HIPAA-överträdelser du kanske inte har tänkt på och hur du förhindrar dem

medan nyheterna är fulla av högprofilerade HIPAA-överträdelsefall och bedömningar av böter på flera miljoner dollar är mindre metoder inte immuna. De ger ofta efter för samma typer av fel och dåligt omdöme som påverkar större leverantörer. Lyckligtvis, genom att följa några förnuftiga riktlinjer, kan ännu mindre metoder skydda sig mot felaktig utlämnande av skyddad hälsoinformation (PHI) som leder till en HIPAA-överträdelse.,

medan avancerad teknik har förändrat medicinsk praxis har tekniska framsteg också krävt nya metoder för att skydda patientinformation. Experian rapporterar att mer än 27% av dataöverträdelserna, inklusive medicinsk identitetsstöld, var medicinska–eller hälsovårdsrelaterade i 2017., Dessutom är anställda involverade i 71% av alla cybersäkerhetsincidenter inom hälso—och sjukvård—mer än i någon annan bransch-så dina egna anställda kan vara din största risk för ett HIPAA-databrott. På samma sätt kan mindre metoder ha färre cybersäkerhetsutbildningsåtgärder och protokoll på plats och kan därför vara idealiska mål för cyberattacker. Att förbättra skyddet av elektroniska data är viktigt för att skydda patientens integritet, men Fallen nedan visar att det inte borde vara det enda fokuset.,

högprofilerade fall bör fungera som en varning till mindre metoder

Du kanske tror att högprofilerade fall är en värld bort från din medicinska praxis. Nyhetskonton om misstänkta eller bekräftade HIPAA-överträdelser visar dock att liknande överträdelser av konfidentialitet är lika sannolika i små städer och småpraxis, även om de kanske inte gör nationella nyhetsrubriker. Tänk på följande exempel.,

exempel #1: Vad som händer i praktiken bör stanna i praktiken

kändisar blir vana vid att följas av media och ha personlig information avslöjad, och det är allt mer sant med foto och video kapacitet på allas fingertoppar. När nyheter delas som innehåller medicinsk och personligt identifierbar information kan dock HIPAA-överträdelser inträffa.

hög profil fall

i 2015, Adam Schefter, en reporter och analytiker för ESPN, delade bilder på sociala medier av pro fotbollsspelare Jason Pierre-Pauls journaler., Pierre-Paul hade ett finger amputerat som ett resultat av en fyrverkeriolycka. Som ett nyhetsutlopp hävdade, strax efter ESPNs tweet, började ”bokstäverna” HIPAA ”trenda” och allmänheten började ställa frågor om överträdelsen av Pierre-Pauls integritet. Eftersom Mr Schefter inte är en täckt enhet enligt HIPAA-lagen, är han dock inte föremål för HIPAA-straff. Om det fastställs kan dock den täckta enheten, affärsförbindelserna och de personer som ansvarar för att läcka informationen hållas ansvariga för eventuella HIPAA-överträdelser.,

Lågprofilfall

kan en vanlig person bli föremål för” nyhetsvärde ” offentligt utbyte av information som liknar den som upplevs av kändisar? Tänk på detta fall av en EMS-arbetare på landsbygden Tennessee som svarade på ett samtal på en ovanlig plats och kommenterade sedan det på hennes Facebook-sida:

i juni 2017 hade en lokal man en hjärtattack medan han arbetade i sin kycklingkopp, och kycklingkoppen var föremål för EMS-arbetstagarens inlägg., Trots att posten inte nämner patientens namn förklarade hans fru att i en liten stad ”vet alla var min man dog” och hon såg posten som en invasion av hennes mans integritet i ett tragiskt ögonblick.

exempel # 2: delning är inte alltid omtänksam

offentligt dela intressanta eller anmärkningsvärda händelser vid en medicinsk praxis kan verka ofarliga i sociala medier ålder,och det kan gynna marknadsföring, PR och samhällsförhållanden initiativ. Att dela bilder eller videor av patienter utan deras uttryckliga samtycke är dock en HIPAEN överträdelse., Du och din personal kan ha goda skäl att vilja dela ett foto eller nyheter om en patient—som att fira en återhämtning milstolpe—men uttryckligt samtycke från patienten eller patientens vårdnadshavare krävs.

den uppmärksammade Fall

I och med 2016 och 2018 HHS Office of Civil Rights (OCR) slutit avtal med fyra sjukhus totalt nästan $3,2 miljoner euro för att lösa potentiella kränkningar relaterade till utlämnande av PHI som inträffade under inspelningen av ABC: s dokumentär serien ”Spara Mitt Liv: Boston Trauma.,”Medan Healthcare Dive rapporterade att ett sjukhus hävdar att ha fått patienttillstånd, och att ytterligare två av sjukhusen sa att några av patienterna var tacksamma för chansen att berätta sin historia, är det möjligt att bättre dokumentation av samtycke kunde ha förhindrat sådana stora bosättningar.

låg profil fall

filmning av en annan sort höjde röda flaggor på Naval Hospital Jacksonville i 2017. Sjuksköterskor videofilmade nyfödda ”dansar” till musik och gjorde obscena gester på videon., Den berörda personalen var inte bara skyldig till HIPAA-överträdelser och avlägsnades från patientvård, men de var också föremål för militär disciplin. I den andra änden av åldersspektrumet har vårdhemarbetare också sanktionerats för HIPAA-överträdelser för att dela videoinspelningar av äldre patienter via sociala medier.

exempel # 3: Alla nyheter är inte alltid lämpliga att skriva ut

Från nyheter om en kändis till nyheter om en liten stadskatastrof, personal på sjukhus har tillåtit sin nyfikenhet att ersätta sin skyldighet att hålla patientinformation konfidentiell., Utlämnande av patientinformation till andra personer än de som är involverade i direkt vård eller de som är behöriga att ta emot sådan information är inte bara en HIPAA-överträdelse utan kan också leda till oavsiktliga negativa konsekvenser.

Högprofilfall

under 2008 avslöjade Personalen på UCLA Medical Center otillbörligt Bretagne Spears medicinska information om hennes inpatientpsykiatriska behandling. Många av de 6 läkare och 13 anställda som fick tillgång till Spears PHI hade ingen giltig anledning att titta på hennes information., Deras brott mot HIPAA gav foder till pressen och gjorde lite för att försäkra patienter över hela landet om att deras personliga information är säker.

Lågprofilfall

i McAlester, Oklahoma, en stad med drygt 18 000 personer, var adoptivföräldrarna till ett barn som drunknade förvånad över att lära sig att det lokala sjukhuset hade anmält pojkens biologiska mamma som hade avslutat sina föräldrarättigheter. Föräldrarna lärde sig också att flera sjukhuspersonal-inklusive en cafeteriaarbetare-hade tillgång till pojkens medicinska diagram., Den olämpliga anmälan var inte bara en HIPAEN överträdelse, men resulterade också i att adoptivföräldrarna fick hot.

bästa praxis för att upprätthålla sekretess för patientinformation

genomslagskraften hos smartphones med video—och fotofunktioner—och sociala medier för att dela dem på-Gör det viktigt att regelbundet påminna personalen om HIPAA: s regler om patientsekretess. Regelbunden träning som betonar HIPAA-sekretessregler som stöder patienternas värdighet kan hålla dessa värden i framkant av din övning.,

för att förhindra otillbörligt offentliggörande av hälsoinformation, överväga dessa bästa metoder:

• tillhandahålla årlig kliniker och personalutbildning om PHI säkerhetspolicy och protokoll.
• se till att kliniker och personal förstår sitt ansvar och roller för att skydda PHI-säkerheten, de olika känslighetsnivåerna för information och hur PHI ska nås, lagras och överföras.
• kräva att personalen undertecknar sekretessavtal som inkluderar erkännande av din praxis sociala medier politik.,
• genomdriva PHI säkerhetspolicyer konsekvent bland kliniker, Personal och administratörer.
  • HIPAA kräver att alla täckta enheter har sanktionspolicyer och förfaranden på plats och att vidta åtgärder mot anställda som inte följer dem.
• informera personer som arbetar med PHI att åtkomst till PHI av skäl som inte är relaterade till deras arbetsfunktioner är ett brott mot statlig och federal sekretesslag.
  • överväg att använda en popup-ruta för att varna användare att de har åtkomst till PHI och påminna dem om att det kan bli föremål för revision eller granskning.,
• begränsa kliniker och personal tillgång till de uppgifter de behöver för att utföra sina jobbfunktioner.
• kontinuerligt revisionssystem för att upptäcka felaktig åtkomst.
• överväga att begränsa smartphone användning av personal i patientområden utom när det är nödvändigt för patientvård eller praxis verksamhet, och sedan endast med patientens samtycke.
• få alltid ett uttryckligt skriftligt samtycke från en patient eller patientens vårdnadshavare innan du delar någon personlig hälsoinformation.,
• upprätta standardpolicyer och formulär för att dokumentera patient-eller vårdnadshavares samtycke till att offentligt dela patienthälsoinformation.
• när du spelar in videoklipp på din praktik för icke-kliniska ändamål (t.ex. marknadsföring eller community outreach):
  • se till att du har ett undertecknat samtyckesformulär från varje utvald patient som anger deras samtycke att delta.
  • innan du publicerar några videor eller foton, se till att det inte finns några patienter i bakgrunden som inte skriftligen har angett sitt samtycke till att delta.,

skyldigheter utöver HIPAA

långt innan HIPAA-lagar antogs, tog läkare en ed för att behandla patienter med värdighet och respekt. Som Beckers Sjukhusrecension påpekar i sin historia av patientsekretess läser en tidig översättning av den hippokratiska eden:

” vad jag kan se eller höra under behandlingen eller till och med utanför behandlingen när det gäller människors liv, som inte på något sätt måste spridas utomlands, kommer jag att hålla för mig själv och hålla sådana saker skamliga att talas om.,”

den personliga karaktären hos förhållandet mellan läkare och patient kräver en etisk och respektfull behandling av all patientinformation. Att följa de högsta etiska normerna hjälper till att skydda dig och din praxis från potentiella HIPAA-eller statliga lagöverträdelser, civilmål, påföljder eller böter till följd av felaktig hantering av patientinformation.