L’elenco seguente condivide 20 violazioni HIPAA nel mondo reale che costano un sacco di soldi per studi privati, ospedali e professionisti sanitari. L’HIPAA esiste per proteggere le informazioni private di un paziente. La legge prevede sanzioni severe e il rischio di cause civili devastanti. Spesso, le violazioni HIPAA non derivano da intenti dannosi, ma da una scarsa comprensione della legge stessa.

Gli esempi seguenti mostrano 20 casi in cui i dipendenti sanitari hanno violato la legge HIPAA. Le violazioni possono comportare messaggi di testo, social media, cattiva gestione dei record, accesso illegale ai file dei pazienti o violazioni che derivano da situazioni sociali. Quasi tutti gli esempi di casi HIPAA riportati di seguito avrebbero potuto essere prevenuti con un’adeguata formazione e precauzioni e, a partire dal 2019, la prossima serie di audit HIPAA sarà più rigorosa.

Via:

Chirurgo condannato alla prigione per violazione HIPAA

Stai perdendo il lavoro? Fai un respiro profondo prima di agire. Vendicarsi potrebbe farti finire in prigione, come in questo caso di violazione HIPAA. È iniziato quando un ex chirurgo cardiotoracico e immigrato cinese di nome Huping Zhou è stato licenziato dal suo lavoro. Zhou ha lavorato come ricercatore presso la UCLA School of Medicine. Dopo il suo licenziamento, ha avuto accesso illegalmente al sistema di cartelle cliniche dell’UCLA oltre 300 volte, visualizzando le cartelle cliniche del suo diretto supervisore, dei suoi colleghi e di diverse celebrità. Zhou è stato condannato a quattro mesi di carcere e una multa di 2.000 dollari. I nomi nell’elenco delle cartelle cliniche a cui ha avuto accesso includono Arnold Schwarzenegger, Drew Barrymore, Leonardo DiCaprio e Tom Hanks.

Studio di dermatologia sanzionato per violazioni HIPAA

Dipendenti di studi privati che non lo fanno pensare che andranno in conflitto con la legge HIPAA dovrebbe ricredersi. In effetti, gli studi privati sono il tipo di entità coperta più esaminata dall’Office of Civil Rights (OCR). In un caso di violazione HIPAA, uno studio dermatologico ha perso un’unità flash non crittografata che conteneva informazioni sanitarie protette. Il gruppo è stato multato di $ 150.000 ed è stato richiesto di installare un piano di azioni correttive.

Caso di violazione HIPAA dall’invio di fatture agli incassi

L’invio di fatture effettive del paziente alle società di recupero crediti può violare la legge HIPAA. Ciò è illustrato dolorosamente in un caso di esempio HIPAA riguardante il convinto sostenitore della privacy dei pazienti, il dottor Barry Helfmann, presidente eletto dell’American Group Psychotherapy Association. Secondo i fascicoli, i dipendenti del Dr. Helfmann hanno regolarmente inoltrato le fatture dei pazienti scadute a una società di recupero crediti. Il problema? Le fatture contenevano informazioni protette come i codici CPT, che possono rivelare le diagnosi dei pazienti. Di conseguenza, lo Stato del New Jersey ha cercato di sospendere e revocare la licenza di Helfmann. Quando si inviano le fatture dei pazienti alle società di recupero crediti, è fondamentale omettere tutti i dati medici dei pazienti.

Ex lavoratore ospedaliero accusato di violazione HIPAA

Ecco un raro esempio di accuse penali intentate contro un individuo per una presunta violazione HIPAA. Nel 2014, il dipendente dell’ospedale del Texas Joshua Hippler ha ottenuto una pena detentiva di 18 mesi per divulgazione indebita di informazioni mediche private. Hippler è stato arrestato in Georgia e trovato in possesso di cartelle cliniche. Anche se l’archiviazione non ha indicato quanti record aveva, è stato accusato di divulgazione illecita di informazioni sanitarie private per guadagno personale. Accuse individuali come questa non sono comuni perché la maggior parte delle violazioni dell’HIPAA non sono intenzionali. Detto questo, questo caso dovrebbe servire come avvertimento che le persone sole non sono immuni all’azione penale.

Case Against Walgreen Pharmacist porta a $ 1,4 milioni di HIPAA Award

Nel 2014, un Walgreen Co Il farmacista ha violato la legge HIPAA quando ha condiviso informazioni mediche riservate su un cliente che una volta usciva con suo marito. L’avvocato del cliente, Neal F. Eggeson Jr., ha affermato che il caso costituisce un esempio, poiché dimostra che le aziende possono ora essere ritenute responsabili per le azioni dei propri dipendenti.

Via: Wikimedia Commons

Criminal HIPAA Conviction for Respiratory Therapist

Per un altro esempio di quanto sia importante la formazione HIPAA per i dipendenti , non dobbiamo guardare oltre questo caso di violazione da parte del terapista respiratorio Jamie Knapp. Knapp, un dipendente del ProMedica Bay Park Hospital in Ohio, ha avuto accesso a 596 cartelle cliniche in un periodo di 10 mesi. Knapp era autorizzata a visualizzare i documenti come parte del suo lavoro, ma solo per i pazienti che stava curando. Presumibilmente, ha visualizzato i file per i pazienti non imparentati. La condanna è fissata per ottobre e Knapp potrebbe rischiare fino a un anno di carcere se condannato. Questo è un tiro lungo, però, dal momento che il pubblico ministero dovrà dimostrare di aver infranto la legge di proposito.

L’infermiera esce dal paziente con malattie sessualmente trasmissibili per la fidanzata dell’uomo, l’uomo fa causa

Un’infermiera in una clinica di New York si è trovata al centro di un brutto caso di violazione dell’HIPAA quando il fidanzato di sua cognata è stata diagnosticata una MST. L’infermiera ha inviato sei messaggi di testo, avvertendo la ragazza dell’uomo della malattia. L’uomo ha fatto causa alla clinica, anche se aveva già licenziato l’infermiera dal suo lavoro. Il giudice del tribunale ha respinto la domanda sulla base del fatto che le azioni dell’infermiera erano sia imprevedibili e basate su motivi personali. L’attore ha impugnato la decisione. Questo è un esempio di causa HIPAA che sembra inevitabile, con l’avvertenza che la clinica avrebbe potuto impedire all’infermiera di trattare uno stretto conoscente personale.

L’infermiera affronta il periodo di prigione per violazioni HIPAA

Questo L’esempio di caso di violazione HIPAA mostra quanto sia importante formare il personale prima che si verifichi un problema. Un dipendente di una clinica di medie dimensioni è stato marginalmente coinvolto in una causa legale quando una vittima di un incidente d’auto ha citato il marito. Quando l’attore è diventato un paziente presso la clinica, il dipendente ha sbirciato la cartella del paziente e ha fornito informazioni private a suo marito. Il marito ha chiamato l’attore e ha chiesto che la causa venisse ritirata. L’attore ha subito chiamato la clinica e l’ufficio del procuratore generale per presentare un reclamo. Il dipendente rischia una multa di $ 250.000 e fino a 10 anni di carcere se condannato.

Il primario della clinica ha licenziato il dipendente e ha immediatamente convocato una riunione del personale sull’importanza dell’HIPAA. Ha fatto la cosa giusta, ma ancora meglio sarebbe stata una formazione regolare del personale e un sistema per segnalare potenziali conflitti personali tra dipendenti e pazienti.

La conversione dei file porta al caso HIPAA

In alcuni casi un caso HIPAA può apparire apparentemente dal nulla e prevenirlo richiederebbe una grande quantità di pensiero creativo da parte dei dipendenti di una clinica. Ad esempio, nel 2016 una clinica ortopedica ha assunto un fornitore esterno per convertire tutti i film a raggi X su file in formato digitale, quindi raccogliere l’argento dai film. È un servizio ingegnoso, ma poiché la clinica non ha prima firmato un BAA con il venditore, ha violato l’HIPAA. L’OCR ha ordinato alla clinica di pagare $ 750.000 e di implementare un piano d’azione correttivo.

Ecco un altro ottimo servizio per le cliniche mediche: MedPro Disposal offre uno smaltimento sicuro e a basso costo dei rifiuti medici con un servizio prevedibile e un costo prevedibile. Dai un’occhiata al loro ingegnoso calcolatore di risparmio per studi privati qui per vedere quanto potresti risparmiare rispetto al tuo attuale fornitore.

Studio privato implementa protezioni per sale d’attesa

Una sala d’attesa può causare una violazione HIPAA? È successo in questo esempio quando un membro del personale ha parlato con un paziente delle procedure per il test dell’HIV, rivelando così le informazioni sanitarie protette (PHI) ad altri nella sala d’attesa. La configurazione della sala d’attesa ha anche permesso ai pazienti di vedere le PHI visualizzate sugli schermi dei computer dei dipendenti. Dopo un’indagine OCR, al personale è stato richiesto di seguire regolarmente corsi di formazione HIPAA e i monitor dei computer sono stati riposizionati.

Via: Vimeo.com

Numero errato di cause Violazione HIPAA

Tutti commettiamo errori, ma nel mondo dell’HIPAA, un singolo errore può mandare in crash un’intera pratica. Nel 2013, un paziente sieropositivo ha chiesto a un responsabile dell’ufficio di inviare via fax la sua cartella clinica al suo nuovo urologo. Invece, il direttore dell’ufficio molto impegnato li ha accidentalmente inviati via fax al suo nuovo datore di lavoro. È stato un semplice caso di confusione di numeri, ma nonostante le sentite scuse del manager e dell’urologo, il paziente non si è placato. Ha segnalato l’incidente e la pratica è stata indagata dall’OCR. Fortunatamente, il risultato è stato un monito severo e un mandato per una formazione HIPAA regolare per tutti i dipendenti.

Gli errori sono umani. L’unico modo per eliminarli è rendere a prova di errore il processo stesso, il modo in cui un interruttore di sicurezza in un forno a microonde impedisce alla macchina di funzionare mentre la porta è aperta. Per trovare ispirazione nella tua ricerca dell’eccellenza HIPAA, esamina il concetto di a prova di errore o “Poka Yoke” nel mondo della produzione.

Dipendenti licenziati per violazione HIPAA

Un modo eccellente per prevenire lo spionaggio dannoso che viola l’HIPAA significa mettere in atto un sistema per catturarlo. Una clinica della Virginia ha catturato 14 dipendenti che avevano visualizzato in modo improprio le cartelle cliniche di un paziente di alto profilo senza una legittima necessità medica. La clinica ha catturato i dipendenti grazie a un sistema di registrazione nel loro backend IT. Il sistema tiene traccia e registra tutti gli accessi ai file contenenti PHI. I 14 dipendenti sono stati licenziati dai loro lavori. Anche se è ammirevole, una soluzione migliore potrebbe essere quella di informare i dipendenti in anticipo che il sistema di registrazione esiste, fermando così le violazioni e licenziamenti prima che inizino.

Parli a te stesso?Attenzione all’HIPAA

Non penseresti che un commento spontaneo fatto nel back-end di una clinica possa causare una violazione dell’HIPAA, ma è esattamente quello che è successo in questo caso. Nel 2015, una dipendente dello Student Health Center dell’Università dello Iowa ha espresso la sua sorpresa per i risultati del test di gravidanza di una studentessa atleta di alto profilo. Nonostante anni di formazione sulla conformità HIPAA, il dipendente ha fatto un commento apparentemente innocente sulla speranza che la giovane coppia fosse felice. Ha detto di aver parlato da sola, ma l’incidente è stato ascoltato e segnalato da altri dipendenti e il dipendente in questione è stato licenziato.

Il responsabile vendite riceve una multa HIPAA di $ 10.000

Un dirigente delle vendite della Warner Chilcott (ora Actavis) è stato multato di $ 10.000 per una violazione HIPAA alla fine del 2016 e ha quasi perso il lavoro. Il dirigente compilava abitualmente moduli di autorizzazione preventiva per i pazienti, a volte inserendo opuscoli sui farmaci direttamente nelle cartelle dei pazienti come tattica di vendita. La multa di $ 10.000 può sembrare uno schiaffo sul polso, ma sul tavolo era anche escluso il responsabile delle vendite da Medicare federale, il che avrebbe posto fine alla sua carriera nelle vendite farmaceutiche.

Medici e dipendenti pagati nel caso HIPAA di Britney Spears

A volte la tentazione di sbirciare è semplicemente troppo grande. Questo è stato il caso di un esempio in cui sei medici e 13 dipendenti dell’UCLA Medical Center hanno visto le cartelle cliniche di Britney Spears dopo il suo ricovero psichiatrico del 2008. Molti dei dipendenti erano personale di supporto non medico e nessuno di loro aveva una legittima necessità medica per visualizzare il PHI. Le violazioni HIPAA di questa natura potrebbero essere del tutto eliminate seguendo un concetto IT chiamato Principle of Least Privilege. Il principio sottolinea la possibilità di consentire l’accesso ai dati solo a quei dipendenti che ne hanno bisogno per svolgere il proprio lavoro.

$ 2,5 milioni di insediamento in caso di laptop rubato HIPAA

Un fornitore di sistemi di monitoraggio cardiaco è entrato nell’acqua calda HIPAA quando un laptop contenente centinaia di cartelle cliniche dei pazienti è stato rubato da un’auto parcheggiata. L’OCR ha raggiunto un accordo di $ 2,5 milioni con il fornitore, dimostrando che il governo federale è estremamente aggressivo nel perseguire casi HIPAA che coinvolgono terze parti e media digitali portatili.

Via:

Operatore sanitario licenziato per violazione HIPAA

Un operatore sanitario di un centro medico dello Stato di Washington è stato licenziato nel 2017 per aver avuto accesso improprio a oltre 600 cartelle cliniche riservate dei pazienti. Il centro medico ha scoperto la violazione durante un audit di routine. Il dipendente ha visualizzato informazioni come indirizzi, numeri di telefono, diagnosi e numeri di previdenza sociale dei pazienti.

Violazione HIPAA di Facebook

Nel 2017, una violazione HIPAA ha provocato il licenziamento di un dipendente medico dopo che aveva pubblicato su Facebook un paziente. Il tecnico medico di 24 anni ha commentato un post su un paziente ucciso in un incidente automobilistico, usando le parole: “Avrebbe dovuto indossare la cintura di sicurezza …” Mentre il commento stesso sembra innocente e persino di opinione pubblica, ha rivelato PHI sul paziente. La dipendente in seguito ha detto ai giornalisti di essere stata licenziata per una violazione HIPAA, anche se l’ospedale ha rifiutato di commentare.

Reality TV e HIPAA

Nel 2013, un reality show della ABC chiamato NY Med ha filmato due pazienti ospedalieri senza il loro consenso. Durante le riprese, uno dei pazienti è effettivamente morto. L’OCR ha indagato e ha scoperto che l’ospedale dava accesso illimitato a ABC, creando una situazione in cui la protezione di PHI non era possibile. L’ospedale ha pagato un risarcimento di $ 2,2 milioni e ha istituito un piano di azione correttiva.

Problemi HIPAA basati su cloud

Nel 2016, un gruppo di cardiologia con cinque medici nello staff ha pagato una transazione HIPAA di $ 100.000 che coinvolge un calendario online. e appuntamenti clinici su un pubblico accessibile a Internet calendario, la clinica è stata trovata in violazione dell’HIPAA. Il cloud offre una selezione in continua evoluzione di strumenti per il miglioramento dell’efficienza, ma insieme a queste nuove efficienze emergono insidie per la privacy.

Conclusione

L’HIPAA è un campo minato di potenziali violazioni che quasi tutti il medico o il dipendente possono entrare in conflitto nel normale corso del lavoro. Mentre alcune violazioni si riducono a avidità, guadagno personale o comportamento ficcanaso, ci sono molti esempi in cui un momentaneo calo di concentrazione può portare a un errore costoso. Scrivere il numero di telefono sbagliato su un modulo o esprimere sorpresa ad alta voce può mettere a repentaglio un’intera pratica. La formazione HIPAA è fondamentale, ma più profonda della formazione, la messa a punto di un sistema che punisca gli errori umani onesti è un passo successivo fondamentale.

Interessato a proteggere la tua azienda da rischi eccessivi? Completa la tua analisi dei rischi 2018 come richiesto dalla SEZIONE 164308 (A) (1) (II) (A) della regola di sicurezza HIPAA. Al termine, riceverai un punteggio di rischio, un rapporto sui rischi di 23 pagine e i risultati verranno condivisi solo con la tua pratica. Lo smaltimento improprio dei rifiuti sanitari può aprire uno studio a tutta una serie di insidie.Lo smaltimento dei rifiuti MedPro offre tranquillità contro punture di aghi e incidenti, rischi ridotti (tramite formazione sulla conformità) e un servizio prevedibile con prezzi prevedibili. Vedi qui per i dettagli sull’esperienza MedPro.