HIPAA-Verletzungsklage
- HIPAA-Durchsetzungsmaßnahmen des HHS-Büros für Bürgerrechte
- Zivilrechtliche Geldstrafen des HHS-Büros für Bürgerrechte
- Finanzielle Vergleiche mit OCR zur Beilegung von Verstößen gegen HIPAA-Regeln
- Generalstaatsanwälte HIPAA-Strafen
- Kann ein US-Bürger eine HIPAA-Verletzungsklage einreichen?
- Landmark HIPAA Verletzung Klage Urteil
Es gibt keinen privaten Klagegrund in HIPAA, so dass eine HIPAA-Verletzung Klage kann nicht von einem Patienten eingereicht werden. Rechtliche Schritte können nur gegen abgedeckte Unternehmen durch das HHS-Büro für Bürgerrechte und Generalstaatsanwälte eingeleitet werden, obwohl Patienten möglicherweise noch in der Lage sind, Schäden zu erstatten, wenn sie aufgrund von Fahrlässigkeit finanzielle Verluste erleiden.
HIPAA-Durchsetzungsmaßnahmen durch das HHS-Büro für Bürgerrechte
Das Büro für Bürgerrechte (OCR) des Ministeriums für Gesundheit und menschliche Dienste ist der primäre Vollstrecker der HIPAA-Regeln. OCR ist befugt, Beschwerden über potenzielle HIPAA-Verstöße zu untersuchen, die über die HHS-Website oder schriftlich eingereicht werden. OCR untersucht auch alle Datenverstöße, die den Diebstahl oder die Offenlegung von mehr als 500 Gesundheitsdaten und einigen kleineren Datenverstößen betrafen, insbesondere wenn mehrere Verstöße von einem betroffenen Unternehmen festgestellt wurden.
Wenn HIPAA-Verstöße entdeckt werden, bestimmt OCR, ob weitere Maßnahmen erforderlich sind. OCR kann technische Unterstützung leisten, um dem betroffenen Unternehmen oder Geschäftspartner dabei zu helfen, sein Compliance-Programm auf den erforderlichen Standard zu bringen.
Wenn HIPAA-Verstöße jedoch nicht freiwillig korrigiert wurden oder wenn festgestellt wird, dass ein vorsätzlicher Verstoß gegen die HIPAA-Regeln vorliegt, kann OCR eine zivilrechtliche Geldstrafe verhängen. Wenn es zu kriminellen Verstößen gegen die HIPAA-Regeln gekommen ist, werden die Fälle an das Justizministerium übergeben, um sie zu verfolgen. Geldstrafen und Gefängnisstrafen sind in solchen Fällen möglich.
Zivile Geldstrafen für HIPAA-Verstöße sind relativ selten. In der Regel entscheidet sich das abgedeckte Unternehmen oder der Geschäftspartner, wenn es mit einer Geldstrafe konfrontiert wird, dafür, den Fall ohne Haftungszulassung beizulegen, indem es der Zahlung einer Geldstrafe zustimmt und einen Korrekturmaßnahmenplan annimmt, um Bereiche der Nichteinhaltung der HIPAA-Regeln anzugehen.
Vom Amt für Bürgerrechte des HHS verhängte zivilrechtliche Geldstrafen
| Jahr | Abgedeckte Einheit | Strafbetrag | Grund für die zivilrechtliche Geldstrafe |
|---|---|---|---|
| 2018 | University of Texas MD Anderson Cancer Center | $4.348.000 | Unzulässige Offenlegung von ePHI / Keine Verschlüsselung |
| 2017 | Kinderkrankenhaus von Dallas | $ 3.200.000 | Unzulässige Offenlegung von ePHI |
| 2016 | Lincare, Inc. | $239,800 | Failure to Safeguard PHI |
| 2011 | Cignet Health of Prince George’s County | $4,300,000 | Denying Patients Access to Medical Records |
Financial Settlements with OCR to Resolve Violations of HIPAA Rules
| Year | Covered Entity | Amount |
| 2018 | Cottage Health | $3,000,000 |
| 2018 | Pagosa Springs Medical Center | $111,400 |
| 2018 | Advanced Care Hospitalists | $500,000 |
| 2018 | Allergy Associates of Hartford | $125,000 |
| 2018 | Anthem Inc | $16,000,000 |
| 2018 | Boston Medical Center | $100,000 |
| 2018 | Brigham and Women’s Hospital | $384,000 |
| 2018 | Massachusetts General Hospital | $515,000 |
| 2018 | Filefax, Inc. | $100,000 |
| 2018 | Fresenius Medical Care North America | $3,500,000 |
| 2017 | 21st Century Oncology | $2,300,000 |
| 2017 | Memorial Hermann Health System | $2,400,000 |
| 2017 | St. Luke’s-Roosevelt Hospital Center Inc. | $387,000 |
| 2017 | The Center for Children’s Digestive Health | $31,000 |
| 2017 | Cardionet | $2,500,000 |
| 2017 | Metro Community Provider Network | $400,000 |
| 2017 | Memorial Healthcare System | $5,500,000 |
| 2017 | MAPFRE Life Insurance Company of Puerto Rico | $2,200,000 |
| 2017 | Presense Health | $475,000 |
| 2016 | University of Massachusetts Amherst (UMass) | $650,000 |
| 2016 | St. Joseph Health | $2,140,500 |
| 2016 | Care New England Health System | $400,000 |
| 2016 | Advocate Health Care Network | $5,550,000 |
| 2016 | University of Mississippi Medical Center | $2,750,000 |
| 2016 | Oregon Health & Science University | $2,700,000 |
| 2016 | Catholic Health Care Services of the Archdiocese of Philadelphia | $650,000 |
| 2016 | New York Presbyterian Hospital | $2,200,000 |
| 2016 | Raleigh Orthopaedic Clinic, P.A. of North Carolina | $750,000 |
| 2016 | Feinstein Institute for Medical Research | $3,900,000 |
| 2016 | North Memorial Health Care of Minnesota | $1,550,000 |
| 2016 | Complete P.T., Pool & Land Physical Therapy, Inc. | $25,000 |
| 2015 | University of Washington Medicine | $750,000 |
| 2015 | Triple S Management Corporation | $3,500,000 |
| 2015 | Lahey Hospital and Medical Center | $850,000 |
| 2015 | Cancer Care Group, P.C. | $750,000 |
| 2015 | St. Elizabeth’s Medical Center | $218,400 |
| 2015 | Cornell Prescription Pharmacy | $125,000 |
| 2014 | Anchorage Community Mental Health Services | $150,000 |
| 2014 | Parkview Health System, Inc. | $800,000 |
| 2014 | New York and Presbyterian Hospital and Columbia University | $4,800,000 |
| 2014 | QCA Health Plan, Inc., of Arkansas | $250,000 |
| 2014 | Concentra Health Services | $1,725,220 |
| 2014 | Skagit County, Washington | $215,000 |
| 2013 | Adult & Pediatric Dermatology, P.C. | $150,000 |
| 2013 | Affinity Health Plan, Inc. | $1,215,780 |
| 2013 | WellPoint | $1,700,000 |
| 2013 | Shasta Regional Medical Center | $275,000 |
| 2013 | Idaho State University | $400,000 |
| 2012 | The Hospice of Northern Idaho | $50,000 |
| 2012 | Massachusetts Eye and Ear Infirmary and Massachusetts Eye and Ear Associates, Inc. | $1,500,000 |
| 2012 | Alaska DHSS | $1,700,000 |
| 2012 | Phoenix Cardiac Surgery | $100,000 |
| 2012 | Blue Cross Blue Shield of Tennessee | $1,500,000 |
| 2011 | University of California at Los Angeles Health System | $865,500 |
| 2011 | General Hospital Corp. & Massachusetts General Physicians Organization Inc. | $1,000,000 |
| 2010 | Management Services Organization Washington Inc. | $35,000 |
| 2010 | Rite Aid Corporation | $1,000,000 |
| 2009 | CVS Pharmacy Inc. | $2.250.000 |
| 2008 | Vorsehung Gesundheit & Dienstleistungen | $ 100,000 |
State Attorneys General HIPAA Strafen
State attorneys general haben auch die Befugnis, finanzielle Strafen für HIPAA-Verstöße zu verfolgen und OCR bei der Durchsetzung der HIPAA-Regeln zu unterstützen, obwohl nur eine Handvoll Generalstaatsanwälte haben Geldstrafen nur für HIPAA-Verstöße verhängt.Das heißt nicht, dass HIPAA-Regeln nicht auf staatlicher Ebene durchgesetzt werden, nur dass Verletzungen der Privatsphäre von Patienten und das Versäumnis, Gesundheitsdaten zu sichern, oft auch eine Verletzung staatlicher Gesetze darstellen. Generalstaatsanwälte wählen oft Maßnahmen über die Verletzung der staatlichen Gesetze zu ergreifen, anstatt HIPAA Verletzungen.
| Year | State | Covered Entity | Amount | Individuals Affected |
| 2018 | Massachusetts | McLean Hospital | $75,000 | 1,500 |
| 2018 | New Jersey | EmblemHealth | $100,000 | 6,443 (81,000) |
| 2018 | New Jersey | Best Transcription Medical | $200,000 | 1,650 |
| 2018 | Washington | Aetna | TBA | 13,160 |
| 2018 | Connecticut | Aetna | $99,959 | 13,160 |
| 2018 | New Jersey | Aetna | $365,211.59 | 13,160 |
| 2018 | District of Columbia | Aetna | $175,000 | 13,160 |
| 2018 | Massachusetts | UMass Memorial Medical Group / UMass Memorial Medical Center | $230,000 | 15,000 |
| 2018 | New York | Arc of Erie County | $200,000 | 3,751 |
| 2018 | New Jersey | Virtua Medical Group | $417,816 | 1,654 |
| 2018 | New York | EmblemHealth | $575,000 | 81,122 |
| 2018 | New York | Aetna | $1,150,000 | 12,000 |
| 2017 | California | Cottage Health System | $2,000,000 | More than 54,000 |
| 2017 | Massachusetts | Multi-State Billing Services | $100,000 | 2,600 |
| 2017 | New Jersey | Horizon Healthcare Services Inc., | $1,100,000 | 3.7 million |
| 2017 | Vermont | SAManage USA, Inc. | $264,000 | 660 |
| 2017 | New York | CoPilot Provider Support Services, Inc | $130,000 | 221,178 |
| 2015 | New York | University of Rochester Medical Center | $15,000 | 3,403 |
| 2015 | Connecticut | Hartford Hospital/ EMC Corporation | $90,000 | 8,883 |
| 2014 | Massachusetts | Women & Infants Hospital of Rhode Island | $150,000 | 12,000 |
| 2014 | Massachusetts | Boston Children’s Hospital | $40,000 | 2,159 |
| 2014 | Massachusetts | Beth Israel Deaconess Medical Center | $100,000 | 3,796 |
| 2013 | Massachusetts | Goldthwait Associates | $140,000 | 67,000 |
| 2012 | MN | Accretive Health | $2,500,000 | 24,000 |
| 2012 | Massachusetts | South Shore Hospital | $750,000 | 800,000 |
| 2011 | Vermont | Health Net Inc. | $55,000 | 1,500,000 |
| 2011 | Indiana | WellPoint Inc. | $100,000 | 32,000 |
| 2010 | Connecticut | Health Net Inc. | $250.000 | 1.500.000 |
Kann ein US-Bürger Eine HIPAA-Verletzung Klage einreichen?
Es gibt keinen privaten Klagegrund in HIPAA, daher ist es einem Patienten oder Gesundheitsplanmitglied nicht möglich, eine HIPAA-Verletzungsklage einzureichen, wenn seine Privatsphäre verletzt oder seine geschützten Gesundheitsinformationen unzulässig offengelegt wurden. Dies bedeutet nicht, dass keine rechtlichen Schritte zur Wiedergutmachung von Schäden eingeleitet werden können, sondern nur, dass eine Klage wegen HIPAA-Verletzung nicht möglich ist. Stattdessen müsste eine Klage wegen Verstößen gegen staatliche Gesetze oder andere Bundesgesetze eingereicht werden, wenn ein privater Klagegrund vorliegt. Mehrere Staaten erlauben es Patienten, Anbieter wegen unbefugter Offenlegung ihrer Krankenakten zu verklagen, darunter New York, Massachusetts und Missouri.
Landmark HIPAA Verletzung Klage Ruling
Es gab mehrere Fälle, in denen eine HIPAA-Verletzung Klage eingereicht wurde, nur für den Fall zu einem Mangel an Ansehen geworfen werden. Während es kein privates Klagerecht unter HIPAA gibt, könnte eine HIPAA-Verletzungsklage möglicherweise nach einem wegweisenden Urteil des Obersten Gerichtshofs in Connecticut eingereicht werden.Es gab frühere Fälle in Connecticut, in denen eine HIPAA-Verletzungsklage eingereicht und abgewiesen wurde, aber im Fall von Emily Byrne durfte der Fall fortgesetzt werden. Darüber hinaus hat eine Mehrheitsentscheidung des Obersten Gerichtshofs ein neues staatliches Gesetz geschaffen, das es Patienten ermöglicht, Anbieter auf Schadensersatz zu verklagen, der sich aus der unbefugten Offenlegung von Krankenakten ergibt.Die HIPAA-Verletzungsklage wurde von Byrne eingereicht, nachdem das Avery Center for Obstetrics and Gynecology ihre Krankenakten als Reaktion auf eine Vorladung offengelegt hatte, ohne vorher die Zustimmung einzuholen oder Byrne zu informieren. Byrne behauptete, HIPAA habe einen Standard für die Pflege von Krankenakten geschaffen, und wenn diese Aufzeichnungen ohne Genehmigung veröffentlicht würden, werde dieser Standard verletzt.Während Byrne den Fall vor dem Superior Court verlor, entschied der Oberste Gerichtshof im Berufungsverfahren, dass HIPAA als Standard der Pflege in Klagen verwendet werden könnte. Der Fall wurde an das Gericht verwiesen, kam aber erneut vor den Obersten Gerichtshof. Das Gericht stellte den Fall zurück, da zuvor kein Gericht über solche Fahrlässigkeitsansprüche entschieden hatte.In seinem Urteil schrieb der Superior Court: „Wir stimmen mit der Mehrheit der Gerichtsbarkeiten überein, die das Problem in Betracht gezogen haben, und kommen zu dem Schluss, dass die Art der Arzt-Patienten-Beziehung die Anerkennung eines Common-Law-Klagegrundes für die Verletzung der Vertraulichkeitspflicht im Zusammenhang mit dieser Beziehung rechtfertigt.“Dieses Urteil erlaubt es daher, in bestimmten Fällen eine HIPAA-Verletzungsklage in Connecticut einzureichen, obwohl die Frage, ob eine solche HIPAA-Verletzungsklage erfolgreich ist, von den Besonderheiten jedes Falles abhängt.
Leave a Reply