¿Es el acceso teórico a la PHI una infracción de HIPAA, incluso si nadie accede?

Siguiendo la guía de US Heath & Sitio web de Servicios Humanos :

  

Una violación es, en general, un uso o divulgación no permitidos bajo la Regla de Privacidad que compromete la seguridad o privacidad de la información de salud protegida, de manera tal que el uso o la divulgación representan un riesgo significativo de daños financieros, de reputación o de otro tipo para el afectado individual.

"Divulgación" implica que los datos se revelaron a a alguien, lo cual no es cierto en su ejemplo. Además, no parece que haya "riesgo significativo de ... daño" si nadie realmente vio los datos.

Otro factor de mitigación: aunque el terminal podría estar desbloqueado, un sistema de datos del paciente compatible con HIPAA tendrá un bloqueo de inactividad precisamente por este motivo. También tendrán un seguimiento de auditoría de si ese usuario accedió a los datos del paciente, por lo que sabría con certeza si hubo una violación real.

Edición para agregar según mi comentario a @Alex:

Dejar los datos del paciente en una red no segura es una violación de la Regla de privacidad de HIPAA y una cosa muy mala en general. Sin embargo, la violación no se produce hasta que alguien aproveche ese agujero de seguridad.

  

en realidad nunca acceden a los datos del paciente, simplemente podrían.

Puede que no sea una violación de la PHI según lo define la ley hasta que alguien la toque. Depende de cómo su abogado vea la palabra "divulgación", pero es una violación del sentido de las reglas HIPAA en inglés. La PHI debe estar bloqueada detrás de un sistema cerrado o cifrada. Un sistema no está cerrado si es accesible para personas que no tienen negocios con él.

En cuanto a los analfabetos informáticos bien intencionados, es cuestión de tiempo que un paciente aburrido (o hijo de un paciente) comience a explorar.

editar: en realidad nunca recomendaría dejar incluso encriptada en una ubicación accesible.

Lo importante en cuanto a la definición de una infracción es cuando necesita revelar que se produjo una infracción. Ciertamente, parte de esto es una cuestión legal y no soy abogado. Encontrará esta serie de publicaciones sobre cuándo revelar información interesante: enlace

Aquí hay una sección de uno de los artículos: En primer lugar, no tiene que notificar al paciente cada vez que se produzca una violación de la información médica protegida (PHI). La ley requiere notificación solo si cumple con una de estas dos condiciones: 1) Cuando se han violado 500 o más registros al mismo tiempo, debe notificar a los pacientes involucrados, O 2) Cuando usted como la entidad cubierta (CE) haya realizado el "análisis de riesgo" requerido y haya determinado que el paciente (o pacientes) podría sufrir daños financieros o de reputación importantes.

Acabo de asistir a una conferencia organizada por un bufete de abogados, dijeron que un hospital recibió una multa de una cantidad considerable de dinero porque el equipo de limpieza tenía acceso a los registros médicos y la sala de registros del Empleado después de las horas cuando no había nadie en las oficinas. .

Fueron empleados del hospital que tienen capacitación en HIPAA, pero fue una multa por una situación que podría haber provocado una violación de la PHI.