HHS公民权利办公室(“ OCR”)在4月份结束时对HIPAA民事罚款(“ CMP”)限制进行了一些更新,并澄清了OCR关于隐私规则适用于电子保护健康信息传输的立场(“ ePHI”)到第三方应用程序和应用程序编程接口(“ API”)。

基于强制裁量的差异CMP上限

根据现行的《 HIPAA实施规则》,HHS根据HITECH法案采用了四个等级的罪责等级。这四个级别对应于适当的CMP范围,以涵盖涵盖的实体和业务伙伴违反HIPAA隐私和安全规则的行为。根据2015年《联邦民事处罚通货膨胀调整法改进法案》中规定的生活费用公式,对这些罚款等级进行通货膨胀调整。

例如,如果某人不知道并且通过合理的努力不会知道该人违反了适用的HIPAA规定,则每起相同的违法行为,该人可能被征收的CMP范围为$ 100- $ 50,000,最高每年针对所有此类违规行为支付150万美元(扣除通货膨胀因素后)。 CMP每年针对HIPAA违反规定的150万美元的上限适用于所有四个层级,即使每个层级的最低罚款额也有所增加。

但是,自HHS开始使用这种四层结构以来,一直存在关于《 HITECH法案》是否规定每个层都有不同的年度CMP上限的争论。 OCR的2019年4月30日 联邦公报公告 更改了HHS对此的先前立场,现在针对违反HIPAA的CMP设置以下年度上限:

继续阅读 HIPAA春季大扫除!整理有关患者使用权的罚款限额和常见问题