top of page

HIPAA Radar

HIPAA Radar monitoruje publicznie ujawnione działania egzekucyjne, ugody, corrective action plans oraz decyzje o karach wydawane na podstawie Health Insurance Portability and Accountability Act (HIPAA). Jego celem jest zapewnienie przejrzystego i praktycznego obrazu tego, jak amerykańskie organy regulacyjne egzekwują obowiązki dotyczące prywatności i bezpieczeństwa danych medycznych w rzeczywistych sprawach.

 

Radar gromadzi kluczowe informacje o trendach egzekucyjnych, w tym o regulatorze, podmiocie objętym HIPAA lub business associate, wysokości kary lub ugody, podstawie prawnej naruszenia oraz głównych obszarach niezgodności zidentyfikowanych w danej sprawie. Dzięki prezentacji tych przypadków w jednym miejscu HIPAA Radar pomaga zespołom privacy, legal, compliance oraz security lepiej zrozumieć, które słabości najczęściej prowadzą do kontroli i działań egzekucyjnych.

 

To więcej niż zestawienie wyników postępowań. HIPAA Radar został opracowany jako praktyczne narzędzie wspierające compliance. Pokazuje, jak regulatorzy podchodzą do takich kwestii jak analiza ryzyka, kontrola dostępu, business associate agreements, niedozwolone ujawnienia, raportowanie wycieków, szkolenia pracowników oraz zabezpieczenia chroniące PHI. Ułatwia to przekładanie działań regulatorów na praktyczne wnioski dla programów compliance, governance prywatności i zarządzania ryzykiem w ochronie zdrowia.

Bryan County Ambulance Authority

Kara

$90 000

Data

31 października 2024

Główny problem

Ransomware / cybersecurity safeguards

Główne ustalenia

OCR publicly cited missing or inadequate risk analysis and related HIPAA Security Rule controls.

Przeczytaj więcej

Inmediata Health Group

Kara

$250 000

Data

10 grudnia 2024

Główny problem

Impermissible disclosure of PHI

Główne ustalenia

OCR publicly cited missing or inadequate risk analysis and related HIPAA Security Rule controls.

Przeczytaj więcej

Top of the World Ranch Treatment Center

Kara

$103 000

Data

19 lutego 2026

Główny problem

Phishing / email compromise

Główne ustalenia

OCR publicly described phishing incident involving unauthorized access to an email account containing patient PHI and identified compliance failures under Security Rule (risk analysis).

Przeczytaj więcej

Northeast Surgical Group

Kara

$10 000

Data

15 stycznia 2025

Główny problem

Ransomware / cybersecurity safeguards

Główne ustalenia

OCR publicly cited missing or inadequate risk analysis and related HIPAA Security Rule controls.

Przeczytaj więcej

Plastic Surgery Associates of South Dakota

Kara

$500 000

Data

31 października 2024

Główny problem

Ransomware / cybersecurity safeguards

Główne ustalenia

OCR publicly described ransomware investigation found multiple HIPAA Security Rule failures and identified compliance failures under Security Rule.

Przeczytaj więcej

Concentra, Inc.

Kara

$112 500

Data

16 grudnia 2025

Główny problem

Patient right of access

Główne ustalenia

OCR publicly found a failure to provide requested records on time, which resulted in a settlement.

Przeczytaj więcej

Oregon Health & Science University

Kara

$200 000

Data

6 marca 2025

Główny problem

Patient right of access

Główne ustalenia

OCR publicly found a failure to provide requested records on time, which resulted in a civil money penalty.

Przeczytaj więcej

Memorial Health System

Kara

$60 000

Data

15 stycznia 2025

Główny problem

Patient right of access

Główne ustalenia

OCR publicly found a failure to provide requested records on time, which resulted in a settlement.

Przeczytaj więcej

Heritage Valley Health System

Kara

$950 000

Data

1 lipca 2024

Główny problem

Security Rule noncompliance

Główne ustalenia

OCR publicly described oCR identified multiple HIPAA Security Rule failures and identified compliance failures under Security Rule.

Przeczytaj więcej

Providence Medical Institute

Kara

$240 000

Data

3 października 2024

Główny problem

Ransomware / cybersecurity safeguards

Główne ustalenia

OCR publicly described ransomware cybersecurity investigation found inadequate restriction of PHI access and business associate agreement failures and identified compliance failures under Security Rule; Business Associate Agreement requirements.

Przeczytaj więcej

MMG Fusion, LLC

Kara

$10 000

Data

5 marca 2026

Główny problem

Impermissible disclosure of PHI

Główne ustalenia

OCR publicly concluded that PHI was impermissibly exposed or disclosed and safeguards were not sufficient.

Przeczytaj więcej

PIH Health, Inc.

Kara

$600 000

Data

23 kwietnia 2025

Główny problem

Phishing / email compromise

Główne ustalenia

OCR publicly described phishing attack compromised 145 employee email accounts; delayed notices to OCR, individuals, and media and identified compliance failures under Security Rule (risk analysis); Privacy Rule (impermissible disclosure); Breach Notification Rule.

Przeczytaj więcej

Elgon Information Systems

Kara

$80 000

Data

7 stycznia 2025

Główny problem

Ransomware / cybersecurity safeguards

Główne ustalenia

OCR publicly cited missing or inadequate risk analysis and related HIPAA Security Rule controls.

Przeczytaj więcej

Comprehensive Neurology

Kara

$25 000

Data

25 kwietnia 2025

Główny problem

Ransomware / cybersecurity safeguards

Główne ustalenia

OCR publicly cited missing or inadequate risk analysis and related HIPAA Security Rule controls.

Przeczytaj więcej

USR Holdings, LLC

Kara

$337 750

Data

8 stycznia 2025

Główny problem

Loss / deletion of ePHI

Główne ustalenia

OCR publicly described deletion of ePHI and related safeguards failures, including lack of retrievable exact copies and audit activity records and identified compliance failures under Security Rule (risk analysis; activity records; contingency/copies); Privacy Rule.

Przeczytaj więcej

Health Fitness Corporation

Kara

$227 816

Data

21 marca 2025

Główny problem

Security Rule noncompliance

Główne ustalenia

OCR publicly cited missing or inadequate risk analysis and related HIPAA Security Rule controls.

Przeczytaj więcej

Holy Redeemer Family Medicine

Kara

$35 581

Data

26 listopada 2024

Główny problem

Impermissible disclosure of PHI

Główne ustalenia

OCR publicly concluded that PHI was impermissibly exposed or disclosed and safeguards were not sufficient.

Przeczytaj więcej

Northeast Radiology

Kara

$350 000

Data

4 kwietnia 2025

Główny problem

Exposed system / misconfiguration

Główne ustalenia

OCR publicly cited missing or inadequate risk analysis and related HIPAA Security Rule controls.

Przeczytaj więcej

BayCare Health System

Kara

$800 000

Data

28 maja 2025

Główny problem

Insider access and monitoring failures

Główne ustalenia

OCR publicly cited weak workforce access controls, insufficient monitoring, and failures to detect or prevent improper PHI access.

Przeczytaj więcej

Vision Upright MRI

Kara

$5 000

Data

15 maja 2025

Główny problem

Exposed system / misconfiguration

Główne ustalenia

OCR cited inadequate risk analysis and related security controls, together with delayed or missing breach notifications.

Przeczytaj więcej

Guam Memorial Hospital Authority

Kara

$25 000

Data

17 kwietnia 2025

Główny problem

Ransomware / cybersecurity safeguards

Główne ustalenia

OCR publicly cited weak workforce access controls, insufficient monitoring, and failures to detect or prevent improper PHI access.

Przeczytaj więcej

Solara Medical Supplies, LLC

Kara

$3 000 000

Data

14 stycznia 2025

Główny problem

Impermissible disclosure of PHI

Główne ustalenia

OCR cited inadequate risk analysis and related security controls, together with delayed or missing breach notifications.

Przeczytaj więcej

Gulf Coast Pain Consultants dba Clearway Pain Solutions Institute

Kara

$1 190 000

Data

3 grudnia 2024

Główny problem

Security Rule noncompliance

Główne ustalenia

OCR publicly cited missing or inadequate risk analysis and related HIPAA Security Rule controls.

Przeczytaj więcej

Virtual Private Network Solutions

Kara

$90 000

Data

7 stycznia 2025

Główny problem

Ransomware / cybersecurity safeguards

Główne ustalenia

OCR publicly cited missing or inadequate risk analysis and related HIPAA Security Rule controls.

Przeczytaj więcej

Deer Oaks – The Behavioral Health Solution

Kara

$225 000

Data

7 lipca 2025

Główny problem

Impermissible disclosure of PHI

Główne ustalenia

OCR publicly concluded that PHI was impermissibly exposed or disclosed and safeguards were not sufficient.

Przeczytaj więcej

Gums Dental Care

Kara

$70 000

Data

17 października 2024

Główny problem

Patient right of access

Główne ustalenia

OCR publicly found a failure to provide requested records on time, which resulted in a civil money penalty.

Przeczytaj więcej

Cascade Eye and Skin Centers

Kara

$250 000

Data

26 września 2024

Główny problem

Ransomware / cybersecurity safeguards

Główne ustalenia

OCR publicly cited missing or inadequate risk analysis and related HIPAA Security Rule controls.

Przeczytaj więcej

Children’s Hospital Colorado Health System

Kara

$548 265

Data

5 grudnia 2024

Główny problem

Insider access and monitoring failures

Główne ustalenia

OCR publicly cited weak workforce access controls, insufficient monitoring, and failures to detect or prevent improper PHI access.

Przeczytaj więcej

Warby Parker, Inc.

Kara

$1 500 000

Data

20 lutego 2025

Główny problem

Security Rule noncompliance

Główne ustalenia

OCR publicly cited missing or inadequate risk analysis and related HIPAA Security Rule controls.

Przeczytaj więcej

Cadia Healthcare Facilities

Kara

$182 000

Data

30 września 2025

Główny problem

Impermissible disclosure of PHI

Główne ustalenia

OCR publicly concluded that PHI was impermissibly exposed or disclosed and safeguards were not sufficient.

Przeczytaj więcej

Syracuse ASC (Specialty Surgery Center of Central New York)

Kara

$250 000

Data

23 lipca 2025

Główny problem

Ransomware / cybersecurity safeguards

Główne ustalenia

OCR publicly described ransomware attack; delayed notices to affected individuals and HHS Secretary and identified compliance failures under Security Rule (risk analysis); Breach Notification Rule.

Przeczytaj więcej

Montefiore Medical Center

Kara

$4 750 000

Data

6 lutego 2024

Główny problem

Insider access and monitoring failures

Główne ustalenia

OCR publicly cited weak workforce access controls, insufficient monitoring, and failures to detect or prevent improper PHI access.

Przeczytaj więcej

BST & Co. CPAs, LLP

Kara

$175 000

Data

18 sierpnia 2025

Główny problem

Phishing / email compromise

Główne ustalenia

OCR publicly cited missing or inadequate risk analysis and related HIPAA Security Rule controls.

Przeczytaj więcej

Essex Residential Care (Hackensack Meridian Health / West Caldwell Care Center)

Kara

$100 000

Data

1 kwietnia 2024

Główny problem

Patient right of access

Główne ustalenia

OCR publicly found a failure to provide requested records on time, which resulted in a civil money penalty.

Przeczytaj więcej

Rio Hondo Community Mental Health Center

Kara

$100 000

Data

19 listopada 2024

Główny problem

Patient right of access

Główne ustalenia

OCR publicly found a failure to provide requested records on time, which resulted in a civil money penalty.

Przeczytaj więcej

Phoenix Healthcare

Kara

$35 000

Data

29 marca 2024

Główny problem

Patient right of access

Główne ustalenia

OCR publicly found a failure to provide requested records on time, which resulted in a settlement.

Przeczytaj więcej

Comstar LLC

Kara

$75 000

Data

30 maja 2025

Główny problem

Security Rule noncompliance

Główne ustalenia

OCR publicly cited missing or inadequate risk analysis and related HIPAA Security Rule controls.

Przeczytaj więcej

Kontakt

kontakt@itgrc.pl

BW ADVISORY sp. z o.o.

ul. Boczańska 25 03-156 Warszawa
NIP: 525-281-83-52

 

Polityka prywatności

  • LinkedIn
  • youtube
bottom of page