OCR Says HIPAA Audits Will Resume: OIG Makes Recommendations for Enhancement

Angesichts der steigenden Zahl erfolgreicher Cyberangriffe auf Gesundheitsorganisationen und deren wertvolle Patientendaten fordert das Office of the Inspector General (OIG) eine Verbesserung des HIPAA-Auditprogramms. In seiner Antwort an das OIG und wie unten ausführlich beschrieben, wies das Office for Civil Rights (OCR) darauf hin, dass die HIPAA-Audits voraussichtlich noch in diesem Jahr wieder aufgenommen werden, vermutlich in den letzten Wochen des Jahres 2024 oder Anfang 2025. Das OCR führte zuletzt in den Jahren 2016-2017 HIPAA-Audits durch, bei denen 166 betroffene Einrichtungen und 41 Geschäftspartner geprüft wurden. Das OCR veröffentlichte die Ergebnisse dieser Audits im Jahr 2020.

In seinem im November 2024 veröffentlichten Bericht hob das OIG zwei wesentliche Ergebnisse hervor:

Eng gefasstes HIPAA-Auditprogramm. Die Umsetzung des HIPAA-Audits durch das OCR war zu eng gefasst, um den Schutz elektronisch gespeicherter Gesundheitsdaten (ePHI) wirksam zu bewerten und eine Verringerung der Risiken im Gesundheitswesen nachzuweisen.
Ineffektive OCR-Aufsicht. Die OCR -Aufsicht über das HIPAA-Auditprogramm war nicht wirksam, um die Cybersicherheitsmaßnahmen bei den betroffenen Einrichtungen und Geschäftspartnern zu verbessern.

Um diesen Bedenken Rechnung zu tragen, gab die OIG verschiedene Empfehlungen an die OCR zur Verbesserung ihres HIPAA-Prüfungsprogramms ab. Die OCR reagierte auf die Feststellungen der OIG in einem Schreiben vom August 2024, das die OIG zusammen mit ihrem Bericht veröffentlichte. Nachfolgend finden Sie eine Zusammenfassung der Empfehlungen der OIG für Maßnahmen der OCR und die jeweiligen Antworten der OCR.

Prüfung physischer und technischer SicherheitsvorkehrungenErweitern Sie den Umfang der HIPAA-Audits, um die Einhaltung der physischen und technischen Sicherheitsvorkehrungen der HIPAA-Sicherheitsvorschriften zu bewerten.
- Die OCR stimmte dieser Empfehlung zu und erklärte, dass sie künftige Audits auf bestimmte Bestimmungen konzentrieren werde, die auf einer Vielzahl von Faktoren basieren, darunter Branchentrends und die häufigsten Risiken und Schwachstellen für PHI. Darüber hinaus wies die OCR darauf hin, dass künftige Audits ausgewählte Bestimmungen aus der HIPAA-Sicherheitsvorschrift umfassen könnten, darunter physische oder technische Sicherheitsvorkehrungen.
Stellen Sie sicher, dass Mängel behoben werden.Dokumentieren und implementieren Sie Standards und Leitlinien, um sicherzustellen, dass die bei den HIPAA-Audits festgestellten Mängel zeitnah behoben werden.
- Die OCR stimmte dieser Empfehlung nicht zu und erklärte, dass (i) die OCR nicht in allen Fällen die rechtliche Befugnis habe, solche Unterlassungsansprüche geltend zu machen; (ii) die OCR nicht über die personellen und finanziellen Ressourcen verfüge, um dies gegen jede geprüfte Einrichtung durchzusetzen; und (iii) dies nicht mit dem Zweck des HIPAA-Prüfungsprogramms vereinbar sei, dessen Ziel es sei, den Prüfungsteilnehmern bei festgestellten Mängeln technische Unterstützung zu leisten.
Festlegen, wann eine Compliance-Prüfung erforderlich ist: Definieren und dokumentieren Sie Kriterien, anhand derer festgestellt werden kann, ob ein bei einer HIPAA-Prüfung festgestelltes Compliance-Problem dazu führen sollte, dass die OCR eine Compliance-Überprüfung einleitet.
- Die OCR stimmte dieser Empfehlung zu und erklärte, dass sie „im Laufe dieses Jahres“ HIPAA-Audits einleiten und Kriterien entwickeln werde, anhand derer sie entscheiden könne, ob eine Compliance-Prüfung einer geprüften Einrichtung eingeleitet werden solle, wenn festgestellte Compliance-Probleme nicht behoben worden seien. Angesichts der Tatsache, dass das Jahresende kurz bevorsteht, ist unklar, wie die OCR diesen Zeitplan zu diesem Zeitpunkt einhalten will. Ungeachtet dessen sollten betroffene Unternehmen und Geschäftspartner sich bewusst sein, dass die OCR plant, die HIPAA-Audits wieder aufzunehmen und alle notwendigen Schritte zu unternehmen, um die Einhaltung der HIPAA-Vorschriften sicherzustellen.
Kennzahlen zur Überwachung der Wirksamkeit: Definieren Sie Kennzahlen zur Überwachung der Wirksamkeit der HIPAA-Audits der OCR bei der Verbesserung des Schutzes von PHI durch die auditierten Stellen und überprüfen Sie regelmäßig, ob diese Kennzahlen verfeinert werden sollten.
- Die OCR stimmte dieser Empfehlung zu und erklärte, dass sie die betroffenen Einrichtungen und Geschäftspartner, die zuvor an den Audits teilgenommen hatten, befragen werde. Die Antworten auf die Umfrage werden dazu verwendet, um zu verfolgen, wie die geprüften Einrichtungen ihre HIPAA-Konformität nach dem Audit aktualisiert haben.

Vollstreckungsverfahren

Der OIG-Bericht enthielt eine Zusammenfassung und ein Diagramm des Durchsetzungsprozesses der OCR bei potenziellen Verstößen gegen das HIPAA. Zusammenfassend lässt sich sagen, dass die OCR Beschwerden prüft, die über das Beschwerdeportal der OCR eingehen, Ereignisse oder Vorfälle, die der OCR zur Kenntnis gebracht werden (z. B. durch Berichte über Verstöße, Medien, Hinweise von anderen Behörden usw.), oder Muster, die anhand der eingegangenen Beschwerden identifiziert werden. Die OCR muss alle Meldungen über Verstöße untersuchen, von denen mehr als 500 Personen betroffen sind. Die OCR kann eine Untersuchung einleiten, wenn ein schwerwiegender Verstoß gegen die Vorschriften festgestellt wird oder wenn weniger als 500 Personen von dem Verstoß betroffen sind. Bei einem möglichen strafrechtlichen Verstoß leitet die OCR den Vorfall an das Justizministerium weiter, das zusätzlich zur zivilrechtlichen Untersuchung der OCR eine strafrechtliche Untersuchung durchführen kann.

Die OCR sammelt verschiedene Beweise, um festzustellen, ob das Unternehmen die HIPAA-Vorschriften eingehalten hat. HIPAA-regulierte Unternehmen sind gesetzlich verpflichtet, bei Beschwerdeuntersuchungen und Compliance-Prüfungen zu kooperieren. Wenn die OCR Anzeichen für eine vorsätzliche Nichtbeachtung feststellt oder zu dem Schluss kommt, dass Art und Umfang der Nichtbeachtung weitere Durchsetzungsmaßnahmen rechtfertigen, strebt die OCR eine Einigungsvereinbarung an, die eine Vergleichszahlung und die Verpflichtung zur Umsetzung eines Korrekturmaßnahmenplans zur Behebung der Compliance-Probleme umfasst. Wenn die OCR und ein HIPAA-reguliertes Unternehmen keine Einigung erzielen können oder wenn gegen die Bedingungen einer solchen Einigungsvereinbarung verstoßen wird, kann die OCR formelle Durchsetzungsmaßnahmen ergreifen, einschließlich einer zivilrechtlichen Geldstrafe.

Wichtigste Erkenntnisse

Das Wichtigste ist, dass die OCR entschlossen ist, die HIPAA-Audits wieder aufzunehmen, und dass der Umfang gegenüber den bisherigen Audits erweitert wird.

In Erwartung der Wiederaufnahme dieser Audits sollten betroffene Unternehmen und Geschäftspartner ihre HIPAA-Compliance-Programme überprüfen und dabei sicherstellen, dass sie über eine aktuelle und umfassende HIPAA-Sicherheitsrisikoanalyse, Richtlinien verfügen, die den Anforderungen der HIPAA-Vorschriften zu Datenschutz, Sicherheit und Datenschutzverletzungen entsprechen, HIPAA-Schulungen für Mitarbeiter durchführen und, sofern gemäß HIPAA erforderlich, Vereinbarungen mit Geschäftspartnern abschließen.

Betroffene Unternehmen sollten außerdem sicherstellen, dass sie über eine Datenschutzerklärung verfügen, die die von HIPAA geforderten Inhalte enthält und gemäß den Anforderungen von HIPAA verteilt wird. Weitere Informationen zu diesem neuen Bericht oder zu rechtlichen Aspekten im Zusammenhang mit digitaler Gesundheit oder Datenschutz erhalten Sie von den Teamsfür Telemedizin und digitale GesundheitoderCybersicherheit und Datenschutzbei Foley.

Haftungsausschluss

Dieser Blog wird von Foley & Lardner LLP ("Foley" oder "die Kanzlei") ausschließlich zu Informationszwecken zur Verfügung gestellt. Er soll weder die Rechtsposition der Kanzlei im Namen eines Mandanten wiedergeben, noch soll er eine spezifische Rechtsberatung vermitteln. Die in diesem Artikel geäußerten Meinungen spiegeln nicht notwendigerweise die Ansichten von Foley & Lardner LLP, ihrer Partner oder ihrer Mandanten wider. Handeln Sie daher nicht aufgrund dieser Informationen, ohne sich von einem zugelassenen Anwalt beraten zu lassen. Dieser Blog ist nicht dazu gedacht, ein Anwalts-Mandanten-Verhältnis zu begründen, und der Erhalt dieses Blogs stellt kein solches dar. Die Kommunikation mit Foley über diese Website per E-Mail, Blogpost oder auf andere Weise begründet kein Anwalts-Mandanten-Verhältnis in einer rechtlichen Angelegenheit. Daher wird jegliche Kommunikation oder jegliches Material, das Sie über diesen Blog an Foley übermitteln, sei es per E-Mail, Blogpost oder auf andere Weise, nicht als vertraulich oder urheberrechtlich geschützt behandelt. Die Informationen in diesem Blog werden ohne Gewähr veröffentlicht und es wird nicht garantiert, dass sie vollständig, richtig oder aktuell sind. Foley gibt keinerlei ausdrückliche oder stillschweigende Zusicherungen oder Gewährleistungen in Bezug auf den Betrieb oder den Inhalt der Website. Foley lehnt ausdrücklich alle anderen ausdrücklichen oder stillschweigenden Garantien, Gewährleistungen, Bedingungen und Zusicherungen jeglicher Art ab, unabhängig davon, ob sie sich aus einem Gesetz, einer Rechtsvorschrift, der kommerziellen Nutzung oder anderweitig ergeben, einschließlich der stillschweigenden Gewährleistungen der Marktgängigkeit, der Eignung für einen bestimmten Zweck, des Eigentumsrechts und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Foley oder seine Partner, leitenden Angestellten, Mitarbeiter, Vertreter oder verbundenen Unternehmen direkt oder indirekt unter irgendeiner Rechtstheorie (Vertrag, unerlaubte Handlung, Fahrlässigkeit oder anderweitig) Ihnen oder anderen gegenüber haftbar für Ansprüche, Verluste oder Schäden, direkte, indirekte, besondere, zufällige, strafende oder Folgeschäden, die sich aus der Erstellung, der Nutzung oder dem Vertrauen auf diese Website (einschließlich Informationen und anderer Inhalte) oder Websites Dritter oder den Informationen, Ressourcen oder Materialien, auf die über solche Websites zugegriffen wird, ergeben oder dadurch verursacht werden. In einigen Rechtsordnungen kann der Inhalt dieses Blogs als Anwaltswerbung angesehen werden. Falls zutreffend, beachten Sie bitte, dass frühere Ergebnisse keine Garantie für ein ähnliches Ergebnis sind. Die Fotos dienen nur zur Veranschaulichung und können Modelle enthalten. Die Abbildungen implizieren nicht notwendigerweise einen aktuellen Mandanten-, Partner- oder Mitarbeiterstatus.

[email protected]

New York 813.225.4194

[email protected]

Madison 608.250.7420

Ein Mann in dunklem Anzug und roter Krawatte steht lächelnd in einem hell erleuchteten, modernen Büroflur, der die Professionalität der Top-Anwälte in Chicago widerspiegelt.

[email protected]

Tampa 813.225.4129

OCR gibt bekannt, dass HIPAA-Audits wieder aufgenommen werden: OIG gibt Empfehlungen zur Verbesserung ab

Vollstreckungsverfahren

Wichtigste Erkenntnisse

Autor(en)

Michaela L. Wiese

Jennifer J. Hennessy

Aaron T. Maguregui

Verwandte Einblicke

Geschlechtsbejahende Pflege: Klage mehrerer Bundesstaaten gegen Erklärung des Gesundheitsministeriums

Geschlechtsbejahende Versorgung für Minderjährige: CMS und HHS schlagen Beschränkungen für „Geschlechtsumwandlungsoperationen“ und erweiterte Durchsetzungsmöglichkeiten vor

Elfter Bundesberufungsgerichtshof hört mündliche Verhandlung in wegweisender Verfassungsklage gegen Qui-Tam-Bestimmungen des False Claims Act