La liste ci-dessous présente 20 violations de la loi HIPAA dans le monde réel qui coûtent beaucoup d’argent aux cabinets privés, aux hôpitaux et aux professionnels de la santé. HIPAA existe pour protéger les informations privées d’un patient. La loi comporte des sanctions sévères et un risque de poursuites civiles dévastatrices. Souvent, les violations de la loi HIPAA ne découlent pas d’une intention malveillante, mais d’une mauvaise compréhension de la loi elle-même.

Les exemples ci-dessous montrent 20 cas où des employés de la santé ont enfreint la loi HIPAA. Les violations peuvent impliquer l’envoi de SMS, les médias sociaux, la mauvaise gestion des dossiers, l’accès illégal aux dossiers des patients ou les violations résultant de situations sociales. Presque tous les exemples de cas HIPAA ci-dessous auraient pu être évités grâce à une formation et des précautions adéquates, et à partir de 2019, la prochaine série d’audits HIPAA sera plus stricte.

Via:

Chirurgien condamné à la prison pour violation de la loi HIPAA

Vous perdez votre emploi? Prenez une profonde inspiration avant d’agir. Se venger pourrait bien vous conduire en prison, comme dans cette affaire de violation de la HIPAA. Cela a commencé lorsqu’un ancien chirurgien cardiothoracique et immigrant chinois nommé Huping Zhou a été licencié de son travail. Zhou a travaillé comme chercheur à la faculté de médecine de l’UCLA. Après son licenciement, il a accédé illégalement au système de dossiers médicaux de l’UCLA plus de 300 fois, en consultant les dossiers de santé de son supérieur immédiat, de ses collègues et de plusieurs célébrités. Zhou a été condamné à quatre mois de prison et à une amende de 2 000 dollars. Les noms sur la liste des dossiers médicaux auxquels il a accédé incluent Arnold Schwarzenegger, Drew Barrymore, Leonardo DiCaprio et Tom Hanks.

Cabinet de dermatologie sanctionné pour violations de la loi HIPAA

Les employés de cabinet privé qui ne le font pas pensent qu’ils vont aller à l’encontre de la loi HIPAA devraient réfléchir à nouveau. En fait, les cabinets privés sont le type d’entité couverte le plus surveillé par le Bureau des droits civils (OCR). Dans un cas de violation de la loi HIPAA, un cabinet de dermatologie a perdu un lecteur flash non chiffré contenant des informations de santé protégées. Le groupe a été condamné à une amende de 150 000 $ et a dû mettre en place un plan de mesures correctives.

Cas de violation HIPAA de la soumission de factures aux recouvrements

L’envoi de factures de patients à des cabinets de recouvrement peut enfreindre la loi HIPAA. Cela est illustré douloureusement dans un exemple de cas HIPAA concernant le fervent défenseur de la vie privée des patients, le Dr Barry Helfmann, président élu de l’American Group Psychotherapy Association. Selon les dossiers, les employés du Dr Helfmann transmettaient régulièrement les factures des patients en souffrance à une société de recouvrement. Le problème? Les factures contenaient des informations protégées comme les codes CPT, qui peuvent révéler les diagnostics des patients. En conséquence, l’État du New Jersey a cherché à suspendre et à révoquer la licence de Helfmann. Lorsque vous soumettez des factures de patients à des sociétés de recouvrement, il est essentiel d’omettre toutes les données médicales des patients.

Ancien travailleur hospitalier accusé de violation de la loi HIPAA

Voici un exemple rare d’accusations criminelles portées contre un individu pour une violation présumée de la loi HIPAA. En 2014, l’employé de l’hôpital du Texas, Joshua Hippler, a été condamné à une peine de 18 mois de prison pour divulgation abusive d’informations médicales privées sur des patients. Hippler a été arrêté en Géorgie et reconnu en possession de dossiers médicaux. Bien que le dossier n’indique pas le nombre de dossiers dont il disposait, il a été accusé de divulgation abusive de renseignements personnels sur la santé à des fins personnelles. Les accusations individuelles comme celle-ci ne sont pas courantes car la plupart des violations de la loi HIPAA ne sont pas intentionnelles. Cela dit, cette affaire devrait servir d’avertissement que les personnes seules ne sont pas à l’abri de poursuites.

L’affaire contre le pharmacien Walgreen mène à 1,4 million de dollars HIPAA Award

En 2014, un Walgreen Co La pharmacienne a enfreint la loi HIPAA lorsqu’elle a partagé des informations médicales confidentielles sur une cliente qui était une fois sortie avec son mari. L’avocat du client, Neal F. Eggeson Jr., a déclaré que l’affaire était un exemple, car elle prouve que les entreprises peuvent désormais être tenues pour responsables des actes de leurs employés.

Via: Wikimedia Commons

Condamnation pénale HIPAA pour un thérapeute respiratoire

Pour un autre exemple de l’importance de la formation HIPAA pour les employés , nous n’avons pas à chercher plus loin que ce cas de violation par l’inhalothérapeute Jamie Knapp. Knapp, un employé du ProMedica Bay Park Hospital dans l’Ohio, a accédé à 596 dossiers médicaux sur une période de 10 mois. Knapp était autorisée à consulter les dossiers dans le cadre de son travail, mais uniquement pour les patients qu’elle traitait. Apparemment, elle a consulté des fichiers de patients non apparentés. La condamnation est prévue pour octobre et Knapp risque jusqu’à un an de prison s’il est reconnu coupable. Mais c’est loin, car le procureur devra prouver qu’elle a volontairement enfreint la loi.

Une infirmière transmet une patiente souffrant de MST à la petite amie de l’homme, l’homme poursuit

Une infirmière d’une clinique de New York s’est retrouvée au centre d’une affreuse affaire de violation de la loi HIPAA lorsque le petit ami de sa belle-sœur a été diagnostiqué avec une MST. L’infirmière a envoyé six SMS pour avertir la petite amie de l’homme de la maladie. L’homme a poursuivi la clinique, même si elle avait déjà licencié l’infirmière de son travail. Le juge du tribunal de première instance a rejeté la demande au motif que les actions de l’infirmière étaient à la fois imprévisibles et fondées sur des raisons personnelles. Le demandeur a fait appel de la décision. Ceci est un exemple de procès HIPAA qui semble inévitable, avec l’avertissement que la clinique aurait pu empêcher l’infirmière de traiter une connaissance personnelle proche.

L’infirmière risque une peine de prison pour des violations de la loi HIPAA

Ceci L’exemple de cas de violation HIPAA montre à quel point il est important de former le personnel avant qu’il y ait un problème. Une employée d’une clinique de taille moyenne a été impliquée dans un procès lorsqu’une victime d’un accident de voiture a poursuivi son mari. Lorsque la plaignante est devenue patiente à la clinique, l’employée a jeté un œil au dossier de la patiente et a donné des informations privées à son mari. Le mari a appelé le plaignant et a demandé que le procès soit abandonné. Le plaignant a rapidement appelé la clinique et le bureau du procureur général pour se plaindre. L’employé encourt une amende de 250 000 $ et jusqu’à 10 ans de prison s’il est reconnu coupable.

Le médecin-chef de la clinique a licencié l’employé et a immédiatement convoqué une réunion du personnel sur l’importance de la HIPAA. Il a fait la bonne chose, mais encore mieux serait des formations régulières du personnel et un système pour signaler les conflits personnels potentiels entre les employés et les patients.

La conversion de fichiers mène à un cas HIPAA

Dans certains cas un cas HIPAA peut apparemment venir de nulle part, et l’empêcher nécessiterait beaucoup de réflexion créative de la part des employés d’une clinique. Par exemple, en 2016, une clinique orthopédique a embauché un fournisseur externe pour convertir tous les films radiographiques enregistrés sous forme numérique, puis récolter l’argent des films. C’est un service ingénieux, mais comme la clinique n’a pas signé au préalable un BAA avec le fournisseur, elle a enfreint la loi HIPAA. L’OCR a ordonné à la clinique de payer 750 000 $ et de mettre en œuvre un plan d’action correctif.

Voici un autre excellent service pour les cliniques médicales: MedPro Disposal propose une élimination sécurisée et à faible coût des déchets médicaux avec un service prévisible et un coût prévisible. Consultez leur astucieux calculateur d’économies pour cabinet privé ici pour voir combien vous pourriez économiser par rapport à votre fournisseur actuel.

La pratique privée met en œuvre des mesures de sécurité pour les salles d’attente

Une salle d’attente peut-elle entraîner une violation de la loi HIPAA? Cela s’est produit dans cet exemple lorsqu’un membre du personnel a parlé avec un patient des procédures de dépistage du VIH, divulguant ainsi des informations de santé protégées (PHI) à d’autres personnes dans la salle d’attente. La configuration de la salle d’attente permettait également aux patients de voir les PHI affichés sur les écrans d’ordinateur des employés. Après une enquête OCR, le personnel a dû suivre régulièrement des formations HIPAA, et les écrans d’ordinateur ont été repositionnés.

Via: Vimeo.com

Mauvais numéro de cause Violation HIPAA

Nous faisons tous des erreurs, mais dans le monde de la HIPAA, un seul glissement peut faire planter une pratique entière. En 2013, un patient séropositif a demandé à un chef de cabinet de télécopier ses dossiers médicaux à son nouvel urologue. Au lieu de cela, le chef de bureau très occupé les a accidentellement faxés à son nouvel employeur. C’était un simple cas de confusion des nombres, mais malgré les excuses sincères du directeur et de l’urologue, le patient n’a pas été apaisé. Il a signalé l’incident et la pratique a fait l’objet d’une enquête de l’OCR. Heureusement, le résultat a été un avertissement sévèrement formulé et un mandat de formation régulière HIPAA pour tous les employés.

Les erreurs sont humaines. La seule façon de les éliminer est de sécuriser le processus lui-même, de la même manière qu’un interrupteur de sécurité dans un four à micro-ondes empêche la machine de fonctionner lorsque la porte est ouverte. Pour trouver l’inspiration dans votre recherche de l’excellence HIPAA, examinez le concept de protection contre les erreurs ou «Poka Yoke» dans le monde de la fabrication.

Employés licenciés pour violation de la loi HIPAA

Un excellent moyen de empêcher l’espionnage malveillant qui enfreint la loi HIPAA consiste à mettre en place un système pour l’attraper. Une clinique de Virginie a attrapé 14 employés qui avaient mal consulté les dossiers médicaux d’un patient de haut niveau sans besoin médical légitime. La clinique a attrapé les employés grâce à un système de journalisation dans leur backend informatique. Le système suit et enregistre tous les accès aux fichiers contenant des PHI. Les 14 employés ont été licenciés de leur travail. Bien que ce soit admirable, une meilleure solution pourrait être d’informer les employés à l’avance de l’existence du système de journalisation, mettant ainsi fin aux violations et les tirs avant qu’ils ne commencent.

Parlez-vous?Attention à la HIPAA

Vous ne penseriez pas qu’un commentaire désinvolte fait dans le back-end d’une clinique pourrait entraîner une violation de la HIPAA, mais c’est exactement ce qui s’est passé dans ce cas. En 2015, une employée du centre de santé des étudiants de l’Université de l’Iowa a exprimé sa surprise face aux résultats d’un test de grossesse de haut niveau pour une étudiante athlète. Malgré des années de formation à la conformité HIPAA, l’employé a fait un commentaire apparemment innocent en espérant que le jeune couple était heureux. Elle a dit qu’elle s’était parlé à elle-même, mais l’incident a été entendu et signalé par d’autres employés, et l’employé en question a été licencié.

Le directeur des ventes reçoit une amende HIPAA de 10 000 $

Un directeur des ventes de Warner Chilcott (maintenant Actavis) a été condamné à une amende de 10000 $ pour une violation de la loi HIPAA à la fin de 2016 et a presque perdu son emploi. L’exécutif remplissait habituellement des formulaires d’autorisation préalable pour les patients, plaçant parfois des brochures sur les médicaments directement dans les dossiers des patients comme tactique de vente. L’amende de 10 000 $ peut sembler être une gifle, mais aussi sur la table excluait le directeur des ventes de Medicare fédéral, ce qui aurait mis fin à sa carrière dans la vente pharmaceutique.

Médecins et employés licenciés dans l’affaire Britney Spears HIPAA

Parfois, la tentation de jeter un coup d’œil est trop grande. Ce fut le cas dans un exemple où six médecins et 13 employés du centre médical de l’UCLA ont consulté les dossiers médicaux de Britney Spears après son hospitalisation psychiatrique en 2008. De nombreux employés n’étaient pas du personnel de soutien médical et aucun d’entre eux n’avait un besoin médical légitime de consulter les RPS. Les violations HIPAA de cette nature pourraient être pratiquement éliminées en suivant un concept informatique appelé le principe du moindre privilège. Le principe insiste sur le fait de ne permettre l’accès aux données qu’aux employés qui en ont besoin pour faire leur travail.

Règlement de 2,5 millions de dollars dans le cas d’un ordinateur portable volé HIPAA

Un fournisseur de surveillance cardiaque est entré dans l’eau chaude HIPAA lorsqu’un ordinateur portable contenant des centaines de dossiers médicaux de patients a été volé dans une voiture garée. L’OCR est parvenu à un règlement de 2,5 millions de dollars avec le fournisseur, démontrant que le gouvernement fédéral est extrêmement agressif dans la poursuite des affaires HIPAA impliquant des tiers et des supports numériques portables.

Via:

Un travailleur de la santé licencié pour violation de la loi HIPAA

Un travailleur de la santé d’un centre médical de l’État de Washington a été licencié en 2017 pour avoir accédé de manière inappropriée à plus de 600 dossiers médicaux confidentiels de patients. Le centre médical a découvert la brèche lors d’un audit de routine. L’employé a consulté des informations telles que les adresses, les numéros de téléphone, les diagnostics et les numéros de sécurité sociale des patients.

Violation de la loi HIPAA sur Facebook

En 2017, une violation de la loi HIPAA a entraîné le licenciement d’une employée médicale après avoir publié un article sur un patient sur Facebook. La technicienne médicale de 24 ans a commenté un article sur une patiente tuée dans un accident de voiture, en utilisant les mots: «J’aurais dû porter sa ceinture de sécurité…» Bien que le commentaire lui-même semble innocent et même ouvert au public, il a révélé des renseignements personnels sur la patiente. L’employée a déclaré plus tard aux journalistes qu’elle avait été licenciée pour violation de la loi HIPAA, bien que l’hôpital ait refusé de commenter.

Reality TV et HIPAA

En 2013, une émission de télé-réalité ABC intitulée NY Med a été filmée deux patients de l’hôpital sans leur consentement. Pendant le tournage, l’un des patients est décédé. L’OCR a enquêté et a constaté que l’hôpital donnait à ABC un accès sans entrave, créant une situation où la protection des RPS n’était pas possible. L’hôpital a payé un règlement de 2,2 millions de dollars et mis en place un plan d’action correctif.

Problème HIPAA basé sur le cloud

En 2016, un groupe de cardiologie comptant cinq médecins a payé un règlement HIPAA de 100 000 $ impliquant un calendrier en ligne. et rendez-vous cliniques sur un site public accessible sur Internet calendrier, la clinique a été jugée en violation de la HIPAA. Le cloud offre une sélection en constante évolution d’outils améliorant l’efficacité, mais avec ces nouvelles efficiences viennent des écueils émergents en matière de confidentialité.

Conclusion

HIPAA est un champ de mines de violations potentielles que presque tout un médecin ou un employé peut se heurter au cours normal de son travail. Alors que certaines violations se résument à la cupidité, au gain personnel ou à un comportement curieux, il existe de nombreux exemples où un manque momentané de concentration peut conduire à une erreur coûteuse. Écrire le mauvais numéro de téléphone sur un formulaire ou exprimer la surprise à haute voix peut mettre en péril toute une pratique. La formation HIPAA est cruciale, mais plus profonde que la formation, réparer un système qui punit les erreurs humaines honnêtes est une prochaine étape vitale.

Vous souhaitez protéger votre entreprise contre les risques excessifs? Complétez votre analyse des risques 2018 comme l’exige la SECTION 164308 (A) (1) (II) (A) de la règle de sécurité HIPAA. Une fois terminé, vous recevrez un rapport de risque de 23 pages sur le score de risque et vos résultats ne seront partagés qu’avec votre cabinet. Une mauvaise élimination des déchets médicaux peut ouvrir une pratique à toute une série de pièges.MedPro Waste Disposal offre la tranquillité d’esprit contre les piqûres d’aiguilles et les incidents, un risque réduit (via une formation à la conformité) et un service prévisible avec des prix prévisibles. Cliquez ici pour plus de détails sur l’expérience MedPro.