Violations HIPAA auxquelles vous N’avez peut-être pas pensé et comment les prévenir

alors que les nouvelles sont pleines de cas de violation HIPAA très médiatisés et d’évaluations d’amendes de plusieurs millions de dollars, les petites pratiques ne sont pas à l’abri. Ils succombent souvent aux mêmes types d’erreurs et de mauvais jugement qui affectent les grands fournisseurs. Heureusement, en suivant quelques lignes directrices judicieuses, des pratiques encore plus petites peuvent se protéger contre la divulgation inappropriée d’informations de santé protégées (PHI) qui mène à une violation HIPAA.,

alors que les progrès technologiques ont changé la pratique de la médecine, les progrès technologiques ont également nécessité de nouvelles méthodes de protection de l’information des patients. Experian rapporte que plus de 27% des violations de données, y compris le vol d’identité médicale, étaient liées à la santé ou aux soins de santé en 2017., En outre, les employés sont impliqués dans 71% de tous les incidents de cybersécurité dans les soins de santé—plus que dans tout autre secteur—de sorte que vos propres employés peuvent être votre plus grand risque de violation de données HIPAA. De même, les petites pratiques peuvent avoir moins de mesures et de protocoles de formation en cybersécurité en place et peuvent donc être des cibles idéales pour les cyberattaques. L’amélioration de la protection des données électroniques est essentielle pour protéger la vie privée des patients, mais les cas ci-dessous illustrent que cela ne devrait pas être le seul objectif.,

les cas très médiatisés devraient servir d’avertissement aux petites pratiques

Vous pouvez croire que les cas très médiatisés sont loin de votre pratique médicale. Les comptes rendus d’informations sur des violations suspectées ou confirmées de L’HIPAA révèlent cependant que des violations similaires de la confidentialité sont tout aussi susceptibles de se produire dans les petites villes et les petites pratiques, bien qu’elles ne fassent pas les gros titres de l’Actualité nationale. Considérez les exemples suivants.,

exemple #1: ce qui se passe dans la pratique devrait rester dans la pratique

Les célébrités prennent l’habitude d’être suivies par les médias et d’avoir des informations personnelles divulguées, et c’est de plus en plus vrai avec la possibilité de photo et de vidéo à la portée de tous. Lorsque des nouvelles sont partagées qui incluent des informations médicales et personnellement identifiables, cependant, des infractions HIPAA peuvent se produire.

affaire médiatisée

En 2015, Adam Schefter, journaliste et analyste pour ESPN, a partagé des images sur les médias sociaux des dossiers médicaux du joueur de football professionnel Jason Pierre-Paul., Pierre-Paul a été amputé d’un doigt à la suite d’un accident de feux d’artifice. Comme l’a affirmé un média, peu de temps après le tweet D’ESPN, « les lettres ‘HIPAA’ ont commencé à être tendance” et le public a commencé à soulever des questions sur la violation de la vie privée de Pierre-Paul. Étant donné que M. Schefter n’est pas une entité couverte par la loi HIPAA, cependant, il n’est pas soumis à des pénalités HIPAA. Toutefois, si cela est déterminé, l’entité couverte, les associés commerciaux et les personnes responsables de la fuite des informations pourraient être tenus responsables de toute violation HIPAA.,

cas de profil bas

Une personne ordinaire peut-elle faire l’objet d’un partage public « digne d’intérêt” d’informations similaire à celui vécu par les célébrités? Prenons le cas d’un travailleur de L’EMS dans le Tennessee rural qui a répondu à un appel dans un endroit inhabituel, puis a commenté à ce sujet sur sa page Facebook:

en juin 2017, un homme de la région a eu une crise cardiaque alors qu’il travaillait dans son poulailler, et le poulailler a fait l’objet du, Bien que le message ne mentionne pas le nom du patient, sa femme a expliqué que dans une petite ville, « tout le monde sait où mon mari est mort”, et elle a vu le message comme une invasion de la vie privée de son mari à un moment tragique.

exemple #2: Partager N’est pas toujours bienveillant

partager publiquement des événements intéressants ou remarquables dans un cabinet médical peut sembler inoffensif à l’ère des médias sociaux, et cela pourrait bénéficier aux initiatives de marketing, de relations publiques et de relations communautaires. Cependant, le partage d’images ou de vidéos de patients sans leur consentement explicite constitue une violation de la HIPAA., Vous et votre personnel avez peut—être de bonnes raisons de vouloir partager une photo ou des nouvelles sur un patient—comme célébrer une étape du rétablissement-mais le consentement explicite du patient ou du tuteur du patient est requis.

affaire très médiatisée

en 2016 et 2018, le HHS Office of Civil Rights (OCR) a conclu des accords avec quatre hôpitaux totalisant près de 3,2 millions de dollars pour régler les violations potentielles liées à la divulgation de PHI survenues pendant le tournage de la série documentaire ABC « Save My Life: Boston Trauma., »Alors que Healthcare Dive a rapporté qu’un hôpital prétend avoir obtenu la permission des patients, et que deux autres hôpitaux ont déclaré que certains des patients étaient reconnaissants d’avoir pu raconter leur histoire, il est possible qu’une meilleure documentation du consentement ait pu empêcher de tels règlements.

Low Profile Case

Le tournage d’un autre genre a soulevé des drapeaux rouges à L’hôpital Naval de Jacksonville en 2017. Les infirmières ont filmé des nouveau-nés « dansant » sur de la musique et faisaient des gestes obscènes sur les vidéos., Le personnel impliqué était non seulement coupable de violations de L’HIPAA et retiré des soins aux patients, mais il était également soumis à la discipline militaire. À l’autre extrémité du spectre d’Âge, Les travailleurs des maisons de retraite ont également été sanctionnés pour des violations de la HIPAA pour avoir partagé des enregistrements vidéo de patients âgés via les médias sociaux.

exemple #3: Toutes les nouvelles ne sont pas toujours propres à imprimer

des nouvelles sur une célébrité aux nouvelles sur une catastrophe dans une petite ville, le personnel des établissements médicaux a laissé leur curiosité prendre le pas sur leur obligation de garder les informations confidentielles sur les patients., La divulgation d’informations sur les patients à des personnes autres que celles impliquées dans les soins directs ou celles autorisées à recevoir de telles informations constitue non seulement une violation de la HIPAA, mais peut également entraîner des conséquences négatives involontaires.

cas très médiatisé

en 2008, le personnel du Centre médical de L’UCLA a divulgué de manière inappropriée les informations médicales de Brittany Spears relatives à son traitement psychiatrique en hospitalisation. Bon nombre des 6 médecins et des 13 membres du personnel qui ont eu accès au PHI de Spears n’avaient aucune raison valable de consulter ses informations., Leur violation de HIPAA a fourni du fourrage à la presse, et n’a pas fait grand-chose pour rassurer les patients à travers le pays que leurs informations personnelles sont sécurisées.

cas de profil bas

à McAlester, Oklahoma, une ville d’un peu plus de 18 000 habitants, les parents adoptifs d’un enfant en bas âge qui s’est noyé ont été surpris d’apprendre que l’hôpital local avait avisé la mère biologique du garçon qui avait mis fin à ses droits parentaux. Les parents ont également appris que plusieurs membres du personnel de l’hôpital—y compris un travailleur de la cafétéria—avaient accédé au dossier médical du garçon., La notification inappropriée était non seulement une violation HIPAA, mais a également entraîné des menaces pour les parents adoptifs.

meilleures pratiques pour maintenir la confidentialité des informations sur les patients

L’omniprésence des smartphones dotés de fonctionnalités vidéo et photo—et des réseaux de médias sociaux pour les partager—rend essentiel de rappeler régulièrement au personnel les règles HIPAA sur la vie privée des patients. Une formation régulière mettant l’accent sur les règles de confidentialité HIPAA qui soutiennent la dignité des patients peut maintenir ces valeurs au premier plan de votre pratique.,

pour éviter une mauvaise publicité de l’information sur la santé, tenez compte des pratiques exemplaires suivantes:

• offrir une formation annuelle aux cliniciens et au personnel sur les politiques et les protocoles de sécurité des IPS.
• S’assurer que les cliniciens et le personnel comprennent leurs responsabilités et leurs rôles dans la protection de la sécurité des ISP, les différents niveaux de sensibilité de l’information et la façon dont les ISP doivent être accessibles, stockées et transmises.
• exiger que le personnel signe des accords de confidentialité qui incluent la reconnaissance des politiques de médias sociaux de votre cabinet.,
• appliquer les politiques de sécurité PHI de manière cohérente parmi les cliniciens, le personnel et les administrateurs.
  • HIPAA exige que toutes les entités couvertes aient des politiques et procédures de sanction en place et prennent des mesures contre les membres du personnel qui ne s’y conforment pas.
• informez les personnes travaillant avec PHI que l’accès à PHI pour des raisons non liées à leurs fonctions professionnelles constitue une violation des lois fédérales et étatiques sur la protection de la vie privée.
  • envisagez d’utiliser une boîte contextuelle pour avertir les utilisateurs qu’ils accèdent à PHI et leur rappeler que cela pourrait faire l’objet d’un audit ou d’un examen.,
• limiter l’accès des cliniciens et du personnel aux données dont ils ont besoin pour remplir leurs fonctions.
• auditez continuellement les systèmes pour découvrir un accès inapproprié.
• envisagez de restreindre l’utilisation du smartphone par le personnel dans les zones des patients, sauf lorsque cela est nécessaire pour les soins aux patients ou les opérations de pratique, et uniquement avec le consentement du patient.
• obtenez toujours le consentement écrit explicite d’un patient ou de son tuteur avant de partager des renseignements personnels sur la santé.,
• établir des politiques et des formulaires standard pour documenter le consentement du patient ou du tuteur à partager publiquement l’information sur la santé du patient.
• lorsque vous enregistrez des vidéos dans votre cabinet à des fins non cliniques (p. ex., marketing ou sensibilisation communautaire):
  • assurez-vous d’avoir un formulaire de consentement signé de chaque patient présenté indiquant son consentement à participer.
  • avant de publier des vidéos ou des photos, assurez-vous qu’il n’y a pas de patients en arrière-plan qui n’ont pas indiqué par écrit leur consentement à participer.,

Obligations au-delà de la loi HIPAA

bien avant L’adoption des lois HIPAA, les médecins prêtaient serment de traiter les patients avec dignité et respect. Comme le souligne la revue de L’Hôpital de Becker dans son histoire de la vie privée des patients, une première traduction du serment D’Hippocrate se lit comme suit:

« ce que je peux voir ou entendre au cours du traitement ou même en dehors du traitement en ce qui concerne la vie des hommes, que l’on ne doit en aucun cas répandre à l’étranger, je le garderai pour moi, tenant de telles choses honteuses à parler., »

La nature très personnelle de la relation médecin-patient exige un traitement éthique et respectueux de toutes les informations du patient. Le respect des normes éthiques les plus élevées aidera à vous protéger, vous et votre pratique, contre les violations potentielles de la loi HIPAA ou de l’état, les poursuites civiles, les pénalités ou les amendes résultant d’une mauvaise manipulation des informations sur les patients.