侵犯患者隐私——无论是有意还是无意——都可能给医疗保健专业人员带来严重的责任影响。虽然我们大多数人都无法想象会主动对我们关心的人做出不道德的事,但意外确实会发生。事实上,在2003年4月至2019年5月期间,有38722起与hipaa相关的投诉70%这些案例中有一部分已经采取了纠正措施。
尽管有这些令人大开眼界的数据,但你很容易觉得自己永远不会处于这种境地。毕竟,你选择在医疗保健行业工作,是因为你想照顾人们,而不是辜负他们的信任。但如你所见,侵犯病人隐私比你想象的要容易得多。在本文中,我们将刷新您的记忆,什么是违反HIPAA,以及如果您违反了会有什么后果。我们还将为您提供6个真实的案例研究,以帮助您将其置于背景中。
复习:HIPAA是什么?
HIPAA是《健康保险携带与责任法案》的缩写。该法案于1996年由国会通过,是一项联邦法律,要求医疗保健提供者和组织(及其商业伙伴)开发并遵循确保患者受保护健康信息(PHI)的机密性和安全性的程序。这意味着要保护一切,从病人去看特定的医生到他们服用什么药物。
根据HIPAA,什么是受保护的健康信息?
的HIPAA杂志提供了PHI的以下定义:
“根据HIPAA,受保护的健康信息被认为是由HIPAA覆盖的实体创建、收集、传输或维护的与提供医疗保健、支付医疗保健服务或在医疗保健运营中使用(PHI医疗保健业务使用)有关的个人过去、现在或未来健康状况的个人可识别信息。”
换句话说,HIPAA法律保护患者过去、现在甚至未来的健康信息,如诊断、治疗计划、体检结果、处方和身份信息(如出生日期、人口统计数据、紧急联系信息)。但是,需要注意的是,只有在可以直接通过信息识别出某人的情况下,该信息才能被指定为PHI。如果从数据中删除了特定标识符,则不认为有问题的信息是PHI。
什么是违反HIPAA ?
简单地说,aHIPAA违反是任何故意或无意的行为,将患者的PHI暴露给没有直接参与其护理的任何人。这可能是任何事情,从访问你没有照顾的病人的记录(例如,查看你的家庭成员的检测结果),到在社交媒体上发布工作自拍照,而没有意识到病人的配偶在后台(从而使公众知道病人在你的医院接受治疗)。如果护理提供者将任何记录或数据提供给未经授权的个人访问(例如,登录计算机系统,然后不注销就离开),也可能发生这种情况。
10个最常见的违反HIPAA的行为
不幸的是,医务人员侵犯病人隐私的方式有无数种。下面是一个列表10种最常见的违反HIPAA的行为:
- PHI的不允许披露
- 未经授权访问PHI和医疗保健记录
- PHI处置不当
- 未能进行组织范围的风险分析
- 安全风险管理失败
- 未能在便携式设备中实施适当的安全措施来保护PHI
- 未能及时向患者提供查看其健康记录的机会
- 未能在访问PHI之前与供应商签订符合hipaa的业务伙伴协议
- 未能在发现事件后60天内发出数据泄露通知
- 未能实现限制谁可以查看PHI和epi的访问控制
违反HIPAA会发生什么?
在较高的层面上,如果违反HIPAA,你可能会面临以下几种后果:
- 你可能会受到雇主的处罚
- 你可能会被解雇
- 你的专业管理委员会可能会对你的执照或未来的工作能力作出规定
- 你可能会被处以罚款(如经济、民事、刑事)
- 你可能会被你访问的PHI的病人起诉,要求金钱赔偿。
最终,您面临的后果将取决于违规的具体情况和严重程度。在决定适当的惩罚时,有关当局将审查你的行为,这些行为背后的动机,违反行为造成了什么伤害(如果有的话),以及是否需要刑事指控。
违反HIPAA的处罚类型
卫生与公众服务部民权办公室(OCR)和州总检察长都有权发布违反HIPAA的处罚.违规行为被分为四个级别,这些级别决定了处罚的严重程度。为了准确起见,我们直接从HIPAA期刊中提取了每个处罚级别的定义:
一级:“如果采取了合理的谨慎措施来遵守HIPAA规则,被覆盖实体并不知道这种违规行为,而且实际上无法避免。”
层2:“涉及的实体应该意识到,但即使采取合理的谨慎措施也无法避免(但未达到HIPAA规则的‘故意忽视’)。”
第三层:“在试图纠正违规行为的情况下,由于HIPAA规则的‘故意忽视’而直接导致的违规行为。”
第四层:“违反HIPAA规则构成‘故意忽视’,未试图纠正该违规行为。”
HIPAA经济处罚
HIPAA每一级的罚款和惩罚的级别如下:
违反HIPAA的经济处罚表
| 点球层 | 定义 | 罚款 |
|---|---|---|
| 一级 | “不知道违反HIPAA的行为,并通过合理的尽职调查,不会知道HIPAA规则已经被违反。” | 每宗违规$100 - $50,000;每年最高25,000元 |
| 层2 | “通过合理的尽职调查,被覆盖实体知道或应该知道违规行为的合理理由。” | 每项违例罚款1,000至50,000元;每年最高$100,000 |
| 3级 | “故意忽视HIPAA规则,违规行为在发现后30天内得到纠正。” | 每项违例罚款$10,000至$50,000;每年最高25万美元 |
| 层4 | “故意忽视HIPAA规则,并且在发现违规行为后30天内没有努力纠正。” | 50000美元每违反;每年最高150万美元 |
来源:HIPAA杂志。“违反HIPAA的处罚是什么?”(2015)
HIPAA刑事处罚
司法部负责起诉违反HIPAA的犯罪行为,并决定罪犯的刑期和罚款。
以下是刑事处罚的三级结构:
违反HIPAA的刑事处罚表
| 点球层 | 定义 | 刑事处罚 |
|---|---|---|
| 一级 | "合理原因或不知情" | 最高可判1年监禁 |
| 层2 | "以虚假的借口获得PHI。" | 最高可判5年监禁 |
| 3级 | "为了个人利益或恶意获取PHI " | 最高可判10年监禁 |
来源:HIPAA杂志。“违反HIPAA的处罚是什么?”(2015)
你应该知道的6个真实的违反HIPAA的案例
无论你的职业、专业或工作环境如何,你在照顾病人期间了解到的任何关于病人的信息都是享有特权和机密的,因此绝对不应该与任何人分享。
为了让您更好地了解现实生活中的情况,我们将带您了解六个医疗保健提供者违反HIPAA的现实案例研究示例。
3例违反HIPAA的案例
例# 1:当涉及到HIPAA时,好奇心可以杀死猫,也可以杀死你的职业。2019年的情况就是这样,当时很多医疗专业人员在一个演员参与了一场潜在的恶作剧仇恨犯罪之后,他就进入了这个演员的医疗记录,这成了头条新闻。因为这些服务提供者没有参与演员的治疗,这侵犯了病人的隐私,医院当场解雇了他们。
例# 2:2010年,一个加州的心胸外科医生因在没有正当理由的情况下,擅自查阅主管和同事以及名人病人的机密医疗记录,被判在联邦监狱服刑四个月。除了坐牢,他还被要求支付2000美元的罚款。
示例# 3:一个纽约的护士当她嫂子的男朋友来她工作的诊所接受性病治疗时,她发现自己陷入了一个棘手的境地。当她得知男友的情况后,护士给她嫂子发了6次短信,警告她诊断结果。这名病人发现了护士的所作所为,并向她工作的诊所提出了投诉,后来又起诉了诊所。由于侵犯了病人的隐私,这名护士失去了工作。
通过社交媒体违反HIPAA的3个例子
也许毫不奇怪,社交媒体上充斥着医疗保健专业人员无意中违反HIPAA的机会。但事实是,你在社交媒体上发布的任何内容都是公开的。如果你在工作时不发东西,如果你觉得自己很小心,或者在事后删除了帖子,这都没关系。以下是一些医疗保健专业人士的真实例子,他们经历了惨痛的教训。
示例# 4:2018年,一个德州护士被解雇此前,她在自己的Facebook个人账户上发布了一篇文章,讲述了一个小男孩在她所在的医院与麻疹作斗争的案例。虽然她没有说出病人的名字,但她确实提供了有关男孩的描述性信息,她的Facebook个人资料列出了她的职位和工作的医院名称。此外,在这个特殊的城市,麻疹病例并不多——事实上,10年里只有不到10例。因此,医院的管理人员担心从护士的岗位上可以认出这个男孩。结果,医院暂停了她的工作,对她的行为展开了调查,并在四天后解雇了她。
例# 5:你也不能把病人的信息交给任何人,或者认为这些信息不会传回到你身上。事实上,你发的任何信息都可能被公开。例如,一个新泽西护士助理拍了一张养老院老人的猥琐照片发短信给朋友。在提供者不知情的情况下,这位朋友将照片发布到了Facebook上。虽然这名护士并不是在Facebook上发布这张照片的人,但她确实拍摄了这张照片并将其传播出去。因此,她被解雇了,并被控侵犯隐私和共谋罪,最高可判处5年监禁和1.5万美元的罚款。
例# 6:Snapchat的视频可能会消失,但它们仍然会给供应商带来严重的麻烦。以a为例威斯康辛州护理助理他上传了一段老年痴呆症患者几乎脱光衣服的视频。护士助理在Snapchat上的一个联系人向养老院举报了她,养老院立即解雇了她。除了丢掉工作,她还因未经病人同意拍摄裸照而被控重罪。一旦被定罪,最高可判三年半监禁。
最终的想法
虽然隐私似乎是一个无需思考的问题,但当涉及到保护你的设施中的病人的机密时,你必须非常小心,即使他们不再在你的照顾下。重要的是,你的整个团队——以及任何到访的顾问——理解并努力遵守HIPAA法律。尤其是现在,智能手机总是在手,社会对社交媒体上分享的个人信息越来越不敏感。如果你需要额外的信息,可以美国卫生与公众服务部提供HIPAA在线课程和资源,帮助您保持遵守。