WordPress ist die Basis für über 43 % aller Websites weltweit, und Tausende von Organisationen im Gesundheitswesen nutzen es täglich. Das Problem: Die Anforderungen der HIPAA-Richtlinien und die Standardfunktionen von WordPress unterscheiden sich deutlich.
Die meisten betroffenen Unternehmen entdecken diese Lücke nicht durch sorgfältige interne Überprüfung, sondern erst im Rahmen einer OCR-Prüfung oder nach einem Verstoß, der mit ernsthaften finanziellen Strafen verbunden ist.
In diesem Blogbeitrag zeigen wir Ihnen die häufigsten Fallstricke bei der Einhaltung der HIPAA-Richtlinien auf WordPress, warum sie auftreten und was Sie tun können, um sie zu beheben, bevor ein Prüfer sie entdeckt.
Kurz gesagt: Die wichtigsten Erkenntnisse zur HIPAA-Konformität für WordPress-Websites
- WordPress ist im Standardzustand nicht HIPAA-konform und erfordert eine gezielte Konfiguration, um geschützte Gesundheitsdaten (ePHI) rechtmäßig zu verarbeiten.
- Eine unterzeichnete Vereinbarung zur Zusammenarbeit mit Geschäftspartnern (Business Associate Agreement, BAA) mit Ihrem Hosting-Anbieter ist obligatorisch, nicht optional.
- Standard-Kontaktformulare im Standardmodus sind nicht sicher für die Erfassung von Patientendaten.
- Jedes Plugin, das mit elektronischen Gesundheitsdaten (ePHI) in Berührung kommt, bedarf einer individuellen Prüfung und einer BAA-Vereinbarung mit dem Entwickler.
- WordPress verfügt über keine native Audit-Protokollierung, was eine direkte HIPAA-Anforderung darstellt.
- Schwache Zugriffskontrollen und gemeinsam genutzte Administratorkonten zählen zu den am häufigsten genannten Ursachen für Verstöße gegen HIPAA.
- Eine formale HIPAA-Risikobewertung ist gesetzlich vorgeschrieben, nicht nur eine bewährte Vorgehensweise.
Warum ist WordPress nicht standardmäßig HIPAA-konform?
WordPress wurde für die Bereitstellung von Inhalten entwickelt, nicht für Arbeitsabläufe im Gesundheitswesen. Standardmäßig werden die in der Datenbank gespeicherten Daten nicht verschlüsselt. Es werden auch keine Audit-Logs generiert, wie sie HIPAA vorschreibt.
- Es enthält auch keine Vereinbarung zur Auftragsverarbeitung (Business Associate Agreement, BAA). Eine BAA ist ein rechtsverbindlicher Vertrag mit jedem Dienstleister, der in Ihrem Auftrag elektronische Patientendaten (ePHI) verarbeitet. Ohne eine solche Vereinbarung verstoßen Sie bereits gegen die gesetzlichen Bestimmungen, noch bevor ein Patient ein einziges Formular ausfüllt.
- Die HIPAA-Sicherheitsregel verpflichtet die betroffenen Einrichtungen zur Implementierung von Schutzmaßnahmen in drei Kategorien: administrative, physische und technische.
Auf technischer Ebene bedeutet dies Verschlüsselung ruhender und übertragener Daten, Zugriffskontrollen mit eindeutiger Benutzeridentifizierung, Prüfprotokolle, die jede Interaktion mit elektronischen Gesundheitsdaten protokollieren, und Übertragungssicherheit, die über ein einfaches SSL-Zertifikat .
WordPress selbst erfüllt keine dieser Anforderungen. Die Einhaltung hängt vollständig davon ab, wie Sie Ihr Hosting konfigurieren, welche Plugins Sie installieren, wie Sie Benutzerkonten verwalten und ob jeder Drittanbieter in Ihrer Infrastruktur eine Vereinbarung zur Auftragsverarbeitung (BAA) unterzeichnet hat.
Das heißt aber nicht, dass WordPress die falsche Wahl für eine Website im Gesundheitswesen . Es bedeutet lediglich, dass ein durchdachter und strukturierter Ansatz von Grund auf erforderlich ist.
Wie Seahawk Media Ihnen hilft, die Vorschriften einzuhalten?
von Seahawk Media arbeiten mit Organisationen im Gesundheitswesen, Digitalagenturen, die Kunden im Gesundheitswesen betreuen, und WordPress-Entwicklern zusammen, die konforme Umgebungen aufbauen müssen, ohne über Nacht zu HIPAA-Experten zu werden.
Unser Ansatz deckt die gesamte Technologiekette ab:
- Sichere Hosting-Partnerschaften mit Anbietern, die BAAs unterzeichnen.
- Plugin-Audits zur Identifizierung von Compliance-Risiken, bevor diese zu Verstößen führen.
- Zugriffskontrollkonfiguration, die den Mindeststandard durchsetzt.
- Kontinuierliche Website-Wartung , die Ihre Umgebung auf dem neuesten Stand hält, während sich WordPress und die HIPAA-Anforderungen weiterentwickeln.
Wir helfen Teams außerdem dabei zu verstehen, welche Dokumentation sie vorhalten müssen, wie sie ihr Lieferanten-BAA-Inventar strukturieren und wie eine aussagekräftige HIPAA-Risikobewertung in der Praxis aussieht.
Compliance ist kein einmaliges Projekt. Es ist eine fortlaufende Verantwortung, und ein erfahrenes Team an Ihrer Seite macht sie deutlich leichter zu bewältigen.
Betreiben Sie eine Website im Gesundheitswesen mit WordPress und sind Sie sich nicht sicher, ob Ihre aktuelle Konfiguration den HIPAA-Anforderungen entspricht? Dann ist jetzt der richtige Zeitpunkt, dies herauszufinden. Kontaktieren Sie das Seahawk Media-Team, um das Gespräch zu beginnen.
„Fast konform“ zu sein reicht nicht aus
Die Einhaltung der HIPAA-Bestimmungen erfordert die richtige Infrastruktur, nicht Annahmen. Wir helfen Ihnen, Lücken zu schließen, bevor sie zu echten Problemen werden.
Die häufigsten Fallstricke bei der HIPAA-Konformität in WordPress
Die meisten Gesundheitsorganisationen, die WordPress nutzen, sind nicht nur durch ein fehlerhaftes Plugin von einem Sicherheitsvorfall entfernt. Sie sind vielmehr durch eine übersehene Konfiguration von einer Untersuchung durch das Office for Civil Rights (OCR) entfernt.
Hier sind die Fallstricke, die bei Durchsetzungsmaßnahmen immer wieder auftauchen, und was Sie genau tun können, um sie zu vermeiden.
Auswahl eines Gastgebers, der keine BAA unterzeichnet
Dies ist der häufigste und folgenreichste Fehler, den Organisationen im Gesundheitswesen begehen. Gängige Hosting-Anbieter wie Bluehost , Hostinger und SiteGround eignen sich hervorragend für die meisten Websites. Für Websites, die Patientendaten erfassen, speichern oder übermitteln, sind sie jedoch keine Option, es sei denn, sie sind bereit, eine Vereinbarung zur Auftragsverarbeitung (Business Associate Agreement) zu unterzeichnen.
- Eine BAA ist keine Formalität. Es handelt sich um ein Rechtsdokument, das festlegt, was ein Anbieter mit ePHI tun darf, wie er diese schützen muss und was im Falle einer Datenschutzverletzung geschieht.
- Gemäß HIPAA gilt Ihre Organisation automatisch als nicht konform, wenn Ihr Hosting-Anbieter elektronische Gesundheitsdaten (ePHI) ohne eine unterzeichnete BAA verarbeitet, unabhängig von allen anderen Sicherheitsmaßnahmen, die Sie implementiert haben.
Die Lösung ist einfach, erfordert aber, dass Sie sich vor dem Kauf informieren. Liquid Web und WP Engine bieten beide Managed-WordPress-Hosting-Umgebungen an, die für HIPAA-konforme Bereitstellungen konzipiert sind.
Sie bieten dedizierte Infrastruktur, verschlüsselten Speicher, Angriffserkennung und, was am wichtigsten ist, sie unterzeichnen eine BAA (Business Associate Agreement). Seahawk Media unterstützt Sie bei der Auswahl der passenden Hosting-Konfiguration und stellt sicher, dass Ihre gesamte Infrastruktur von Anfang an auf einer konformen Grundlage basiert.
Verwendung von Standard-Kontaktformularen zur Erfassung von Patientendaten
Ein Patient füllt auf Ihrer Website ein Terminanfrageformular aus. Er gibt seinen Namen, sein Geburtsdatum, seine Telefonnummer und eine kurze Beschreibung seines Gesundheitszustands an. Diese Kombination aus personenbezogenen Daten und Gesundheitskontext gilt ab dem Zeitpunkt, an dem sie Ihr System erreicht, als elektronische Patientenakte (ePHI).
WPForms in der Standardkonfiguration verwenden
Das Problem liegt nicht am Formular-Plugin selbst. WPForms beispielsweise kann bei korrekter Konfiguration Teil einer konformen Einrichtung sein. Das Problem ist, dass Standardkonfigurationen den Komfort über die Konformität stellen.
Damit ein Formular elektronische Gesundheitsdaten (ePHI) sicher verarbeiten kann, müssen die übermittelten Daten sowohl während der Übertragung als auch im Ruhezustand verschlüsselt und nach Möglichkeit in einer sicheren Umgebung außerhalb der Standard -WordPress-Datenbank . Zudem muss der Formularanbieter eine Vereinbarung zur Auftragsverarbeitung (BAA) unterzeichnen. Die standardmäßige Zustellung von Formularübermittlungen per E-Mail ist für ePHI in keinem Fall zulässig.
Wenn Ihre Formulare Angaben erfassen, die eine Person mit einem Gesundheitszustand in Verbindung bringen, behandeln Sie diese als Compliance-Risiko.
Installation von Plugins ohne vorherige Prüfung auf PHI-Zugriff
Das Plugin-Ökosystem von WordPress ist eine seiner größten Stärken. Gleichzeitig stellt es aber auch eine seiner größten Schwachstellen im Bereich der Compliance im Gesundheitswesen dar.
Viele gängige Plugins senden Daten unbemerkt an externe Server von Drittanbietern. Analysetools, Live-Chat-Widgets , CRM-Konnektoren, Buchungssysteme und sogar einige SEO-Plugins können nutzergenerierte Daten von Ihrem Server übertragen, ohne dass Sie es bemerken.
Gemäß HIPAA gilt ein Plugin-Entwickler, der aufgrund der Verarbeitung oder Speicherung elektronischer Gesundheitsdaten (ePHI) durch seine Software darauf zugreifen kann, als Geschäftspartner. Dies bedeutet, dass er eine BAA (Business Associate Agreement) unterzeichnen muss.
Die meisten Plugin-Entwickler haben dies nie in Betracht gezogen und werden daher kein entsprechendes Plugin unterzeichnen. Jetpack beispielsweise ist ein weit verbreitetes Plugin, das Ihre WordPress-Website mit der Infrastruktur von Automattic verbindet.
Bevor Sie es auf einer Website im Gesundheitswesen einsetzen, müssen Sie genau verstehen, welche Daten es überträgt und ob Automattic für Ihren spezifischen Anwendungsfall eine BAA durchführen wird.
SolidWP bietet eine solide Grundlage für die Erhöhung der WordPress-Sicherheit und sollte im Rahmen Ihrer Plugin-Strategie genauer betrachtet werden. Grundsätzlich gilt jedoch, dass jedes Plugin auf einer Website im Gesundheitswesen vor der Installation – und nicht erst danach – auf seine Compliance-Vorgaben hin geprüft werden muss.
Überspringen von Audit-Protokollen und Aktivitätsüberwachung
HIPAA verpflichtet Organisationen, zu protokollieren, wer auf elektronische Gesundheitsdaten (ePHI) zugegriffen hat, was damit geschehen ist und wann. Dies ist nicht optional, und WordPress übernimmt dies nicht automatisch.
WordPress speichert standardmäßig keine aussagekräftigen Benutzeraktivitäten über grundlegende Anmeldevorgänge hinaus. Wenn ein Mitarbeiter eine Patientenakte einsieht, ein Formular exportiert oder Zugriffsrechte ändert, wird dies nicht protokolliert, es sei denn, Sie haben dies explizit konfiguriert.
WP Activity Log ist ein Plugin, das diese Lücke schließt. Es erstellt detaillierte Protokolle aller Benutzeraktionen im WordPress-Adminbereich, darunter Inhaltsbearbeitungen, Änderungen der Benutzerrolle, Anmeldeversuche und Plugin-Aktivierungen. Dank dieser kontinuierlichen Protokollierung können Sie im Falle einer OCR-Prüfung Beweise für die Einhaltung der Vorschriften vorlegen, anstatt auf Annahmen zu beruhen.
Das Schlüsselwort ist hier Kontinuität. Die Aktivierung der Protokollierung erst eine Woche vor einem Audit ist keine Strategie zur Einhaltung der Vorschriften. Sie muss ab dem Zeitpunkt aktiv sein, an dem Ihre Website Patientendaten verarbeitet.
Schwache Zugriffskontrollen und gemeinsam genutzte Administratorkonten
Die gemeinsame Nutzung von Anmeldedaten stellt einen direkten Verstoß gegen HIPAA dar. HIPAA schreibt eine eindeutige Benutzeridentifizierung vor, d. h. jede Person, die auf ein System mit elektronischen Gesundheitsdaten (ePHI) zugreift, muss über ein eigenes Konto und eigene Anmeldedaten verfügen.
- Gemeinsam genutzte Passwörter beseitigen die Verantwortlichkeit, da es keine Möglichkeit gibt, eine Handlung auf eine bestimmte Person zurückzuführen.
- Abgesehen von gemeinsam genutzten Benutzerkonten gewähren viele WordPress-Websites im Gesundheitswesen weit mehr Zugriffsrechte, als die Mitarbeiter tatsächlich benötigen. Ein Teammitglied, das lediglich Blogbeiträge aktualisiert, sollte niemals Administratorrechte besitzen.
Viele Websites gewähren ihnen jedoch genau diese Zugriffsrechte. Diese Zugriffsebene ermöglicht es ihnen, Formulareingaben einzusehen, Plugins zu installieren und Backend-Einstellungen zu ändern. Der HIPAA-Standard für minimal notwendige Zugriffe ist diesbezüglich eindeutig: Der Zugriff auf elektronische Gesundheitsdaten (ePHI) muss auf das beschränkt werden, was jede Person zur Erfüllung ihrer Aufgaben benötigt.
Die Lösung besteht darin, benutzerdefinierte Benutzerrollen mit differenzierten Berechtigungen zuzuweisen, eine Multi-Faktor-Authentifizierung für jedes Konto mit Backend-Zugriff durchzusetzen und den Zugriff sofort zu widerrufen, wenn ein Mitarbeiter seine Rolle wechselt oder das Unternehmen verlässt.
In verwalteten Umgebungen werden einige dieser Kontrollmechanismen auf Infrastrukturebene implementiert, wodurch das Risiko menschlicher Fehler bei der täglichen Administration verringert wird.
SSL ignorieren oder veraltete Verschlüsselungsprotokolle verwenden
Ein gültiges SSL-Zertifikat ist der erste Schritt zu sicherer Datenübertragung, nicht das Ziel. Viele Webseiten im Gesundheitswesen installieren ein kostenloses SSL-Zertifikat und denken, damit sei alles erledigt. Tatsächlich gehen die Anforderungen des HIPAA an die Übertragungssicherheit aber deutlich weiter.
Ihre Website muss HTTPS auf jeder Seite und in jedem Formular erzwingen, TLS 1.2 oder höher mit deaktivierten schwachen Verschlüsselungssammlungen verwenden und HSTS implementieren, um Protokoll-Downgrade-Angriffe zu verhindern.
Really Simple SSL ist ein nützliches Tool zur Durchsetzung von HTTPS auf der gesamten Website und kann einige grundlegende Konfigurationen automatisch vornehmen. Es bietet jedoch keine Unterstützung für die Datenbankverschlüsselung, die Backup-Verschlüsselung oder die serverseitige TLS-Konfiguration, die für die Einhaltung der HIPAA-Richtlinien erforderlich ist.
Diese Elemente müssen auf Hosting-Ebene verwaltet werden, was ein weiterer Grund dafür ist, dass die Wahl des Hostinganbieters für alles andere so grundlegend ist.
Kein Notfall- oder Meldeplan für Datenschutzverletzungen
Die HIPAA-Regel zur Meldung von Datenschutzverletzungen verpflichtet die betroffenen Einrichtungen, die betroffenen Personen, das US-Gesundheitsministerium und in einigen Fällen die Medien innerhalb von 60 Tagen nach Entdeckung einer Datenschutzverletzung zu benachrichtigen.
Die meisten WordPress-basierten Webseiten im Gesundheitswesen verfügen über keinen dokumentierten Plan für die nächsten 60 Tage. Im Falle eines Sicherheitsvorfalls unterbricht das Fehlen eines solchen Plans die Frist nicht. Es bedeutet lediglich, dass Sie unter Druck kritische Entscheidungen treffen müssen, ohne über einen entsprechenden Leitfaden zu verfügen.
Ein grundlegender Notfallplan umfasst fünf Phasen : Erkennung, Eindämmung, Bewertung, Benachrichtigung und Dokumentation.
Auf technischer Ebene unterstützen Tools wie BlogVault und WPvivid Backup die Notfallwiederherstellung durch die Speicherung verschlüsselter, externer Backups, mit denen Sie schnell eine saubere Version Ihrer Website wiederherstellen können.
Technische Wiederherstellungstools allein genügen jedoch nicht den Meldepflichten gemäß HIPAA. Der Plan muss schriftlich festgehalten, bestimmten Personen zugewiesen und vor dem Ernstfall getestet werden.
Die HIPAA-Risikobewertung vollständig überspringen
Dies ist der Verstoß, der am häufigsten bei Durchsetzungsmaßnahmen des OCR auftritt. Gemäß 45 CFR §164.308(a)(1)(ii)(A) ist jede betroffene Einrichtung gesetzlich verpflichtet, eine genaue und gründliche Bewertung der potenziellen Risiken und Schwachstellen von ePHI in allen Systemen durchzuführen, die diese erstellen, empfangen, verwalten oder übermitteln.
Ein Sicherheits-Plugin genügt dieser Anforderung nicht. Eine Compliance-Checkliste genügt dieser Anforderung nicht. Eine formale, dokumentierte Risikoanalyse hingegen schon.
Die Risikobewertung ist keine einmalige Angelegenheit. Sie muss jährlich wiederholt werden. Außerdem muss sie aktualisiert werden, sobald Sie Ihre Hosting-Umgebung ändern, neue Plugins hinzufügen oder neue Anbieter integrieren. Ihr Zweck ist es, Schwachstellen aufzudecken, bevor ein Auditor oder ein Sicherheitsvorfall dies tut. Sie erstellt zudem einen dokumentierten Maßnahmenplan, der dem Office for Civil Rights (OCR) zeigt, dass Sie die Einhaltung der Vorschriften aktiv managen und nicht nur davon ausgehen.
Viele WordPress-Website-Betreiber im Gesundheitswesen haben dies noch nie getan. Wenn das auch auf Sie zutrifft, ist dies die dringendste Maßnahme, die Sie zur Einhaltung der Vorschriften ergreifen können.
Seahawk Media arbeitet mit Organisationen im Gesundheitswesen zusammen, um strukturierte HIPAA-Risikobewertungen durchzuführen und die Ergebnisse in konkrete, umsetzbare Verbesserungen ihrer WordPress-Umgebungen zu übersetzen.
Wie sieht eine HIPAA-konforme WordPress-Konfiguration konkret aus?
Nachdem man alle möglichen Fehlerquellen durchgegangen ist, ist es hilfreich, ein klares Bild vom Ziel zu haben. Eine korrekt konfigurierte, HIPAA-konforme WordPress-Website basiert auf fünf Säulen, und jede einzelne muss erfüllt sein, bevor man die Konformität wirklich beanspruchen kann.
- HIPAA-konformes Hosting mit unterzeichneter BAA.
- Ende-zu-Ende-Verschlüsselung im Ruhezustand und während der Übertragung.
- Rollenbasierte Zugriffskontrollen mit erzwungener Multi-Faktor-Authentifizierung.
- Kontinuierliche Protokollierung und Aktivitätsüberwachung.
- Dokumentierter Plan zur Reaktion auf Vorfälle und zur Meldung von Datenschutzverletzungen.
Über diese fünf Säulen hinaus erfordert eine konforme Einrichtung auch ein vollständiges Lieferantenverzeichnis, wobei für jedes Drittanbietertool, das mit elektronischen Gesundheitsdaten (ePHI) in Berührung kommt, eine unterzeichnete BAA vorliegen muss; regelmäßige Sicherheitsüberprüfungen und Plugin-Audits, um neue Schwachstellen zu erkennen, bevor sie ausgenutzt werden können; und eine formale Risikobewertung, die mindestens jährlich aktualisiert wird.
Ziel ist es nicht, eine Website im Gesundheitswesen zu erstellen, die nur sicher aussieht. Vielmehr soll sie die Einhaltung der OCR-Vorgaben durch Dokumentation, Protokolle und gegebenenfalls unterzeichnete Vereinbarungen nachweisen können. Dieser Unterschied ist von entscheidender Bedeutung, sobald ein behördliches Verfahren eingeleitet wird.
Schlussbetrachtung
Die Einhaltung der HIPAA-Richtlinien auf WordPress ist problemlos möglich. Tausende von Gesundheitsorganisationen nutzen WordPress täglich sicher und effektiv. Diejenigen, die keine Probleme haben, betrachten die Einhaltung der Richtlinien als Grundlage und nicht als nachträgliche Überlegung. Die frühzeitige Integration ist deutlich kostengünstiger als die nachträgliche Behebung von Problemen im Falle eines Datenschutzverstoßes.
Die in diesem Beitrag beschriebenen Fallstricke treten bei Durchsetzungsmaßnahmen immer wieder auf, gerade weil sie leicht zu übersehen sind. Fehlende BAA, ein nicht konfiguriertes Formular-Plugin, ein gemeinsam genutztes Administratorpasswort und ein fehlendes Audit-Log. Nichts davon ist ungewöhnlich.
Alle diese Probleme sind lösbar. Der erste Schritt besteht darin, zu wissen, wo man suchen muss, und der zweite darin, mit Experten zusammenzuarbeiten, die einem bei der Behebung der gefundenen Probleme helfen können.
Wenn Sie es mit der HIPAA-Konformität Ihrer WordPress-Website ernst meinen, steht Ihnen das Team von Seahawk Media gerne zur Seite, um Ihnen dabei zu helfen.
Häufig gestellte Fragen zu Fallstricken bei der HIPAA-Konformität
Kann WordPress HIPAA-konform gestaltet werden?
Ja, aber nicht im Standardzustand. WordPress kann HIPAA-konform bereitgestellt werden, wenn die Infrastruktur über eine unterzeichnete BAA verfügt, mit entsprechenden Zugriffskontrollen und Verschlüsselung konfiguriert ist, Audit-Protokollierung unterstützt und regelmäßigen Risikobewertungen unterzogen wird. Die Konformität hängt von der gesamten Umgebung ab, nicht nur vom CMS selbst.
Muss mein Hosting-Anbieter eine BAA unterzeichnen?
Absolut. Jeder Hosting-Anbieter, der auf elektronische Gesundheitsdaten (ePHI) zugreifen oder diese verarbeiten kann, gilt gemäß HIPAA als Geschäftspartner. Daher ist eine unterzeichnete BAA (Business Associate Agreement) gesetzlich vorgeschrieben und nicht optional. Der Betrieb ohne eine solche BAA führt zu einem Verstoß gegen die HIPAA-Bestimmungen, unabhängig von allen anderen Konfigurationen. Prüfen Sie daher immer die Verfügbarkeit einer BAA, bevor Sie sich für einen Hosting-Anbieter für eine Website im Gesundheitswesen anmelden.
Welche WordPress-Plugins können sicher auf einer Website im Gesundheitswesen verwendet werden?
Es gibt keine allgemeingültige Liste sicherer Plugins, da die Antwort davon abhängt, wie das jeweilige Plugin Daten verarbeitet und ob der Entwickler eine Vereinbarung zur Auftragsverarbeitung (BAA) unterzeichnet. Jedes Plugin, das nutzergenerierte Daten extern überträgt oder speichert, muss individuell geprüft werden.
Tools wie SolidWP zur Erhöhung der Sicherheit und WP Activity Log für Audit-Trails sind gute Optionen. Dennoch muss jedes Plugin, das elektronische Gesundheitsdaten (ePHI) verarbeitet, im Hinblick auf Ihre spezifischen Compliance-Vorgaben geprüft werden.
Was passiert, wenn meine WordPress-Website gegen HIPAA verstößt?
Die Strafen richten sich nach der Schwere des Verstoßes und danach, ob das betroffene Unternehmen von dem Risiko wusste. Die Bußgelder reichen von 100 bis 50.000 US-Dollar pro Verstoß, mit einer jährlichen Obergrenze von 1,9 Millionen US-Dollar pro Verstoßkategorie.
Neben finanziellen Strafen erfordern Verstöße eine formelle Benachrichtigung der betroffenen Personen und des US-Gesundheitsministeriums (HHS). Wiederholte Verstöße können zu Korrekturmaßnahmen führen, die erhebliche betriebliche Einschränkungen mit sich bringen.
