Violações HIPAA que você pode não ter pensado e como evitá-los

para uma discussão completa sobre o que constitui uma quebra de dados HIPAA, incluindo um “fluxograma de Análise de quebras HIPAA” para determinar se ocorreu uma infração HIPAA, ver “prevenir infrações de dados HIPAA: estudos de caso e melhores práticas.enquanto a tecnologia avançada mudou a prática da medicina, os avanços tecnológicos também exigiram novos métodos de proteção da Informação do paciente. A Experian relata que mais de 27% das violações de dados, incluindo roubo de identidade médica, estavam relacionadas com cuidados médicos ou de saúde em 2017., Além disso, os funcionários estão envolvidos em 71% de todos os incidentes de cibersegurança nos cuidados de saúde—mais do que em qualquer outra indústria—então seus próprios funcionários podem ser o maior risco de uma quebra de dados HIPAA. Da mesma forma, as práticas menores podem ter menos medidas de treinamento e protocolos de segurança cibernética em vigor e, portanto, podem ser alvos ideais para ciberataques. Melhorar a proteção dos dados eletrônicos é essencial para proteger a privacidade dos pacientes, mas os casos abaixo ilustram que não deve ser o único foco.,

casos de alto perfil deve servir como um aviso para práticas menores

você pode acreditar que casos de alto perfil estão a um mundo de distância de sua prática médica. Relatos de notícias sobre supostas ou confirmadas violações HIPAA, no entanto, revelam que violações semelhantes de confidencialidade são tão prováveis de ocorrer em pequenas cidades e pequenas práticas, embora eles podem não fazer manchetes de notícias nacionais. Considere os seguintes exemplos.,

exemplo # 1: O Que Acontece na prática deve permanecer na prática

as celebridades se acostumam a ser seguidas pela mídia e ter informações pessoais divulgadas, e isso é cada vez mais verdadeiro com a capacidade de foto e vídeo nas pontas dos dedos de todos. Quando as notícias são compartilhadas que incluem informações médicas e pessoalmente identificáveis, no entanto, podem ocorrer infrações HIPAA.em 2015, Adam Schefter, repórter e analista da ESPN, compartilhou imagens nas redes sociais dos registros médicos do jogador de futebol Jason Pierre-Paul., Pierre-Paul teve um dedo amputado como resultado de um acidente de fogo de artifício. Como um canal de notícias afirmou, logo após o tweet da ESPN, “as letras ‘HIPAA’ começaram a se tornar trending” e o público começou a levantar questões sobre a violação da privacidade de Pierre-Paul. Uma vez que o Sr. Schefter não é uma entidade coberta pela lei HIPAA, ele não está sujeito a penalidades HIPAA. No entanto, se determinado, a entidade coberta, os associados de negócios e as pessoas responsáveis por vazar a informação podem ser considerados responsáveis por qualquer violação do HIPAA.,pode uma pessoa comum ser objecto de partilha pública de informação “digna de nota” semelhante à vivida por celebridades? Considere o caso de um SGA trabalhador rural do Tennessee que responderam a uma chamada em uma incomum localização e, em seguida, comentou sobre isso em seu Facebook a página:

Em junho de 2017, um homem teve um ataque cardíaco enquanto trabalhava em seu galinheiro, e o galinheiro foi o tema do EMS do trabalhador post., Apesar do post não mencionar o nome do paciente, sua esposa explicou que em uma pequena cidade, “todo mundo sabe onde meu marido morreu”, e ela viu o post como uma invasão da privacidade de seu marido em um momento trágico.Exemplo #2: compartilhar não é sempre cuidar de eventos interessantes ou dignos de nota em uma prática médica pode parecer inofensivo na era das mídias sociais, e pode beneficiar marketing, Relações Públicas e iniciativas de relações comunitárias. No entanto, compartilhar imagens ou vídeos de pacientes sem o seu consentimento explícito é uma violação do HIPAA., Você e sua equipe podem ter boas razões para querer compartilhar uma foto ou notícia sobre um paciente—como celebrar um marco de recuperação—mas é necessário o consentimento explícito do paciente ou do tutor do paciente.em 2016 e 2018, o HHS Office of Civil Rights (OCR) chegou a acordos com quatro hospitais totalizando cerca de US $3,2 milhões para resolver potenciais violações relacionadas à divulgação de PHI que ocorreram durante as filmagens da série documental ABC “Save My Life: Boston Trauma.,”Enquanto o Healthcare Dive relatou que um hospital afirma ter obtido permissão do paciente, e que outros dois hospitais disseram que alguns dos pacientes estavam gratos pela chance de contar sua história, é possível que uma melhor documentação de consentimento poderia ter impedido tais grandes assentamentos.

ow Profile Case

Filming of a different sort raised red flags at Naval Hospital Jacksonville in 2017. Enfermeiras filmaram recém-nascidos “dançando” para a música e estavam fazendo gestos obscenos nos vídeos., O pessoal envolvido não só foi culpado de violações da HIPAA e removido dos cuidados com os pacientes, mas também foram sujeitos a disciplina militar. No outro extremo do espectro etário, os trabalhadores dos lares de idosos também foram sancionados por violações do HIPAA por compartilharem gravações de vídeo de pacientes idosos através das mídias sociais.

exemplo # 3: Todas as notícias nem sempre são adequadas para imprimir

de notícias sobre uma celebridade para notícias sobre uma catástrofe de cidade pequena, o pessoal das instalações médicas permitiram que a sua curiosidade substituísse a sua obrigação de manter a informação do paciente confidencial., Divulgar informações aos pacientes a pessoas que não estejam envolvidas em cuidados diretos ou autorizadas a receber tais informações não é apenas uma violação do HIPAA, mas também pode resultar em consequências negativas não intencionais.em 2008, o pessoal do Centro Médico da UCLA divulgou inapropriadamente as informações médicas da Brittany Spears relacionadas com o seu tratamento psiquiátrico. Muitos dos 6 médicos e 13 membros da equipe que acessaram o PHI de Spears não tinham nenhuma razão válida para olhar para suas informações., Sua violação do HIPAA forneceu alimento para a imprensa, e fez pouco para tranquilizar os pacientes em todo o país que suas informações pessoais são seguras.

ow Profile Case

m McAlester, Oklahoma, uma cidade de pouco mais de 18.000 pessoas, os pais adotivos de uma criança que se afogou foram surpreendidos ao saber que o hospital local tinha notificado a mãe biológica do menino que tinha terminado seus direitos parentais. Os pais também souberam que vários funcionários do hospital—incluindo um funcionário da cafetaria—tinham acessado a ficha médica do menino., A notificação inadequada não foi apenas uma violação do HIPAA, mas também resultou em que os pais adotivos receberam ameaças.as melhores práticas para manter a confidencialidade da Informação dos doentes tornam essencial recordar regularmente ao pessoal as regras do HIPAA sobre a privacidade dos doentes. Treinamento Regular enfatizando as regras de privacidade HIPAA que suportam a dignidade dos pacientes podem manter esses valores na vanguarda de sua prática.,para evitar a publicidade indevida da informação sobre a saúde, considere estas melhores práticas: forneça formação médica e pessoal anual sobre políticas e protocolos de segurança da ISP.assegurar que os médicos e o pessoal compreendam as suas responsabilidades e funções na protecção da segurança da PHI, os vários níveis de sensibilidade da informação e como a PHI deve ser acedida, armazenada e transmitida.os funcionários devem assinar Acordos de confidencialidade que incluam o reconhecimento das políticas de mídia social da sua prática.,aplicar de forma consistente as Políticas de segurança PHI entre médicos, funcionários e administradores.a HIPAA exige que todas as entidades abrangidas tenham políticas e procedimentos de sanções em vigor e tomem medidas contra os membros do pessoal que não as cumpram.

informar os indivíduos que trabalham com a PHI que o acesso à PHI por razões não relacionadas com as suas funções de trabalho é uma violação da lei de Privacidade estadual e federal.

• considere usar uma caixa pop-up para avisar os usuários que eles estão acessando PHI e lembrá-los que fazê-lo pode ser sujeito a auditoria ou revisão.,

limite o acesso do médico e do pessoal aos dados de que necessitam para desempenharem as suas funções.sistemas de auditoria contínua para descobrir acesso inadequado.considere restringir o uso de smartphones pelo pessoal em áreas de pacientes, exceto quando necessário para cuidados de pacientes ou operações de prática, e depois apenas com o consentimento do paciente.obtenha sempre o consentimento escrito explícito de um paciente ou do tutor do paciente antes de compartilhar qualquer informação de saúde pessoal.,estabelecer políticas e formulários normalizados para documentar o consentimento do doente ou do tutor para partilhar publicamente informações sobre saúde do doente.ao gravar vídeos na sua prática para fins não clínicos (por exemplo, marketing ou divulgação comunitária): certifique-se de que tem um formulário de consentimento assinado de cada paciente em destaque, indicando o seu consentimento para participar.antes de publicar quaisquer vídeos ou fotos, certifique-se de que não há pacientes em segundo plano que não tenham indicado por escrito o seu consentimento para participar.,muito antes de as leis HIPAA serem promulgadas, os médicos estavam a fazer um juramento para tratar os doentes com dignidade e respeito. Como Becker Hospital de Revisão de pontos em seu histórico de privacidade do paciente, uma tradução do juramento de Hipócrates, lê-se:

“o Que eu possa ver ou ouvir, no curso do tratamento ou até mesmo fora do tratamento em relação à vida dos homens, que em nenhuma hipótese deve-se espalhar para o estrangeiro, eu vou guardar para mim, a detenção de tais coisas vergonhosas para ser falado.,”

The very personal nature of the physician-patient relationship demands an ethical and respectful treatment of all patient information. A adesão aos mais altos padrões éticos ajudará a protegê-lo e à sua prática de potenciais violações da lei HIPAA ou do estado, processos civis, penalidades ou multas resultantes de manuseio indevido de informações do paciente.