beveiliging te geven, enzovoort.

Kortom: de Privacyregel krijgt de meeste aandacht, maar vergeet niet alle andere aspecten van de HIPAA!

Wie moet zich zorgen maken over overtredingen van de HIPAA?

De HIPAA is alleen van toepassing op zorgverleners ("covered entities") en zogenaamde business associates.

Business associates zijn organisaties of personen die werken voor een gedekte entiteit en toegang moeten hebben tot beschermde gezondheidsinformatie. Een webhostingbedrijf bijvoorbeeld, dat hosting verzorgt voor de website van een ziekenhuis, zal waarschijnlijk beschermde gezondheidsinformatie moeten verwerken en kwalificeren als een business associate. Als zodanig moet het bedrijf voldoen aan de HIPAA en moet het een business associate agreement (BA) hebben.

Aan de andere kant, als u gezondheidsinformatie verwerkt die niet is verzameld in het kader van de gezondheidszorg, dan hoeft u zich geen zorgen te maken over HIPAA. U kunt onze blog over de reikwijdte van de HIPAA bezoeken voor meer informatie.

Hoe wordt de HIPAA gehandhaafd?

De HIPAA wordt gehandhaafd door het Office for Civil Rights van het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) en de procureur-generaal van elke staat. Strafrechtelijk relevante zaken worden doorverwezen naar het Ministerie van Justitie.

Handhavingsprocedures kunnen starten na een eigen onderzoek of nadat een patiënt of werknemer van een gedekte entiteit een melding heeft ingediend.

Daarnaast zijn organisaties in bepaalde scenario's, zoals bekende datalekken, verplicht om zelf een inbreuk op de HIPAA te melden. Het niet melden van een HIPAA-schending kan organisaties in een slechte positie brengen. Het is dus belangrijk dat organisaties robuuste procedures hebben om interne meldingen van mogelijke HIPAA-inbreuken te beoordelen en hun privacy officer en juridisch personeel bij de zaak te betrekken.

Wat zijn de gevolgen van HIPAA-schendingen?

Overtredingen van de HIPAA kunnen leiden tot zowel een civielrechtelijke als een strafrechtelijke sanctie, afhankelijk van de aard van de overtreding. Daarnaast kan de HHS een organisatie een correctief actieplan opleggen om naleving in de toekomst te garanderen.

Het is goed om op te merken dat bedrijven strafrechtelijk aansprakelijk kunnen zijn volgens de Amerikaanse wetgeving. Daarom kan een entiteit die onder de HIPAA valt zelf worden onderworpen aan de boetes die voortvloeien uit strafrechtelijke aansprakelijkheid. In sommige gevallen kunnen individuen binnen een organisatie samen met de organisatie zelf strafrechtelijk aansprakelijk worden gesteld.

Organisaties kunnen ook aansprakelijk worden gesteld door patiënten voor schade die is veroorzaakt door een HIPAA-inbreuk, bovenop het feit dat ze een boete moeten betalen. Deze schade kan vooral hoog oplopen wanneer patiënten een class action aanspannen. In 2018 betaalde verzekeraar Anthem bijvoorbeeld een boete van 18 miljoen dollar (de hoogste HIPAA-boete tot nu toe) in een schikking voor een grootschalig datalek. Bovenop de boete moest het bedrijf meer dan $100M betalen om een class action van zijn patiënten te schikken.

Wat zijn de civielrechtelijke sancties onder de HIPAA?

De HIPAA voorziet in zowel een minimum als een maximum voor civielrechtelijke boetes voor overtredingen van de HIPAA. Bij de handhaving van de HIPAA kan de HHS een boete opleggen die tussen deze minimum- en maximumbedragen ligt, afhankelijk van factoren zoals de toegebrachte schade, de voorkombaarheid van het incident en de mate van nalatigheid van een organisatie. Houd er rekening mee dat de boetes worden aangepast voor inflatie, wat in de praktijk tot hogere bedragen leidt.

Het boetesysteem van de HIPAA is enigszins complex. Elke HIPAA overtreding behoort tot een van de vier niveaus, afhankelijk van de aard en omstandigheden. Alle civielrechtelijke boetes zijn gemaximeerd op $50.000, maar het minimum verschilt per niveau.

Niveau 1 is voor onwetende overtredingen: een betrokken entiteit was zich niet bewust van de inbreuk en kon deze niet voorkomen. Een ziekenhuis stuurt bijvoorbeeld per ongeluk het resultaat van een onderzoek door naar het e-mailadres van de verkeerde patiënt. Boetes voor overtredingen op niveau 1 variëren van $100 tot $50.000 per overtreding.

Niveau 2 is voor overtredingen met een redelijke oorzaak - dat wil zeggen, overtredingen waarvan de entiteit op de hoogte had moeten zijn, maar die niet het gevolg waren van opzettelijke nalatigheid. Bijvoorbeeld: de IT-afdeling van een ziekenhuis lijdt onder een datalek omdat de software niet is bijgewerkt. Boetes voor overtredingen op niveau 2 variëren van $1.000 tot $50.000.

Niveau 3 en 4 zijn voor opzettelijke overtredingen, en het verschil tussen de niveaus is of de overtreding is gecorrigeerd door de betrokken entiteit. Bijvoorbeeld: als een ziekenhuismedewerker uit nieuwsgierigheid onnodig toegang krijgt tot de gezondheidsdossiers van een beroemde patiënt en het ziekenhuis de medewerker later ontslaat, zal dit resulteren in een niveau 3 overtreding. Aan de andere kant, als het ziekenhuis geen actie onderneemt tegen de werknemer, resulteert dit in een niveau 4 overtreding.

Straffen voor overtredingen op niveau 3 variëren van $10.000 tot hetzelfde maximum van $50.000, terwijl straffen voor niveau 4 zijn vastgesteld op $50.000.

In de praktijk eindigen procedures over HIPAA-overtredingen vaak met een schikking, waardoor de straffen lager uitvallen.

Wat zijn de strafrechtelijke sancties onder de HIPAA?

Strafrechtelijke sancties voor overtredingen van de HIPAA zijn ook onderverdeeld in niveaus.

Een strafrechtelijke overtreding van niveau 1 vindt plaats wanneer de HIPAA bewust wordt overtreden. Overtredingen van niveau 1 worden bestraft met een boete van maximaal $50.000 en een gevangenisstraf van maximaal 1 jaar.

Het is de moeite waard om op te merken dat volgens de jurisprudentie een overtreding van niveau 1 zelfs kan plaatsvinden als het individu handelt zonder specifieke kennis van de HIPAA, op voorwaarde dat het individu zich ervan bewust is dat zijn handelingen in meer algemene zin onwettig zijn.

Een overtreding van niveau 2 vindt plaats wanneer een individu de HIPAA overtreedt door** valse voorwendselen**- bijvoorbeeld door gebruik te maken van bedrog om toegang te krijgen tot beschermde gezondheidsinformatie. Overtredingen van niveau 2 worden bestraft met een boete van maximaal $100.000 en een gevangenisstraf van maximaal 5 jaar.

Schendingen op niveau 3 zijn het ernstigst en vinden plaats wanneer gezondheidsinformatie wordt misbruikt of onrechtmatig openbaar wordt gemaakt voor persoonlijk gewin, voor commercieel voordeel of om kwaadwillige schade te veroorzaken. Deze overtredingen kunnen leiden tot een boete van maximaal $250.000 en een gevangenisstraf van maximaal 10 jaar.

Conclusies

Wij geven om privacy. Daarom leggen we privacywetgeving graag uit op een duidelijke manier en zonder al het juridische jargon.

Onze passie voor privacy heeft ons ertoe aangezet Simple Analytics te ontwikkelen: een innovatieve webanalyse-oplossing die u alle inzichten verschaft die u nodig hebt, zonder persoonlijke gegevens te verzamelen. Simple Analytics stelt bedrijven over de hele wereld in staat om op een verantwoorde, privacy-vriendelijke manier meer zichtbaarheid te krijgen en hun online aanwezigheid te versterken.

Als dit u aanspreekt, probeer ons dan gerust uit!

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode