İhlal Bildirimi , HIPAA/HITECH , Güvenlik İşlemleri
HHS, HIPAA Medeni Ceza Uzlaşmalarının Hızla Artan Bir Dava Yükünü Finanse Edemeyeceğini Söyledi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
10 Mart 2023
Sağlık sektöründe gizlilik ve güvenliği sağlamakla görevli federal ofis, önümüzdeki mali yıl için Biden yönetiminin bütçe teklifi kapsamında önemli bir fon artışı alacak.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Teklif, Sağlık ve İnsan Hizmetleri Departmanı bünyesindeki Sivil Haklar Ofisi için 78 milyon dolarlık ödenek talep ediyor – bu, ofisin mevcut yıllık ödeneği olan 40 milyon doları neredeyse iki katına çıkaracak bir miktar.
OCR, ek parayı yaklaşık 130 tam zamanlı memurdan oluşan iş gücünü ikiye katlamak için kullanacak. Ofisin dava iş yükü 2020’den bu yana hızla artarken, operasyonlarını desteklemek için kullandığı para cezası tahsilat miktarı önemli ölçüde düştü.
HHS, 2024 mali bütçe talebinin “yıllarca süren sabit bütçe yetkisini, azalan sivil para tahsilatlarını ve artan iş yüklerini” yansıttığını yazıyor. Ajansın bütçe ihtiyaçları için “Sivil parasal uzlaşma fonu artık geçerli bir çözüm değil”.
Polsinelli hukuk firmasının gizlilik avukatı Iliana Peters, OCR’deki yetersiz kadronun, HIPAA kapsamındaki kuruluşların ve iş ortaklarının, ihlal soruşturmaları da dahil olmak üzere şikayet soruşturmalarının ve uyumluluk incelemelerinin sonuçlandırılması için düzenli olarak yıllarca beklemesine neden olduğunu söyledi.
Tahsilatlardaki düşüşte birkaç faktörün rol oynadığı görülüyor (bakınız: HIPAA Cezaları Neden %93 Düşüyor – Veri İhlalleri Artıyor?).
Ocak 2021’de bir federal temyiz mahkemesinin Texas Üniversitesi MD Anderson Kanser Merkezi’nin dahil olduğu bir ihlal davasında OCR tarafından verilen 4,3 milyon dolarlık para cezasını düşürme kararının etkisini içeriyor.
Mahkeme kararında cezayı “keyfi, kaprisli ve hukuka aykırı” bulduğunu belirterek, OCR’nin uygulama kararlarında kullandığı süreç ve analizleri sorguladı.
Danışmanlık firması HITprivacy’nin gizlilik avukatı David Holtzman, HIPAA uzlaşma tahsilatlarındaki düşüşe, OCR’nin son yıllarda takip edilecek icra davalarını seçmesinin de katkıda bulunduğunu söylüyor.
“OCR, Gizlilik Kuralı’nın hasta erişim hakkı ihlallerini içeren şikayetleri araştırmak için küçük ve fazla çalışan soruşturma ekibini kullanmayı seçti” dedi.
Bu yaptırım eylemleri tipik olarak küçük sağlık hizmeti sağlayıcılarını içermektedir.
Holtzman, “Sağlık kuruluşları tarafından milyonlarca hastayı etkileyen ve milyonlarca dolarlık anlaşmalarla sonuçlanan yüzlerce büyük ihlalin karmaşık soruşturmalarıyla karşılaştırıldığında, erişim hakkı davaları, uygulama cezaları yoluyla nispeten küçük miktarlarda fon toplanmasıyla sonuçlanıyor” dedi. HHS OCR’de kıdemli danışman.
HHS, bütçe talebinin HIPAA anlaşmalarının ve medeni para cezalarının zarar görmüş kişilerle paylaşılmasını öngören bir HITECH Yasası hükmünün uygulanmasını destekleyecek kaynakları da içerdiğini söylüyor.
OCR geçen yıl, HIPAA uygulama eylemlerinden toplanan uzlaşma ve hukuki para cezasını bireysel ihlal mağdurlarıyla nasıl paylaştırabileceği hakkında bilgi talebinde bulundu, ancak kurum henüz bir kural önerisi yayınlamadı (bkz:: HHS, Kritik HIPAA Uygulama Hususları Konusunda Girdi Arıyor).
HHS, OCR’nin 2024 yasa tekliflerinin bir parçası olarak, ajansın aynı zamanda HIPAA’ya uyulmaması nedeniyle bir takvim yılında verilebilecek sivil para cezalarının miktarını artırmaya ve OCR’ye Adalet Bakanlığı, HIPAA ihlalleri için federal mahkemede ihtiyati tedbir talebinde bulunacak.
“Yıllık üst sınıra izin vermek, OCR’nin HIPAA Kurallarını uygulamasını güçlendirecektir. OCR’ye ihtiyati tedbir talebinde bulunma yetkisi vermek, OCR’nin, en korkunç ve acil durumlarda, kuruluşların HIPAA Kurallarına uymamasından kaynaklanan bireylere yönelik ek veya gelecekteki zararları önleme yeteneğini geliştirecektir.” HH yazıyor.
“Bir Kar Topunun Şansı”
OCR’nin bütçe talebi, CARES Yasası uyarınca çağrıldığı üzere, madde kullanım bozukluğu hasta kayıtlarının gizliliğinin sivil yaptırımı da dahil olmak üzere daha yeni görevlerin uygulanması için 6 milyon doları da içeriyor.
Bu, güvenli olmayan kayıtların ihlallerini HHS’ye bildirmek için bir süreç oluşturmayı içerir. HHS, OCR’nin “şikayetleri almak için ayrı bir portal oluşturacağını; yeni müfettişler işe alacağını ve politika, rehberlik ve eğitim geliştirmek için denetleyici ve program destek personeli işe alacağını” yazıyor. “OCR, HIPAA uygulamasıyla uyumlu önemli sayıda şikayet bekliyor.”
Holtzman, “OCR’nin, Kongre’nin 2023-24 Mali Yılı bütçesindeki tahsisatını artırma şansı iyi değil,” diye uyarıyor.
“Temsilcilik, Kongre’nin her iki meclisini de Demokratlar kontrol ederken, operasyonlarını finanse etmek için daha fazla para sıkıştıramadı. Temsilciler Meclisi’ni hükümetin ‘uyandırma’ faaliyetlerini engelleme peşinde olan Cumhuriyetçiler kontrol ederken, OCR’nin ek fon görme cehenneminde bir kartopu şansı var. “