De onderstaande lijst bevat 20 echte HIPAA-overtredingen die veel geld kosten voor privépraktijken, ziekenhuizen en zorgverleners. HIPAA bestaat om de privégegevens van een patiënt te beschermen. De wet kent strenge straffen en een risico op verwoestende civiele procedures. Vaak zijn HIPAA-overtredingen niet het gevolg van kwaadwillende bedoelingen, maar van een slecht begrip van de wet zelf.

De onderstaande voorbeelden tonen 20 gevallen waarin werknemers in de gezondheidszorg de HIPAA-wet overtreden. Overtredingen kunnen betrekking hebben op sms’en, sociale media, verkeerde behandeling van dossiers, illegale toegang tot patiëntendossiers of inbreuken die voortvloeien uit sociale situaties. Bijna alle HIPAA-casusvoorbeelden hieronder hadden voorkomen kunnen worden met adequate training en voorzorgsmaatregelen, en vanaf 2019 zal de volgende reeks HIPAA-audits strenger zijn.

Via:

Chirurg veroordeeld tot gevangenisstraf voor HIPAA-overtreding

Verliest u uw baan? Haal diep adem voordat je handelt. Als je wraak neemt, beland je misschien in de gevangenis, zoals in deze HIPAA-inbreukzaak. Het begon toen een voormalige cardiothoracale chirurg en Chinese immigrant genaamd Huping Zhou werd ontslagen. Zhou werkte als onderzoeker aan de UCLA School of Medicine. Na zijn ontslag heeft hij meer dan 300 keer illegaal toegang gekregen tot het UCLA medische dossiersysteem, waarbij hij de gezondheidsdossiers van zijn directe leidinggevende, zijn collega’s en verschillende beroemdheden bekeek. Zhou werd veroordeeld tot vier maanden gevangenisstraf en een boete van $ 2.000. Namen op de lijst met medische dossiers waartoe hij toegang heeft, zijn onder meer Arnold Schwarzenegger, Drew Barrymore, Leonardo DiCaprio en Tom Hanks.

Dermatologiepraktijk bestraft voor HIPAA-overtredingen

Privépraktijkmedewerkers die dat niet doen denk dat ze in strijd zullen zijn met de HIPAA-wet, zou opnieuw moeten nadenken. In feite zijn privépraktijken het soort gedekte entiteit dat het meest wordt onderzocht door het Office of Civil Rights (OCR). In één geval van een HIPAA-overtreding verloor een dermatologische praktijk een niet-versleutelde flashdrive die beschermde gezondheidsinformatie bevatte. De groep kreeg een boete van $ 150.000 en moest een correctief actieplan installeren.

HIPAA-overtredingsgeval van het indienen van rekeningen tot incasso’s

Het verzenden van daadwerkelijke patiëntrekeningen naar incassobedrijven kan de HIPAA-wet overtreden. Dat wordt pijnlijk geïllustreerd in een voorbeeld van een HIPAA-casus over de fervente voorvechter van de privacy van patiënten, Dr. Barry Helfmann, verkozen president van de American Group Psychotherapy Association. Volgens dossiers stuurden de medewerkers van Dr. Helfmann regelmatig achterstallige rekeningen van patiënten door naar een incassobureau. Het probleem? De rekeningen bevatten beschermde informatie, zoals CPT-codes, die diagnoses van patiënten kunnen onthullen. Als gevolg hiervan probeerde de staat New Jersey de vergunning van Helfmann op te schorten en in te trekken. Wanneer u patiëntrekeningen bij incassobureaus indient, is het essentieel om alle medische gegevens van patiënten weg te laten.

Voormalig ziekenhuismedewerker beschuldigd van HIPAA-overtreding

Hier is een zeldzaam voorbeeld van strafrechtelijke aanklachten tegen een persoon wegens een vermeende HIPAA-overtreding. In 2014 kreeg Joshua Hippler, medewerker van het Texas-ziekenhuis, een gevangenisstraf van 18 maanden wegens onrechtmatige openbaarmaking van medische privégegevens van patiënten. Hippler werd in Georgië gearresteerd en bleek in het bezit van medische dossiers. Hoewel in de aanvraag niet werd vermeld hoeveel dossiers hij had, werd hij beschuldigd van onrechtmatige openbaarmaking van persoonlijke gezondheidsinformatie voor persoonlijk gewin. Individuele beschuldigingen zoals deze zijn niet gebruikelijk, omdat de meeste schendingen van HIPAA niet opzettelijk zijn. Dat gezegd hebbende, zou deze zaak moeten dienen als een waarschuwing dat alleenstaande individuen niet immuun zijn voor vervolging.

Zaak tegen Walgreen-apotheker leidt tot $ 1,4 miljoen HIPAA-onderscheiding

In 2014 gaf een Walgreen Co apotheker heeft de HIPAA-wet overtreden toen ze vertrouwelijke medische informatie deelde over een klant die ooit met haar man uitging. De advocaat van de klant, Neal F. Eggeson Jr., zei dat de zaak een voorbeeld is, omdat het bewijst dat bedrijven nu aansprakelijk kunnen worden gesteld voor de acties van hun werknemers.

Via: Wikimedia Commons

Criminal HIPAA Conviction for Respiratory Therapist

Nog een voorbeeld van hoe belangrijk HIPAA-training is voor werknemers hoeven we niet verder te zoeken dan dit geval van een overtreding door ademtherapeut Jamie Knapp. Knapp, een medewerker van het ProMedica Bay Park Hospital in Ohio, had toegang tot 596 medische dossiers in een periode van 10 maanden. Knapp was bevoegd om gegevens in te zien als onderdeel van haar werk, maar alleen voor de patiënten die ze behandelde. Naar verluidt bekeek ze dossiers van niet-verwante patiënten. De veroordeling is ingesteld voor oktober en Knapp kan een jaar gevangenisstraf krijgen als hij wordt veroordeeld. Dat is echter een lange weg, aangezien de aanklager zal moeten bewijzen dat ze de wet expres heeft overtreden.

Nurse Outs SOA-patiënt aan vriend van man, Man vervolgt

Een verpleegster in een kliniek in New York bevond zich in het middelpunt van een lelijke HIPAA-overtreding toen de vriend van haar schoonzus werd gediagnosticeerd met een SOA. De verpleegster stuurde zes sms-berichten om de vriendin van de man te waarschuwen voor de ziekte. De man klaagde de kliniek aan, ook al had die de verpleegster al van haar baan ontslagen. De rechter van de rechtbank wees de claim af op grond van het feit dat de acties van de verpleegster zowel onvoorzienbaar waren als gebaseerd waren op persoonlijke redenen. De eiser heeft beroep aangetekend tegen de beslissing. Dit is een voorbeeld van een HIPAA-rechtszaak dat onvermijdelijk lijkt, met het voorbehoud dat de kliniek had kunnen voorkomen dat de verpleegster een naaste persoonlijke kennis behandelde.

Verpleegster ziet gevangenisstraf wegens HIPAA-overtredingen

Dit Een voorbeeld van een HIPAA-overtreding laat zien hoe belangrijk het is om personeel te trainen voordat er een probleem is. Een medewerker van een middelgrote kliniek was perifeer betrokken bij een rechtszaak toen een slachtoffer van een auto-ongeluk haar man aanklaagde. Toen de eiser patiënt werd in de kliniek, keek de werknemer naar het dossier van de patiënt en gaf ze privé-informatie aan haar man. De echtgenoot belde de eiser en eiste dat de rechtszaak zou worden ingetrokken. De eiser belde snel de kliniek en het kantoor van de procureur-generaal om een klacht in te dienen. De werknemer wordt geconfronteerd met een boete van $ 250.000 en tot 10 jaar gevangenisstraf bij veroordeling.

De hoofdarts van de kliniek ontsloeg de werknemer en belegde onmiddellijk een personeelsvergadering over het belang van HIPAA. Hij deed het juiste, maar nog beter zouden regelmatige personeelstrainingen zijn en een systeem om potentiële persoonlijke conflicten tussen werknemers en patiënten te signaleren.

Bestandsconversie leidt tot HIPAA-zaak

In sommige gevallen een HIPAA-casus kan blijkbaar uit het niets komen, en om het te voorkomen zou veel creatief denken van de medewerkers van een kliniek nodig zijn. In 2016 huurde een orthopedische kliniek bijvoorbeeld een externe verkoper in om alle geregistreerde röntgenfilms naar digitale vorm om te zetten en vervolgens het zilver uit de films te oogsten. Dat is een ingenieuze service, maar aangezien de kliniek niet eerst een BAA met de verkoper tekende, schonden ze HIPAA. De OCR gaf de kliniek de opdracht om $ 750.000 te betalen en een correctief actieplan uit te voeren.

Hier is nog een geweldige service voor medische klinieken: MedPro Disposal biedt goedkope, veilige verwijdering van medisch afval met voorspelbare service en voorspelbare kosten. Bekijk hier hun handige spaarcalculator voor privépraktijken om te zien hoeveel u kunt besparen in vergelijking met uw huidige leverancier.

Privépraktijk implementeert waarborgen voor wachtkamers

Kan een wachtkamer een HIPAA-overtreding veroorzaken? Het gebeurde in dit voorbeeld toen een personeelslid met een patiënt sprak over procedures voor hiv-testen, waardoor beschermde gezondheidsinformatie (PHI) aan anderen in de wachtkamer werd onthuld. Dankzij de opstelling van de wachtkamer konden patiënten PHI ook zien op computerschermen van werknemers. Na een OCR-onderzoek moest het personeel regelmatig HIPAA-trainingen volgen en werden de computermonitors verplaatst.

Via: Vimeo.com

Oorzaken van verkeerde nummers HIPAA-overtreding

We maken allemaal fouten, maar in de wereld van HIPAA kan een enkele slip een hele oefening doen crashen. In 2013 vroeg een hiv-positieve patiënt een officemanager om zijn medische dossiers naar zijn nieuwe uroloog te faxen. In plaats daarvan faxte de zeer drukke officemanager ze per ongeluk naar zijn nieuwe werkgever. Het was een eenvoudig geval van verwisseling van cijfers, maar ondanks oprechte verontschuldigingen van de manager en de uroloog, werd de patiënt niet verzacht. Hij meldde het incident en de praktijk werd onderzocht door de OCR. Gelukkig was het resultaat een streng geformuleerde waarschuwing en een mandaat voor regelmatige HIPAA-training voor alle medewerkers.

Fouten zijn menselijk. De enige manier om ze te elimineren, is door het proces zelf foutloos te maken, zoals een veiligheidsschakelaar in een magnetron voorkomt dat de machine draait terwijl de deur open is. Voor inspiratie bij uw zoektocht naar HIPAA-excellentie, onderzoekt u het concept van foutbestendigheid of “Poka Yoke” in de productiewereld.

Werknemers ontslagen wegens HIPAA-inbreuk

Een uitstekende manier om het voorkomen van kwaadwillig rondkijken dat in strijd is met HIPAA, is het opzetten van een systeem om het te vangen. Een kliniek in Virginia ving 14 werknemers op die de medische dossiers van een spraakmakende patiënt onjuist hadden bekeken zonder een legitieme medische noodzaak. De kliniek betrapte de werknemers dankzij een logboeksysteem in hun IT-backend. Het systeem houdt alle toegang tot bestanden met PHI bij en registreert. De 14 werknemers werden ontslagen. Dat is bewonderenswaardig, maar een betere oplossing zou kunnen zijn om werknemers vooraf te informeren dat het logboeksysteem bestaat, en zo schendingen te stoppen en vuren voordat ze beginnen.

Met jezelf praten?Pas op voor HIPAA

Je zou niet denken dat een onvoorbereide opmerking achter in een kliniek een HIPAA-overtreding zou kunnen veroorzaken, maar dat is precies wat er in dit geval gebeurde. In 2015 sprak een medewerker van het Student Health Center van de University of Iowa haar verbazing uit over de resultaten van de zwangerschapstest van een spraakmakende student-atleet. Ondanks jarenlange HIPAA-compliance-training, maakte de werknemer een schijnbaar onschuldige opmerking over de hoop dat het jonge stel gelukkig was. Ze zei dat ze in zichzelf had gepraat, maar het incident werd afgeluisterd en gerapporteerd door andere werknemers, en de werknemer in kwestie werd ontslagen.

Sales Executive krijgt $ 10.000 HIPAA-boete

Een verkoopmedewerker van Warner Chilcott (nu Actavis) kreeg eind 2016 een boete van $ 10.000 voor een HIPAA-overtreding en raakte bijna zijn baan kwijt. De directeur vulde gewoonlijk de formulieren voor voorafgaande toestemming in voor patiënten, en plaatste soms als verkooptactiek medicijnbrochures rechtstreeks in patiëntendossiers. De boete van $ 10.000 lijkt misschien een klap op de pols, maar ook op de tafel lag het uitsluiten van de verkoopmedewerker van de federale Medicare, wat een einde zou hebben gemaakt aan zijn carrière in de farmaceutische verkoop.

Artsen en werknemers ontslagen in Britney Spears HIPAA Case

Soms is de verleiding om te gluren gewoon te groot. Dat was het geval in een voorbeeld waarin zes artsen en 13 medewerkers van het UCLA Medical Center de medische dossiers van Britney Spears bekeken na haar psychiatrische ziekenhuisopname in 2008. Veel van de medewerkers waren niet-medisch ondersteunend personeel en geen van hen had een legitieme medische noodzaak om de PHI te bekijken. HIPAA-schendingen van deze aard kunnen vrijwel worden geëlimineerd door een IT-concept te volgen dat het Principle of Least Privilege wordt genoemd. Het principe benadrukt dat alleen die werknemers toegang hebben tot gegevens die het nodig hebben om hun werk te doen.

Regeling van $ 2,5 miljoen in HIPAA-koffer voor gestolen laptop

Een leverancier van hartmonitoring stapte in HIPAA-warm water toen een laptop met honderden medische patiëntendossiers werd gestolen uit een geparkeerde auto. De OCR bereikte een schikking van $ 2,5 miljoen met de verkoper, waaruit blijkt dat de federale overheid buitengewoon agressief is in het vervolgen van HIPAA-zaken waarbij derden en draagbare digitale media betrokken zijn.

Via:

Gezondheidszorgmedewerker beëindigd in HIPAA-inbreuk

Een gezondheidsmedewerker in een medisch centrum in de staat Washington werd in 2017 ontslagen wegens onjuiste toegang tot meer dan 600 vertrouwelijke patiëntendossiers. Het medisch centrum ontdekte de inbreuk tijdens een routine-audit. De werknemer bekeek informatie zoals adressen, telefoonnummers, diagnoses en de burgerservicenummers van patiënten.

Facebook HIPAA-overtreding

In 2017 resulteerde een HIPAA-overtreding in het ontslag van een medische medewerker nadat ze op Facebook over een patiënt had gepost. De 24-jarige medische techneut reageerde op een bericht over een patiënt die omkwam bij een auto-ongeluk, met de woorden: “Had haar veiligheidsgordel moeten dragen …” Hoewel de opmerking zelf onschuldig en zelfs publieksgevoelig lijkt, onthulde het PHI over de patiënt. De medewerker vertelde de verslaggevers later dat ze was ontslagen wegens een HIPAA-overtreding, hoewel het ziekenhuis weigerde commentaar te geven.

Reality TV en HIPAA

In 2013 werd een ABC reality-tv-programma genaamd NY Med gefilmd twee ziekenhuispatiënten zonder hun toestemming. Tijdens het filmen stierf een van de patiënten. De OCR deed onderzoek en ontdekte dat het ziekenhuis ABC onbelemmerde toegang gaf, waardoor een situatie ontstond waarin de bescherming van PHI niet mogelijk was. Het ziekenhuis betaalde een schikking van $ 2,2 miljoen en stelde een correctief actieplan in.

Cloudgebaseerde HIPAA-problemen

In 2016 betaalde een cardiologiegroep met vijf artsen een HIPAA-schikking van $ 100.000 met een online kalender. en klinische afspraken op een openbare, internettoegang kalender, werd de kliniek gevonden in strijd met HIPAA. De cloud biedt een steeds evoluerende selectie van efficiëntie-verbeterende tools, maar samen met die nieuwe efficiëntieverbeteringen komen er opkomende privacy-valkuilen.

Conclusie

HIPAA is een mijnenveld van potentiële schendingen die bijna alle arts of werknemer kan tijdens het normale werk in botsing komen. Hoewel sommige overtredingen neerkomen op hebzucht, persoonlijk gewin of nieuwsgierig gedrag, zijn er tal van voorbeelden waarbij een kortstondig gebrek aan concentratie tot een kostbare fout kan leiden. Het verkeerde telefoonnummer op een formulier schrijven of de verbazing hardop uiten kan een hele praktijk in gevaar brengen. HIPAA-training is cruciaal, maar dieper dan training; het repareren van een systeem dat eerlijke menselijke fouten bestraft, is een essentiële volgende stap.

Geïnteresseerd in het beschermen van uw bedrijf tegen overmatige risico’s? Voltooi uw risicoanalyse 2018 zoals vereist door SECTIE 164308 (A) (1) (II) (A) van de HIPAA-beveiligingsregel. Na voltooiing ontvangt u een risicoscore, een risicorapport van 23 pagina’s en worden uw resultaten alleen met uw praktijk gedeeld. Een onjuiste verwijdering van medisch afval kan een praktijk blootstellen aan een hele reeks valkuilen.MedPro Waste Disposal biedt gemoedsrust tegen naaldprikken en incidenten, verminderd risico (via compliance-training) en voorspelbare service met voorspelbare prijzen. Kijk hier voor details over de MedPro-ervaring.