En enda HIPAA-överträdelse kan leda till böter på upp till $ 50 000 till leverantören och en potentiell förlust av licens. Så det säger sig självt att det är oerhört viktigt att undvika dem. Vad är en HIPAA-överträdelse? Det är ett misslyckande med att följa ”någon aspekt av HIPAA-standarder”, enligt HIPAA Journal. Det är när det finns ett brott mot HIPAA-skyddad hälsoinformation, även känd som PHI. Några av de vanligaste typerna av skyddad hälsoinformation för patienter inkluderar namn, personnummer, födelsedatum, adresser, e-postadresser och telefonnummer.
Nu när du vet vad en HIPAA-överträdelse är, vi ”kommer att ge dig 26 exempel så att du kan undvika att göra dessa misstag.
Exempel på HIPAA-överträdelser
Anställda som avslöjar patientinformation
Patientinformation måste vara hålls privat. Anställda som talar om patienter till kollegor eller vänner är en HIPAA-överträdelse som kan hamna i en värld av sårad. Anställda kan inte dela patientinformation med vänner, familjemedlemmar, tredjepartsleverantörer eller organisationer. Anställda bör också endast diskutera patientinformation på privata platser och endast med annan medicinsk personal. Det finns ingen anledning att dela sådan information med någon annan.
Läkarjournaler som faller i de felaktiga händerna
Felaktig hantering av patientjournaler är en av de vanligaste HIPAA-överträdelserna. Detta inträffar ofta när en klinik använder pappersjournaler eller diagram, vilket kan leda till att läkaren av misstag lämnar posten i patientens rum, vilket kan leda till att en annan patient ser den. Patientjournaler ska alltid förvaras i ett låst utrymme så att de inte kan snubblas av andra.
stulna föremål
Om ett föremål som innehåller PHI, såsom en bärbar dator eller smartphone, går förlorad eller stulen, det anses också vara en HIPAA-överträdelse och kan leda till en rejäl böter. För att skydda dig mot detta bör alla enheter som innehåller PHI vara lösenordsskyddade. Var noga med att låsa ner alla enheter med PHI när du är klar med att använda den. Ett lösenord gör inte något bra om den bärbara datorn är öppen och inloggad medan du gör något annat.
Brist på korrekt utbildning
Ett av de bästa sätten att undvika en HIPAA-överträdelse är att utbilda dina anställda i rätt policy. Du måste fastställa policyer som säkerställer att patientinformation alltid skyddas och hålls konfidentiell. Anställda som är ordentligt utbildade i hur man undviker HIPAA-överträdelser är mycket mindre benägna att göra sådana misstag.
Men misstag kommer När en sådan överträdelse inträffar måste du ha en plan för hur du ska hantera den på lämpligt sätt. Utbildningar bör hållas regelbundet för att se till att alla anställda, gamla och nya, är väl medvetna om din policy. Utbildning av alla nya anställda på din politik och hålla kvartalsutbildningar för att hålla det friskt i alla anställdas sinnen.
SMSing av privat information
Även om textning av patientinformation kan verka snabb och effektiv, ger det också hackare möjlighet att få sin information. Du kan inte lägga in en patients namn eller information i en text. Om du gör det och du fångas kan det vara 5 000 böter per överträdelse per text. Och juridiskt sett måste du rapportera dessa överträdelser. Det finns program som krypterar informationen som gör att den kan textas utan bekymmer. Men problemet här är att det måste installeras på den trådlösa enheten från båda parter, och det är sällan det.
En bra elektronisk medicinsk journal (EMR) -programvara ger kliniker möjlighet att överföra sådan information effektivt och i enlighet med HIPAA. Fråga med din EMR-leverantör om vad som kan göras för att göra din kommunikation kompatibel. Om du letar efter en ny EMR ger vi dig en gratis demo här. Du kan också lära dig mer om funktionerna i vår EMR här.
PASSERANDE PATIENTINFORMATION GENOM SKYPE
Sms är inte den enda vanliga typen av kommunikation som är en HIPAA-överträdelse. Skype är ett annat sätt som klinikanställda ofta kommunicerar om patienter, men samma problem gäller. Hackare kan enkelt få den informationen. Detta är en del av varför det är så viktigt att ha en bra EPJ. Om du letar efter en ny EPJ-programvara lär du dig vad du ska leta efter här.
7. Diskutera information via telefon
En annan potentiell HIPAA-överträdelse som lätt kan förbises är att diskutera information via telefon. Men det är viktigt. När du diskuterar en patients information i telefon måste du vara på en privat plats där andra inte kan höra dig. Att prata om en patient i ett offentligt område där andra kan höra dig är en HIPAA-överträdelse.
Publicering på sociala medier
Du kan absolut inte lägga upp foton av dina patienter på sociala medier. Det är en bestämd HIPAA-överträdelse även om inga namn eller information publiceras.Människor kan enkelt identifiera patienten och läkaren, vilket kan avslöja oönskad information om deras hälsa. Detta bör definitivt läras ut i politisk utbildning. Oavsett hur ofarlig avsikten kan detta resultera i stora böter och är mycket lätt att bevisa.
Anställda som har tillgång till patientfiler och diagram utan tillstånd
Detta är en mycket vanlig HIPAA-överträdelse och uppriktigt sagt spelar det ingen roll orsaken. Anställda kan bara få tillgång till patientinformation när de har behörighet att göra det. Det är olagligt att göra det även om det bara är av nyfikenhet eller för att hjälpa en vän.
Använda PHI för personlig vinst
Detta bör vara självklart att det är olagligt att använda eller sälja PHI för personlig vinning. Förutom ett stort böter kan det också leda till fängelsetid. Återigen, se till att detta lärs ut i din utbildning för nyanställda och kvartalsutbildningar.
Skriftligt samtycke
Innan PHI någonsin kan avslöjas för andra ändamål än behandling, betalning eller vård, måste du få skriftligt samtycke. Om du eller någon av dina anställda inte är säker är det alltid bäst att göra en felaktighet och få skriftligt samtycke.
Hemdatorer
Det är inte ovanligt att läkare och sjuksköterskor använder sina egna datorer för att få tillgång till patientinformation efter timmar för anteckningar. Det är i sig inte en HIPAA-överträdelse, men det kan mycket lätt förvandlas till en om skärmen är på och en familjemedlem ser patientens information. Som vi nämnde tidigare bör bärbara datorer, datorer och smartphones alltid vara avstängda och lösenordsskyddade när du inte använder dem . Återigen, se till att detta lärs ut i dina policyutbildningar.
Förfrågningar i sociala inställningar
Det är mycket vanligt att människor vänder sig till kliniker i en social situation och frågar om någon de vet som är en patient. När du tänker på det gör det perfekt känsla. Patienter, deras vänner och familjemedlemmar har ingen anledning att känna till HIPAA-lagen. Men det gör inte avslöjande PHI i dessa inställningar HIPAA-kompatibla. Det bästa sättet att undvika detta är genom att ha ett planerat svar för dessa typer av situationer som inte inbegriper någon personlig information.
Dålig rapporteringstider
Oavsett hur väl tränad eller har erfarenhet av vårdgivare kan de fortfarande ha HIPAA-överträdelser då och då. Det som är avgörande är att se till att frågan besvaras och löses så snabbt som möjligt.
HHS kräver anmälan med omfattande dokumentation inom tio dagar efter dataintrånget med minst 15 detaljerade komponenter som avser enhetens interna utredning.
Släppa poster efter auktoriseringsdatum
Patienter har möjlighet att ställa in en utgång för deras auktorisering. Att släppa konfidentiella patientjournaler efter det datum de har ställt in är en HIPAA-överträdelse. Det är viktigt att vara uppmärksam på detaljerna. Saknad patientsignatur
Patienter kan ofta sakna en signatur när de fyller i HIPAA-formulär. Om formuläret inte är undertecknat är de dock ogiltiga. Och om de är ogiltiga är att släppa information är en HIPAA-överträdelse. Lösningen på detta är enkel och uppenbar. Se till att alla HIPAA-formulär är signerade.
Att ge säkerhet med för mycket information
Säkerhetspersonal på vårdcentraler behöver veta namn och rumsnummer för patienter så att de kan vägleda vänner och familjemedlemmar till sina rum. Den informationen är kompatibel. De behöver dock inte någon information som behandling eller diagnos.
Sjuksköterskor ”Behöver veta”
Sjuksköterskor behöver tillgång till privat information för de patienter han / hon ansvarar för i sin enhet. Men att ge en sjuksköterska PHI till patienter i en annan sjuksköterskans enhet är ett brott mot HIPAA. Det finns inget behov av att de har tillgång till information för patienter som de inte ansvarar för.
Regler för ” Minsta nödvändiga ”
Sjukförsäkringsföretag behöver vanligtvis veta hur många besök en patient har haft på kliniken men inget utöver det. De får inte se patientens hela historik. Detta kan vara enkelt att förbise eftersom du redan måste ge sjukförsäkringsbolaget lite information om patienten och det kan verka nödvändigt att ge mer. Men inte.
E-postexempel på hipaa-överträdelse – Skicka privat information via e-post
En annan vanlig HIPAA-överträdelse är att skicka PHI i ett e-postmeddelande. Det är av samma skäl som de andra kommunikationsfrågorna vi diskuterade. För de av oss som inte är internethackare kan det verka ofarligt. Men hackare kan enkelt komma åt din e-post, vilket gör patientens information sårbar.
Mediaintervjuer av patienter
Ibland kan en medlem i media vilja intervjua en patient för en berättelse. Detta händer mindre ofta, men du kan inte låta media intervjua missbrukare. Att göra det är en HIPAA-kränkning. Anledningen är att det bryter mot deras integritet.Även om en patient är okej med det, rekommenderar vi ändå att hålla mig borta från idén helt.
Släppa information utan samtycke
Detta kan tyckas uppenbart, ändå händer det. Släppa information om minderåriga utan föräldrarnas samtycke är en HIPAA-överträdelse. Inte bara det, men det kan orsaka problem med föräldrarna eller vårdnadshavarna och till och med resultera i en rättsprocess.
Släppa information om fel patient
Det är här du måste vara extra försiktig. Vem som helst kan göra ett misstag, men det gör det inte lagligt. Om du eller någon av dina kollegor släpper information till fel patient är det en HIPAA-överträdelse. Detta tenderar att hända när du har patienter med samma eller liknande namn. Se till att du tränar din personal att dubbelkolla vilken information de släpper ut.
Rätt att återkalla klausul
Alla former som dina patienter undertecknar måste ha en ”rätt att återkalla” klausul. Om de inte gör det är de inte giltiga. Och om de är ogiltiga bryter all information som du släpper ut till en tredjepartsorganisation HIPAA.
Släppa information till en icke designerad part
Du får bara ge patientinformation till den exakta personen som är auktoriserad på formuläret. Att släppa den till någon annan bryter mot HIPAA-reglerna.
Kassering av register
När du kasserar en patients information måste den vara oigenkännlig. Strimling är ett utmärkt sätt att kassera pappersregister.
Slutsats – Vad är en hipaa-överträdelse?
Avslutningsvis innebär HIPAA-överträdelser rejäla böter och konsekvenser. För att undvika HIPAA-överträdelser, håll regelbundna utbildningar om dina policyer och rutiner, dubbelkolla vem du avslöjar information till och lösenordsskydda allt. Som du kan se finns det så många sätt att bryta mot HIPAA. Se till att du och dina kollegor inte diskuterar patientinformation på ett sätt som andra kan höra eller få den.
Slutligen, och kanske viktigast av allt, få en EMR-programvara som underlättar kommunikationen. Om din nuvarande EMR gör det, se till att din personal är utbildad i att använda den i enlighet med HIPAA. Om den inte gör det skulle vi starkt överväga att få en EMR som gör det. Du kan få en gratis demo av vår EMR-programvara här för att se om den uppfyller dina behov. Om du gillar det skulle vi gärna göra affärer med dig. Men om du inte gillar det är du välkommen att fortsätta söka efter en ny EMR.