California Breach Regulations Applicable to Health Care Facilities Align “Breach” Definition with HIPAA, Expand Reporting Obligations, and Clarify Penalty Structure

California clinics, health facilities, home health agencies, and licensed hospices required to report breaches to the California Department of Public Health (CDPH) under California’s Health and Safety Code Section 1280.15 (Section 1280.15) are now subject to a new set of regulations. Section 1280.15, which has been in effect for a number of years, requires certain licensed California health care facilities to “prevent unlawful or unauthorized access to, and use or disclosure” of medical information and report any unlawful or unauthorized access, use, or disclosure of a patient’s medical information to the CDPH and the patient no later than 15 business days after discovery. The new regulations implementing Section 1280.15 expand the exceptions to the breach notification reporting requirement, impose requirements for the type of information that must be submitted to the CDPH in the event of a breach, and clarify the penalties available in the event of a violation of the regulations. This alert outlines the major takeaways from these new regulations and how they may affect California health care facilities moving forward.

1. Expands Exceptions to Definition of “Breach” to Closely Align with HIPAA

Section 1280.15 contains only one exception to the reporting requirement, for internal paper records, electronic mail, or facsimile transmissions inadvertently misdirected within the same facility or health care system within the course of coordinating care or delivering services. The new regulations expand the exceptions so that certain types of access, use, and disclosure are not considered “breaches,” aligning the definition of “breach” closely to HIPAA’s definition. The following are excluded from the definition of “breach” under the California regulations:

Any paper record, electronic mail, or facsimile transmission inadvertently (i) accessed, used, or disclosed within the same health care facility or health care system where the information is not further accessed, used, or disclosed unless permitted or required by law; or (ii) outside the same health care facility or health care system sent to a HIPAA-covered entity that has been inadvertently misdirected within the course of coordinating care or delivering services.
A disclosure in which a health care facility has a good faith belief that an unauthorized person to whom the disclosure was made would not reasonably have been able to retain such medical information.
Access, use, or disclosure of patients’ medical information permitted or required by state or federal law.
Lost or stolen encrypted electronic data where the encrypted electronic data has not been accessed, used, or disclosed in an unlawful or unauthorized manner.
A disclosure where the health care facility determines there is only a low probability of compromise in accordance with HIPAA 4-factor analysis reviewing at least the following facts: (i) the nature and extent of the medical information involved; (ii) the unauthorized user or recipient of the medical information; (iii) whether the medical information was actually acquired or viewed; and (iv) the extent to which the risk of access to the medical information has been mitigated.

2. Establishes Expanded Reporting Requirements for the Information that Must Be Reported to the CDPH

The timeframe for reporting breaches to the CDPH and patients continues to be 15 business days. Under the regulations, the notice to the CDPH must include detailed information about the applicable facility, the patients affected, the medical information involved, the breach occurrence itself, other related breaches, and investigation efforts, and further requires that health care facilities continue to submit any supplemental information to the CDPH as it becomes available. Notably, the notice must include any “audit reports, witness statements, or other documents that the health care facility relied upon in determining that a breach occurred.”

The breach is not deemed reported to the CDPH unless the health care facility has made a good faith effort to report all required information. This means that a health care facility that fails to report all information required by the regulations in its notice to the CDPH could be deemed to have not “reported” the breach to the CDPH.

3. Clarifies Penalty Structure

Under Section 1280.15, the CDPH may assess an administrative penalty of up to $25,000 per patient whose medical information was unlawfully or without authorization accessed, used, or disclosed, and up to $17,500 per subsequent occurrence of unlawful or unauthorized access, use, or disclosure of that patient’s medical information. In addition, the CDPH may assess $100 for each day a health care facility fails to report a breach to the CDPH or the patient. The total penalty for a health care facility per reported event cannot exceed $250,000.

The regulations further clarify administrative penalties that the CDPH may assess for those health care facilities experiencing a beach, and further penalties for those that fail to comply with the regulation’s reporting requirements. The base penalty for breaches is $15,000 per violation; however, penalties may be increased or decreased by a maximum of $10,000 by the CDPH in accordance with several adjustment factors, not the exceed $25,000 per patient whose medical information was breached. These adjustment factors include: (i) the applicable facility’s compliance history; (ii) the extent to which the health care facility detected violations and took preventative action to immediately correct and prevent past violations from recurring; (iii) any applicable factors outside of the facility’s control, including fires, explosions, natural disasters, severe weather events, war, invasion, civil unrest, acts or threats of terrorism, and utility or infrastructure failure; and (iv) any other factors identified by the CDPH as applicable to the specific circumstances surrounding the breach.

In addition to this initial penalty, the CDPH may assess additional penalties for subsequent breach occurrences of a patient’s medical information relating to a reported event, in an amount equal to 70% of the initial penalty, not to exceed $17,500 per subsequent occurrence. A health care facility continues to be subject to the $100 per day penalty under Section 1280.15 for failure to timely report the breach.

Health care facilities subject to Section 1280.15 will need to carefully consult the new regulations when reporting breaches to the CDPH and the patient, but will likely find some relief in the newly revised definition of “breach” that more closely aligns with HIPAA.

Foley est là pour vous aider à faire face aux impacts à court et à long terme des changements réglementaires. Nous disposons des ressources nécessaires pour vous aider à faire face à ces questions et à d'autres considérations juridiques importantes liées aux opérations commerciales et aux questions spécifiques à l'industrie. N'hésitez pas à contacter les auteurs, votre partenaire chez Foley ou notre Health Care Practice Group pour toute question.

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.

[email protected]

Madison 608.250.7420

Une femme aux longs cheveux blonds, vêtue d'un blazer noir et d'une chemise rayée, sourit à la caméra dans un bureau moderne, reflétant le professionnalisme des avocats de Chicago.

[email protected]

Los Angeles 213.972.4555

Une femme aux longs cheveux blonds, vêtue d'un blazer noir, d'un haut noir et d'un collier de perles superposé, sourit dans un cadre professionnel, reflétant l'assurance polie que l'on retrouve souvent chez les avocats de Chicago et ceux qui se spécialisent dans le droit de la propriété intellectuelle.

[email protected]

Milwaukee 414.297.5864

Perspectives connexes

Voir tous les articles

11 décembre 2025 Aperçu des technologies innovantes

L'OCC publie une nouvelle lettre d'interprétation favorable aux cryptomonnaies : admissibilité des transactions sans risque sur des actifs cryptographiques principaux

Le 9 décembre 2025, le Bureau du contrôleur de la monnaie (OCC) a publié la lettre d'interprétation 1188 (IL 1188), confirmant qu'une banque nationale est autorisée, dans le cadre de ses activités bancaires, à effectuer des transactions sans risque sur des crypto-actifs principaux.

10 décembre 2025 Conseiller en industrie manufacturière

La guerre des talents dans l'industrie automobile : remporter la course aux travailleurs qualifiés

Pendant plus d'un siècle, le secteur automobile a été défini par l'ingénierie mécanique, la fabrication et la maîtrise des chaînes de montage. Mais aujourd'hui, l'industrie connaît une transformation technologique si profonde qu'elle réécrit l'ADN de la construction automobile.

3 décembre 2025 Conseiller en industrie manufacturière

Fabriqué en Chine : ce que l'industrie automobile doit savoir sur l'émergence mondiale de la fabrication chinoise de véhicules connectés dans un contexte de restrictions américaines croissantes

L'industrie automobile chinoise s'est mondialisée, en grande partie grâce aux progrès technologiques, aux avantages en termes de coûts et aux investissements étrangers réalisés dans le cadre de coentreprises, en particulier dans les domaines des véhicules électriques (VE) et des technologies pour véhicules connectés.

California Breach Regulations Applicable to Health Care Facilities Align “Breach” Definition with HIPAA, Expand Reporting Obligations, and Clarify Penalty Structure

1. Expands Exceptions to Definition of “Breach” to Closely Align with HIPAA

2. Establishes Expanded Reporting Requirements for the Information that Must Be Reported to the CDPH

3. Clarifies Penalty Structure

Auteur(s)

Jennifer J. Hennessy

Chloe B. Talbert

Jennifer L. Urban

Perspectives connexes

L'OCC publie une nouvelle lettre d'interprétation favorable aux cryptomonnaies : admissibilité des transactions sans risque sur des actifs cryptographiques principaux

La guerre des talents dans l'industrie automobile : remporter la course aux travailleurs qualifiés

Fabriqué en Chine : ce que l'industrie automobile doit savoir sur l'émergence mondiale de la fabrication chinoise de véhicules connectés dans un contexte de restrictions américaines croissantes