La siguiente lista comparte 20 infracciones de HIPAA del mundo real que cuestan mucho dinero para consultorios privados, hospitales y profesionales de la salud. HIPAA existe para proteger la información privada de un paciente. La ley conlleva penas estrictas y el riesgo de demandas civiles devastadoras. Con frecuencia, las violaciones de HIPAA no se deben a intenciones maliciosas, sino a una comprensión deficiente de la ley en sí.

Los ejemplos a continuación muestran 20 casos en los que los empleados de atención médica violaron la ley HIPAA. Las infracciones pueden incluir mensajes de texto, redes sociales, mal manejo de registros, acceso ilegal a los archivos de los pacientes o infracciones que surgen de situaciones sociales. Casi todos los ejemplos de casos de HIPAA a continuación podrían haberse evitado con la capacitación y las precauciones adecuadas, y a partir de 2019, la próxima serie de auditorías de HIPAA será más estricta.

A través de:

Cirujano sentenciado a prisión por infracción de HIPAA

¿Perdió su trabajo? Respire profundamente antes de actuar. Obtener venganza podría llevarlo a la cárcel, como en este caso de violación de HIPAA. Todo comenzó cuando un excirujano cardiotorácico e inmigrante chino llamado Huping Zhou fue despedido de su trabajo. Zhou trabajó como investigador en la Facultad de Medicina de UCLA. Después de su despido, accedió ilegalmente al sistema de registros médicos de UCLA más de 300 veces, viendo los registros médicos de su supervisor inmediato, sus compañeros de trabajo y varias celebridades. Zhou fue sentenciado a cuatro meses de cárcel y una multa de 2.000 dólares. Los nombres en la lista de registros médicos a los que accedió incluyen a Arnold Schwarzenegger, Drew Barrymore, Leonardo DiCaprio y Tom Hanks.

Práctica de dermatología sancionada por infracciones de HIPAA

Empleados de práctica privada que no lo hacen Creo que van a ir en contra de la ley HIPAA debería pensarlo de nuevo. De hecho, las prácticas privadas son el tipo de entidad cubierta más examinada por la Oficina de Derechos Civiles (OCR). En un caso de violación de HIPAA, un consultorio de dermatología perdió una unidad flash no cifrada que contenía información médica protegida. El grupo fue multado con $ 150,000 y se le pidió que instalara un plan de acción correctiva.

Caso de infracción de HIPAA por enviar facturas a cobros

Enviar facturas de pacientes reales a empresas de cobranza puede violar la ley HIPAA. Eso se ilustra dolorosamente en un ejemplo de caso de la HIPAA sobre el acérrimo defensor de la privacidad del paciente, el Dr. Barry Helfmann, presidente electo de la Asociación Estadounidense de Psicoterapia de Grupo. Según los archivos del caso, los empleados del Dr. Helfmann enviaban regularmente las facturas vencidas de los pacientes a una empresa de cobros. ¿El problema? Las facturas contenían información protegida como códigos CPT, que pueden revelar diagnósticos de pacientes. Como resultado, el estado de Nueva Jersey intentó suspender y revocar la licencia de Helfmann. Al enviar facturas de pacientes a empresas de cobranza, es vital omitir todos los datos médicos de los pacientes.

Ex trabajador del hospital acusado de infracción de HIPAA

Aquí hay un ejemplo poco común de cargos criminales presentados contra un individuo por una presunta violación de HIPAA. En 2014, Joshua Hippler, empleado del hospital de Texas, fue condenado a 18 meses de cárcel por divulgación indebida de información médica privada de un paciente. Hippler fue arrestado en Georgia y se encontró en posesión de registros médicos. Aunque la presentación no decía cuántos registros tenía, fue acusado de divulgación indebida de información médica privada para beneficio personal. Los cargos individuales como este no son comunes porque la mayoría de las violaciones de HIPAA no son intencionales. Dicho esto, este caso debería servir como una advertencia de que las personas solas no son inmunes al enjuiciamiento.

El caso contra el farmacéutico de Walgreen lleva a un premio HIPAA de $ 1.4 millones

En 2014, Walgreen Co La farmacéutica violó la ley HIPAA cuando compartió información médica confidencial sobre un cliente que una vez salió con su esposo. El abogado del cliente, Neal F. Eggeson Jr., dijo que el caso es un ejemplo, ya que demuestra que las empresas ahora pueden ser consideradas responsables de las acciones de sus empleados.

Vía: Wikimedia Commons

Condena penal de HIPAA para terapeuta respiratorio

Otro ejemplo de la importancia que tiene la capacitación de HIPAA para los empleados , no tenemos que mirar más allá de este caso de violación por parte del terapeuta respiratorio Jamie Knapp. Knapp, un empleado de ProMedica Bay Park Hospital en Ohio, accedió a 596 registros médicos en un período de 10 meses. Knapp estaba autorizada a ver los registros como parte de su trabajo, pero solo para los pacientes que estaba tratando. Al parecer, vio archivos de pacientes no relacionados. La sentencia está programada para octubre y Knapp podría enfrentar hasta un año de cárcel si es declarado culpable. Sin embargo, es una posibilidad remota, ya que el fiscal tendrá que demostrar que violó la ley a propósito.

Enfermera saca a paciente de ETS a novia de hombre, hombre demanda

Una enfermera en una clínica de Nueva York se encontró en el centro de un feo caso de violación de HIPAA cuando el novio de su cuñada fue diagnosticado con una ETS. La enfermera envió seis mensajes de texto advirtiendo a la novia del hombre sobre la enfermedad. El hombre demandó a la clínica, a pesar de que ya había despedido a la enfermera de su trabajo. El juez del tribunal de primera instancia desestimó la denuncia alegando que las acciones de la enfermera eran imprevisibles y se basaban en motivos personales. El demandante ha apelado la decisión. Este es un ejemplo de demanda de HIPAA que parece inevitable, con la advertencia de que la clínica podría haber evitado que la enfermera tratara a un conocido personal cercano.

La enfermera enfrenta tiempo en la cárcel por violaciones de HIPAA

Este El ejemplo de un caso de infracción de HIPAA muestra lo importante que es capacitar al personal antes de que surja un problema. Una empleada de una clínica mediana estuvo involucrada periféricamente en una demanda cuando una víctima de un accidente automovilístico demandó a su esposo. Cuando la demandante se convirtió en paciente de la clínica, la empleada miró el expediente de la paciente y le dio información privada a su esposo. El esposo llamó al demandante y exigió que se retirara la demanda. El demandante rápidamente llamó a la clínica y a la oficina del Fiscal General para quejarse. El empleado enfrenta una multa de $ 250,000 y hasta 10 años de prisión si es declarado culpable.

El médico jefe de la clínica despidió al empleado e inmediatamente convocó una reunión de personal sobre la importancia de la HIPAA. Hizo lo correcto, pero aún mejor serían capacitaciones regulares del personal y un sistema para señalar posibles conflictos personales entre empleados y pacientes.

La conversión de archivos conduce al caso de HIPAA

En algunos casos un caso de HIPAA aparentemente puede surgir de la nada, y prevenirlo requeriría una gran cantidad de pensamiento creativo por parte de los empleados de una clínica. Por ejemplo, en 2016, una clínica ortopédica contrató a un proveedor externo para convertir todas las películas de rayos X en archivo a formato digital y luego cosechar la plata de las películas. Es un servicio ingenioso, pero como la clínica no firmó primero un BAA con el proveedor, violaron la HIPAA. La OCR ordenó a la clínica pagar $ 750,000 e implementar un plan de acción correctiva.

Aquí hay otro gran servicio para clínicas médicas: MedPro Disposal ofrece eliminación segura de desechos médicos de bajo costo con un servicio predecible y un costo predecible. Consulte su ingeniosa calculadora de ahorros de práctica privada aquí para ver cuánto podría ahorrar en comparación con su proveedor actual.

La práctica privada implementa salvaguardias para las salas de espera

¿Puede una sala de espera causar una infracción de HIPAA? En este ejemplo, sucedió cuando un miembro del personal habló con un paciente sobre los procedimientos para la prueba del VIH, y de ese modo divulgó la información médica protegida (PHI) a otras personas en la sala de espera. La configuración de la sala de espera también permitió a los pacientes ver la PHI mostrada en las pantallas de las computadoras de los empleados. Después de una investigación de OCR, se solicitó al personal que realizara capacitaciones periódicas sobre la HIPAA y se reposicionaron los monitores de las computadoras.

Via: Vimeo.com

Número incorrecto Causas Violación de HIPAA

Todos cometemos errores, pero en el mundo de HIPAA, un solo desliz puede bloquear una práctica completa. En 2013, un paciente VIH positivo le pidió al gerente de una oficina que le enviara por fax sus registros médicos a su nuevo urólogo. En cambio, el muy ocupado gerente de la oficina accidentalmente los envió por fax a su nuevo empleador. Fue un simple caso de confusión de números, pero a pesar de las sinceras disculpas del gerente y el urólogo, el paciente no se apaciguó. Denunció el incidente y la práctica fue investigada por la OCR. Afortunadamente, el resultado fue una advertencia redactada con severidad y un mandato para la capacitación regular de HIPAA para todos los empleados.

Los errores son humanos. La única forma de eliminarlos es a prueba de errores del proceso en sí, de la misma forma en que un interruptor de seguridad en un horno de microondas evita que la máquina funcione mientras la puerta está abierta. Para inspirarse en su búsqueda de la excelencia de HIPAA, investigue el concepto de prueba de errores o «Poka Yoke» en el mundo de la fabricación.

Empleados despedidos por incumplimiento de HIPAA

Una excelente manera de prevenir el espionaje malicioso que viola la HIPAA es poner en marcha un sistema para detectarlo. Una clínica de Virginia capturó a 14 empleados que habían visto incorrectamente los archivos médicos de un paciente de alto perfil sin una necesidad médica legítima. La clínica capturó a los empleados gracias a un sistema de registro en su backend de TI. El sistema rastrea y registra todos los accesos a archivos que contienen PHI. Los 14 empleados fueron despedidos de sus trabajos. Si bien eso es admirable, una mejor solución podría ser informar a los empleados de antemano que el sistema de registro existe, y así detener las violaciones y disparos antes de que comiencen.

¿Habla usted mismo?Cuidado con la HIPAA

No pensaría que un comentario casual hecho en la parte trasera de una clínica podría causar una violación de la HIPAA, pero eso es exactamente lo que sucedió en este caso. En 2015, una empleada del Centro de Salud para Estudiantes de la Universidad de Iowa expresó su sorpresa por los resultados de la prueba de embarazo de una estudiante atleta de alto perfil. A pesar de años de capacitación en cumplimiento de HIPAA, el empleado hizo un comentario aparentemente inocente sobre la esperanza de que la joven pareja fuera feliz. Dijo que había estado hablando sola, pero el incidente fue escuchado y reportado por otros empleados, y el empleado en cuestión fue despedido.

El ejecutivo de ventas recibe una multa de $ 10K HIPAA

Un ejecutivo de ventas de Warner Chilcott (ahora Actavis) fue multado con $ 10,000 por una violación de HIPAA a fines de 2016 y casi perdió su trabajo. El ejecutivo llenaba habitualmente formularios de autorización previa para los pacientes, a veces colocando folletos de medicamentos directamente en las historias clínicas del paciente como táctica de venta. La multa de $ 10,000 puede parecer una palmada en la muñeca, pero también estaba excluyendo al ejecutivo de ventas del Medicare federal, lo que habría puesto fin a su carrera en ventas farmacéuticas.

Doctores y empleados despedidos en el caso HIPAA de Britney Spears

A veces, la tentación de echar un vistazo es demasiado grande. Ese fue el caso en un ejemplo en el que seis médicos y 13 empleados del Centro Médico de UCLA vieron los registros médicos de Britney Spears después de su hospitalización psiquiátrica en 2008. Muchos de los empleados eran personal de apoyo no médico y ninguno de ellos tenía una necesidad médica legítima de ver la PHI. Las violaciones de HIPAA de esta naturaleza podrían eliminarse siguiendo un concepto de TI llamado el Principio de Privilegio Mínimo. El principio enfatiza permitir el acceso a los datos solo a aquellos empleados que los necesiten para hacer su trabajo.

Acuerdo de $ 2.5 millones en caso de HIPAA para computadora portátil robada

Un proveedor de monitoreo cardíaco se metió en el agua caliente de HIPAA cuando una computadora portátil que contenía cientos de registros médicos de pacientes fue robada de un automóvil estacionado. La OCR llegó a un acuerdo de $ 2.5 millones con el proveedor, lo que demuestra que el gobierno federal es extremadamente agresivo al procesar los casos de HIPAA que involucran a terceros y medios digitales portátiles.

Vía:

Trabajador de la salud despedido por incumplimiento de la HIPAA

Un trabajador de la salud de un centro médico del estado de Washington fue despedido en 2017 por acceder de manera incorrecta a más de 600 registros confidenciales de salud de pacientes. El centro médico descubrió la infracción durante una auditoría de rutina. El empleado vio información como direcciones, números de teléfono, diagnósticos y números de seguro social de los pacientes.

Violación de HIPAA de Facebook

En 2017, una violación de HIPAA resultó en el despido de una empleada médica después de que publicó sobre un paciente en Facebook. El técnico médico de 24 años comentó en una publicación sobre un paciente que murió en un accidente automovilístico, usando las palabras, «Debería haber usado su cinturón de seguridad …» Si bien el comentario en sí parece inocente e incluso de mentalidad pública, reveló PHI sobre el paciente. Más tarde, la empleada dijo a los reporteros que fue despedida por una violación de HIPAA, aunque el hospital se negó a comentar.

Reality TV y HIPAA

En 2013, un reality show de ABC llamado NY Med filmó dos pacientes del hospital sin su consentimiento. Durante la filmación, uno de los pacientes realmente murió. La OCR investigó y descubrió que el hospital le dio a ABC acceso sin restricciones, creando una situación en la que la protección de la PHI no era posible. El hospital pagó un acuerdo de $ 2,2 millones e instituyó un plan de acción correctiva.

Problema de HIPAA basado en la nube

En 2016, un grupo de cardiología con cinco médicos en el personal pagó un acuerdo de HIPAA de $ 100,000 que involucraba un calendario en línea. y citas clínicas en un sitio público al que se accede calendario, se determinó que la clínica infringía la ley HIPAA. La nube ofrece una selección en constante evolución de herramientas que mejoran la eficiencia, pero junto con esas nuevas eficiencias vienen las trampas de privacidad emergentes.

Conclusión

HIPAA es un campo minado de posibles violaciones que casi cualquier El médico o el empleado pueden tener problemas en el curso normal del trabajo. Si bien algunas violaciones se reducen a la codicia, la ganancia personal o el comportamiento entrometido, hay muchos ejemplos en los que una falta momentánea de concentración puede conducir a un error costoso. Escribir el número de teléfono incorrecto en un formulario o expresar sorpresa en voz alta puede poner en peligro toda una práctica. La capacitación de HIPAA es crucial, pero más profunda que la capacitación, arreglar un sistema que castiga los errores humanos honestos es el siguiente paso vital.

¿Está interesado en proteger su negocio del riesgo excesivo? Complete su Análisis de riesgos de 2018 según lo requiere la SECCIÓN 164308 (A) (1) (II) (A) de la Regla de seguridad de HIPAA. Al finalizar, recibirá una puntuación de riesgo, un informe de riesgo de 23 páginas y sus resultados solo se compartirán con su práctica. La eliminación inadecuada de desechos médicos puede abrir una práctica a una gran cantidad de trampas.La eliminación de residuos MedPro ofrece tranquilidad frente a los pinchazos de agujas y los incidentes, un riesgo reducido (a través de la capacitación en cumplimiento) y un servicio predecible con precios predecibles. Consulte aquí para obtener detalles sobre la experiencia MedPro.