|
翻译版
从 2009 年 10 月卫生和公共服务部民权办公室开始在其网站上发布医疗数据泄露摘要到 2020 年 12 月 31 日,我们编制了医疗保健数据泄露统计数据 下面的医疗保健数据泄露统计仅包括 500 条或更多记录的数据泄露,因为 OCR 不会发布较小的泄露的详细信息。违规行为包括已结案和 OCR 仍在调查的违规行为。 我们的医疗保健数据泄露统计数据清楚地表明,过去 10 年数据泄露事件呈上升趋势,自记录首次发布以来,2020 年报告的数据泄露事件比其他任何一年都多。 多年来,违规的主要原因也发生了显着变化。2009 年至 2015 年期间,医疗记录和受保护的电子健康信息的丢失/被盗占据了违规报告的主导地位。更好的政策和程序以及加密的使用有助于减少这些易于预防的违规行为。我们的医疗保健数据泄露统计显示,现在医疗保健数据泄露的主要原因是黑客/IT 事件,未经授权的访问/披露事件也很常见。 每年的医疗保健数据泄露2009 年至 2020 年期间,美国卫生与公众服务部民权办公室报告了 3,705 起医疗保健数据泄露事件,涉及 500 条或更多记录。这些违规行为已导致 268,189,693 份医疗记录丢失、被盗、暴露或不允许披露。这相当于美国人口的 81.72% 以上。2018 年,有 500 条或更多记录的医疗保健数据泄露的报告速度约为每天 1 起。2020 年 12 月,这一比率翻了一番。2020 年每天的平均违规次数为 1.76 次。 
按年份公开的医疗保健记录每年暴露的记录数量总体呈上升趋势,2015 年大幅增加。2015 年是历史上最糟糕的医疗记录泄露年份,超过 1.1327 亿条记录暴露、被盗或未经许可披露。2015 年尤其糟糕,因为健康计划发生了三起大规模数据泄露事件:Anthem Inc、Premera Blue Cross 和 Excellus。  每年平均/中位数医疗保健数据泄露规模
最大的医疗保健数据泄露事件(2009-2020)秩 | 涵盖实体的名称 | 年 | 涵盖的实体类型 | 受影响的个人 | 违规类型 | 1 | 国歌公司 | 2015年 | 健康计划 | 78,800,000 | 黑客/IT 事件 | 2 | 美国医疗催收机构 | 2019年 | 商业伙伴 | 26,059,725 | 黑客/IT 事件 | 3 | Premera 蓝十字 | 2015年 | 健康计划 | 11,000,000 | 黑客/IT 事件 | 4 | Excellus Health Plan, Inc. | 2015年 | 健康计划 | 10,000,000 | 黑客/IT 事件 | 5 | 科学应用国际公司 | 2011年 | 商业伙伴 | 4,900,000 | 损失 | 6 | 加州大学洛杉矶分校健康 | 2015年 | 健康护理提供者 | 4,500,000 | 黑客/IT 事件 | 7 | 社区卫生系统专业服务公司 | 2014年 | 商业伙伴 | 4,500,000 | 黑客/IT 事件 | 8 | 倡导医疗集团 | 2013年 | 健康护理提供者 | 4,029,530 | 盗窃 | 9 | 医学信息工程 | 2015年 | 商业伙伴 | 3,900,000 | 黑客/IT 事件 | 10 | 横幅健康 | 2016年 | 健康护理提供者 | 3,620,000 | 黑客/IT 事件 | 11 | 纽柯克产品公司 | 2016年 | 商业伙伴 | 3,466,120 | 黑客/IT 事件 | 12 | 三一健康 | 2020年 | 商业伙伴 | 3,320,726 | 黑客/IT 事件 | 13 | Dominion Dental Services, Inc.、Dominion National Insurance Company 和 Dominion Dental Services USA, Inc. | 2019年 | 健康计划 | 2,964,778 | 黑客/IT 事件 | 14 | AccuDoc 解决方案公司 | 2018年 | 商业伙伴 | 2,652,537 | 黑客/IT 事件 | 15 | 21世纪肿瘤学 | 2016年 | 健康护理提供者 | 2,213,597 | 黑客/IT 事件 | 16 | 施乐州立医疗保健 | 2014年 | 商业伙伴 | 2,000,000 | 未经授权的访问/披露 | 17 | IBM | 2011年 | 商业伙伴 | 1,900,000 | 未知 | 18 | GRM 信息管理服务 | 2011年 | 商业伙伴 | 1,700,000 | 盗窃 | 19 | Inmediata Health Group, Corp. | 2019年 | 医疗保健票据交换所 | 1,565,338 | 未经授权的访问/披露 | 20 | UnityPoint 健康 | 2018年 | 商业伙伴 | 1,421,107 | 黑客/IT 事件 | 21 | MEDNAX 服务公司 | 2020年 | 商业伙伴 | 1,290,670 | 黑客/IT 事件 | 22 | 德克萨斯州员工退休制度 | 2018年 | 健康计划 | 1,248,263 | 未经授权的访问/披露 | 23 | AvMed, Inc. | 2010年 | 健康计划 | 1,220,000 | 盗窃 | 24 | CareFirst 蓝十字蓝盾 | 2015年 | 健康计划 | 1,100,000 | 黑客/IT 事件 | 25 | 蒙大拿州公共卫生与公共服务部 | 2014年 | 健康计划 | 1,062,509 | 黑客/IT 事件 |
年度医疗保健黑客事件我们的医疗保健数据泄露统计数据显示,黑客现在是医疗保健数据泄露的主要原因,但应该指出的是,医疗保健组织现在更擅长检测黑客事件。早些年的黑客/IT 事件数量较少,部分原因可能是未能检测到黑客事件和恶意软件感染。2014 年至 2018 年之间的许多黑客事件发生在数月甚至数年之后才被发现。 
未经授权的访问/披露(按年份)与黑客攻击一样,医疗保健组织在检测内部违规行为并向民权办公室报告这些违规行为方面做得越来越好。这些事件包括员工的错误、疏忽和恶意内部人员的行为。 
PHI 和未加密的 ePHI 按年丢失/被盗我们的医疗保健数据泄露统计数据显示,HIPAA 涵盖的实体和业务伙伴在通过管理、物理和技术控制(例如加密)保护医疗保健记录方面得到了显着改善,尽管未加密的笔记本电脑和其他电子设备仍然在车辆和可访问的位置不安全公众。许多这些盗窃/丢失事件涉及纸质记录,这同样可能导致大量患者信息的暴露。 
按年份不当处置 PHI/ePHI
按涵盖实体类型划分的违规情况年 | 健康护理提供者 | 健康计划 | 商业伙伴 | 医疗保健信息交换所 | 全部的 | 2009年 | 14 | 1 | 3 | 0 | 18 | 2010年 | 134 | 21 | 44 | 0 | 199 | 2011年 | 134 | 19 | 45 | 1 | 199 | 2012年 | 155 | 23 | 40 | 1 | 219 | 2013年 | 191 | 20 | 64 | 2 | 277 | 2014年 | 196 | 41 | 77 | 0 | 314 | 2015年 | 195 | 61 | 14 | 0 | 270 | 2016年 | 256 | 51 | 22 | 0 | 329 | 2017年 | 285 | 52 | 21 | 0 | 358 | 2018年 | 273 | 53 | 42 | 0 | 368 | 2019年 | 398 | 59 | 53 | 2 | 512 | 2020年 | 497 | 70 | 73 | 2 | 642 | 全部的 | 2,728 | 471 | 498 | 8 | 3,705 |
违反 HIPAA 的 OCR 和解和罚款违反 HIPAA的处罚可能很严厉。当违规行为被允许持续数年或系统性地不遵守 HIPAA 规则时,可能会被处以数百万美元的罚款。 下面的信息图表详细说明了 HIPAA 违规的处罚结构: 
多年来的 OCR 结算和罚款有关 HIPAA 罚款和和解的更多信息,请访问我们的HIPAA 违规罚款页面,其中详细介绍了 OCR 在 2008 年至 2020 年之间征收的所有 HIPAA 违规罚款。如下图所示,HIPAA 执法活动在过去 12 年中稳步增加。2020 年 HIPAA 违规处罚的大幅增加主要是由于 OCR 推动遵守 HIPAA 访问权的新举措。2020 年,我们与医疗保健提供者达成了 11 项和解协议,以解决患者无法及时获取医疗记录的情况。 
OCR 对 HIPAA 涵盖的实体和业务伙伴处以多少罚款?除了罚款和和解增加外,2015 年至 2018 年期间的罚款金额也大幅增加。 2018 年,Anthem Inc 支付了有史以来最大的 HIPAA 违规罚款,以解决 OCR 发现的潜在违反 HIPAA 安全规则的行为。 2015 年对 7880 万条记录数据泄露的调查。 Anthem 支付了 1600 万美元来解决此案。2020 年,Premera Blue Cross 解决了可能违反 HIPAA 规则的问题,并支付了 6,850,000 美元的罚款。2021 年,巨额罚款仍在继续,与 Excellus Health Plan 达成了 5,000,000 美元的和解协议。 
由于 HHS 预算削减,预计 2018 年对 HIPAA 涵盖实体的罚款将少于过去两年,但事实证明并非如此。2018 年是 HIPAA 罚款和结算破纪录的一年,比 2016 年创下的 23,505,300 美元的纪录高出 22%。OCR 在 2018 年从违反 HIPAA 规则的 HIPAA 涵盖的实体和业务伙伴那里收到了总计 28,683,400 美元的付款,2020 年执法活动大幅增加,有 19 项和解。 违反 HIPAA 的 OCR 处罚年 | 涵盖实体 | 数量 | 处罚类型 | 2021年 | 卓越健康计划 | 5,100,000 美元 | 沉降 | 2021年 | 横幅健康 | 200,000 美元 | 沉降 | 2020年 | Peter Wrobel,医学博士,PC,dba Elite 初级保健 | 36,000 美元 | 沉降 | 2020年 | 辛辛那提大学医学中心 | 65,000 美元 | 沉降 | 2020年 | Rajendra Bhayani 博士 | 15,000 美元 | 沉降 | 2020年 | 滨江精神医学集团 | 25,000 美元 | 沉降 | 2020年 | 康涅狄格州纽黑文市 | 202,400 美元 | 沉降 | 2020年 | 安泰 | 1,000,000 美元 | 沉降 | 2020年 | 纽约脊柱 | 100,000 美元 | 沉降 | 2020年 | Dignity Health,dba 圣约瑟夫医院和医疗中心 | 160,000 美元 | 沉降 | 2020年 | Premera 蓝十字 | 6,850,000 美元 | 沉降 | 2020年 | CHSPSC有限责任公司 | 2,300,000 美元 | 沉降 | 2020年 | 雅典骨科诊所 PA | 1,500,000 美元 | 沉降 | 2020年 | 房屋工程公司 | 38,000 美元 | 沉降 | 2020年 | 全包医疗服务公司 | 15,000 美元 | 沉降 | 2020年 | Beth Israel Lahey 健康行为服务 | 70,000 美元 | 沉降 | 2020年 | 国王医学博士 | 3,500 美元 | 沉降 | 2020年 | 明智的精神病学,PC | 10,000 美元 | 沉降 | 2020年 | Lifespan Health System 附属承保实体 | 1,040,000 美元 | 沉降 | 2020年 | 大都会社区卫生服务 dba Agape 卫生服务 | 25,000 美元 | 沉降 | 2020年 | 史蒂文 A. 波特,医学博士 | 100,000 美元 | 沉降 | 2019年 | 杰克逊卫生系统 | 2,154,000 美元 | 民事罚款 | 2019年 | 德克萨斯州老龄化和残疾服务部 | 1,600,000 美元 | 民事罚款 | 2019年 | 罗彻斯特大学医学中心 | 3,000,000 美元 | 沉降 | 2019年 | 试金石医学成像 | 3,000,000 美元 | 沉降 | 2019年 | 森塔拉医院 | 2,175,000 美元 | 沉降 | 2019年 | 医学信息工程 | 100,000 美元 | 沉降 | 2019年 | 科伦达医疗有限责任公司 | 85,000 美元 | 沉降 | 2019年 | Bayfront Health 圣彼得堡 | 85,000 美元 | 沉降 | 2019年 | 西乔治亚救护车 | 65,000 美元 | 沉降 | 2019年 | 精英牙科协会 | 10,000 美元 | 沉降 | 2018年 | 德克萨斯大学 MD 安德森癌症中心 | 4,348,000 美元 | 民事罚款 | 2018年 | 国歌公司 | 16,000,000 美元 | 沉降 | 2018年 | 费森尤斯医疗北美 | 3,500,000 美元 | 沉降 | 2018年 | 麻省总医院 | 515,000 美元 | 沉降 | 2018年 | 布莱根妇女医院 | 384,000 美元 | 沉降 | 2018年 | 波士顿医疗中心 | 100,000 美元 | 沉降 | 2018年 | Filefax, Inc. | 100,000 美元 | 沉降 | 2017年 | 达拉斯儿童医疗中心 | 3,200,000 美元 | 民事罚款 | 2017年 | 纪念医疗保健系统 | 5,500,000 美元 | 沉降 | 2017年 | 心网 | 2,500,000 美元 | 沉降 | 2017年 | 纪念赫尔曼卫生系统 | 2,400,000 美元 | 沉降 | 2017年 | 21世纪肿瘤学 | 2,300,000 美元 | 沉降 | 2017年 | 波多黎各MAPFRE人寿保险公司 | 2,200,000 美元 | 沉降 | 2017年 | 存在健康 | 475,000 美元 | 沉降 | 2017年 | 地铁社区提供商网络 | 400,000 美元 | 沉降 | 2017年 | 圣卢克-罗斯福医院中心公司 | 387,000 美元 | 沉降 | 2017年 | 儿童消化健康中心 | 31,000 美元 | 沉降 | 2016年 | Lincare, Inc. | 239,800 美元 | 民事罚款 | 2016年 | 倡导者医疗保健网络 | 5,550,000 美元 | 沉降 | 2016年 | 范斯坦医学研究所 | 3,900,000 美元 | 沉降 | 2016年 | 密西西比大学医学中心 | 2,750,000 美元 | 沉降 | 2016年 | 俄勒冈健康与科学大学 | 2,700,000 美元 | 沉降 | 2016年 | 纽约长老会医院 | 2,200,000 美元 | 沉降 | 2016年 | 圣约瑟夫健康 | 2,140,500 美元 | 沉降 | 2016年 | 明尼苏达州北部纪念医疗保健 | 1,550,000 美元 | 沉降 | 2016年 | 北卡罗来纳州宾夕法尼亚州罗利骨科诊所 | 750,000 美元 | 沉降 | 2016年 | 马萨诸塞大学阿默斯特分校 (UMass) | 650,000 美元 | 沉降 | 2016年 | 费城大主教管区的天主教医疗保健服务 | 650,000 美元 | 沉降 | 2016年 | 护理新英格兰卫生系统 | 400,000 美元 | 沉降 | 2016年 | Complete PT, Pool & Land Physical Therapy, Inc. | 25,000 美元 | 沉降 | 2015年 | Triple S 管理公司 | 3,500,000 美元 | 沉降 | 2015年 | 莱希医院和医疗中心 | 850,000 美元 | 沉降 | 2015年 | 华盛顿大学医学 | 750,000 美元 | 沉降 | 2015年 | 癌症护理小组,个人电脑 | 750,000 美元 | 沉降 | 2015年 | 圣伊丽莎白医疗中心 | 218,400 美元 | 沉降 | 2015年 | 康奈尔处方药房 | 125,000 美元 | 沉降 | 2014年 | 纽约长老会医院和哥伦比亚大学 | 4,800,000 美元 | 沉降 | 2014年 | Concentra 健康服务 | 1,725,220 美元 | 沉降 | 2014年 | Parkview Health System, Inc. | 80 万美元 | 沉降 | 2014年 | 阿肯色州的 QCA Health Plan, Inc. | 250,000 美元 | 沉降 | 2014年 | 华盛顿州斯卡吉特县 | 215,000 美元 | 沉降 | 2014年 | 安克雷奇社区心理健康服务 | 150,000 美元 | 沉降 | 2013年 | 井点 | 1,700,000 美元 | 沉降 | 2013年 | Affinity Health Plan, Inc. | 1,215,780 美元 | 沉降 | 2013年 | 爱达荷州立大学 | 400,000 美元 | 沉降 | 2013年 | 沙斯塔地区医疗中心 | 275,000 美元 | 沉降 | 2013年 | 成人和小儿皮肤科,PC | 150,000 美元 | 沉降 | 2012年 | 阿拉斯加州国土安全部 | 1,700,000 美元 | 沉降 | 2012年 | 马萨诸塞眼耳医院和马萨诸塞眼耳联合公司 | 1,500,000 美元 | 沉降 | 2012年 | 田纳西州蓝十字蓝盾 | 1,500,000 美元 | 沉降 | 2012年 | 凤凰心脏外科 | 100,000 美元 | 沉降 | 2012年 | 爱达荷州北部收容所 | 50,000 美元 | 沉降 | 2011年 | 乔治王子县的 Cignet Health | 4,300,000 美元 | 民事罚款 | 2011年 | 总医院公司和马萨诸塞州全科医生组织公司 | 1,000,000 美元 | 沉降 | 2011年 | 加州大学洛杉矶分校卫生系统 | 865,500 美元 | 沉降 | 2010年 | 礼仪援助公司 | 1,000,000 美元 | 沉降 | 2010年 | 管理服务组织华盛顿公司 | 35,000 美元 | 沉降 | 2009年 | CVS 药房公司 | 2,250,000 美元 | 沉降 | 2008年 | 普罗维登斯健康与服务 | 100,000 美元 | 沉降 |
州检察长对医疗机构的 HIPAA 罚款和其他经济处罚州检察长可以对 HIPAA 涵盖的实体及其业务伙伴违反 HIPAA 规则的行为提起诉讼。罚款范围从每次 HIPAA 违规行为 100 美元到每个违规类别每年最高 25,000 美元不等。 只有少数美国州对违反 HIPAA 的行为进行了处罚;然而,这种情况在 2019 年和 2020 年发生了变化,当时许多州检察长参与了针对 HIPAA 涵盖的实体和业务伙伴的多州行动,这些实体和业务伙伴经历了重大数据泄露并被发现不符合 HIPAA 安全规则。 下面列出了州检察长因违反 HIPAA 和同等违反州法律而开出的一些主要罚款。 总检察长 HIPAA 罚款年 | 状态 | 涵盖实体 | 数量 | 2019年 | 多态 | CHSPSC有限责任公司 | 5,000,000 美元 | 2019年 | 多态 | 国歌公司 | 3950 万美元 | 2019年 | 加利福尼亚州 | 国歌公司 | 870 万美元 | 2019年 | 多态 | Premera 蓝十字 | 10,000,000 美元 | 2019年 | 多态 | 医学信息工程 | 900,000 美元 | 2019年 | 加利福尼亚州 | 安泰 | 935,000 美元 | 2018年 | 马萨诸塞州 | 麦克莱恩医院 | 75,000 美元 | 2018年 | 新泽西州 | 安保健康保险 | 100,000 美元 | 2018年 | 新泽西州 | 最佳转录医学 | 200,000 美元 | 2018年 | 康涅狄格 | 安泰 | 99,959 美元 | 2018年 | 新泽西州 | 安泰 | 365,211.59 美元 | 2018年 | 哥伦比亚特区 | 安泰 | 175,000 美元 | 2018年 | 马萨诸塞州 | UMass Memorial Medical Group / UMass Memorial Medical Center | 230,000 美元 | 2018年 | 纽约 | 伊利县弧 | 200,000 美元 | 2018年 | 新泽西州 | 虚拟医疗集团 | 417,816 美元 | 2018年 | 纽约 | 安保健康保险 | 575,000 美元 | 2018年 | 纽约 | 安泰 | 1,150,000 美元 | 2017年 | 加利福尼亚州 | 山寨卫生系统 | 2,000,000 美元 | 2017年 | 马萨诸塞州 | 多州计费服务 | 100,000 美元 | 2017年 | 新泽西州 | 地平线医疗保健服务公司, | 1,100,000 美元 | 2017年 | 佛蒙特 | SAManage 美国公司 | 264,000 美元 | 2017年 | 纽约 | CoPilot 提供商支持服务公司 | 130,000 美元 | 2015年 | 纽约 | 罗彻斯特大学医学中心 | 15,000 美元 | 2015年 | 康涅狄格 | 哈特福德医院/ EMC 公司 | 90,000 美元 | 2014年 | 马萨诸塞州 | 罗德岛妇女和婴儿医院 | 150,000 美元 | 2014年 | 马萨诸塞州 | 波士顿儿童医院 | 40,000 美元 | 2014年 | 马萨诸塞州 | 贝丝以色列女执事医疗中心 | 100,000 美元 | 2013年 | 马萨诸塞州 | Goldthwait 联合公司 | 140,000 美元 | 2012年 | 明尼苏达州 | 累积健康 | 2,500,000 美元 | 2012年 | 马萨诸塞州 | 南岸医院 | 750,000 美元 | 2011年 | 佛蒙特 | 健康网 | 55,000 美元 | 2011年 | 印第安纳州 | WellPoint 公司 | 100,000 美元 | 2010年 | 康涅狄格 | 健康网 | 250,000 美元 |
原文版:
We have compiled healthcare data breach statistics from October 2009 when the Department of Health and Human Services’ Office for Civil Rights first started publishing summaries of healthcare data breaches on its website until December 31, 2020 The healthcare data breach statistics below only include data breaches of 500 or more records as details of smaller breaches are not published by OCR. The breaches include closed cases and breaches still being investigated by OCR. Our healthcare data breach statistics clearly show there has been an upward trend in data breaches over the past 10 years, with 2020 seeing more data breaches reported than any other year since records first started being published. There have also been notable changes over the years in the main causes of breaches. The loss/theft of healthcare records and electronic protected health information dominated the breach reports between 2009 and 2015. Better policies and procedures and the use of encryption has helped reduce these easily preventable breaches. Our healthcare data breach statistics show the main causes of healthcare data breaches are now hacking/IT incidents, with unauthorized access/disclosure incidents also commonplace. Healthcare Data Breaches by YearBetween 2009 and 2020, 3,705 healthcare data breaches of 500 or more records have been reported to the HHS’ Office for Civil Rights. Those breaches have resulted in the loss, theft, exposure, or impermissible disclosure of 268,189,693 healthcare records. That equates to more than 81.72% of the population of the United States. In 2018, healthcare data breaches of 500 or more records were being reported at a rate of around 1 per day. In December 2020, that rate had doubled. The average number of breaches per day for 2020 was 1.76.
Healthcare Records Exposed by YearThere has been a general upward trend in the number of records exposed each year, with a massive increase in 2015. 2015 was the worst year in history for breached healthcare records with more than 113.27 million records exposed, stolen, or impermissibly disclosed. 2015 was particularly bad due to three massive data breaches at health plans: Anthem Inc, Premera Blue Cross, and Excellus. Average/Median Healthcare Data Breach Size by Year
Largest Healthcare Data Breaches (2009-2020)Rank | Name of Covered Entity | Year | Covered Entity Type | Individuals Affected | Type of Breach | 1 | Anthem Inc. | 2015 | Health Plan | 78,800,000 | Hacking/IT Incident | 2 | American Medical Collection Agency | 2019 | Business Associate | 26,059,725 | Hacking/IT Incident | 3 | Premera Blue Cross | 2015 | Health Plan | 11,000,000 | Hacking/IT Incident | 4 | Excellus Health Plan, Inc. | 2015 | Health Plan | 10,000,000 | Hacking/IT Incident | 5 | Science Applications International Corporation | 2011 | Business Associate | 4,900,000 | Loss | 6 | University of California, Los Angeles Health | 2015 | Healthcare Provider | 4,500,000 | Hacking/IT Incident | 7 | Community Health Systems Professional Services Corporations | 2014 | Business Associate | 4,500,000 | Hacking/IT Incident | 8 | Advocate Medical Group | 2013 | Healthcare Provider | 4,029,530 | Theft | 9 | Medical Informatics Engineering | 2015 | Business Associate | 3,900,000 | Hacking/IT Incident | 10 | Banner Health | 2016 | Healthcare Provider | 3,620,000 | Hacking/IT Incident | 11 | Newkirk Products, Inc. | 2016 | Business Associate | 3,466,120 | Hacking/IT Incident | 12 | Trinity Health | 2020 | Business Associate | 3,320,726 | Hacking/IT Incident | 13 | Dominion Dental Services, Inc., Dominion National Insurance Company, and Dominion Dental Services USA, Inc. | 2019 | Health Plan | 2,964,778 | Hacking/IT Incident | 14 | AccuDoc Solutions, Inc. | 2018 | Business Associate | 2,652,537 | Hacking/IT Incident | 15 | 21st Century Oncology | 2016 | Healthcare Provider | 2,213,597 | Hacking/IT Incident | 16 | Xerox State Healthcare | 2014 | Business Associate | 2,000,000 | Unauthorized Access/Disclosure | 17 | IBM | 2011 | Business Associate | 1,900,000 | Unknown | 18 | GRM Information Management Services | 2011 | Business Associate | 1,700,000 | Theft | 19 | Inmediata Health Group, Corp. | 2019 | Healthcare Clearing House | 1,565,338 | Unauthorized Access/Disclosure | 20 | UnityPoint Health | 2018 | Business Associate | 1,421,107 | Hacking/IT Incident | 21 | MEDNAX Services, Inc. | 2020 | Business Associate | 1,290,670 | Hacking/IT Incident | 22 | Employees Retirement System of Texas | 2018 | Health Plan | 1,248,263 | Unauthorized Access/Disclosure | 23 | AvMed, Inc. | 2010 | Health Plan | 1,220,000 | Theft | 24 | CareFirst BlueCross BlueShield | 2015 | Health Plan | 1,100,000 | Hacking/IT Incident | 25 | Montana Department of Public Health & Human Services | 2014 | Health Plan | 1,062,509 | Hacking/IT Incident |
Healthcare Hacking Incidents by YearOur healthcare data breach statistics show hacking is now the leading cause of healthcare data breaches, although it should be noted that healthcare organizations are now much better at detecting hacking incidents. The low number of hacking/IT incidents in the earlier years could be partially due to the failure to detected hacking incidents and malware infections. Many of the hacking incidents between 2014-2018 occurred many months, and in some cases years, before they were detected.
Unauthorized Access/Disclosures by YearAs with hacking, healthcare organizations are getting better at detecting insider breaches and reporting those breaches to the Office for Civil Rights. These incidents consist of errors by employees, negligence, and acts by malicious insiders.
Loss/Theft of PHI and Unencrypted ePHI by YearOur healthcare data breach statistics show HIPAA covered entities and business associates have got significantly better at protecting healthcare records with administrative, physical, and technical controls such as encryption, although unencrypted laptops and other electronic devices are still being left unsecured in vehicles and locations accessible by the public. Many of these theft/loss incidents involve paper records, which can equally result in the exposure of large amounts of patient information.
Improper Disposal of PHI/ePHI by Year
Breaches by Covered Entity TypeYear | Healthcare Provider | Health Plan | Business Associate | Healthcare Clearinghouse | Total | 2009 | 14 | 1 | 3 | 0 | 18 | 2010 | 134 | 21 | 44 | 0 | 199 | 2011 | 134 | 19 | 45 | 1 | 199 | 2012 | 155 | 23 | 40 | 1 | 219 | 2013 | 191 | 20 | 64 | 2 | 277 | 2014 | 196 | 41 | 77 | 0 | 314 | 2015 | 195 | 61 | 14 | 0 | 270 | 2016 | 256 | 51 | 22 | 0 | 329 | 2017 | 285 | 52 | 21 | 0 | 358 | 2018 | 273 | 53 | 42 | 0 | 368 | 2019 | 398 | 59 | 53 | 2 | 512 | 2020 | 497 | 70 | 73 | 2 | 642 | Total | 2,728 | 471 | 498 | 8 | 3,705 |
OCR Settlements and Fines for HIPAA ViolationsThe penalties for HIPAA violations can be severe. Multi-million-dollar fines are possible when violations have been allowed to persist for several years or when there is systemic noncompliance with the HIPAA Rules. The penalty structure for HIPAA violations is detailed in the infographic below:
OCR Settlements and Fines Over the YearsFurther information on HIPAA fines and settlements can be viewed on our HIPAA violation fines page, which details all HIPAA violation fines imposed by OCR between 2008 and 2020. As the graph below shows, HIPAA enforcement activity has steadily increased over the past 12 years. The major rise in HIPAA violation penalties in 2020 is largely due to a new drive by OCR to enforce compliance with the HIPAA Right of Access. 11 settlements were reached with healthcare providers in 2020 to resolve cases where patients were not given timely access to their medical records.
How Much Has OCR Fined HIPAA Covered Entities and Business Associates?In addition to an increase in fines and settlements, penalty amounts increased considerably between 2015 and 2018. In 2018, the largest ever financial penalty for HIPAA violations was paid by Anthem Inc to resolve potential violations of the HIPAA Security Rule that were discovered by OCR during the investigation of its 78.8 million record data breach in 2015. Anthem paid $16 million to settle the case. In 2020, Premera Blue Cross settled potential violations of the HIPAA Rules and paid a $6,850,000 penalty. and the large financial penalties have continued in 2021, with a $5,000,000 settlement agreed with Excellus Health Plan.
It was expected that 2018 would see fewer fines for HIPAA covered entities than in the past two years due to HHS budget cuts, but that proved not to be the case. 2018 was a record breaking year for HIPAA fines and settlements, beating the previous record of $23,505,300 set in 2016 by 22%. OCR received payments totaling $28,683,400 in 2018 from HIPAA covered entities and business associates who had violated HIPAA Rules and 2020 saw a major increase in enforcement activity with 19 settlements. OCR Penalties for HIPAA ViolationsYear | Covered Entity | Amount | Penalty Type | 2021 | Excellus Health Plan | $5,100,000 | Settlement | 2021 | Banner Health | $200,000 | Settlement | 2020 | Peter Wrobel, M.D., P.C., dba Elite Primary Care | $36,000 | Settlement | 2020 | University of Cincinnati Medical Center | $65,000 | Settlement | 2020 | Dr. Rajendra Bhayani | $15,000 | Settlement | 2020 | Riverside Psychiatric Medical Group | $25,000 | Settlement | 2020 | City of New Haven, CT | $202,400 | Settlement | 2020 | Aetna | $1,000,000 | Settlement | 2020 | NY Spine | $100,000 | Settlement | 2020 | Dignity Health, dba St. Joseph’s Hospital and Medical Center | $160,000 | Settlement | 2020 | Premera Blue Cross | $6,850,000 | Settlement | 2020 | CHSPSC LLC | $2,300,000 | Settlement | 2020 | Athens Orthopedic Clinic PA | $1,500,000 | Settlement | 2020 | Housing Works, Inc. | $38,000 | Settlement | 2020 | All Inclusive Medical Services, Inc. | $15,000 | Settlement | 2020 | Beth Israel Lahey Health Behavioral Services | $70,000 | Settlement | 2020 | King MD | $3,500 | Settlement | 2020 | Wise Psychiatry, PC | $10,000 | Settlement | 2020 | Lifespan Health System Affiliated Covered Entity | $1,040,000 | Settlement | 2020 | Metropolitan Community Health Services dba Agape Health Services | $25,000 | Settlement | 2020 | Steven A. Porter, M.D | $100,000 | Settlement | 2019 | Jackson Health System | $2,154,000 | Civil Monetary Penalty | 2019 | Texas Department of Aging and Disability Services | $1,600,000 | Civil Monetary Penalty | 2019 | University of Rochester Medical Center | $3,000,000 | Settlement | 2019 | Touchstone Medical imaging | $3,000,000 | Settlement | 2019 | Sentara Hospitals | $2,175,000 | Settlement | 2019 | Medical Informatics Engineering | $100,000 | Settlement | 2019 | Korunda Medical, LLC | $85,000 | Settlement | 2019 | Bayfront Health St. Petersburg | $85,000 | Settlement | 2019 | West Georgia Ambulance | $65,000 | Settlement | 2019 | Elite Dental Associates | $10,000 | Settlement | 2018 | University of Texas MD Anderson Cancer Center | $4,348,000 | Civil Monetary Penalty | 2018 | Anthem Inc | $16,000,000 | Settlement | 2018 | Fresenius Medical Care North America | $3,500,000 | Settlement | 2018 | Massachusetts General Hospital | $515,000 | Settlement | 2018 | Brigham and Women’s Hospital | $384,000 | Settlement | 2018 | Boston Medical Center | $100,000 | Settlement | 2018 | Filefax, Inc. | $100,000 | Settlement | 2017 | Children’s Medical Center of Dallas | $3,200,000 | Civil Monetary Penalty | 2017 | Memorial Healthcare System | $5,500,000 | Settlement | 2017 | Cardionet | $2,500,000 | Settlement | 2017 | Memorial Hermann Health System | $2,400,000 | Settlement | 2017 | 21st Century Oncology | $2,300,000 | Settlement | 2017 | MAPFRE Life Insurance Company of Puerto Rico | $2,200,000 | Settlement | 2017 | Presense Health | $475,000 | Settlement | 2017 | Metro Community Provider Network | $400,000 | Settlement | 2017 | St. Luke’s-Roosevelt Hospital Center Inc. | $387,000 | Settlement | 2017 | The Center for Children’s Digestive Health | $31,000 | Settlement | 2016 | Lincare, Inc. | $239,800 | Civil Monetary Penalty | 2016 | Advocate Health Care Network | $5,550,000 | Settlement | 2016 | Feinstein Institute for Medical Research | $3,900,000 | Settlement | 2016 | University of Mississippi Medical Center | $2,750,000 | Settlement | 2016 | Oregon Health & Science University | $2,700,000 | Settlement | 2016 | New York Presbyterian Hospital | $2,200,000 | Settlement | 2016 | St. Joseph Health | $2,140,500 | Settlement | 2016 | North Memorial Health Care of Minnesota | $1,550,000 | Settlement | 2016 | Raleigh Orthopaedic Clinic, P.A. of North Carolina | $750,000 | Settlement | 2016 | University of Massachusetts Amherst (UMass) | $650,000 | Settlement | 2016 | Catholic Health Care Services of the Archdiocese of Philadelphia | $650,000 | Settlement | 2016 | Care New England Health System | $400,000 | Settlement | 2016 | Complete P.T., Pool & Land Physical Therapy, Inc. | $25,000 | Settlement | 2015 | Triple S Management Corporation | $3,500,000 | Settlement | 2015 | Lahey Hospital and Medical Center | $850,000 | Settlement | 2015 | University of Washington Medicine | $750,000 | Settlement | 2015 | Cancer Care Group, P.C. | $750,000 | Settlement | 2015 | St. Elizabeth’s Medical Center | $218,400 | Settlement | 2015 | Cornell Prescription Pharmacy | $125,000 | Settlement | 2014 | New York and Presbyterian Hospital and Columbia University | $4,800,000 | Settlement | 2014 | Concentra Health Services | $1,725,220 | Settlement | 2014 | Parkview Health System, Inc. | $800,000 | Settlement | 2014 | QCA Health Plan, Inc., of Arkansas | $250,000 | Settlement | 2014 | Skagit County, Washington | $215,000 | Settlement | 2014 | Anchorage Community Mental Health Services | $150,000 | Settlement | 2013 | WellPoint | $1,700,000 | Settlement | 2013 | Affinity Health Plan, Inc. | $1,215,780 | Settlement | 2013 | Idaho State University | $400,000 | Settlement | 2013 | Shasta Regional Medical Center | $275,000 | Settlement | 2013 | Adult & Pediatric Dermatology, P.C. | $150,000 | Settlement | 2012 | Alaska DHSS | $1,700,000 | Settlement | 2012 | Massachusetts Eye and Ear Infirmary and Massachusetts Eye and Ear Associates, Inc. | $1,500,000 | Settlement | 2012 | Blue Cross Blue Shield of Tennessee | $1,500,000 | Settlement | 2012 | Phoenix Cardiac Surgery | $100,000 | Settlement | 2012 | The Hospice of Northern Idaho | $50,000 | Settlement | 2011 | Cignet Health of Prince George’s County | $4,300,000 | Civil Monetary Penalty | 2011 | General Hospital Corp. & Massachusetts General Physicians Organization Inc. | $1,000,000 | Settlement | 2011 | University of California at Los Angeles Health System | $865,500 | Settlement | 2010 | Rite Aid Corporation | $1,000,000 | Settlement | 2010 | Management Services Organization Washington Inc. | $35,000 | Settlement | 2009 | CVS Pharmacy Inc. | $2,250,000 | Settlement | 2008 | Providence Health & Services | $100,000 | Settlement |
State Attorneys General HIPAA Fines and Other Financial Penalties for Healthcare OrganizationsState attorneys general can bring actions against HIPAA covered entities and their business associates for violations of the HIPAA Rules. Penalties range from $100 per HIPAA violation up to a maximum of $25,000 per violation category, per year. Only a handful of U.S. states have imposed penalties for HIPAA violations; however, that changed in 2019 and 2020 when many state Attorneys General participated in multistate actions against HIPAA covered entities and business associates that experienced major data breaches and were found not to be in compliance with the HIPAA Security Rule. Some of the major fines issued by state attorneys general for HIPAA violations and equivalent violations of state laws are listed below. Attorneys General HIPAA FinesYear | State | Covered Entity | Amount | 2019 | Multistate | CHSPSC LLC | $5,000,000 | 2019 | Multistate | Anthem Inc. | $39.5 million | 2019 | California | Anthem Inc. | $8.7 million | 2019 | Multistate | Premera Blue Cross | $10,000,000 | 2019 | Multistate | Medical Informatics Engineering | $900,000 | 2019 | California | Aetna | $935,000 | 2018 | Massachusetts | McLean Hospital | $75,000 | 2018 | New Jersey | EmblemHealth | $100,000 | 2018 | New Jersey | Best Transcription Medical | $200,000 | 2018 | Connecticut | Aetna | $99,959 | 2018 | New Jersey | Aetna | $365,211.59 | 2018 | District of Columbia | Aetna | $175,000 | 2018 | Massachusetts | UMass Memorial Medical Group / UMass Memorial Medical Center | $230,000 | 2018 | New York | Arc of Erie County | $200,000 | 2018 | New Jersey | Virtua Medical Group | $417,816 | 2018 | New York | EmblemHealth | $575,000 | 2018 | New York | Aetna | $1,150,000 | 2017 | California | Cottage Health System | $2,000,000 | 2017 | Massachusetts | Multi-State Billing Services | $100,000 | 2017 | New Jersey | Horizon Healthcare Services Inc., | $1,100,000 | 2017 | Vermont | SAManage USA, Inc. | $264,000 | 2017 | New York | CoPilot Provider Support Services, Inc | $130,000 | 2015 | New York | University of Rochester Medical Center | $15,000 | 2015 | Connecticut | Hartford Hospital/ EMC Corporation | $90,000 | 2014 | Massachusetts | Women & Infants Hospital of Rhode Island | $150,000 | 2014 | Massachusetts | Boston Children’s Hospital | $40,000 | 2014 | Massachusetts | Beth Israel Deaconess Medical Center | $100,000 | 2013 | Massachusetts | Goldthwait Associates | $140,000 | 2012 | MN | Accretive Health | $2,500,000 | 2012 | Massachusetts | South Shore Hospital | $750,000 | 2011 | Vermont | Health Net Inc. | $55,000 | 2011 | Indiana | WellPoint Inc. | $100,000 | 2010 | Connecticut | Health Net Inc. | $250,000 |
|
