Büro für Bürgerrechte gibt HIPAA-Verstöße bekannt
Das Büro für Bürgerrechte des US-Gesundheitsministeriums gab seine ersten HIPAA-Verstöße des Jahres 2022 gegen vier verschiedene Leistungserbringer wegen potenzieller Verstöße gegen die Datenschutzbestimmungen des Health Insurance Portability and Accountability Act (HIPAA) bekannt, einschließlich des Rechts auf Zugang zu geschützten Gesundheitsinformationen.
Identifizierte Parteien, denen Verstöße zur Last gelegt werden
Neben Dr. Donald Brockley, einem Zahnarzt in Pennsylvania, wurden auch in Vergleichen mit Dr. U Phillip Igbinadolor, DM,D, (UPI) aus North Carolina, Jacob and Associates aus Kalifornien, einem Anbieter von Dienstleistungen im Bereich der psychischen Gesundheit, und Northcutt Dental-Fairhope aus Alabama, einer Zahnarztpraxis in Fairhope und Umgebung, Bußgelder wegen Verstößen gegen HIPAA verhängt.
Stellungnahmen des OCR-Direktors
In einer Stellungnahme erklärte OCR-Direktorin Lisa Pino, dass das Ziel dieser Durchsetzungsverfahren darin bestehe, Gesundheitsdienstleister für die Einhaltung der HIPAA-Bestimmungen zur Rechenschaft zu ziehen. Laut Pino sei es angesichts der zunehmenden Häufigkeit von Datenschutzverletzungen ungeschützter Gesundheitsdaten und der anhaltenden Cybersicherheitsgefahren für das Gesundheitswesen unerlässlich, dass HIPAA-pflichtige Einrichtungen ihre Pflichten zur Einhaltung der Bestimmungen ernst nehmen. Das Office for Civil Rights (OCR) setzt sich für den Schutz von Gesundheitsdaten ein, indem es Verstöße gegen Datenschutz und Datensicherheit verfolgt und auch zivilrechtliche Geldstrafen für unentdeckte Verstöße verhängt.
Zwei der Vergleiche beziehen sich laut den Vereinbarungen auf mutmaßliche Verstöße gegen den HIPAA-Zugriffsrechtstandard.
Historischer Kontext und Präzedenzfälle
Seit der Einführung des OCR-Programms im Jahr 2018, das sicherstellen soll, dass Patienten zeitnah Zugang zu ihren medizinischen Daten haben, wurden laut der Organisation 27 Anbieter mit HIPAA-Strafen belegt und haben eine Einigung mit der Behörde über mögliche Verstöße gegen das Zugriffsrecht erzielt.
Der umstrittene Fall von UPI
Das Büro für Verbraucherrechte hat eine Einigung mit einem Zahnarzt erzielt, der über eine schlechte Bewertung empört war. Das Büro für Bürgerrechte (OCR) verhängte gegen UPI eine Geldstrafe in Höhe von 50.000 US-Dollar, nachdem das Unternehmen weder auf eine Datenanfrage des OCR noch auf eine behördliche Vorladung reagiert hatte. UPI erhob zudem keine Einwände gegen die Schlussfolgerungen des OCR. Die Einigung und die Feststellungen gehen auf einen ungewöhnlichen Vorfall aus dem Jahr 2015 zurück.
Ursprung des Falles
In den Jahren 2013 und 2014 suchte ein Patient UPI zur Zahnbehandlung auf. 2015 veröffentlichte der Patient unter einem Pseudonym eine negative Bewertung von UPI auf Google, die später entfernt wurde. UPI reagierte erst Wochen später auf die Bewertung und gab dabei den Namen des Patienten sowie geschützte Gesundheitsdaten preis, was einen Datenschutzverstoß darstellte und zum damaligen Zeitpunkt rechtswidrig war.
Der Patient wurde in dem UPI-Beitrag identifiziert und beschuldigte die Praxis, „unbegründete Behauptungen“ gegen ihn aufgestellt zu haben, da er die Praxis seit Oktober 2013 nur zweimal besucht hatte. UPI beschrieb anschließend jeden einzelnen Termin sowie die Art der Behandlungen und verunglimpfte dabei angeblich den Patienten und seinen IQ im Vorfeld der Untersuchung.
Ein Patient reichte beim Office for Civil Rights (OCR) eine Beschwerde ein, in der er UPI vorwarf, seine Rechte gemäß der HIPAA-Datenschutzverordnung verletzt zu haben. Das OCR informierte UPI über die anstehende Prüfung und forderte Informationen zu den Richtlinien und Verfahren des Anbieters im Umgang mit Online-Patientenbewertungen, zur Verwendung und Weitergabe von geschützten Gesundheitsdaten (PHI), zu den PHI-Sicherheitsmaßnahmen sowie zum Nachweis einer HIPAA-Schulung an. Die Untersuchung begann im darauffolgenden Jahr.
Die fortgesetzte Nichtkooperation von UPI
UPI räumte zwar ein, auf die negative Bewertung des Patienten geantwortet und dem Office of Civil Rights (OCR) seine Datenschutzerklärung übermittelt zu haben, versäumte es jedoch, der Behörde Schulungsunterlagen, Regeln oder Verfahren zur Verfügung zu stellen.
Nach Prüfung der Online-Antwort von UPI auf die Beschwerde kam das OCR zu dem Schluss, dass diese eine rechtswidrige Offenlegung von geschützten Gesundheitsdaten darstellte und UPI die Antwort unverzüglich entfernen sollte. UPI wurde außerdem empfohlen, „sofern noch keine entsprechenden Regeln und Verfahren vorhanden sind, Richtlinien und Verfahren für die Offenlegung geschützter Gesundheitsdaten, insbesondere für deren Weitergabe in sozialen Medien, einzuführen.“
Was folgte, war ein einjähriger Kampf zwischen UPI und der Aufsichtsbehörde, in dem unter anderem OCR-Anfragen nach Kopien der Richtlinien und Verfahren von UPI für die Nutzung sozialer Medien im Zusammenhang mit der Offenlegung geschützter Gesundheitsinformationen (PHI) stellte und die Frage aufwarf, ob UPI seine Antwort auf die negative Bewertung von seiner Website entfernt hatte.
Obwohl UPI eine Bestätigung über die Schulung versandt hatte, enthielt diese keine Unterlagen, die den Inhalt der Schulung beschrieben. „Die Antwort ist zum Zeitpunkt dieser Warnung weiterhin öffentlich“, sagte der Zahnarzt zu seinem Versäumnis, die personenbezogenen Gesundheitsdaten von seiner Google-Profilseite zu entfernen. Der Anbieter hat seine Richtlinien und Verfahren für soziale Medien noch nicht beim Verbraucherschutzamt eingereicht.
Das Office of Civil Rights (OCR) erklärte, die Reaktion auf die negative Bewertung des Patienten verstoße gegen die HIPAA-Datenschutzbestimmungen und versuchte, von UPI Finanzdaten zu erhalten, um die Höhe der zivilrechtlichen Geldstrafe angemessen zu ermitteln, was ein Faktor bei diesen Entscheidungen war.
Der Anbieter lehnte die Teilnahme jedoch ab und erklärte, die angeforderten Unterlagen würden nicht herausgegeben, da sie „nicht unter HIPAA fallen“. Angesichts der steigenden Zahl von HIPAA-Verstößen ist diese Haltung alarmierend. Das Office of Civil Rights (OCR), zuständig für die Überwachung von HIPAA-Strafen und die Einhaltung der Vorschriften durch die betroffenen Einrichtungen, stellte den Zweck der Anfragen erneut klar, was zu weiteren Ablehnungen und der Aussage „Wir sehen uns vor Gericht“ führte.
Angesichts der steigenden Zahl von HIPAA-Verstößen und der daraus resultierenden HIPAA-Strafen ist die Wachsamkeit des OCR nicht verwunderlich. UPI erhielt im November 2017 eine Vorladung des Office for Civil Rights, in der die Herausgabe der relevanten Unterlagen gefordert wurde. Man könnte sich fragen, ob eine solch beharrliche Nichtbeachtung zu einer empfindlichen HIPAA-Strafe führen könnte.
Gemäß HIPAA gilt: „Eine betroffene Einrichtung muss mit dem OCR kooperieren, wenn das OCR eine Untersuchung oder eine Überprüfung der Einhaltung der Vorschriften durchführt.“ Dies unterstreicht die Wichtigkeit, die HIPAA-Bestimmungen für alle Krankenversicherungen und Einrichtungen zu verstehen, die den HIPAA-Richtlinien unterliegen.
Die Durchsetzungsmaßnahme unterstrich die mutmaßliche mangelnde Kooperation von UPI. Dieser Fall ist nur einer von vielen Verstößen, die die Bedeutung der Einhaltung der HIPAA-Vorgaben hinsichtlich Richtlinien, Verfahren und Praktiken verdeutlichen.
Weitere bemerkenswerte Fälle von HIPAA-Verstößen
Verstöße und Strafen von Brockley Dental
In einem anderen Fall sah sich die Zahnarztpraxis Brockley Dental aufgrund häufiger Verstöße gegen HIPAA-Bestimmungen mit empfindlichen Strafen konfrontiert. Nach einer Überprüfung aufgrund einer Patientenbeschwerde, die Verstöße aufdeckte, einigte sich die Praxis mit dem Office for Civil Rights auf eine Zahlung von 30.000 US-Dollar und verpflichtete sich zu einem Maßnahmenplan zur Behebung der Mängel. Im Jahr 2020 verhängte das US-Gesundheitsministerium (Department of Health and Human Services, HHS), das für die Verhängung von Strafen bei HIPAA-Verstößen zuständig ist, aufgrund des fehlenden Zugangs zu Patientendaten eine potenzielle Geldstrafe von 104.000 US-Dollar. Nach eingehender Beratung wurde die Strafe jedoch deutlich reduziert.
Die Vereinbarung verpflichtete Brockley zur Implementierung und Verbreitung umfassender HIPAA-Richtlinien und -Verfahren, um sicherzustellen, dass die Zugriffsrechte verstanden und respektiert werden. Darüber hinaus sollten alle Mitarbeiter geschult werden – ein entscheidender Schritt zur Minimierung künftiger HIPAA-Verstöße.
Datenleck bei Jacob and Associates
Ein weiterer Fall, der für Aufsehen sorgte, betraf die Kanzlei Jacob and Associates, die ebenfalls mit Datenschutzverletzungen zu kämpfen hatte. Nachdem sie wiederholt auf die Anfragen einer Patientin nach Einsicht in ihre Krankenakte nicht reagiert hatte, musste sie 28.000 US-Dollar an das Office for Civil Rights zahlen. Solche Fälle verdeutlichen die Konsequenzen einer Nichteinhaltung der HIPAA-Datenschutz- und Sicherheitsstandards.
Die Studie ergab außerdem, dass dem Anbieter ein Datenschutzbeauftragter fehlte – eine entscheidende Funktion für die Einhaltung der HIPAA-Bestimmungen. Das Fehlen einer solchen Person kann das Risiko von Datenschutzverletzungen erhöhen.
Missbrauch personenbezogener Daten bei Northcutt Dental-Fairhope
In einem anderen Fall geriet die Zahnarztpraxis Northcutt Dental-Fairhope wegen des Verdachts auf Verstöße gegen die HIPAA-Datenschutzbestimmungen in einen Skandal. Dieser Fall war besonders alarmierend, da der Anbieter die Daten offenbar zu seinem persönlichen Vorteil nutzte. Dr. Northcutts Entscheidung, Patientendaten mit seinem Wahlkampfmanager zu teilen, sorgte für Aufsehen und führte zu hohen Geldstrafen.
Zusammenfassend verdeutlichen diese hervorgehobenen Fälle die Bedeutung der HIPAA-Bestimmungen und die potenziellen Folgen für HIPAA-pflichtige Einrichtungen, die diese nicht einhalten. Jeder Fehler, ob vorsätzlich oder versehentlich, kann zu empfindlichen Strafen führen. Darüber hinaus kann jede Untersuchung des OCR, selbst wenn sie aufgrund einer geringfügigen Beschwerde eingeleitet wird, eine Vielzahl weiterer HIPAA-bezogener Verstöße aufdecken.