PHIに理論的にアクセスすることは、誰もアクセスしない場合でも、HIPAA違反ですか？

Question

これは完全に仮説的な質問です。

クリニックの待合室に、患者が待つ間にメールをチェックしたり、ネットサーフィンしたりするためのコンピュータがあるとします。また、これにサインアップした人が誰も考えていなかったとします。このマシンはクリニックの安全でないネットワーク上にあり、他のシステムに保存されている患者のファイルにアクセスできます。

しかし、これのすべてのユーザーが善意のある、Firefoxアイコンをクリックして他の何もないコンピューターの読み書きができない人であると仮定しましょう-彼らは実際には決してアクセスしません患者データ、彼らはただ可能でした。

これは、それ自体、HIPAA違反であり、もしそうなら、それはどれくらいの規模の違反ですか？

Lynn · Accepted Answer

S Heath＆Human ServicesのWebサイトのガイダンスに従ってください。

違反とは、一般に、プライバシー規則に基づく許可されていない使用または開示であり、保護された健康情報のセキュリティまたはプライバシーを危うくするため、使用または開示は、影響を受ける個人に金銭的、評判的、またはその他の害を及ぼす大きなリスクをもたらします。

「開示」とは、データが誰かに開示されたことを意味しますこれは、この例では当てはまりません。また、実際に誰もデータを見なかった場合、「...害の重大なリスク」があったようには見えません。

別の問題を緩和する要素：端末がロック解除される可能性がありますが、HIPAA準拠の患者データシステムには、まさにこの理由によりアイドルロックアウトがあります。また、そのユーザーが患者データにアクセスしたかどうかの監査証跡もあるので、実際に違反があったかどうかを確実に知ることができます。

コメントに基づいて@Alexに追加するための編集：

安全でないネットワークに患者のデータを残すことは、HIPAAプライバシールールの違反であり、一般に非常に悪いことです。ただし、breachは、誰かがそのセキュリティホールを利用するまで発生しません。

wilee · Answer

実際に患者のデータにアクセスすることはありません。

誰かがそれに触れるまでは、法律で定義されているPHIの違反ではない可能性があります-弁護士が「開示」という単語をどのように見ているかに依存します-しかし、これはHIPAAルールの英語の意味での違反です。 PHIは、閉じたシステムの背後でロックするか、暗号化する必要があります。システムにビジネスを持たない人々がアクセスできるシステムは、閉鎖されていません。

無意味なコンピューターについては、退屈した患者（または患者の子供）が探索を始めるのは時間の問題です。

編集：私は実際にアクセス可能な場所にencrypted PHIを残すことはお勧めしません。

techguy · Answer

違反の定義に関する重要なことは、違反が発生したことを開示する必要がある場合です。確かにこれの一部は法的な質問であり、私は弁護士ではありません。興味深い情報をいつ開示するかについての一連の投稿をご覧いただけます： http://www.emrandhipaa.com/tag/jan-mcdavid/

記事のセクションは次のとおりです。何よりもまず、保護された健康情報（PHI）の違反があるたびに患者に通知する必要はありません。法律では、次の2つの条件のいずれかを満たす場合にのみ通知が必要です。1）500件以上の記録が同時に違反された場合、関係する患者に通知する必要がありますOR 2）対象事業体（CE）は必要な「リスク分析」を実施し、患者（1人または複数）が実質的な財政的または評判上の危害を被る可能性があると判断しました。

Tammy Dagger · Answer

法律事務所の会議に出席したところ、病院に誰もいない時間帯に清掃員が医療記録と従業員記録室にアクセスできたため、病院にかなりの金額の罰金が科されたと彼らは言った。

HIPAAトレーニングを受けている病院の従業員がいる場所ですが、PHI違反につながる可能性がある状況では問題ありませんでした。