A lista abaixo compartilha 20 violações do HIPAA do mundo real que custam muito dinheiro para clínicas privadas, hospitais e profissionais de saúde. A HIPAA existe para proteger as informações privadas de um paciente. A lei traz penalidades severas e o risco de processos civis devastadores. Freqüentemente, as violações da HIPAA resultam não de intenção maliciosa, mas de um entendimento insatisfatório da própria lei.

Os exemplos abaixo mostram 20 casos em que funcionários da área de saúde violaram a lei da HIPAA. As violações podem envolver mensagens de texto, mídia social, manuseio incorreto de registros, acesso ilegal a arquivos de pacientes ou violações que surgem em situações sociais. Quase todos os exemplos de casos HIPAA abaixo poderiam ter sido evitados com treinamento e precauções adequadas e, a partir de 2019, a próxima série de auditorias HIPAA será mais rigorosa.

Via:

Cirurgião condenado à prisão por violação da HIPAA

Perdeu o emprego? Respire fundo antes de agir. Obter vingança pode simplesmente levá-lo à prisão, como neste caso de violação da HIPAA. Tudo começou quando um ex-cirurgião cardiotorácico e imigrante chinês chamado Huping Zhou foi demitido de seu emprego. Zhou trabalhou como pesquisador na Escola de Medicina da UCLA. Após sua demissão, ele acessou ilegalmente o sistema de registros médicos da UCLA mais de 300 vezes, visualizando os registros de saúde de seu supervisor imediato, seus colegas de trabalho e várias celebridades. Zhou foi condenado a quatro meses de prisão e multa de US $ 2.000. Os nomes da lista de registros médicos que ele acessou incluem Arnold Schwarzenegger, Drew Barrymore, Leonardo DiCaprio e Tom Hanks.

Prática de dermatologia penalizada por violações do HIPAA

Funcionários de consultório particular que não acho que eles vão entrar em conflito com a lei HIPAA deve pensar novamente. Na verdade, as práticas privadas são o tipo de entidade coberta mais fiscalizada pelo Escritório de Direitos Civis (OCR). Em um caso de violação da HIPAA, um consultório de dermatologia perdeu uma unidade flash não criptografada que continha informações de saúde protegidas. O grupo foi multado em US $ 150.000 e foi obrigado a instalar um plano de ação corretiva.

Caso de violação da HIPAA de envio de contas para cobranças

Enviar contas reais de pacientes para empresas de cobrança pode violar a lei da HIPAA. Isso é dolorosamente ilustrado em um exemplo de caso da HIPAA relativo ao defensor ferrenho da privacidade do paciente, Dr. Barry Helfmann, presidente eleito da American Group Psychotherapy Association. De acordo com os arquivos do caso, os funcionários do Dr. Helfmann regularmente encaminhavam contas de pacientes vencidas para uma empresa de cobrança. O problema? As contas continham informações protegidas, como códigos CPT, que podem revelar diagnósticos de pacientes. Como resultado, o Estado de Nova Jersey tentou suspender e revogar a licença de Helfmann. Ao enviar contas de pacientes para empresas de cobrança, é vital omitir todos os dados médicos do paciente.

Ex-funcionário de hospital acusado de violação de HIPAA

Aqui está um raro exemplo de acusações criminais contra um indivíduo por uma suposta violação da HIPAA. Em 2014, o funcionário do hospital do Texas, Joshua Hippler, foi condenado a 18 meses de prisão por divulgação indevida de informações médicas particulares de pacientes. Hippler foi preso na Geórgia e constatado que possuía registros médicos. Embora o processo não dissesse quantos registros ele possuía, ele foi acusado de divulgação indevida de informações privadas de saúde para ganho pessoal. Cobranças individuais como essa não são comuns porque a maioria das violações da HIPAA não é intencional. Dito isso, este caso deve servir como um aviso de que indivíduos sozinhos não estão imunes a processos.

Caso contra farmacêutico Walgreen leva a prêmio HIPAA de US $ 1,4 milhão

Em 2014, uma empresa Walgreen Co A farmacêutica violou a lei HIPAA quando compartilhou informações médicas confidenciais sobre um cliente que uma vez namorou seu marido. O advogado do cliente, Neal F. Eggeson Jr., disse que o caso é um exemplo, pois prova que as empresas agora podem ser responsabilizadas pelas ações de seus funcionários.

Via: Wikimedia Commons

Criminal HIPAA Conviction for Respiratory Therapist

Para outro exemplo da importância do treinamento HIPAA para os funcionários , não precisamos ir além deste caso de violação pelo terapeuta respiratório Jamie Knapp. Knapp, um funcionário do ProMedica Bay Park Hospital em Ohio, acessou 596 registros médicos em um período de 10 meses. Knapp foi autorizada a ver os registros como parte de seu trabalho, mas apenas para os pacientes que ela estava tratando. Supostamente, ela visualizou arquivos de pacientes não relacionados. A sentença está marcada para outubro e Knapp pode pegar até um ano de prisão se for condenado. No entanto, isso é um tiro no escuro, já que o promotor terá que provar que ela infringiu a lei de propósito.

Enfermeira trata de paciente com DST para namorada de homem, homem processa

Uma enfermeira em uma clínica de Nova York se viu no centro de um caso de violação da HIPAA quando era namorado de sua cunhada foi diagnosticado com uma DST. A enfermeira enviou seis mensagens de texto, avisando a namorada do homem sobre a doença. O homem processou a clínica, embora já tivesse dispensado a enfermeira de seu trabalho. O juiz do tribunal julgou improcedente a reclamação, alegando que as ações da enfermeira eram imprevisíveis e baseadas em motivos pessoais. O autor recorreu da decisão. Este é um exemplo de processo da HIPAA que parece inevitável, com a ressalva de que a clínica poderia ter impedido a enfermeira de tratar um conhecido pessoal próximo.

Enfermeira enfrenta tempo de prisão por violações da HIPAA

Isso O exemplo de caso de violação da HIPAA mostra como é importante treinar a equipe antes que haja um problema. Um funcionário de uma clínica de médio porte estava perifericamente envolvido em um processo quando uma vítima de acidente de carro processou seu marido. Quando a demandante se tornou uma paciente na clínica, a funcionária deu uma olhada no arquivo da paciente e deu informações privadas ao marido. O marido ligou para o reclamante e exigiu que o processo fosse arquivado. O querelante ligou rapidamente para a clínica e para o gabinete do procurador-geral para reclamar. O funcionário pode pegar uma multa de US $ 250.000 e até 10 anos de prisão se for condenado.

O médico-chefe da clínica demitiu o funcionário e imediatamente convocou uma reunião de equipe sobre a importância da HIPAA. Ele fez a coisa certa, mas seria ainda melhor treinamentos regulares da equipe e um sistema para sinalizar possíveis conflitos pessoais entre funcionários e pacientes.

Conversão de arquivo leva a um caso HIPAA

Em alguns casos um caso de HIPAA pode surgir aparentemente do nada, e preveni-lo exigiria muito pensamento criativo dos funcionários de uma clínica. Por exemplo, em 2016, uma clínica ortopédica contratou um fornecedor externo para converter todos os filmes de raio-X em arquivo para a forma digital e, em seguida, colher a prata dos filmes. É um serviço engenhoso, mas como a clínica não assinou primeiro um BAA com o fornecedor, eles violaram o HIPAA. O OCR ordenou que a clínica pagasse US $ 750.000 e implementasse um Plano de Ação Corretiva.

Aqui está outro ótimo serviço para clínicas médicas: o MedPro Disposal oferece descarte de lixo hospitalar seguro e de baixo custo com serviço previsível e custo previsível. Confira a excelente calculadora de economia de consultório particular aqui para ver quanto você pode economizar em relação ao seu fornecedor atual.

Prática privada implementa salvaguardas para salas de espera

Uma sala de espera pode causar uma violação da HIPAA? Aconteceu neste exemplo quando um membro da equipe conversou com um paciente sobre os procedimentos para o teste de HIV, divulgando assim as Informações Protegidas de Saúde (ISP) para outras pessoas na sala de espera. A configuração da sala de espera também permitiu que os pacientes vissem as PHI exibidas nas telas dos computadores dos funcionários. Depois de uma investigação de OCR, a equipe foi obrigada a fazer treinamentos HIPAA regulares e os monitores de computador foram reposicionados.

Via: Vimeo.com

Número errado Causas Violação da HIPAA

Todos nós cometemos erros, mas no mundo da HIPAA, um único deslize pode travar uma clínica inteira. Em 2013, um paciente HIV positivo pediu a um gerente de escritório que enviasse por fax seus registros médicos para seu novo urologista. Em vez disso, o muito ocupado gerente do escritório acidentalmente os mandou por fax para seu novo empregador. Foi um caso simples de confusão de números, mas apesar das sinceras desculpas do gerente e do urologista, o paciente não se acalmou. Ele relatou o incidente e a prática foi investigada pelo OCR. Felizmente, o resultado foi um aviso com palavras severas e um mandato para treinamento HIPAA regular para todos os funcionários.

Os erros são humanos. A única maneira de eliminá-los é à prova de erros do próprio processo, da mesma forma que um interruptor de segurança em um forno de micro-ondas evita que a máquina funcione com a porta aberta. Para se inspirar em sua busca pela excelência HIPAA, analise o conceito de à prova de erros ou “Poka Yoke” no mundo da manufatura.

Funcionários despedidos por violação HIPAA

Uma maneira excelente de prevenir a espionagem maliciosa que viola a HIPAA é implementar um sistema para detectá-la. Uma clínica da Virgínia detectou 14 funcionários que haviam visualizado indevidamente os arquivos médicos de um paciente importante sem uma necessidade médica legítima. A clínica prendeu os funcionários graças a um sistema de registro em seu back-end de TI. O sistema rastreia e registra todos os acessos a arquivos contendo PHI. Os 14 funcionários foram demitidos de seus empregos. Embora isso seja admirável, uma solução melhor pode ser informar os funcionários com antecedência que o sistema de registro existe, impedindo assim as violações e disparos antes de começar.

Fale com você mesmo?Cuidado com o HIPAA

Você não pensaria que um comentário improvisado feito no back-end de uma clínica poderia causar uma violação do HIPAA, mas foi exatamente o que aconteceu neste caso. Em 2015, uma funcionária do Student Health Center da Universidade de Iowa expressou sua surpresa com os resultados de um teste de gravidez de uma estudante atleta de alto nível. Apesar de anos de treinamento de conformidade HIPAA, o funcionário fez um comentário aparentemente inocente sobre a esperança de que o jovem casal estivesse feliz. Ela disse que estava falando sozinha, mas o incidente foi ouvido e relatado por outros funcionários, e o funcionário em questão foi demitido.

Executivo de vendas recebe multa de US $ 10 mil em HIPAA

Um executivo de vendas da Warner Chilcott (agora Actavis) foi multado em US $ 10.000 por uma violação da HIPAA no final de 2016 e quase perdeu o emprego. O executivo habitualmente preenchia formulários de autorização prévia para pacientes, às vezes inserindo brochuras de medicamentos diretamente nos prontuários dos pacientes como uma tática de vendas. A multa de US $ 10.000 pode parecer um tapa na cara, mas também estava excluindo o executivo de vendas do Medicare federal, o que teria encerrado sua carreira em vendas de produtos farmacêuticos.

Médicos e funcionários demitidos in Britney Spears HIPAA Case

Às vezes, a tentação de espiar é muito grande. Esse foi o caso em um exemplo em que seis médicos e 13 funcionários do UCLA Medical Center viram os registros médicos de Britney Spears após sua hospitalização psiquiátrica em 2008. Muitos dos funcionários não eram funcionários de apoio médico e nenhum deles tinha uma necessidade médica legítima de ver o PHI. As violações da HIPAA dessa natureza poderiam ser praticamente eliminadas seguindo um conceito de TI denominado Princípio do Menor Privilégio. O princípio enfatiza a permissão de acesso aos dados apenas para os funcionários que precisam deles para realizar seus trabalhos.

Acordo de $ 2,5 milhões em caso HIPAA de laptop roubado

Um fornecedor de monitoramento cardíaco entrou em perigo HIPAA quando um laptop contendo centenas de registros médicos de pacientes foi roubado de um carro estacionado. O OCR chegou a um acordo de US $ 2,5 milhões com o fornecedor, demonstrando que o governo federal é extremamente agressivo em processar casos da HIPAA envolvendo terceiros e mídia digital portátil.

Via:

Trabalhador de saúde encerrado em violação da HIPAA

Um trabalhador de saúde de um centro médico do estado de Washington foi demitido em 2017 por acessar indevidamente mais de 600 registros de saúde confidenciais de pacientes. O centro médico descobriu a violação durante uma auditoria de rotina. O funcionário visualizou informações como endereços, números de telefone, diagnósticos e os números do seguro social dos pacientes.

Violação do HIPAA no Facebook

Em 2017, uma violação do HIPAA resultou na demissão de um funcionário médico depois que ela postou sobre um paciente no Facebook. O técnico médico de 24 anos comentou em um post sobre um paciente morto em um acidente de carro, usando as palavras: “Deveria ter usado o cinto de segurança …” Embora o comentário em si pareça inocente e até mesmo público, revelou PHI sobre o paciente. Mais tarde, a funcionária disse a repórteres que foi demitida por violação da HIPAA, embora o hospital se recusasse a comentar.

Reality TV e HIPAA

Em 2013, um reality show da ABC chamado NY Med filmou dois pacientes do hospital sem o consentimento deles. Durante as filmagens, um dos pacientes morreu. O OCR investigou e descobriu que o hospital dava acesso irrestrito ao ABC, criando uma situação em que a proteção do PHI não era possível. O hospital pagou uma indenização de $ 2,2 milhões e instituiu um plano de ação corretiva.

Problema de HIPAA baseado em nuvem

Em 2016, um grupo de cardiologia com cinco médicos na equipe pagou um acordo HIPAA de $ 100.000 envolvendo um calendário online. e consultas clínicas em um público, acessado pela Internet calendário, a clínica foi considerada em violação da HIPAA. A nuvem oferece uma seleção em constante evolução de ferramentas de melhoria de eficiência, mas junto com essas novas eficiências vêm as armadilhas de privacidade emergentes.

Conclusão

HIPAA é um campo minado de violações potenciais que quase qualquer médico ou funcionário pode entrar em conflito no curso normal do trabalho. Embora algumas violações se reduzam à ganância, ganho pessoal ou comportamento intrometido, há muitos exemplos em que um lapso momentâneo de concentração pode levar a um erro caro. Escrever o número de telefone errado em um formulário ou expressar surpresa em voz alta pode prejudicar toda a prática. O treinamento HIPAA é crucial, mas mais profundo do que o treinamento, consertar um sistema que pune erros humanos honestos é uma próxima etapa vital.

Interessado em proteger sua empresa contra riscos excessivos? Conclua sua Análise de Risco 2018 conforme exigido pela SEÇÃO 164 308 (A) (1) (II) (A) da Regra de Segurança da HIPAA. Após a conclusão, você receberá uma Pontuação de Risco, Relatório de Risco de 23 páginas e seus resultados serão compartilhados apenas com sua prática. A eliminação inadequada de resíduos médicos pode abrir uma prática a uma série de armadilhas.O descarte de resíduos MedPro oferece tranquilidade contra picadas de agulhas e incidentes, risco reduzido (por meio de treinamento de conformidade) e serviço previsível com preços previsíveis. Veja aqui os detalhes sobre a experiência MedPro.