¿Es el acceso teórico a la PHI una infracción de HIPAA, incluso si nadie accede?

9

Esta es una enteramente pregunta hipotética.

Digamos que una clínica tiene una computadora en su sala de espera para revisar el correo electrónico, navegar por la web, etc. mientras los pacientes esperan. Supongamos también que quienquiera que firmó esto no estaba pensando, y esta máquina solo se encuentra en una red no segura para la clínica y puede acceder a los archivos de pacientes almacenados en otros sistemas.

Sin embargo, asumamos que todos los usuarios de esto son personas bien intencionadas y analfabetas que hacen clic en el ícono de Firefox y en nada más. En realidad nunca accedieron a los datos del paciente, simplemente pudieron.

¿Es esto, en sí mismo, una violación de HIPAA, y si es así, qué tan grande es la violación?

    
pregunta Fomite 28.10.2011 - 05:36
fuente

4 respuestas

14

Siguiendo la guía de US Heath & Sitio web de Servicios Humanos :

  

Una violación es, en general, un uso o divulgación no permitidos bajo la Regla de Privacidad que compromete la seguridad o privacidad de la información de salud protegida, de manera tal que el uso o la divulgación representan un riesgo significativo de daños financieros, de reputación o de otro tipo para el afectado individual.

"Divulgación" implica que los datos se revelaron a a alguien, lo cual no es cierto en su ejemplo. Además, no parece que haya "riesgo significativo de ... daño" si nadie realmente vio los datos.

Otro factor de mitigación: aunque el terminal podría estar desbloqueado, un sistema de datos del paciente compatible con HIPAA tendrá un bloqueo de inactividad precisamente por este motivo. También tendrán un seguimiento de auditoría de si ese usuario accedió a los datos del paciente, por lo que sabría con certeza si hubo una violación real.

Edición para agregar según mi comentario a @Alex:

Dejar los datos del paciente en una red no segura es una violación de la Regla de privacidad de HIPAA y una cosa muy mala en general. Sin embargo, la violación no se produce hasta que alguien aproveche ese agujero de seguridad.

    
respondido por el Lynn 28.10.2011 - 07:40
fuente
4
  

en realidad nunca acceden a los datos del paciente, simplemente podrían.

Puede que no sea una violación de la PHI según lo define la ley hasta que alguien la toque. Depende de cómo su abogado vea la palabra "divulgación", pero es una violación del sentido de las reglas HIPAA en inglés. La PHI debe estar bloqueada detrás de un sistema cerrado o cifrada. Un sistema no está cerrado si es accesible para personas que no tienen negocios con él.

En cuanto a los analfabetos informáticos bien intencionados, es cuestión de tiempo que un paciente aburrido (o hijo de un paciente) comience a explorar.

editar: en realidad nunca recomendaría dejar incluso encriptada en una ubicación accesible.

    
respondido por el wilee 28.10.2011 - 18:20
fuente
1

Lo importante en cuanto a la definición de una infracción es cuando necesita revelar que se produjo una infracción. Ciertamente, parte de esto es una cuestión legal y no soy abogado. Encontrará esta serie de publicaciones sobre cuándo revelar información interesante: enlace

Aquí hay una sección de uno de los artículos: En primer lugar, no tiene que notificar al paciente cada vez que se produzca una violación de la información médica protegida (PHI). La ley requiere notificación solo si cumple con una de estas dos condiciones: 1) Cuando se han violado 500 o más registros al mismo tiempo, debe notificar a los pacientes involucrados, O 2) Cuando usted como la entidad cubierta (CE) haya realizado el "análisis de riesgo" requerido y haya determinado que el paciente (o pacientes) podría sufrir daños financieros o de reputación importantes.

    
respondido por el techguy 31.10.2011 - 20:13
fuente
1

Acabo de asistir a una conferencia organizada por un bufete de abogados, dijeron que un hospital recibió una multa de una cantidad considerable de dinero porque el equipo de limpieza tenía acceso a los registros médicos y la sala de registros del Empleado después de las horas cuando no había nadie en las oficinas. .

Fueron empleados del hospital que tienen capacitación en HIPAA, pero fue una multa por una situación que podría haber provocado una violación de la PHI.

    
respondido por el Tammy Dagger 08.11.2011 - 17:38
fuente

Lea otras preguntas en las etiquetas