Articles

Es posible que no haya pensado en violaciones de HIPAA y cómo prevenirlas

posted by:
febrero 15, 2021

mientras que las noticias están llenas de casos de incumplimiento de HIPAA de alto perfil y evaluaciones de multas multimillonarias, las prácticas más pequeñas no son inmunes. A menudo sucumben a los mismos tipos de error y mal juicio que afectan a los proveedores más grandes. Afortunadamente, al seguir algunas pautas sensatas, incluso las prácticas más pequeñas pueden protegerse contra la divulgación inadecuada de información de salud protegida (PHI) que conduce a una violación de HIPAA.,

para una discusión completa de lo que constituye una violación de datos de HIPAA, incluido un «diagrama de flujo de análisis de violación de HIPAA» para determinar si se ha producido una violación de HIPAA, consulte «Preventing HIPAA Data Breaches: Case Studies and Best Practices.»

Si bien el avance de la tecnología ha cambiado la práctica de la medicina, los avances tecnológicos también han requerido nuevos métodos para proteger la información del paciente. Experian informa que más del 27% de las violaciones de datos, incluido el robo de identidad médica, estaban relacionadas con la atención médica o médica en 2017., Además, los empleados están involucrados en el 71% de todos los incidentes de ciberseguridad en el cuidado de la salud, más que en cualquier otra industria, por lo que sus propios empleados pueden ser su mayor riesgo de una violación de datos HIPAA. Del mismo modo, las prácticas más pequeñas pueden tener menos medidas y protocolos de capacitación en ciberseguridad y, por lo tanto, pueden ser objetivos ideales para los ciberataques. Mejorar la protección de los datos electrónicos es esencial para proteger la privacidad del paciente, pero los casos a continuación ilustran que no debería ser el único enfoque.,

los casos de alto perfil deben servir como una advertencia para las prácticas más pequeñas

usted puede creer que los casos de alto perfil están a un mundo de distancia de su práctica médica. Sin embargo, las noticias sobre violaciones sospechosas o confirmadas de la HIPAA revelan que es igualmente probable que se produzcan violaciones similares de la confidencialidad en pueblos pequeños y prácticas pequeñas, aunque es posible que no lleguen a los titulares de las noticias nacionales. Considere los siguientes ejemplos.,

ejemplo #1: Lo que sucede en la práctica debe permanecer en la práctica

Las celebridades se acostumbran a ser seguidas por los medios y a tener información personal divulgada, y eso es cada vez más cierto con la capacidad de foto y video al alcance de todos. Sin embargo, cuando se comparten noticias que incluyen información médica y de identificación personal, pueden ocurrir infracciones de HIPAA.

caso de alto perfil

en 2015, Adam Schefter, reportero y analista de ESPN, compartió imágenes en las redes sociales de los registros médicos del jugador de fútbol profesional Jason Pierre-Paul., Pierre-Paul tuvo un dedo amputado como resultado de un accidente de fuegos artificiales. Como afirmó un medio de comunicación, poco después del tuit de ESPN, «las letras ‘HIPAA’ comenzaron a ser tendencia» y el público comenzó a plantear preguntas sobre la violación de la privacidad de Pierre-Paul. Schefter no es una entidad cubierta bajo la ley HIPAA, sin embargo, no está sujeto a sanciones HIPAA. Sin embargo, si se determina, la entidad cubierta, los socios comerciales y las personas responsables de filtrar la información podrían ser responsables de cualquier violación de HIPAA.,

caso de perfil bajo

¿Puede una persona común ser objeto de intercambio público de información «de interés periodístico» similar a la experimentada por las celebridades? Considere este caso de un trabajador de EMS en Tennessee rural que respondió a una llamada en un lugar inusual, y luego comentó sobre él en su página de Facebook:

en junio de 2017, un hombre local tuvo un ataque al corazón mientras trabajaba en su gallinero, y el gallinero fue el tema de la publicación del trabajador de EMS., A pesar de que el post no menciona el nombre del paciente, su esposa explicó que en un pequeño pueblo, «todo el mundo sabe dónde murió mi esposo», y ella vio el post como una invasión de la privacidad de su esposo en un momento trágico.

Ejemplo # 2: Compartir no siempre es cuidar

compartir públicamente acontecimientos interesantes o Notables en una práctica médica puede parecer inofensivo en la era de las redes sociales, y podría beneficiar a las iniciativas de marketing, Relaciones Públicas y Relaciones Comunitarias. Sin embargo, compartir imágenes o videos de pacientes sin su consentimiento explícito es una violación de HIPAA., Usted y su personal pueden tener buenas razones para compartir una foto o noticias sobre un paciente, como celebrar un hito de recuperación, pero se requiere el consentimiento explícito del paciente o del tutor del paciente.

caso de alto perfil

en 2016 y 2018, la Oficina de Derechos Civiles (OCR) del HHS llegó a acuerdos con cuatro hospitales por un total de casi 3 3.2 millones para resolver posibles violaciones relacionadas con la divulgación de PHI que ocurrieron durante el rodaje de la serie documental de ABC «Save My Life: Boston Trauma.,»Si bien Healthcare Dive informó que un hospital afirma haber obtenido el permiso del paciente, y que otros dos hospitales dijeron que algunos de los pacientes estaban agradecidos por la oportunidad de contar su historia, es posible que una mejor documentación del consentimiento podría haber evitado acuerdos tan grandes.

caso de perfil bajo

La filmación de un tipo diferente levantó banderas rojas en el Naval Hospital Jacksonville en 2017. Las enfermeras grabaron a los recién nacidos «bailando» con música y estaban haciendo gestos obscenos en los videos., El personal involucrado no sólo eran culpables de HIPAA violaciones y eliminado de la atención al paciente, pero también estaban sujetos a la disciplina militar. En el otro extremo del espectro de edad, los trabajadores de hogares de ancianos también han sido sancionados por violaciones de HIPAA por compartir grabaciones de video de pacientes ancianos a través de las redes sociales.

Ejemplo #3: todas las noticias no siempre son adecuadas para imprimir

desde noticias sobre una celebridad hasta noticias sobre una catástrofe en una pequeña ciudad, el personal de las instalaciones médicas ha permitido que su curiosidad reemplace su obligación de mantener confidencial la información del paciente., Divulgar la información del paciente a personas que no sean aquellas involucradas en la atención directa o aquellas autorizadas para recibir dicha información no solo es una violación de HIPAA, sino que también puede resultar en consecuencias negativas no deseadas.

caso de alto perfil

en 2008, el personal del Centro Médico de la UCLA divulgó inapropiadamente la información médica de Brittany Spears relacionada con su tratamiento psiquiátrico para pacientes hospitalizados. Muchos de los 6 médicos y 13 miembros del personal que accedieron a la PHI de Spears no tenían ninguna razón válida para mirar su información., Su violación de HIPAA proporcionó forraje para la prensa, e hizo poco para tranquilizar a los pacientes en todo el país de que su información personal está segura.

caso de perfil bajo

en McAlester, Oklahoma, un pueblo de poco más de 18,000 personas, los padres adoptivos de un niño que se ahogó se sorprendieron al saber que el hospital local había notificado a la madre biológica del niño que había terminado sus derechos parentales. Los padres también se enteraron de que varios miembros del personal del hospital, incluido un trabajador de la cafetería, habían accedido a la historia clínica del niño., La notificación inapropiada no solo fue una violación de HIPAA, sino que también resultó en que los padres adoptivos recibieran amenazas.

mejores prácticas para mantener la confidencialidad de la información del paciente

la omnipresencia de los teléfonos inteligentes con capacidades de video y foto, y las redes sociales para compartirlos, hacen que sea esencial recordar regularmente al personal sobre las reglas de HIPAA sobre la privacidad del paciente. La capacitación Regular que enfatiza las reglas de privacidad de HIPAA que apoyan la dignidad de los pacientes puede mantener estos valores a la vanguardia de su práctica.,

para evitar publicitar incorrectamente la información de salud, considere estas mejores prácticas:

  • Proporcionar capacitación anual al médico y al personal sobre las políticas y protocolos de seguridad de la PHI.
  • asegúrese de que los médicos y el personal comprendan sus responsabilidades y funciones en la protección de la seguridad de la PHI, los diversos niveles de sensibilidad de la información y cómo se debe acceder, almacenar y transmitir la PHI.
  • requiere que el personal firme acuerdos de confidencialidad que incluyan el reconocimiento de las políticas de redes sociales de su práctica.,
  • aplique las políticas de seguridad de PHI de manera consistente entre los médicos, el personal y los administradores.
    • HIPAA requiere que todas las entidades cubiertas cuenten con políticas y procedimientos de sanción y tomen medidas contra los miembros de la fuerza laboral que no los cumplan.
  • informar a las personas que trabajan con PHI que acceder a PHI por razones no relacionadas con sus funciones laborales es una violación de la Ley de privacidad estatal y federal.
    • considere usar un cuadro emergente para advertir a los usuarios que están accediendo a la PHI y recordarles que hacerlo podría estar sujeto a auditoría o revisión.,
  • limite el acceso de los médicos y el personal a los datos que necesitan para realizar sus funciones laborales.
  • auditar continuamente los sistemas para descubrir el acceso incorrecto.
  • considere restringir el uso de teléfonos inteligentes por parte del personal en las áreas de pacientes, excepto cuando sea necesario para la atención del paciente o las operaciones de la práctica, y solo con el consentimiento del paciente.
  • siempre obtenga el consentimiento explícito por escrito de un paciente o del tutor del paciente antes de compartir cualquier información personal de salud.,
  • Establecer políticas y formularios estándar para documentar el consentimiento del paciente o tutor para compartir públicamente la información de salud del paciente.
  • Al grabar videos en su práctica para fines no clínicos (por ejemplo, marketing o divulgación comunitaria):
    • asegúrese de tener un formulario de consentimiento firmado de cada paciente destacado que indique su consentimiento para participar.
    • Antes de publicar videos o fotos, asegúrese de que no haya pacientes en el fondo que no hayan indicado por escrito su consentimiento para participar.,

obligaciones más allá de la HIPAA

mucho antes de que se promulgaran las leyes de la HIPAA, los médicos prestaban juramento de tratar a los pacientes con dignidad y respeto. Como señala Becker’s Hospital Review en su historia de la privacidad del paciente, una traducción temprana del Juramento Hipocrático dice:

» lo que pueda ver u oír en el curso del tratamiento o incluso fuera del tratamiento con respecto a la vida de los hombres, que en ningún caso se debe difundir en el extranjero, lo guardaré para mí mismo, sosteniendo que tales cosas vergonzosas se deben hablar.,»

El carácter muy personal de la relación médico-paciente exige un tratamiento ético y respetuoso de toda la información del paciente. Adherirse a los estándares éticos más altos ayudará a protegerlo a usted y a su práctica de posibles violaciones de la HIPAA o de la ley estatal, demandas civiles, sanciones o multas que resulten del manejo inadecuado de la información del paciente.

Related Posts

la Conferencia Mundial sobre cáncer de pulmón debe ampliar el enfoque en el control del tabaco

diciembre 27, 2020

¿por qué el Partido Republicano es conocido como el GOP?

septiembre 12, 2020

5 Consejos para enviar un correo electrónico a un entrenador universitario

febrero 8, 2021

Leave a Reply