Während die Nachrichten voller hochkarätiger Fälle von HIPAA-Verstößen und Bewertungen von Geldbußen in Höhe von mehreren Millionen Dollar sind, sind kleinere Praktiken nicht immun. Sie erliegen oft den gleichen Arten von Fehlern und schlechten Urteilen, die größere Anbieter betreffen. Glücklicherweise können sich selbst kleinere Praktiken durch Befolgen einiger vernünftiger Richtlinien vor der unsachgemäßen Offenlegung geschützter Gesundheitsinformationen (PHI) schützen, die zu einem HIPAA-Verstoß führt.,
Während die fortschreitende Technologie die Praxis der Medizin verändert hat, haben technologische Fortschritte auch neue Methoden zum Schutz der Patienteninformationen erforderlich gemacht. Experian berichtet, dass mehr als 27% der Datenverletzungen, einschließlich des Diebstahls medizinischer Identität, im Jahr 2017 im Zusammenhang mit medizinischer oder gesundheitlicher Versorgung standen., Darüber hinaus sind Mitarbeiter in 71% aller Cybersicherheitsvorfälle im Gesundheitswesen involviert-mehr als in jeder anderen Branche -, sodass Ihre eigenen Mitarbeiter möglicherweise das größte Risiko für eine HIPAA-Datenverletzung darstellen. Ebenso können kleinere Praktiken weniger Cybersicherheitstrainingsmaßnahmen und-protokolle enthalten und daher ideale Ziele für Cyberangriffe sein. Die Verbesserung des Schutzes elektronischer Daten ist für den Schutz der Privatsphäre der Patienten unerlässlich, aber die folgenden Fälle zeigen, dass dies nicht der einzige Schwerpunkt sein sollte.,
Hochkarätige Fälle sollten kleineren Praxen als Warnung dienen
Möglicherweise glauben Sie, dass hochkarätige Fälle eine Welt abseits Ihrer medizinischen Praxis sind. Nachrichtenberichte über mutmaßliche oder bestätigte HIPAA-Verstöße zeigen jedoch, dass ähnliche Vertraulichkeitsverletzungen in Kleinstädten und Kleinstädten genauso wahrscheinlich sind, obwohl sie möglicherweise keine nationalen Schlagzeilen machen. Betrachten Sie die folgenden Beispiele.,
Beispiel #1: Was in der Praxis passiert, sollte in der Praxis bleiben
Prominente gewöhnen sich daran, von den Medien verfolgt zu werden und persönliche Informationen preiszugeben, und das gilt zunehmend mit Foto-und Videofunktionen an allen Fingerspitzen. Wenn Nachrichten geteilt werden, die medizinische und persönlich identifizierbare Informationen enthalten, können HIPAA-Verstöße auftreten.
Hochkarätiger Fall
Im Jahr 2015 teilte Adam Schefter, Reporter und Analyst für ESPN, Bilder in den sozialen Medien von den medizinischen Aufzeichnungen des Profifußballspielers Jason Pierre-Paul., Pierre-Paul wurde bei einem Feuerwerksunfall ein Finger amputiert. Wie eine Nachrichtenagentur kurz nach ESPN ‚ s Tweet behauptete,“ begannen die Buchstaben ‚HIPAA‘ im Trend zu liegen “ und die Öffentlichkeit begann, Fragen über die Verletzung der Privatsphäre von Pierre-Paul zu stellen. Da Herr Schefter jedoch keine gedeckte Einheit nach dem HIPAA-Gesetz ist, unterliegt er keinen HIPAA-Strafen. Wenn jedoch festgestellt wird, könnten das betroffene Unternehmen, Geschäftspartner und Personen, die für das Durchsickern der Informationen verantwortlich sind, für einen HIPAA-Verstoß haftbar gemacht werden.,
Low Profile Case
Kann eine gewöhnliche Person Gegenstand eines „zeitungswürdigen“ öffentlichen Informationsaustauschs sein, der dem von Prominenten ähnelt? Betrachten Sie diesen Fall einer EMS-Mitarbeiterin im ländlichen Tennessee, die an einem ungewöhnlichen Ort auf einen Anruf reagierte und ihn dann auf ihrer Facebook-Seite kommentierte:
Im Juni von 2017 hatte ein Einheimischer einen Herzinfarkt, als er in seinem Hühnerstall arbeitete, und der Hühnerstall war Gegenstand des Beitrags des EMS-Mitarbeiters., Obwohl die Post den Namen des Patienten nicht erwähnt, erklärte seine Frau, dass in einer kleinen Stadt „Jeder weiß, wo mein Mann gestorben ist“, und sie betrachtete die Post in einem tragischen Moment als eine Verletzung der Privatsphäre ihres Mannes.
Beispiel #2: Freigabe Ist Nicht Immer Pflege
Öffentlich teilen interessante oder Bemerkenswerte Ereignisse in einer medizinischen Praxis mag harmlos in der social-media-Zeitalter, und es könnte davon profitieren, marketing, public relations, and community relations Initiativen. Das Teilen von Bildern oder Videos von Patienten ohne deren ausdrückliche Zustimmung ist jedoch eine HIPAA-Verletzung., Sie und Ihre Mitarbeiter haben möglicherweise guten Grund, ein Foto oder Neuigkeiten über einen Patienten mitzuteilen—z. B. einen Genesungsmeilenstein zu feiern—, aber die ausdrückliche Zustimmung des Patienten oder des Vormunds des Patienten ist erforderlich.
Hochkarätiger Fall
In den Jahren 2016 und 2018 traf das HHS Office of Civil Rights (OCR) Vereinbarungen mit vier Krankenhäusern in Höhe von insgesamt fast 3, 2 Millionen US-Dollar, um potenzielle Verstöße im Zusammenhang mit der Offenlegung von PHI zu klären, die während der Dreharbeiten zur ABC-Dokumentarserie „Save My Life: Boston Trauma.,“Während Healthcare Dive berichtete, dass ein Krankenhaus behauptet, die Erlaubnis des Patienten erhalten zu haben, und dass zwei weitere Krankenhäuser sagten, dass einige der Patienten dankbar für die Chance seien, ihre Geschichte zu erzählen, ist es möglich, dass eine bessere Dokumentation der Einwilligung solch große Siedlungen hätte verhindern können.
Low Profile Case
Dreharbeiten einer anderen Art haben 2017 im Naval Hospital Jacksonville rote Fahnen gehisst. Krankenschwestern Videoaufnahmen Neugeborene „tanzen“ zu Musik und machten obszöne Gesten auf den Videos., Die beteiligten Mitarbeiter wurden nicht nur der HIPAA-Verstöße schuldig gesprochen und aus der Patientenversorgung entlassen, sondern auch militärisch diszipliniert. Am anderen Ende des Altersspektrums wurden Pflegeheimmitarbeiter auch wegen HIPAA-Verstößen für den Austausch von Videoaufnahmen älterer Patienten über soziale Medien sanktioniert.
Beispiel #3: Alle die Nachrichten Passen Nicht Immer zum Drucken
Von Nachrichten über eine Berühmtheit Nachrichten über eine kleine Stadt, Katastrophe, Personal in medizinischen Einrichtungen erlaubt haben, Ihre Neugier zu ersetzen Ihre verpflichtet, Patienteninformationen vertraulich zu behandeln., Die Offenlegung von Patienteninformationen an andere Personen als diejenigen, die an der direkten Versorgung beteiligt sind oder die befugt sind, solche Informationen zu erhalten, ist nicht nur eine HIPAA-Verletzung, sondern kann auch zu unbeabsichtigten negativen Folgen führen.
Hochkarätiger Fall
Im Jahr 2008 gaben Mitarbeiter des UCLA Medical Center die medizinischen Informationen von Brittany Spears im Zusammenhang mit ihrer stationären psychiatrischen Behandlung unangemessen preis. Viele der 6 Ärzte und 13 Mitarbeiter, die auf Spears‘ PHI zugegriffen hatten, hatten keinen triftigen Grund, sich ihre Informationen anzusehen., Ihre Verletzung der HIPAA lieferte Futter für die Presse und tat wenig, um Patienten im ganzen Land zu beruhigen, dass ihre persönlichen Daten sicher sind.
Low Profile Case
In McAlester, Oklahoma, einer Stadt mit etwas mehr als 18.000 Einwohnern, waren die Adoptiveltern eines ertrunkenen Kleinkindes überrascht zu erfahren, dass das örtliche Krankenhaus die leibliche Mutter des Jungen benachrichtigt hatte, die ihre elterlichen Rechte gekündigt hatte. Die Eltern erfuhren auch, dass mehrere Krankenhausmitarbeiter—darunter ein Cafeteria—Mitarbeiter-auf die Krankenakte des Jungen zugegriffen hatten., Die unangemessene Benachrichtigung war nicht nur eine HIPAA-Verletzung, sondern führte auch dazu, dass die Adoptiveltern Drohungen erhielten.
Best Practices für die Wahrung der Vertraulichkeit von Patienteninformationen
Die Allgegenwärtigkeit von Smartphones mit Video – und Fotofunktionen—und Social-Media-Netzwerken, um sie weiterzugeben-macht es wichtig, die Mitarbeiter regelmäßig an die HIPAA-Regeln zum Schutz der Patienten zu erinnern. Regelmäßige Schulungen, bei denen die HIPAA-Datenschutzregeln hervorgehoben werden, die die Würde der Patienten unterstützen, können diese Werte an der Spitze Ihrer Praxis halten.,
Um eine unsachgemäße Veröffentlichung von Gesundheitsinformationen zu verhindern, sollten Sie diese Best Practices berücksichtigen:
- Bieten Sie jährliche Schulungen für Ärzte und Mitarbeiter zu PHI-Sicherheitsrichtlinien und-protokollen an.
- Stellen Sie sicher, dass Kliniker und Mitarbeiter ihre Verantwortlichkeiten und Rollen beim Schutz der PHI-Sicherheit, der verschiedenen Sensitivitätsstufen von Informationen und der Art und Weise, wie auf PHI zugegriffen, gespeichert und übertragen werden soll, verstehen.
- Mitarbeiter müssen Vertraulichkeitsvereinbarungen unterzeichnen, die die Anerkennung der Social-Media-Richtlinien Ihrer Praxis beinhalten.,
- Erzwingen Sie PHI-Sicherheitsrichtlinien konsistent unter Klinikern, Mitarbeitern und Administratoren.
- HIPAA verlangt, dass alle abgedeckten Stellen über Sanktionsrichtlinien und-verfahren verfügen und Maßnahmen gegen Mitarbeiter ergreifen, die diese nicht einhalten.
- Informieren Sie Personen, die mit PHI arbeiten, darüber, dass der Zugriff auf PHI aus Gründen, die nicht mit ihren Jobfunktionen zusammenhängen, eine Verletzung des staatlichen und föderalen Datenschutzrechts darstellt.
- Erwägen Sie, ein Popup-Feld zu verwenden, um Benutzer zu warnen, dass sie auf PHI zugreifen, und sie daran zu erinnern, dass dies einer Prüfung oder Überprüfung unterzogen werden kann.,
- Beschränken Sie den Zugriff von Klinikern und Mitarbeitern auf die Daten, die sie zur Ausführung ihrer Aufgaben benötigen.
- Kontinuierlich audit-Systeme zu entdecken, unsachgemäße Zugang.
- Erwägen Sie, die Smartphone-Nutzung durch Mitarbeiter in Patientenbereichen einzuschränken, es sei denn, dies ist für die Patientenversorgung oder den Praxisbetrieb erforderlich und dann nur mit Zustimmung des Patienten.
- Holen Sie immer die ausdrückliche schriftliche Zustimmung eines Patienten oder des Vormunds des Patienten ein, bevor Sie persönliche Gesundheitsinformationen weitergeben.,
- Legen Sie Standardrichtlinien und-formulare für die Dokumentation der Einwilligung des Patienten oder des Vormunds zur öffentlichen Weitergabe von Patientengesundheitsinformationen fest.
- Bei der Aufnahme von Videos in Ihrer Praxis für nichtklinische Zwecke (z. B. Marketing oder Community-Öffentlichkeitsarbeit):
- Stellen Sie sicher, dass Sie ein unterzeichnetes Einwilligungsformular von jedem vorgestellten Patienten haben, in dem ihre Einwilligung zur Teilnahme angegeben ist.
- Stellen Sie vor der Veröffentlichung von Videos oder Fotos sicher, dass sich keine Patienten im Hintergrund befinden, die ihre Zustimmung zur Teilnahme nicht schriftlich angegeben haben.,
Verpflichtungen Über HIPAA hinaus
Lange bevor HIPAA-Gesetze erlassen wurden, schworen Ärzte, Patienten mit Würde und Respekt zu behandeln. Wie Becker ’s Hospital Review in ihrer Geschichte der Patientensicherheit hervorhebt, lautet eine frühe Übersetzung des hippokratischen Eides:
“ Was ich im Verlauf der Behandlung oder sogar außerhalb der Behandlung in Bezug auf das Leben von Männern sehen oder hören kann, was man auf keinen Fall im Ausland verbreiten muss, werde ich für mich behalten und solche Dinge beschämend halten, um darüber gesprochen zu werden.,“
Die sehr persönliche Beziehung zwischen Arzt und Patient erfordert eine ethische und respektvolle Behandlung aller Patienteninformationen. Die Einhaltung der höchsten ethischen Standards schützt Sie und Ihre Praxis vor potenziellen HIPAA-oder Staatsrechtsverletzungen, Zivilklagen, Strafen oder Geldstrafen, die sich aus einem unsachgemäßen Umgang mit Patienteninformationen ergeben.
Leave a Reply