HIPAA-Verletzungsklage

  • HIPAA-Durchsetzungsmaßnahmen des HHS-Büros für Bürgerrechte
  • Zivilrechtliche Geldstrafen des HHS-Büros für Bürgerrechte
  • Finanzielle Vergleiche mit OCR zur Beilegung von Verstößen gegen HIPAA-Regeln
  • Generalstaatsanwälte HIPAA-Strafen
  • Kann ein US-Bürger eine HIPAA-Verletzungsklage einreichen?
  • Landmark HIPAA Verletzung Klage Urteil

Es gibt keinen privaten Klagegrund in HIPAA, so dass eine HIPAA-Verletzung Klage kann nicht von einem Patienten eingereicht werden. Rechtliche Schritte können nur gegen abgedeckte Unternehmen durch das HHS-Büro für Bürgerrechte und Generalstaatsanwälte eingeleitet werden, obwohl Patienten möglicherweise noch in der Lage sind, Schäden zu erstatten, wenn sie aufgrund von Fahrlässigkeit finanzielle Verluste erleiden.

HIPAA-Durchsetzungsmaßnahmen durch das HHS-Büro für Bürgerrechte

Das Büro für Bürgerrechte (OCR) des Ministeriums für Gesundheit und menschliche Dienste ist der primäre Vollstrecker der HIPAA-Regeln. OCR ist befugt, Beschwerden über potenzielle HIPAA-Verstöße zu untersuchen, die über die HHS-Website oder schriftlich eingereicht werden. OCR untersucht auch alle Datenverstöße, die den Diebstahl oder die Offenlegung von mehr als 500 Gesundheitsdaten und einigen kleineren Datenverstößen betrafen, insbesondere wenn mehrere Verstöße von einem betroffenen Unternehmen festgestellt wurden.

Wenn HIPAA-Verstöße entdeckt werden, bestimmt OCR, ob weitere Maßnahmen erforderlich sind. OCR kann technische Unterstützung leisten, um dem betroffenen Unternehmen oder Geschäftspartner dabei zu helfen, sein Compliance-Programm auf den erforderlichen Standard zu bringen.

Wenn HIPAA-Verstöße jedoch nicht freiwillig korrigiert wurden oder wenn festgestellt wird, dass ein vorsätzlicher Verstoß gegen die HIPAA-Regeln vorliegt, kann OCR eine zivilrechtliche Geldstrafe verhängen. Wenn es zu kriminellen Verstößen gegen die HIPAA-Regeln gekommen ist, werden die Fälle an das Justizministerium übergeben, um sie zu verfolgen. Geldstrafen und Gefängnisstrafen sind in solchen Fällen möglich.

Zivile Geldstrafen für HIPAA-Verstöße sind relativ selten. In der Regel entscheidet sich das abgedeckte Unternehmen oder der Geschäftspartner, wenn es mit einer Geldstrafe konfrontiert wird, dafür, den Fall ohne Haftungszulassung beizulegen, indem es der Zahlung einer Geldstrafe zustimmt und einen Korrekturmaßnahmenplan annimmt, um Bereiche der Nichteinhaltung der HIPAA-Regeln anzugehen.

Vom Amt für Bürgerrechte des HHS verhängte zivilrechtliche Geldstrafen

Jahr Abgedeckte Einheit Strafbetrag Grund für die zivilrechtliche Geldstrafe
2018 University of Texas MD Anderson Cancer Center $4.348.000 Unzulässige Offenlegung von ePHI / Keine Verschlüsselung
2017 Kinderkrankenhaus von Dallas $ 3.200.000 Unzulässige Offenlegung von ePHI
2016 Lincare, Inc. $239,800 Failure to Safeguard PHI
2011 Cignet Health of Prince George’s County $4,300,000 Denying Patients Access to Medical Records

Financial Settlements with OCR to Resolve Violations of HIPAA Rules

Year Covered Entity Amount
2018 Cottage Health $3,000,000
2018 Pagosa Springs Medical Center $111,400
2018 Advanced Care Hospitalists $500,000
2018 Allergy Associates of Hartford $125,000
2018 Anthem Inc $16,000,000
2018 Boston Medical Center $100,000
2018 Brigham and Women’s Hospital $384,000
2018 Massachusetts General Hospital $515,000
2018 Filefax, Inc. $100,000
2018 Fresenius Medical Care North America $3,500,000
2017 21st Century Oncology $2,300,000
2017 Memorial Hermann Health System $2,400,000
2017 St. Luke’s-Roosevelt Hospital Center Inc. $387,000
2017 The Center for Children’s Digestive Health $31,000
2017 Cardionet $2,500,000
2017 Metro Community Provider Network $400,000
2017 Memorial Healthcare System $5,500,000
2017 MAPFRE Life Insurance Company of Puerto Rico $2,200,000
2017 Presense Health $475,000
2016 University of Massachusetts Amherst (UMass) $650,000
2016 St. Joseph Health $2,140,500
2016 Care New England Health System $400,000
2016 Advocate Health Care Network $5,550,000
2016 University of Mississippi Medical Center $2,750,000
2016 Oregon Health & Science University $2,700,000
2016 Catholic Health Care Services of the Archdiocese of Philadelphia $650,000
2016 New York Presbyterian Hospital $2,200,000
2016 Raleigh Orthopaedic Clinic, P.A. of North Carolina $750,000
2016 Feinstein Institute for Medical Research $3,900,000
2016 North Memorial Health Care of Minnesota $1,550,000
2016 Complete P.T., Pool & Land Physical Therapy, Inc. $25,000
2015 University of Washington Medicine $750,000
2015 Triple S Management Corporation $3,500,000
2015 Lahey Hospital and Medical Center $850,000
2015 Cancer Care Group, P.C. $750,000
2015 St. Elizabeth’s Medical Center $218,400
2015 Cornell Prescription Pharmacy $125,000
2014 Anchorage Community Mental Health Services $150,000
2014 Parkview Health System, Inc. $800,000
2014 New York and Presbyterian Hospital and Columbia University $4,800,000
2014 QCA Health Plan, Inc., of Arkansas $250,000
2014 Concentra Health Services $1,725,220
2014 Skagit County, Washington $215,000
2013 Adult & Pediatric Dermatology, P.C. $150,000
2013 Affinity Health Plan, Inc. $1,215,780
2013 WellPoint $1,700,000
2013 Shasta Regional Medical Center $275,000
2013 Idaho State University $400,000
2012 The Hospice of Northern Idaho $50,000
2012 Massachusetts Eye and Ear Infirmary and Massachusetts Eye and Ear Associates, Inc. $1,500,000
2012 Alaska DHSS $1,700,000
2012 Phoenix Cardiac Surgery $100,000
2012 Blue Cross Blue Shield of Tennessee $1,500,000
2011 University of California at Los Angeles Health System $865,500
2011 General Hospital Corp. & Massachusetts General Physicians Organization Inc. $1,000,000
2010 Management Services Organization Washington Inc. $35,000
2010 Rite Aid Corporation $1,000,000
2009 CVS Pharmacy Inc. $2.250.000
2008 Vorsehung Gesundheit & Dienstleistungen $ 100,000

State Attorneys General HIPAA Strafen

State attorneys general haben auch die Befugnis, finanzielle Strafen für HIPAA-Verstöße zu verfolgen und OCR bei der Durchsetzung der HIPAA-Regeln zu unterstützen, obwohl nur eine Handvoll Generalstaatsanwälte haben Geldstrafen nur für HIPAA-Verstöße verhängt.Das heißt nicht, dass HIPAA-Regeln nicht auf staatlicher Ebene durchgesetzt werden, nur dass Verletzungen der Privatsphäre von Patienten und das Versäumnis, Gesundheitsdaten zu sichern, oft auch eine Verletzung staatlicher Gesetze darstellen. Generalstaatsanwälte wählen oft Maßnahmen über die Verletzung der staatlichen Gesetze zu ergreifen, anstatt HIPAA Verletzungen.

Year State Covered Entity Amount Individuals Affected
2018 Massachusetts McLean Hospital $75,000 1,500
2018 New Jersey EmblemHealth $100,000 6,443 (81,000)
2018 New Jersey Best Transcription Medical $200,000 1,650
2018 Washington Aetna TBA 13,160
2018 Connecticut Aetna $99,959 13,160
2018 New Jersey Aetna $365,211.59 13,160
2018 District of Columbia Aetna $175,000 13,160
2018 Massachusetts UMass Memorial Medical Group / UMass Memorial Medical Center $230,000 15,000
2018 New York Arc of Erie County $200,000 3,751
2018 New Jersey Virtua Medical Group $417,816 1,654
2018 New York EmblemHealth $575,000 81,122
2018 New York Aetna $1,150,000 12,000
2017 California Cottage Health System $2,000,000 More than 54,000
2017 Massachusetts Multi-State Billing Services $100,000 2,600
2017 New Jersey Horizon Healthcare Services Inc., $1,100,000 3.7 million
2017 Vermont SAManage USA, Inc. $264,000 660
2017 New York CoPilot Provider Support Services, Inc $130,000 221,178
2015 New York University of Rochester Medical Center $15,000 3,403
2015 Connecticut Hartford Hospital/ EMC Corporation $90,000 8,883
2014 Massachusetts Women & Infants Hospital of Rhode Island $150,000 12,000
2014 Massachusetts Boston Children’s Hospital $40,000 2,159
2014 Massachusetts Beth Israel Deaconess Medical Center $100,000 3,796
2013 Massachusetts Goldthwait Associates $140,000 67,000
2012 MN Accretive Health $2,500,000 24,000
2012 Massachusetts South Shore Hospital $750,000 800,000
2011 Vermont Health Net Inc. $55,000 1,500,000
2011 Indiana WellPoint Inc. $100,000 32,000
2010 Connecticut Health Net Inc. $250.000 1.500.000

Kann ein US-Bürger Eine HIPAA-Verletzung Klage einreichen?

Es gibt keinen privaten Klagegrund in HIPAA, daher ist es einem Patienten oder Gesundheitsplanmitglied nicht möglich, eine HIPAA-Verletzungsklage einzureichen, wenn seine Privatsphäre verletzt oder seine geschützten Gesundheitsinformationen unzulässig offengelegt wurden. Dies bedeutet nicht, dass keine rechtlichen Schritte zur Wiedergutmachung von Schäden eingeleitet werden können, sondern nur, dass eine Klage wegen HIPAA-Verletzung nicht möglich ist. Stattdessen müsste eine Klage wegen Verstößen gegen staatliche Gesetze oder andere Bundesgesetze eingereicht werden, wenn ein privater Klagegrund vorliegt. Mehrere Staaten erlauben es Patienten, Anbieter wegen unbefugter Offenlegung ihrer Krankenakten zu verklagen, darunter New York, Massachusetts und Missouri.

Landmark HIPAA Verletzung Klage Ruling

Es gab mehrere Fälle, in denen eine HIPAA-Verletzung Klage eingereicht wurde, nur für den Fall zu einem Mangel an Ansehen geworfen werden. Während es kein privates Klagerecht unter HIPAA gibt, könnte eine HIPAA-Verletzungsklage möglicherweise nach einem wegweisenden Urteil des Obersten Gerichtshofs in Connecticut eingereicht werden.Es gab frühere Fälle in Connecticut, in denen eine HIPAA-Verletzungsklage eingereicht und abgewiesen wurde, aber im Fall von Emily Byrne durfte der Fall fortgesetzt werden. Darüber hinaus hat eine Mehrheitsentscheidung des Obersten Gerichtshofs ein neues staatliches Gesetz geschaffen, das es Patienten ermöglicht, Anbieter auf Schadensersatz zu verklagen, der sich aus der unbefugten Offenlegung von Krankenakten ergibt.Die HIPAA-Verletzungsklage wurde von Byrne eingereicht, nachdem das Avery Center for Obstetrics and Gynecology ihre Krankenakten als Reaktion auf eine Vorladung offengelegt hatte, ohne vorher die Zustimmung einzuholen oder Byrne zu informieren. Byrne behauptete, HIPAA habe einen Standard für die Pflege von Krankenakten geschaffen, und wenn diese Aufzeichnungen ohne Genehmigung veröffentlicht würden, werde dieser Standard verletzt.Während Byrne den Fall vor dem Superior Court verlor, entschied der Oberste Gerichtshof im Berufungsverfahren, dass HIPAA als Standard der Pflege in Klagen verwendet werden könnte. Der Fall wurde an das Gericht verwiesen, kam aber erneut vor den Obersten Gerichtshof. Das Gericht stellte den Fall zurück, da zuvor kein Gericht über solche Fahrlässigkeitsansprüche entschieden hatte.In seinem Urteil schrieb der Superior Court: „Wir stimmen mit der Mehrheit der Gerichtsbarkeiten überein, die das Problem in Betracht gezogen haben, und kommen zu dem Schluss, dass die Art der Arzt-Patienten-Beziehung die Anerkennung eines Common-Law-Klagegrundes für die Verletzung der Vertraulichkeitspflicht im Zusammenhang mit dieser Beziehung rechtfertigt.“Dieses Urteil erlaubt es daher, in bestimmten Fällen eine HIPAA-Verletzungsklage in Connecticut einzureichen, obwohl die Frage, ob eine solche HIPAA-Verletzungsklage erfolgreich ist, von den Besonderheiten jedes Falles abhängt.

Leave a Reply