Articles

Violazioni HIPAA Potresti non aver pensato e come prevenirle

posted by:
Febbraio 15, 2021

Mentre la notizia è piena di casi di violazione HIPAA di alto profilo e valutazioni di multe multimilionarie, le pratiche più piccole non sono immuni. Spesso soccombono agli stessi tipi di errore e cattivo giudizio che colpiscono i fornitori più grandi. Fortunatamente, seguendo alcune linee guida sensate, anche le pratiche più piccole possono proteggersi dalla divulgazione impropria di informazioni sanitarie protette (PHI) che porta a una violazione HIPAA.,

Per una discussione completa su ciò che costituisce una violazione dei dati HIPAA, incluso un “Diagramma di flusso di analisi delle violazioni HIPAA” per determinare se si è verificata una violazione HIPAA, vedere “Prevenire le violazioni dei dati HIPAA: casi di studio e best practice.”

Mentre la tecnologia avanzata ha cambiato la pratica della medicina, i progressi tecnologici hanno anche reso necessari nuovi metodi per proteggere le informazioni dei pazienti. Experian riferisce che oltre il 27% delle violazioni dei dati, incluso il furto di identità medica, erano legate all’assistenza medica o sanitaria nel 2017., Inoltre, i dipendenti sono coinvolti nel 71% di tutti gli incidenti di sicurezza informatica nell’assistenza sanitaria—più che in qualsiasi altro settore—quindi i tuoi dipendenti potrebbero essere il tuo più grande rischio di una violazione dei dati HIPAA. Allo stesso modo, le pratiche più piccole possono avere meno misure di formazione sulla sicurezza informatica e protocolli in atto e quindi possono essere obiettivi ideali per gli attacchi informatici. Migliorare la protezione dei dati elettronici è essenziale per proteggere la privacy dei pazienti, ma i casi seguenti illustrano che non dovrebbe essere l’unico obiettivo.,

I casi di alto profilo dovrebbero servire da avvertimento per le pratiche più piccole

Potresti credere che i casi di alto profilo siano un mondo lontano dalla tua pratica medica. Notizie su violazioni HIPAA sospette o confermate, tuttavia, rivelano che simili violazioni della riservatezza sono altrettanto probabili che si verifichino nelle piccole città e nelle piccole pratiche, anche se potrebbero non fare titoli di notizie nazionali. Considera i seguenti esempi.,

Esempio #1: Ciò che accade nella pratica dovrebbe rimanere nella pratica

Le celebrità si abituano ad essere seguite dai media e ad avere informazioni personali divulgate, e questo è sempre più vero con la possibilità di foto e video a portata di mano di tutti. Quando la notizia è condivisa che include informazioni mediche e personali, però, possono verificarsi infrazioni HIPAA.

Caso di alto profilo

Nel 2015, Adam Schefter, giornalista e analista per ESPN, ha condiviso immagini sui social media delle cartelle cliniche del calciatore professionista Jason Pierre-Paul., Pierre-Paul ha avuto un dito amputato a seguito di un incidente di fuochi d’artificio. Come affermato da una testata, poco dopo il tweet di ESPN, “le lettere ‘HIPAA’ hanno iniziato a fare tendenza” e il pubblico ha iniziato a sollevare domande sulla violazione della privacy di Pierre-Paul. Dal momento che il signor Schefter non è un’entità coperta dalla legge HIPAA, tuttavia, non è soggetto a sanzioni HIPAA. Tuttavia, se determinato, l’entità coperta, i soci in affari e le persone responsabili della perdita delle informazioni potrebbero essere ritenuti responsabili per qualsiasi violazione HIPAA.,

Caso di basso profilo

Una persona comune può essere oggetto di condivisione pubblica “degna di notizia” di informazioni simili a quelle vissute dalle celebrità? Considera questo caso di un lavoratore EMS nel Tennessee rurale che ha risposto a una chiamata in un luogo insolito e poi ha commentato sulla sua pagina Facebook:

Nel giugno di 2017, un uomo del posto ha avuto un attacco di cuore mentre lavorava nel suo pollaio, e il pollaio è stato oggetto del post del lavoratore EMS., Nonostante il post non menzionasse il nome del paziente, sua moglie ha spiegato che in una piccola città, “Tutti sanno dove è morto mio marito”, e ha visto il post come un’invasione della privacy del marito in un momento tragico.

Esempio #2: La condivisione non è sempre premurosa

Condividere pubblicamente eventi interessanti o degni di nota in uno studio medico può sembrare innocuo nell’era dei social media e potrebbe avvantaggiare iniziative di marketing, pubbliche relazioni e relazioni con la comunità. Tuttavia, la condivisione di immagini o video di pazienti senza il loro esplicito consenso è una violazione HIPAA., Tu e il tuo staff potete avere buone ragioni per voler condividere una foto o notizie su un paziente, come celebrare un traguardo di recupero, ma è richiesto il consenso esplicito del paziente o del tutore del paziente.

Caso di alto profilo

Nel 2016 e nel 2018, l’Ufficio HHS per i diritti civili (OCR) ha raggiunto accordi con quattro ospedali per un totale di quasi million 3,2 milioni per risolvere potenziali violazioni relative alla divulgazione di PHI che si sono verificati durante le riprese della serie di documentari ABC “Save My Life: Boston Trauma.,”Mentre Healthcare Dive ha riferito che un ospedale afferma di aver ottenuto il permesso del paziente e che altri due ospedali hanno detto che alcuni dei pazienti erano grati per la possibilità di raccontare la loro storia, è possibile che una migliore documentazione del consenso avrebbe potuto impedire insediamenti così grandi.

Caso di basso profilo

Le riprese di un diverso tipo hanno sollevato bandiere rosse al Naval Hospital Jacksonville nel 2017. Gli infermieri hanno filmato i neonati “ballando” alla musica e stavano facendo gesti osceni sui video., Il personale coinvolto non era solo colpevole di violazioni HIPAA e rimosso dalla cura del paziente, ma erano anche soggetti a disciplina militare. Dall’altra parte dello spettro dell’età, i lavoratori delle case di cura sono stati sanzionati anche per violazioni HIPAA per la condivisione di registrazioni video di pazienti anziani tramite i social media.

Esempio #3: Tutte le notizie non sono sempre adatte alla stampa

Dalle notizie su una celebrità alle notizie su una catastrofe di una piccola città, il personale delle strutture mediche ha permesso alla loro curiosità di sostituire il loro obbligo di mantenere riservate le informazioni sui pazienti., Divulgare le informazioni del paziente a persone diverse da quelle coinvolte nella cura diretta o quelle autorizzate a ricevere tali informazioni non è solo una violazione HIPAA, ma può anche comportare conseguenze negative non intenzionali.

Caso di alto profilo

Nel 2008, il personale dell’UCLA Medical Center ha divulgato in modo inappropriato le informazioni mediche di Brittany Spears relative al suo trattamento psichiatrico ospedaliero. Molti dei 6 medici e dei 13 membri dello staff che hanno avuto accesso al PHI di Spears non avevano alcun motivo valido per guardare le sue informazioni., La loro violazione di HIPAA fornito foraggio per la stampa, e ha fatto poco per rassicurare i pazienti in tutta la nazione che le loro informazioni personali sono al sicuro.

Caso di basso profilo

A McAlester, Oklahoma, una città di poco più di 18.000 persone, i genitori adottivi di un bambino annegato sono rimasti sorpresi nell’apprendere che l’ospedale locale aveva notificato alla madre biologica del ragazzo che aveva interrotto i suoi diritti genitoriali. I genitori hanno anche appreso che più personale ospedaliero—tra cui un lavoratore mensa—aveva avuto accesso cartella clinica del ragazzo., La notifica inappropriata non era solo una violazione HIPAA, ma ha anche portato i genitori adottivi a ricevere minacce.

Best practice per mantenere la riservatezza delle informazioni sui pazienti

La pervasività degli smartphone con funzionalità video e foto—e dei social media network per condividerle—rendono essenziale ricordare regolarmente allo staff le regole HIPAA sulla privacy dei pazienti. Una formazione regolare che enfatizzi le regole sulla privacy HIPAA che supportano la dignità dei pazienti può mantenere questi valori in prima linea nella tua pratica.,

Per evitare di pubblicizzare in modo improprio le informazioni sanitarie, prendere in considerazione queste best practice:

  • Fornire una formazione annuale del medico e del personale sulle politiche e i protocolli di sicurezza PHI.
  • Assicurati che i medici e il personale comprendano le loro responsabilità e i loro ruoli nella protezione della sicurezza del PHI, i vari livelli di sensibilità delle informazioni e come accedere, archiviare e trasmettere il PHI.
  • Richiedere al personale di firmare accordi di riservatezza che includono il riconoscimento delle politiche sui social media della tua pratica.,
  • Applica le politiche di sicurezza PHI in modo coerente tra medici, personale e amministratori.
    • HIPAA richiede a tutte le entità coperte di disporre di politiche e procedure sanzionatorie e di agire contro i membri della forza lavoro che non le rispettano.
  • Informa le persone che lavorano con PHI che l’accesso a PHI per motivi non correlati alle loro funzioni lavorative è una violazione della legge sulla privacy statale e federale.
    • Considerare l’utilizzo di una finestra pop-up per avvisare gli utenti che stanno accedendo PHI e ricordare loro che così facendo potrebbe essere soggetto a revisione o revisione.,
  • Limitare l’accesso del medico e del personale ai dati di cui hanno bisogno per svolgere le loro funzioni lavorative.
  • Controlla continuamente i sistemi per scoprire accessi non corretti.
  • Prendere in considerazione la possibilità di limitare l’uso dello smartphone da parte del personale nelle aree del paziente, tranne quando necessario per la cura del paziente o le operazioni di pratica, e quindi solo con il consenso del paziente.
  • Ottenere sempre l’esplicito consenso scritto di un paziente o del suo tutore prima di condividere qualsiasi informazione personale sulla salute.,
  • Stabilire politiche e moduli standard per documentare il consenso del paziente o del tutore a condividere pubblicamente le informazioni sulla salute del paziente.
  • Quando si registrano video presso il proprio studio per scopi non clinici (ad esempio, marketing o sensibilizzazione della comunità):
    • Assicurarsi di avere un modulo di consenso firmato da ogni paziente in evidenza che indica il proprio consenso a partecipare.
    • Prima di pubblicare qualsiasi video o foto, assicurarsi che non ci siano pazienti in background che non abbiano indicato per iscritto il loro consenso a partecipare.,

Obblighi oltre HIPAA

Molto prima che le leggi HIPAA fossero emanate, i medici giuravano di trattare i pazienti con dignità e rispetto. Come Becker Ospedale di Revisione sottolinea nella loro storia di privacy del paziente, una prima traduzione del giuramento di Ippocrate, si legge:

“che Cosa io possa vedere o sentire nel corso del trattamento, o anche al di fuori del trattamento per quanto riguarda la vita degli uomini, che non si deve diffondere all’estero, voglio tenere per me, in possesso di tali cose vergognose di essere parlato.,”

La natura molto personale del rapporto medico-paziente richiede un trattamento etico e rispettoso di tutte le informazioni del paziente. Aderire ai più alti standard etici aiuterà a proteggere te e la tua pratica da potenziali violazioni della legge HIPAA o statale, cause civili, sanzioni o multe derivanti da una gestione impropria delle informazioni sui pazienti.

Related Posts

Che cos’è la sindrome infiammatoria da ricostituzione immunitaria (IRIS) nei pazienti in trattamento per la tubercolosi (TB) e l’infezione da HIV?

Novembre 21, 2020

Lo Hobbit

Ottobre 18, 2020

Lysistrata (Italiano)

Gennaio 2, 2021

Leave a Reply