Una sola infracción de HIPAA puede resultar en una multa de hasta a $ 50,000 para el proveedor y una posible pérdida de licencia. Entonces, no hace falta decir que es increíblemente importante evitarlos. ¿Qué es una violación de HIPAA? Es un incumplimiento de «cualquier aspecto de los estándares de HIPAA», según HIPAA Journal. Es cuando hay una violación de la información de salud protegida por HIPAA, también conocida como PHI. Algunos de los tipos más comunes de información médica protegida para pacientes incluyen nombres, números de seguro social, fechas de nacimiento, direcciones, direcciones de correo electrónico y números de teléfono.
Ahora que sabe qué es una infracción de HIPAA, «Le daremos 26 ejemplos para que pueda evitar cometer estos errores.
Ejemplos de violaciones de HIPAA
Empleados que divulgan información del paciente
La información del paciente debe ser Mantener la privacidad. Empleados que hablan de pacientes con compañeros de trabajo o amigos es una violación de HIPAA que puede llevarlo a un mundo de dolor. Los empleados no pueden compartir la información del paciente con amigos, familiares, proveedores externos u organizaciones. Además, los empleados solo deben discutir la información del paciente en lugares privados y solo con otro personal médico. No hay ninguna razón para compartir dicha información con nadie más.
Los registros médicos caen en las manos equivocadas
El manejo inadecuado de los registros de los pacientes es una de las violaciones más comunes de la HIPAA. Esto ocurre con frecuencia cuando una clínica utiliza registros o gráficos en papel. Esto puede hacer que el médico deje accidentalmente el registro en la habitación del paciente y que otro paciente lo vea. Los registros de los pacientes siempre deben guardarse en un lugar cerrado con llave para que «no puedan ser encontrados por otras personas.
artículos robados
Si un artículo que contiene PHI, como una computadora portátil o un teléfono inteligente, se pierde o es robado, eso también se considera una violación de HIPAA y puede resultar en una multa considerable. Para protegerse contra esto, cualquier dispositivo que contenga PHI debe estar protegido con contraseña. Asegúrate de bloquear cualquier dispositivo con PHI una vez que hayas terminado de usarlo. Una contraseña no sirve de nada si la computadora portátil se deja abierta e iniciada la sesión mientras haces otra cosa.
Falta de capacitación adecuada
Una de las mejores formas de evitar una infracción de HIPAA es capacitar a sus empleados con la política adecuada. Debe establecer políticas que garanticen que la información de los pacientes esté protegida y se mantenga confidencial en todo momento. Los empleados que están debidamente capacitados sobre cómo evitar las violaciones de HIPAA tienen muchas menos probabilidades de cometer tales errores.
Sin embargo, los errores Cuando se produce una infracción de este tipo, debe tener un plan sobre cómo manejarla adecuadamente. Se deben realizar capacitaciones con regularidad para asegurarse de que todos los empleados, antiguos y nuevos, estén al tanto de su política. Capacitar a todos los empleados nuevos sobre su política y realizar capacitaciones trimestrales para mantenerla fresca en la mente de todos los empleados.
Enviar mensajes de texto con información privada
Si bien enviar mensajes de texto con información del paciente puede parecer rápido y efectivo, también les brinda a los piratas informáticos la capacidad de obtener su información. No puede «poner el nombre o la información de un paciente en un texto». Si lo hace y lo atrapan, puede ser una multa de 5k por infracción por mensaje de texto. Y legalmente, está obligado a denunciar esas infracciones. Hay programas que encriptan la información que permiten enviar mensajes de texto sin preocupaciones. Pero el problema aquí es que debe instalarse en el dispositivo inalámbrico de ambas partes, y rara vez lo es.
Un buen software de registro médico electrónico (EMR) proporcionará formas para que los médicos transfieran dicha información de manera eficiente y de acuerdo con HIPAA. Consulte con su proveedor de EMR para ver qué se puede hacer para que sus comunicaciones sean compatibles. Si está buscando un nuevo EMR, aquí le daremos una demostración gratuita. También puede obtener más información sobre las funciones de nuestro EMR aquí.
PASAR LA INFORMACIÓN DEL PACIENTE A TRAVÉS DE SKYPE
Enviar mensajes de texto no es el único tipo común de comunicación que es una violación de HIPAA. Skype es otra forma en que los empleados de la clínica se comunican con frecuencia sobre los pacientes, pero se aplican los mismos problemas. Los piratas informáticos pueden obtener fácilmente esa información. Esto es parte de la razón por la que es tan importante tener un buen EHR. Si está buscando un nuevo software de EHR, aprenda qué buscar aquí.
7. Hablar de información por teléfono
Otra posible infracción de la HIPAA que se pasa por alto fácilmente es hablar de información por teléfono. Pero es vital. Cuando discuta la información de un paciente por teléfono, debe estar en un lugar privado donde otros no puedan escucharlo. Hablar de un paciente en un área pública donde otros pueden escucharlo es una violación de HIPAA.
Publicar en las redes sociales
No puede publicar fotos de sus pacientes en las redes sociales. Es una violación definitiva de la HIPAA, incluso si no se publican nombres o información.Las personas pueden identificar fácilmente al paciente y al médico, lo que puede revelar información no deseada sobre su salud. Definitivamente, esto debería enseñarse en la formación en políticas. No importa cuán inofensiva sea la intención, esto puede resultar en multas enormes y es muy fácil de probar.
Empleados que acceden a expedientes y cuadros de pacientes sin autorización
Esta es una infracción muy común de HIPAA y, francamente, no importa la causa. Los empleados solo pueden acceder a la información del paciente cuando ha sido autorizado para hacerlo. Es ilegal hacerlo incluso si es puramente por curiosidad o para ayudar a un amigo.
Uso de PHI para beneficio personal
No hace falta decir que usar o vender PHI para beneficio personal es ilegal. Además de una gran multa, también puede resultar en prisión. Nuevamente, asegúrese de que esto se enseñe en su capacitación a los nuevos empleados y en las capacitaciones trimestrales.
Consentimiento por escrito
Antes de que la PHI pueda ser divulgada para fines distintos al tratamiento, pago u operaciones de atención médica, debe obtener un consentimiento por escrito. Si usted o uno de sus empleados no está seguro, siempre es mejor pecar de cauteloso y obtener un consentimiento por escrito.
Computadoras domésticas
No es raro que los médicos y enfermeras usen sus propias computadoras para acceder a la información del paciente fuera del horario de atención y obtener notas. En sí mismo, esto no es una violación de la HIPAA, pero puede convertirse fácilmente en uno si la pantalla se deja encendida y un miembro de la familia ve la información del paciente. Como mencionamos anteriormente, las computadoras portátiles, computadoras y teléfonos inteligentes siempre deben estar apagados y protegidos con contraseña cuando no los esté usando . Nuevamente, asegúrese de que esto se enseñe en sus capacitaciones sobre políticas.
Consultas en entornos sociales
Es muy común que las personas se acerquen a los médicos en una situación social preguntando sobre alguien que conocen que es un paciente. Cuando lo piensas, sentido perfecto. Los pacientes, sus amigos y familiares no tienen ninguna razón para conocer la ley HIPAA. Pero eso no significa que revelar la PHI en estos entornos cumpla con la HIPAA. La mejor manera de evitar esto es tener una respuesta planificada para este tipo de situaciones que no involucre información personal.
Pobre tiempo para informar
No importa qué tan bien capacitado o experimentado un proveedor de atención médica, aún pueden tener violaciones de HIPAA de vez en cuando. Lo que es crucial es asegurarse de que se responda y resuelva el problema lo más rápido posible.
El HHS requiere una notificación con documentación extensa dentro de los 10 días posteriores a la filtración de datos con un mínimo de 15 componentes detallados que se relacionan con la investigación interna de la entidad.
Publicación de registros después de la fecha de autorización
Los pacientes tienen la capacidad de establecer un vencimiento para su autorización. La divulgación de registros confidenciales de pacientes después de la fecha establecida es una violación de HIPAA. Es importante prestar atención a los detalles.
Falta la firma del paciente
Los pacientes a menudo pueden perder una firma al completar formularios de HIPAA. Sin embargo, si los formularios no están firmados, no son válidos. Y si no son válidos, divulgar información es una violación de HIPAA. La solución es simple y obvia. Asegúrese de que todos los formularios de HIPAA estén firmados.
Proporcionar seguridad con demasiada información
El personal de seguridad de las clínicas de salud necesita saber el nombre y el número de habitación de los pacientes para poder guiar a sus amigos y familiares a sus habitaciones. Esa información es compatible. Sin embargo, no necesitan información como tratamiento o diagnóstico.
Las enfermeras «necesitan saber»
Las enfermeras necesitan acceso a información privada de los pacientes de los que son responsables en su unidad. Pero dar a una enfermera PHI a pacientes en la unidad de otra enfermera es una violación de HIPAA. No es necesario que tengan acceso a la información de los pacientes de los que no son responsables.
Regulaciones para » Mínimo necesario «
Las compañías de seguros de salud normalmente necesitan saber cuántas visitas ha tenido un paciente a la clínica, pero nada más. No se les permite ver el historial completo del paciente. Esto puede ser fácil pasar por alto, ya que ya tiene que dar a la compañía de seguros de salud alguna información sobre el paciente y puede parecer necesario dar más. Pero no lo haga.
Ejemplo de correo electrónico de infracción de HIPAA: envío de información privada por correo electrónico
Otra infracción común de HIPAA es enviar PHI en un correo electrónico. Esto es por las mismas razones que las otras cuestiones de comunicación que discutimos. Para aquellos de nosotros que no somos piratas informáticos de Internet, puede parecer inofensivo. Pero los piratas informáticos pueden acceder fácilmente a su correo electrónico, lo que hace que la información del paciente sea vulnerable.
Entrevistas de pacientes con los medios
De vez en cuando, un miembro de los medios de comunicación puede querer entrevistar a un paciente para una historia. Esto sucede con menos frecuencia, pero no puede permitir que los medios de comunicación entrevisten a pacientes con abuso de sustancias. Hacerlo es una violación de la HIPAA. La razón es que viola su privacidad.Incluso si un paciente está de acuerdo con ello, recomendamos que se mantenga completamente alejado de la idea.
Divulgación de información sin consentimiento
Esto puede parecer obvio, sin embargo sucede. Divulgación de información sobre menores sin el consentimiento de los padres es una violación de la HIPAA. No solo eso, sino que puede causar problemas con los padres o tutores e incluso dar lugar a una demanda judicial.
Divulgar la información del paciente equivocado
Aquí es donde debes tener mucho cuidado. Cualquiera puede cometer un error, pero eso no lo hace legal. Si usted o uno de sus compañeros de trabajo divulga información al paciente equivocado, es una violación de HIPAA. Esto suele suceder cuando tiene pacientes con el mismo nombre o nombres similares. Asegúrese de capacitar a su personal para que verifique dos veces qué información están divulgando.
Cláusula de derecho a revocar
Todos y cada uno de los formularios que firman sus pacientes deben tener un «derecho a revocar» cláusula. Si no lo hacen, no son válidos. Y si no son válidos, cualquier información que usted divulgue a una organización de terceros viola la HIPAA.
Divulgación de información a una parte no designada
Solo se le permite dar información del paciente a la persona exacta autorizada en el formulario. Divulgarla a cualquier otra persona viola las regulaciones de HIPAA.
Eliminación de registros
Cuando desecha la información de un paciente, tiene que ser irreconocible. Triturar es una excelente manera de deshacerse de los registros en papel.
Conclusión: ¿Qué es una infracción de la HIPAA?
Para concluir, las infracciones de la HIPAA conllevan fuertes multas y consecuencias. Para evitar violaciones de HIPAA, realice capacitaciones regulares sobre sus políticas y procedimientos, verifique a quién divulga la información y proteja todo con contraseña. Como puede ver, hay muchas formas de violar la HIPAA. Asegúrese de que usted y sus compañeros de trabajo no discutan la información del paciente de manera que otros puedan escucharla u obtenerla.
Por último, y quizás lo más importante, obtenga un software EMR que facilite la comunicación. Si su EMR actual hace eso, asegúrese de que su personal esté capacitado para usarlo de acuerdo con HIPAA. Si no es así, consideraríamos seriamente obtener un EMR que sí lo haga. Puede obtener una demostración gratuita de nuestro software EMR aquí para ver si satisface sus necesidades. Si le gusta, nos encantaría hacer negocios con usted. Pero si no le gusta, puede seguir buscando un nuevo EMR.