Nedenstående liste deler 20 virkelige HIPAA-overtrædelser, der koster store penge for privat praksis, hospitaler og sundhedspersonale. HIPAA findes for at beskytte en patients private oplysninger. Loven medfører strenge sanktioner og en risiko for ødelæggende civile sager. Ofte stammer HIPAA-overtrædelser ikke fra ondsindede hensigter, men fra en dårlig forståelse af selve loven.

Eksemplerne nedenfor viser 20 tilfælde, hvor sundhedspersonale overtrådte HIPAA-loven. Overtrædelser kan omfatte sms’er, sociale medier, forkert håndtering af optegnelser, ulovlig adgang til patientfiler eller overtrædelser, der opstår som følge af sociale situationer. Næsten alle eksemplerne på HIPAA-sagen nedenfor kunne have været forhindret med tilstrækkelig træning og forholdsregler, og med start i 2019 vil den næste serie af HIPAA-revisioner blive strengere.

Via:

Kirurg dømt til fængsel for HIPAA-overtrædelse

Mister dit job? Træk vejret dybt, inden du handler. At få hævn kan måske bare lande dig i fængsel, som i denne HIPAA-overtrædelsessag. Det startede, da en tidligere hjertekirurg og kinesisk indvandrer ved navn Huping Zhou blev fyret fra sit job. Zhou arbejdede som forsker ved UCLA School of Medicine. Efter hans afskedigelse fik han ulovlig adgang til UCLA-medicinske journalsystem over 300 gange og så på sundhedsjournaler for hans nærmeste vejleder, hans kolleger og flere berømtheder. Zhou blev idømt fire måneders fængsel og en bøde på $ 2.000. Navne på listen over lægejournaler, han har fået adgang til, inkluderer Arnold Schwarzenegger, Drew Barrymore, Leonardo DiCaprio og Tom Hanks.

Dermatologi-praksis straffet for HIPAA-overtrædelser

Medarbejdere i privat praksis, der ikke tror de vil komme i stykker med HIPAA-loven, bør tænke igen. Faktisk er privat praksis den slags omfattede enheder, der er mest undersøgt af OCR (Office of Civil Rights). I et tilfælde af overtrædelse af HIPAA mistede en hudlæge praksis et ukrypteret flashdrev, der indeholdt beskyttede sundhedsoplysninger. Gruppen fik en bøde på $ 150.000 og skulle installere en korrigerende handlingsplan.

HIPAA-overtrædelsessag fra indsendelse af regninger til samlinger

Afsendelse af faktiske patientregninger til inkassofirmaer kan overtræde HIPAA-loven. Det illustreres smertefuldt i et eksempel på HIPAA-sagen om dygtig advokat for privatlivets fred, Dr. Barry Helfmann, valgt præsident for American Group Psychotherapy Association. Ifølge sagsmapper videresendte Dr. Helfmanns medarbejdere regelmæssigt forfaldne patientregninger til et indsamlingsfirma. Problemet? Regningerne indeholdt beskyttet info som CPT-koder, som kan afsløre patientdiagnoser. Som et resultat forsøgte staten New Jersey at suspendere og tilbagekalde Helfmanns licens. Når du sender patientregninger til indsamlingsfirmaer, er det vigtigt at udelade alle patientmedicinske data.

Tidligere hospitalarbejder anklaget for HIPAA-overtrædelse

Her er et sjældent eksempel på strafferetlige anklager mod en person for en påstået HIPAA-overtrædelse. I 2014 fik Texas-medarbejder Joshua Hippler en fængselsstraf på 18 måneder for uretmæssig videregivelse af private patientmedicinske oplysninger. Hippler blev arresteret i Georgien og viste sig at være i besiddelse af sygejournaler. Selvom arkiveringen ikke sagde, hvor mange poster han havde, blev han anklaget for uretmæssig videregivelse af private sundhedsoplysninger til personlig vinding. Individuelle afgifter som dette er ikke almindelige, fordi de fleste overtrædelser af HIPAA ikke er forsætlige. Når det er sagt, bør denne sag fungere som en advarsel om, at enlige personer ikke er immune over for retsforfølgning.

Sag mod Walgreen Pharmacist fører til $ 1,4 millioner HIPAA-pris

I 2014 blev en Walgreen Co apotekeren overtrådte HIPAA-handlingen, da hun delte fortrolige medicinske oplysninger om en kunde, der engang daterede med sin mand. Kundens advokat, Neal F. Eggeson Jr., sagde, at sagen er et eksempel, da det viser, at virksomheder nu kan holdes ansvarlige for deres medarbejderes handlinger.

Via: Wikimedia Commons

Kriminel HIPAA-overbevisning for respiratorisk terapeut

For et andet eksempel på, hvor vigtigt HIPAA-uddannelse er for medarbejderne , vi behøver ikke kigge længere end dette tilfælde af en overtrædelse fra respirationsterapeut Jamie Knapp. Knapp, en medarbejder på ProMedica Bay Park Hospital i Ohio, fik adgang til 596 lægejournaler inden for en 10-måneders periode. Knapp fik tilladelse til at se optegnelser som en del af sit job, men kun for de patienter, hun behandlede. Påstået har hun set filer for ikke-relaterede patienter. Dommen er sat til oktober, og Knapp kan blive udsat for et års fængsel, hvis han bliver dømt. Det er dog et langt skud, da anklageren bliver nødt til at bevise, at hun med vilje har brudt loven.

Sygeplejerske udsender STD-patient til mands kæreste, mand sagsøger

En sygeplejerske på en klinik i New York befandt sig i centrum af en grim sag om overtrædelse af HIPAA, da hendes svigerinde kæreste blev diagnosticeret med en STD. Sygeplejersken sendte seks tekstbeskeder og advarede mandens kæreste om sygdommen. Manden sagsøgte klinikken, selvom den allerede havde afskediget sygeplejersken fra hendes job. Retssagens dommer afviste kravet med den begrundelse, at sygeplejerskenes handlinger både var uforudsigelige og var baseret på personlige grunde. Sagsøger har appelleret beslutningen. Dette er et eksempel på et HIPAA-retssag, der synes uundgåeligt, med det forbehold, at klinikken kunne have forhindret sygeplejersken i at behandle et nært personligt bekendtskab.

Sygeplejerske står i fængsel Tid for HIPAA-overtrædelser

Dette Eksempel på HIPAA-overtrædelsessager viser, hvor vigtigt det er at uddanne personale, før der er et problem. En medarbejder på en mellemstor klinik var perifert involveret i en retssag, da et offer for bilulykke sagsøgte sin mand. Da sagsøgeren blev patient på klinikken, kiggede medarbejderen på patientens mappe og gav privat info til sin mand. Manden ringede til sagsøgeren og krævede, at sagen blev ophævet. Sagsøger ringede hurtigt til klinikken og justitsadvokatens kontor for at klage. Medarbejderen står over for en bøde på $ 250.000 og op til 10 års fængsel, hvis han bliver dømt.

Klinikens overlæge fyrede medarbejderen op og straks indkaldte til et personalemøde om vigtigheden af HIPAA. Han gjorde det rigtige, men endnu bedre ville det være regelmæssig personaleuddannelse og et system til at markere potentielle personlige konflikter mellem medarbejdere og patienter.

Filkonvertering fører til HIPAA-sag

I nogle tilfælde en HIPAA-sag kan tilsyneladende komme fra ingen steder, og at forhindre det ville kræve en stor kreativ tænkning fra en kliniks medarbejdere. For eksempel hyrede en ortopædisk klinik i 2016 en ekstern leverandør til at konvertere alle røntgenfilm på fil til digital form og derefter høste sølvet fra filmene. Det er en genial service, men da klinikken ikke først underskrev en BAA med sælgeren, overtrådte de HIPAA. OCR beordrede klinikken til at betale $ 750.000 og gennemføre en korrigerende handlingsplan.

Her er endnu en god service til medicinske klinikker: MedPro bortskaffelse tilbyder billig, sikker bortskaffelse af medicinsk affald med forudsigelig service og forudsigelige omkostninger. Tjek deres smarte private praksis-opsparingsberegner her for at se, hvor meget du kan spare i forhold til din nuværende leverandør.

Privat praksis implementerer beskyttelsesforanstaltninger for venteværelser

Kan et venteværelse medføre en overtrædelse af HIPAA? Det skete i dette eksempel, da en medarbejder talte med en patient om procedurer til hiv-test og derved afslørede PHI (Protected Health Information) til andre i venteværelset. Venterumets opsætning tillod også patienter at se PHI vist på medarbejderens computerskærme. Efter en OCR-undersøgelse blev personalet forpligtet til at tage regelmæssige HIPAA-træning, og computerskærme blev omplaceret.

Via: Vimeo.com

Forkert antal årsager HIPAA-overtrædelse

Vi laver alle fejl, men i HIPAA’s verden kan et enkelt slip gå ned en hel praksis. I 2013 bad en hiv-positiv patient en kontorchef om at faxe sine medicinske journaler til sin nye urolog. I stedet faxede den meget travle kontorchef ved et uheld dem til sin nye arbejdsgiver. Det var et simpelt tilfælde af antal-mix, men på trods af inderlige undskyldninger fra lederen og urologen blev patienten ikke blødgjort. Han rapporterede hændelsen, og fremgangsmåden blev undersøgt af OCR. Heldigvis var resultatet en streng formuleret advarsel og et mandat til regelmæssig HIPAA-træning for alle medarbejdere.

Fejl er menneskelige. Den eneste måde at fjerne dem på er fejlsikret selve processen, den måde, hvorpå en sikkerhedskontakt i en mikrobølgeovn forhindrer maskinen i at køre, mens døren er åben. For inspiration i din søgning efter HIPAA-ekspertise, se på begrebet fejlsikring eller “Poka Yoke” i fremstillingsverdenen.

Medarbejdere fyret for HIPAA-overtrædelse

En glimrende måde at forhindre ondsindet snooping, der krænker HIPAA, er at få et system på plads for at fange det. En Virginia-klinik fangede 14 ansatte, som forkert havde set medicinske filer hos en højt profileret patient uden et legitimt medicinsk behov. Klinikken fangede medarbejderne takket være en logningssystem i deres it-backend. Systemet sporer og registrerer al adgang til filer, der indeholder PHI. De 14 ansatte blev afskediget fra deres job. Selvom det er beundringsværdigt, kan en bedre løsning være at informere medarbejderne på forhånd om, at loggesystemet eksisterer og dermed stoppe overtrædelser og fyringer inden de begynder.

Tal med dig selv?Hold øje med HIPAA

Du ville ikke tro, at en ukompliceret kommentar i den bageste ende af en klinik kunne forårsage en HIPAA-overtrædelse, men det er præcis, hvad der skete i denne sag. I 2015 udtrykte en medarbejder ved University of Iowa’s Student Health Center sin overraskelse over resultaterne af en højt profileret studerendes atletes graviditetstest. På trods af mange års HIPAA-overholdelsestræning fremsatte medarbejderen en tilsyneladende uskyldig kommentar om håb om, at det unge par var lykkeligt. Hun sagde, at hun havde talt med sig selv, men hændelsen blev overhørt og rapporteret af andre medarbejdere, og den pågældende medarbejder blev fyret.

Salgsleder får $ 10K HIPAA Fine

En salgsleder for Warner Chilcott (nu Actavis) blev idømt en bøde på $ 10.000 for en HIPAA-overtrædelse i slutningen af 2016 og mistede næsten sit job. Eksekutøren udfyldte sædvanligvis forhåndsgodkendelsesformularer til patienter, og nogle gange placerede lægemiddelbrochurer direkte i patientkort som en salgstaktik. Bøden på $ 10.000 kan virke som et slag på håndleddet, men også på bordet ekskluderede salgskontoret fra føderal Medicare, hvilket ville have sat en stopper for hans karriere inden for farmaceutisk salg.

Læger og medarbejdere fyret i Britney Spears HIPAA-sag

Nogle gange er fristelsen til at kigge bare for stor. Det var tilfældet i et eksempel, hvor seks læger og 13 ansatte ved UCLA Medical Center så Britney Spears ‘medicinske journaler efter hendes psykiatriske indlæggelse i 2008. Mange af medarbejderne var ikke-medicinsk supportpersonale, og ingen af dem havde et legitimt medicinsk behov for at se PHI. HIPAA-overtrædelser af denne art kunne undtages elimineres ved at følge et it-koncept kaldet Princippet om mindst privilegium. Princippet understreger kun at give adgang til data for de ansatte, der har brug for det til at udføre deres job.

$ 2,5 millioner afregning i stjålet bærbar computer HIPAA-sag

En leverandør af hjerteovervågning kom ind i HIPAA varmt vand når en bærbar computer med hundredvis af patientjournaler blev stjålet fra en parkeret bil. OCR nåede til en aftale på 2,5 millioner dollars med sælgeren, hvilket viste, at den føderale regering er ekstremt aggressiv i retsforfølgelsen af HIPAA-sager, der involverer tredjeparter og bærbare digitale medier.

Via:

Healthcare Worker Terminated in HIPAA Breach

En sundhedsmedarbejder ved et medicinsk center i Washington State blev fyret i 2017 for forkert adgang til over 600 fortrolige patientjournaler. Medicinsk center opdagede overtrædelsen under en rutinemæssig revision. Medarbejderen har set oplysninger som adresser, telefonnumre, diagnoser og patientnumrenummer.

Facebook HIPAA-overtrædelse

I 2017 resulterede en HIPAA-overtrædelse i fyring af en medicinsk medarbejder, efter at hun postede om en patient på Facebook. Den 24-årige medicintekniker kommenterede et indlæg om en patient, der blev dræbt i en bilulykke, og brugte ordene “Skulle have brugt hendes sikkerhedssele …” Mens kommentaren i sig selv synes uskyldig og endda offentligt indstillet, afslørede den PHI om patienten. Medarbejderen fortalte senere journalister, at hun blev fyret for en HIPAA-overtrædelse, selvom hospitalet nægtede at kommentere.

Reality TV og HIPAA

I 2013 blev et ABC reality-tv-show kaldet NY Med filmet to hospitalspatienter uden deres samtykke. Under optagelsen døde en af patienterne faktisk. OCR undersøgte og fandt ud af, at hospitalet gav ABC uhindret adgang, hvilket skabte en situation, hvor beskyttelsen af PHI ikke var mulig. Hospitalet betalte en afregning på 2,2 millioner dollars. og indført en korrigerende handlingsplan.

Cloudbaseret HIPAA-problem

I 2016 betalte en kardiologigruppe med fem læger i personalet et HIPAA-forlig på $ 100.000, der involverede en onlinekalender. og kliniske aftaler på en offentlig internetadgang kalender, blev klinikken fundet i strid med HIPAA. Skyen tilbyder et stadigt skiftende udvalg af effektivitetsforbedrende værktøjer, men sammen med de nye effektivitetsgevinster kommer nye privatlivsgrupper.

Konklusion

HIPAA er et minefelt af potentielle krænkelser, som næsten enhver læge eller medarbejder kan løbe tør for det normale arbejde. Mens nogle overtrædelser kommer ned på grådighed, personlig gevinst eller nysgerrig opførsel, er der mange eksempler, hvor et øjeblikkeligt bortfald af koncentration kan føre til en dyr fejltagelse. At skrive det forkerte telefonnummer på en formular eller udtrykke overraskelse højt kan bringe en hel praksis i fare. HIPAA-træning er afgørende, men dybere end træning, er det et vigtigt næste skridt at fastsætte et system, der straffer ærlige menneskelige fejl.

Er du interesseret i at beskytte din virksomhed mod overdreven risiko? Gennemfør din 2018 risikoanalyse som krævet i SEKTION 164 308 (A) (1) (II) (A) i HIPAA-sikkerhedsreglen. Når du er færdig, modtager du en risikoscore på 23 sider, og dine resultater deles kun med din praksis. Forkert bortskaffelse af medicinsk affald kan åbne en praksis for en lang række faldgruber.MedPro bortskaffelse af affald giver ro i sindet mod nålepinde og hændelser, reduceret risiko (via compliance-træning) og forudsigelig service med forudsigelige priser. Se her for detaljer om MedPro-oplevelsen.