Una singola violazione HIPAA può comportare una multa a $ 50.000 al fornitore e una potenziale perdita della licenza. Quindi, va da sé che è incredibilmente importante evitarli. Che cos’è una violazione HIPAA? È un mancato rispetto di “qualsiasi aspetto degli standard HIPAA”, secondo HIPAA Journal. È quando c’è una violazione delle informazioni sanitarie protette HIPAA, note anche come PHI. Alcuni dei tipi più comuni di informazioni sanitarie protette per i pazienti includono nomi, numeri di previdenza sociale, date di nascita, indirizzi, indirizzi e-mail e numeri di telefono.
Ora che sai cos’è una violazione HIPAA, noi “ti forniremo 26 esempi per evitare di commettere questi errori.
Esempi di violazioni HIPAA
Dipendenti che divulgano informazioni sui pazienti
Le informazioni sui pazienti devono essere mantenuti privati. I dipendenti che parlano dei pazienti a colleghi o amici è una violazione HIPAA che può farti finire in un mondo di ferite. I dipendenti non possono condividere le informazioni sui pazienti con amici, familiari, fornitori di terze parti o organizzazioni. Inoltre, i dipendenti devono discutere le informazioni sui pazienti solo in luoghi privati e solo con altro personale medico. Non vi è alcun motivo per condividere tali informazioni con qualcun altro.
Cartelle mediche che cadono nelle mani sbagliate
La cattiva gestione delle cartelle cliniche è una delle violazioni HIPAA più comuni. Ciò si verifica spesso quando una clinica utilizza cartelle o cartelle cartacee, il che può far sì che il medico lasci accidentalmente la cartella nella stanza del paziente e che un altro paziente possa vederla. Le cartelle dei pazienti devono essere sempre conservate in uno spazio chiuso a chiave in modo che “non possano essere inciampate da altri.
oggetti rubati
Se un oggetto contenente PHI, come un laptop o uno smartphone, viene perso o rubato, anche questo è considerato una violazione HIPAA e può comportare una multa salata. Per proteggersi da ciò, qualsiasi dispositivo contenente PHI dovrebbe essere protetto da password. Assicurati di bloccare qualsiasi dispositivo con PHI una volta che hai finito di usarlo. Una password non serve a nulla se il laptop viene lasciato aperto e connesso mentre fai qualcos’altro.
Mancanza di una formazione adeguata
Uno dei modi migliori per evitare una violazione HIPAA è formare i dipendenti con la politica appropriata. È necessario stabilire politiche che garantiscano che le informazioni dei pazienti siano protette e mantenute riservate in ogni momento. I dipendenti adeguatamente formati su come evitare le violazioni dell’HIPAA sono molto meno propensi a commettere tali errori.
Tuttavia, gli errori lo faranno. Quando si verifica una tale violazione, è necessario disporre di un piano su come gestirla in modo appropriato. I corsi di formazione dovrebbero essere tenuti regolarmente per assicurarsi che tutti i dipendenti, vecchi e nuovi, siano ben consapevoli della tua politica. Formazione di tutti i nuovi dipendenti sulla tua politica e tenere corsi di formazione trimestrali per mantenerla fresca nella mente di tutti i dipendenti.
Inviare SMS a informazioni private
Anche se inviare messaggi di testo alle informazioni dei pazienti può sembrare veloce ed efficace, offre anche agli hacker la possibilità di ottenere le loro informazioni. Non è possibile “inserire il nome o le informazioni di un paziente” in un testo. Se lo fai e vieni scoperto, può essere applicata una multa di 5k per violazione per testo. E legalmente, sei tenuto a segnalare tali violazioni. Esistono programmi che crittografano le informazioni che consentono di inviarle senza problemi. Ma il problema qui è che deve essere installato sul dispositivo wireless di entrambe le parti, e raramente lo è.
Un buon software per cartelle cliniche elettroniche (EMR) fornirà ai medici modi per trasferire tali informazioni in modo efficiente e in conformità con HIPAA. Rivolgiti al tuo provider EMR per vedere cosa si può fare per rendere le tue comunicazioni conformi. Se stai cercando un nuovo EMR, ti daremo una demo gratuita qui. Puoi anche saperne di più sulle funzionalità del nostro EMR qui.
TRASMISSIONE DI INFORMAZIONI SUL PAZIENTE ATTRAVERSO SKYPE
Gli SMS non sono l’unico tipo comune di comunicazione che “è una violazione HIPAA. Skype è un altro modo in cui i dipendenti della clinica comunicano spesso sui pazienti, ma si applicano gli stessi problemi. Gli hacker possono ottenere facilmente queste informazioni. Questo è uno dei motivi per cui è così importante avere una buona EHR. Se stai cercando un nuovo software EHR, impari cosa cercare qui.
7. Discutere di informazioni al telefono
Un’altra potenziale violazione HIPAA che “è facilmente trascurata è la discussione di informazioni al telefono. Ma è vitale. Quando “discuti delle informazioni di un paziente al telefono, devi essere in un luogo privato dove gli altri non possono sentirti. Parlare di un paziente in un’area pubblica dove gli altri possono sentirti è una violazione HIPAA.
Pubblicazione sui social media
Non puoi assolutamente pubblicare foto dei tuoi pazienti sui social media. È una violazione definitiva dell’HIPAA anche se non vengono pubblicati nomi o informazioni.Le persone possono facilmente identificare il paziente e il medico, il che può rivelare informazioni indesiderate sulla loro salute. Questo dovrebbe sicuramente essere insegnato nella formazione politica. Non importa quanto sia innocuo l’intento, ciò può comportare multe enormi ed è molto facile da dimostrare.
Dipendenti che accedono ai file e ai grafici dei pazienti senza autorizzazione
Questa è una violazione HIPAA molto comune e, francamente, non importa la causa. I dipendenti possono accedere alle informazioni del paziente solo quando stato autorizzato a farlo. È illegale farlo anche se è solo per curiosità o per aiutare un amico.
Usare PHI per guadagno personale
Questo dovrebbe essere ovvio che usare o vendere PHI per guadagno personale è illegale. Oltre a una forte multa, può anche comportare il carcere. Ancora una volta, assicurati che questo venga insegnato nella tua formazione ai nuovi dipendenti e nei corsi di formazione trimestrali.
Consenso scritto
Prima che i PHI possano essere divulgati per scopi diversi dal trattamento, dal pagamento o dalle operazioni sanitarie, è necessario ottenere il consenso scritto. Se tu o uno dei tuoi dipendenti non siete sicuri, è sempre meglio sbagliare dalla parte della cautela e ottenere il consenso scritto.
Computer domestici
Non è raro che medici e infermieri utilizzino i propri computer per accedere alle informazioni sui pazienti fuori orario per prendere appunti. Di per sé, questa non è una violazione dell’HIPAA, ma può facilmente trasformarsi in uno solo se lo schermo viene lasciato acceso e un membro della famiglia vede le informazioni del paziente. Come accennato in precedenza, laptop, computer e smartphone devono essere sempre spenti e protetti da password quando non li si utilizza . Ancora una volta, assicurati che questo sia insegnato nei tuoi corsi di formazione sulle politiche.
Richieste in contesti sociali
È molto comune che le persone si avvicinino ai medici in una situazione sociale chiedendo di qualcuno che conoscono che è un paziente. Quando ci pensi, senso perfetto. I pazienti, i loro amici e familiari non hanno motivo di conoscere la legge HIPAA. Ma questo non rende la rivelazione PHI in queste impostazioni conforme all’HIPAA. Il modo migliore per evitarlo è avere una risposta pianificata per questi tipi di situazioni che non coinvolgano alcuna informazione personale.
Tempi di segnalazione scadenti
Non importa quanto ben addestrati o esperto di un operatore sanitario è che possono ancora avere violazioni HIPAA di tanto in tanto. Ciò che è fondamentale è assicurarsi che il problema venga risolto e risolto il più rapidamente possibile.
HHS richiede una notifica con ampia documentazione entro 10 giorni dalla violazione dei dati con un minimo di 15 componenti dettagliate che si riferiscono all’indagine interna dell’entità.
Rilascio dei record dopo la data di autorizzazione
I pazienti hanno la possibilità di impostare una scadenza per la loro autorizzazione. Il rilascio di cartelle cliniche riservate dopo la data stabilita è una violazione HIPAA. È importante prestare attenzione ai dettagli.
Firma del paziente mancante
I pazienti possono spesso perdere una firma durante la compilazione dei moduli HIPAA. Tuttavia, se i moduli non sono firmati, non sono validi. E se non sono validi, il rilascio di informazioni è una violazione HIPAA. La soluzione è semplice e ovvia. Assicurati che tutti i moduli HIPAA siano firmati.
Fornire sicurezza con troppe informazioni
Il personale di sicurezza nelle cliniche sanitarie ha bisogno di conoscere il nome e il numero di stanza dei pazienti in modo da poter guidare amici e familiari nelle loro stanze. Queste informazioni sono conformi. Tuttavia, non hanno bisogno di alcuna informazione come trattamento o diagnosi.
Infermiere “Bisogno di sapere”
Gli infermieri hanno bisogno di accedere a informazioni private per i pazienti di cui è responsabile nella propria unità. Ma dare un’infermiera PHI ai pazienti in un’altra unità infermieristica è una violazione dell’HIPAA. Non è necessario che abbiano accesso alle informazioni per i pazienti di cui non sono responsabili.
Regolamento per ” Minimo necessario “
Le compagnie di assicurazione sanitaria in genere hanno bisogno di sapere quante visite un paziente ha avuto in clinica, ma nient’altro. Non sono autorizzati a vedere l’intera storia del paziente. Questo può essere facile da trascurare poiché devi già fornire alla compagnia di assicurazione sanitaria alcune informazioni sul paziente e potrebbe sembrare necessario fornire di più. Ma non farlo.
Esempio di e-mail di violazione hipaa – Invio di informazioni private tramite e-mail
Un’altra violazione HIPAA comune è l’invio di PHI in un’e-mail. Questo è per gli stessi motivi degli altri problemi di comunicazione di cui abbiamo discusso. Per quelli di noi che non sono hacker di Internet, potrebbe sembrare innocuo, ma gli hacker sono in grado di accedere facilmente alla tua posta elettronica, rendendo vulnerabili le informazioni del paziente.
Interviste dei pazienti ai media
Di tanto in tanto, un membro dei media potrebbe voler intervistare un paziente per una storia. Questo accade meno frequentemente, ma non puoi permettere ai media di intervistare i pazienti che abusano di sostanze. Farlo è una violazione dell’HIPAA.Anche se un paziente è d’accordo, consigliamo comunque di stare completamente alla larga dall’idea.
Rilascio di informazioni senza consenso
Può sembrare ovvio, tuttavia accade. Rilascio di informazioni sui minori senza il consenso dei genitori è una violazione HIPAA. Non solo, ma può causare problemi con i genitori o i tutori e persino portare a una causa legale.
Rilascio delle informazioni del paziente sbagliato
È qui che devi stare molto attento. Chiunque può commettere un errore, ma questo non lo rende legale. Se tu o uno dei tuoi colleghi rilasciate informazioni al paziente sbagliato, si tratta di una violazione HIPAA. Ciò tende a verificarsi quando si hanno pazienti con nomi uguali o simili. Assicurati di addestrare il tuo personale a ricontrollare le informazioni che “stanno rilasciando.
Clausola di diritto di revoca
Qualsiasi modulo firmato dai tuoi pazienti deve avere un” diritto di revoca ” clausola. Se non lo fanno, non sono valide. E se non sono valide, qualsiasi informazione rilasciata a un’organizzazione di terze parti viola l’HIPAA.
Rilascio di informazioni a una parte non designata
Sei autorizzato a fornire informazioni sul paziente solo alla persona esatta autorizzata nel modulo. Il rilascio di informazioni a chiunque altro viola i regolamenti HIPAA.
Smaltimento dei record
Quando si smaltiscono le informazioni di un paziente, queste devono essere irriconoscibili. La triturazione è un ottimo modo per smaltire i documenti cartacei.
Conclusione – Che cos’è una violazione hipaa?
Per concludere, le violazioni HIPAA comportano pesanti multe e conseguenze. Al fine di evitare violazioni HIPAA, organizza corsi di formazione regolari sulle tue politiche e procedure, ricontrolla a chi divulgherai informazioni e proteggi tutto con password. Come puoi vedere, ci sono tanti modi per violare l’HIPAA. Assicurati che tu e i tuoi colleghi non discutiate delle informazioni sui pazienti in modo che altri possano ascoltarle o ottenerle.
Infine, e forse la cosa più importante, procuratevi un software EMR che semplifichi la comunicazione. Se il vostro EMR attuale fa questo, assicurati che il tuo personale sia addestrato a usarlo in conformità con HIPAA. In caso contrario, prenderemmo vivamente in considerazione l’idea di ottenere un EMR che lo faccia. Puoi ottenere una demo gratuita del nostro software EMR qui per vedere se soddisfa le tue esigenze. Se ti piace, ci piacerebbe fare affari con te. Ma se non ti piace, puoi continuare a cercare un nuovo EMR.