Uma única violação HIPAA pode resultar em multa de até a $ 50.000 para o provedor e uma potencial perda de licença. Portanto, nem é preciso dizer que é extremamente importante evitá-los. O que é uma violação do HIPAA? É uma falha em cumprir “qualquer aspecto dos padrões do HIPAA”, de acordo com o HIPAA Journal. É quando há uma violação de informações de saúde protegidas pela HIPAA, também conhecidas como PHI. Alguns dos tipos mais comuns de informações de saúde protegidas para pacientes incluem nomes, números de previdência social, datas de nascimento, endereços, endereços de e-mail e números de telefone.
Agora que você sabe o que é uma violação da HIPAA, nós “vou lhe dar 26 exemplos para que você possa evitar cometer esses erros.
Exemplos de violações da HIPAA
Funcionários divulgando informações do paciente
As informações do paciente precisam ser mantido em sigilo. Funcionários conversando sobre pacientes com colegas de trabalho ou amigos é uma violação da HIPAA que pode levar você a um mundo de sofrimento. Os funcionários não podem compartilhar informações de pacientes com amigos, familiares, fornecedores terceirizados ou organizações. Além disso, os funcionários só devem discutir as informações do paciente em locais privados e apenas com outro pessoal médico. Não há razão para compartilhar essas informações com ninguém.
Registros médicos caindo nas mãos erradas
O manuseio incorreto de registros de pacientes é uma das violações mais comuns do HIPAA. Isso ocorre frequentemente quando uma clínica usa registros ou gráficos em papel. Isso pode fazer com que o médico deixe o registro acidentalmente no quarto do paciente, fazendo com que outro paciente o veja. Os registros dos pacientes devem sempre ser mantidos em um espaço trancado para que não possam “ser encontrados por outras pessoas.
itens roubados
Se um item contendo PHI, como um laptop ou smartphone, for perdido ou roubado, isso também é considerado uma violação da HIPAA e pode resultar em uma multa pesada. Para se proteger contra isso, qualquer dispositivo que contenha PHI deve ser protegido por senha. Certifique-se de bloquear qualquer dispositivo com PHI assim que terminar de usá-lo. Uma senha não adianta se o laptop estiver aberto e conectado enquanto você faz outra coisa.
Falta de treinamento adequado
Uma das melhores maneiras de evitar uma violação da HIPAA é treinar seus funcionários com a política adequada. Você precisa estabelecer políticas que garantam que as informações dos pacientes “sejam protegidas e mantidas em sigilo em todos os momentos. Os funcionários devidamente treinados para evitar violações da HIPAA têm muito menos probabilidade de cometer esses erros.
No entanto, os erros irão ser feita. Quando tal violação ocorrer, você precisa ter um plano sobre como lidar com ela de forma adequada. Treinamentos devem ser realizados regularmente para garantir que todos os funcionários, antigos e novos, estejam cientes de sua política. Treinamento de todos os novos funcionários sobre o seu política e realizar treinamentos trimestrais para mantê-la sempre atualizada na mente de todos os funcionários.
Enviando mensagens de texto com informações privadas
Embora enviar mensagens de texto com informações de pacientes possa parecer rápido e eficaz, também dá aos hackers a capacidade de obter suas informações. Você não pode colocar o nome de um paciente ou informações em um texto. Se você fizer isso e for pego, pode ser uma multa de 5 mil por violação por texto. E, legalmente, você é obrigado a relatar essas violações. Existem programas que criptografam as informações, o que permite que sejam enviadas por texto sem preocupação. Mas o problema aqui é que ele precisa ser instalado no dispositivo sem fio de ambas as partes, e raramente é.
Um bom software de registro médico eletrônico (EMR) fornecerá maneiras para os médicos transferirem essas informações de forma eficiente e de acordo com a HIPAA. Verifique com seu provedor de EMR o que pode ser feito para tornar suas comunicações compatíveis. Se você está procurando um novo EMR, nós lhe daremos uma demonstração gratuita aqui. Você também pode aprender mais sobre os recursos do nosso EMR aqui.
PASSANDO INFORMAÇÕES DO PACIENTE ATRAVÉS DO SKYPE
Mensagens de texto não são o único tipo comum de comunicação que é uma violação da HIPAA. O Skype é outra maneira pela qual os funcionários da clínica costumam se comunicar sobre os pacientes, mas os mesmos problemas se aplicam. Os hackers podem obter facilmente essas informações. Isso é parte da razão pela qual é tão importante ter um bom EHR. Se você está procurando um novo software de EHR, você aprenderá o que procurar aqui.
7. Discutindo informações pelo telefone
Outra violação potencial da HIPAA que “é facilmente esquecida é discutir informações pelo telefone. Mas é vital. Ao discutir as informações de um paciente ao telefone, você precisa estar em um local privado, onde outras pessoas não possam ouvi-lo. Falar sobre um paciente em uma área pública onde outras pessoas podem ouvi-lo é uma violação da HIPAA.
Publicação nas redes sociais
Você não pode absolutamente publicar fotos de seus pacientes nas redes sociais. É uma violação definitiva da HIPAA, mesmo que nenhum nome ou informação seja publicado.As pessoas podem identificar facilmente o paciente e o médico, o que pode revelar informações indesejadas sobre sua saúde. Isso definitivamente deve ser ensinado no treinamento de políticas. Não importa quão inofensiva seja a intenção, isso pode resultar em multas pesadas e é muito fácil de provar.
Funcionários acessando arquivos e gráficos de pacientes sem autorização
Esta é uma violação muito comum da HIPAA e, francamente, não importa a causa. Os funcionários só podem acessar as informações do paciente quando eles têm foi autorizado a fazê-lo. É ilegal fazer isso, mesmo que seja puramente por curiosidade ou para ajudar um amigo.
Usando PHI para ganho pessoal
Isso não deve ser dito que usar ou vender PHI para ganho pessoal é ilegal. Além de uma multa elevada, também pode resultar em pena de prisão. Novamente, certifique-se de que isso seja ensinado em seu treinamento para novos funcionários e em treinamentos trimestrais.
Consentimento por escrito
Antes que as PHI possam ser divulgadas para outros fins que não tratamento, pagamento ou operações de saúde, você deve obter consentimento por escrito. Se você ou um de seus funcionários não tiver certeza, é sempre melhor errar por excesso de cautela e obter consentimento por escrito.
Computadores domésticos
Não é incomum que médicos e enfermeiras usem seus próprios computadores para acessar as informações do paciente após o expediente para fazer anotações. Em si, isso não é uma violação da HIPAA, mas pode facilmente se transformar em um se a tela for deixada ligada e um membro da família vir as informações do paciente. Como mencionamos antes, laptops, computadores e smartphones devem estar sempre desligados e protegidos por senha quando você não os estiver usando. . Novamente, certifique-se de que isso seja ensinado em seus treinamentos de política.
Consultas em ambientes sociais
É muito comum as pessoas abordarem médicos em uma situação social perguntando sobre alguém que conhecem que é um paciente. Quando você pensa sobre isso, percebe que Perfeito senso. Pacientes, seus amigos e familiares não têm nenhuma razão para conhecer a lei HIPAA. Mas isso não torna a revelação de PHI nesses ambientes compatível com HIPAA. A melhor maneira de evitar isso é ter uma resposta planejada para esses tipos de situações que não envolva nenhuma informação pessoal.
Tempo ruim para relatórios
Não importa quão bem treinado ou Se um profissional de saúde experiente, ele ainda pode ter violações da HIPAA de vez em quando. O que é crucial é garantir que o problema seja respondido e resolvido o mais rápido possível.
O HHS requer notificação com documentação extensa dentro de 10 dias da violação de dados com um mínimo de 15 componentes detalhados que se relacionam com a investigação interna da entidade.
Liberando registros após a data de autorização
Os pacientes podem definir uma validade para sua autorização. Liberar registros confidenciais de pacientes após a data definida é uma violação da HIPAA. É importante prestar atenção aos detalhes.
Assinatura do paciente ausente
Os pacientes muitas vezes podem perder uma assinatura ao preencher os formulários HIPAA. No entanto, se os formulários não estiverem assinados, eles são inválidos. E se eles forem inválidos, divulgar informações é uma violação da HIPAA. A solução para isso é simples e óbvia. Certifique-se de que todos os formulários HIPAA estejam assinados.
Fornecendo segurança com muitas informações
O pessoal de segurança nas clínicas de saúde precisa saber o nome e o número do quarto dos pacientes para que possam orientar amigos e familiares até seus quartos. Essa informação é compatível. No entanto, eles não precisam de informações como tratamento ou diagnóstico.
Enfermeiros “precisam saber”
Os enfermeiros precisam ter acesso a informações privadas dos pacientes pelos quais são responsáveis em sua unidade. Mas fornecer uma PHI de enfermeira para pacientes em outra unidade de enfermagem é uma violação do HIPAA. Não há necessidade de que eles tenham acesso às informações de pacientes pelos quais não são responsáveis.
Regulamentos para ” Mínimo necessário “
As seguradoras de saúde geralmente precisam saber quantas consultas um paciente fez à clínica, mas nada além disso. Eles não têm permissão para ver o histórico completo do paciente. Isso pode ser fácil ignorar, pois você já precisa dar à seguradora algumas informações sobre o paciente e pode parecer necessário dar mais. Mas não.
exemplo de e-mail de violação de hipaa – Enviando informações privadas por e-mail
Outra violação comum de HIPAA é o envio de PHI por e-mail. Isso é pelos mesmos motivos que os outros problemas de comunicação que discutimos. Para aqueles de nós que não são hackers da Internet, pode parecer inofensivo. Mas os hackers podem acessar facilmente o seu e-mail, tornando vulneráveis as informações do paciente.
Entrevistas de pacientes com a mídia
De vez em quando, um membro da mídia pode querer entrevistar um paciente para uma história. Isso acontece com menos frequência, mas você não pode permitir que a mídia entreviste pacientes de abuso de substâncias. Fazer isso é uma violação da HIPAA. O motivo é que isso viola sua privacidade.Mesmo se o paciente concordar com isso, ainda assim recomendamos ficar completamente longe da ideia.
Liberar informações sem consentimento
Isso pode parecer óbvio, mas acontece. Liberar informações sobre menores sem o consentimento dos pais é uma violação da HIPAA. Além disso, pode causar problemas com os pais ou responsáveis e até mesmo resultar em um processo judicial.
Liberando as informações do paciente errado
É aqui que você deve ser extremamente cuidadoso. Qualquer um pode cometer um erro, mas isso não o torna legal. Se você ou um de seus colegas de trabalho divulgar informações para o paciente errado, é uma violação da HIPAA. Isso tende a acontecer quando você tem pacientes com nomes iguais ou semelhantes. Certifique-se de treinar sua equipe para verificar quais informações eles estão divulgando.
Cláusula de direito de revogar
Todo e qualquer formulário assinado por seus pacientes precisa ter o “direito de revogar” Se não o fizerem, não são válidos. E se forem inválidos, qualquer informação que você divulgue para uma organização terceirizada viola a HIPAA.
Liberação de informações para uma parte não designada
Você só tem permissão para fornecer informações do paciente exatamente à pessoa autorizada no formulário. Liberá-las para qualquer outra pessoa viola os regulamentos da HIPAA.
Eliminação de registros
Quando você descarta as informações de um paciente, elas devem ser irreconhecíveis. A trituração é uma ótima maneira de descartar registros em papel.
Conclusão – O que é uma violação de hipaa?
Para concluir, as violações de HIPAA acarretam pesadas multas e consequências. Para evitar violações da HIPAA, faça treinamentos regulares sobre suas políticas e procedimentos, verifique novamente para quem você divulga informações e proteja tudo com senha. Como você pode ver, existem muitas maneiras de violar a HIPAA. Certifique-se de que você e seus colegas de trabalho não discutam as informações do paciente de uma forma que outras pessoas possam ouvir ou obter.
Por último, e talvez o mais importante, obtenha um software EMR que facilite a comunicação. Se o seu EMR atual faz isso, certifique-se de que sua equipe seja treinada para usá-lo de acordo com a HIPAA. Se não for, consideraríamos seriamente obter um EMR que o faça. Você pode obter uma demonstração gratuita de nosso software EMR aqui para ver se ele atende às suas necessidades. Se você gostar, adoraríamos fazer negócios com você. Mas, se não gostar, fique à vontade para continuar procurando um novo EMR.