美國衛(wèi)生部（Department of Health and Human Services，HHS）民權(quán)辦公室（Office for Civil Right，OCR）是一個實施健康保險便利和責(zé)任法案（Health Insurance Portability and Accountability Act；HIPAA）的部門。主要負(fù)責(zé)保護(hù)人的一些基本權(quán)利，主要包括不被歧視的權(quán)利，宗教自由的權(quán)利，病人醫(yī)療信息的隱私權(quán)等，并且專門負(fù)責(zé)調(diào)查HIPAA違規(guī)的案例。以下是2018年典型的八個HIPAA違規(guī)案例：

案例一（February 1, 2018）

美國一家大型醫(yī)療集團(tuán)（Fresenius Medical Care）主營腎臟病的醫(yī)療產(chǎn)品和醫(yī)療服務(wù)，有6萬名員工，服務(wù)17萬病人，包括腎臟透析中心，心臟血管中心，急診中心和護(hù)理中心等。該集團(tuán)在全國有多處經(jīng)營點，但是在這些經(jīng)營點之間的交流和數(shù)據(jù)交換不能保證病人的醫(yī)療信息安全，未授權(quán)人員非常容易接近。因此，該醫(yī)療集團(tuán)被OCR罰款350萬美金，外加開發(fā)并執(zhí)行一整套綜合的病人信息防護(hù)系統(tǒng)。

評論：在美國醫(yī)療生意要做大，需要一整套完整的病人信息保護(hù)方案。

案例二（February 13, 2018）

民權(quán)辦公室（OCR）收到匿名舉報，說有人在運送和銷毀病人醫(yī)療資料之前并沒有做相關(guān)的保護(hù)，而是將這些資料留在了未加鎖的卡車上，允許任何未授權(quán)的人接觸這些資料?？ㄜ嚲屯Ｔ贔ilefax公司的停車場。OCR的進(jìn)一步調(diào)查發(fā)現(xiàn)，這就是Filefax公司員工所為。因此，F(xiàn)ilefax為此疏忽支付了10萬美元的罰款。由于Filefax已經(jīng)倒閉，接手Filefax的公司最后清算償還了這筆罰款。

評論：病人的醫(yī)療資料使用時保護(hù)要小心，銷毀時也要小心。

案例三（June 18, 2018）

美國著名腫瘤研究和治療中心MD Anderson由于違反HIPAA隱私保護(hù)被罰款4.3萬美金。該罰款是針對MD Anderson在2012年和2013年的三起病人數(shù)據(jù)泄露事件，一件是員工被盜竊的筆記本電腦沒有加密；另兩件是沒有加密的包含病人信息的優(yōu)盤丟失，涉及3.35萬病人的信息泄露。OCR的調(diào)查發(fā)現(xiàn)MD Anderson雖然在2006年已經(jīng)制定了病人信息保密制度，但是直到2011年才全面實施。并且MD Anderson在2011年到2013年之間并沒有將有病人信息（Electronic protected health information，ePHI）的電子設(shè)備都加密，從而造成了大量病人數(shù)據(jù)的泄露。

評論：帶有病人醫(yī)療資料（ePHI）的電子設(shè)備都需要加密。

案例四（September 20, 2018）

美國波士頓一些著名的醫(yī)院波士頓醫(yī)療中心（Boston Medial Center，BMC），布萊根婦女醫(yī)院（Brigham and Women's Hospital，BWH），麻省綜合醫(yī)院（Massachusetts General Hospital，MGH）由于未經(jīng)病人同意授權(quán)邀請ABC的影片制作組來拍攝醫(yī)療紀(jì)錄片。三家醫(yī)院一共被罰款99.9萬美元（BMC罰款10萬， BWH罰款38.4萬，MGH罰款51.5萬美金）。在此之前，2016年美國紐約長老會醫(yī)院同樣是因為拍攝醫(yī)療紀(jì)錄片“NY Med”，同樣也違法了HIPAA病人隱私保護(hù)。

評論：在醫(yī)院內(nèi)拍攝醫(yī)療紀(jì)錄片不僅需要醫(yī)院的同意，也需要病人的同意。

案例五（October 15, 2018）

美國最大的健康保險公司之一Anthem（大家可能更熟悉Blue Cross and Blue Shield）由于沒有保護(hù)好病人的數(shù)據(jù)，被黑客侵入，導(dǎo)致7900萬人的醫(yī)療數(shù)據(jù)泄露。這可是美國歷史上最大的一次病人數(shù)據(jù)泄露，所以Anthem公司被OCR狠狠的罰款1600萬美金。除了被罰款之外，Anthem公司還被要求制定一套完善的修正方案來避免再次違反HIPAA。

評論：網(wǎng)絡(luò)數(shù)據(jù)的安全不容忽視，尤其是涉及醫(yī)療信息的。

案例六（November 26, 2018）

一家治療過敏的公司（Allergy Associates）為了解決一起醫(yī)生和病人的爭論，請來當(dāng)?shù)仉娨暸_的記者做報道。在記者采訪醫(yī)生的時候，醫(yī)生未經(jīng)允許把病人的醫(yī)療信息泄露給了媒體。從而被OCR罰款12.5萬美金，外加一套整改方案。

評論：病人再怎么抱怨醫(yī)生，醫(yī)生也不能泄露病人的資料給媒體。

案例七（December 4, 2018）

佛羅里達(dá)一個醫(yī)生醫(yī)療集團(tuán)在沒有和服務(wù)供應(yīng)商（一個賬單公司）簽署商業(yè)協(xié)議的情況下，把病人的信息泄露給了服務(wù)供應(yīng)商，而且這些病人的信息后來出現(xiàn)在了此賬單公司的網(wǎng)站上，病人的總數(shù)超過9000人。因此，該醫(yī)療集團(tuán)被罰款50萬美金，外加一套整改方案。

評論：和醫(yī)療服務(wù)供應(yīng)商打交道，一定要先簽好病人隱私保護(hù)的協(xié)議。

案例八（December 11, 2018）

美國科羅拉多的Pagosa Springs醫(yī)學(xué)中心每年有1.7萬的病人訪問量，有175名雇員。這其中的一些雇員在離開該醫(yī)學(xué)中心之后，仍舊被允許遠(yuǎn)程訪問包含有病人醫(yī)療信息的工作時刻表。經(jīng)OCR調(diào)查，一共有557名病人的信息被泄露給已經(jīng)離職的醫(yī)生和相關(guān)的工作時刻表服務(wù)商。因此該醫(yī)學(xué)中心被罰款11.14萬美金，外加一套整改方案。

評論：對于已經(jīng)離職的員工，需要果斷取消其在醫(yī)院的內(nèi)部網(wǎng)絡(luò)訪問權(quán)限。

看了這么多這么多違反HIPAA的案例，

我們來做個小測驗吧。

HIPAA 問答：以下情況有違反HIPAA嗎？

1.婦產(chǎn)科醫(yī)生展示新生兒拍照片

2.病人處于昏迷狀態(tài)，和病人朋友討論病人的病情

3.非醫(yī)務(wù)人員在用CPR救活了病人之后，將全過程告訴媒體

4.急救隊友對某受傷的明星進(jìn)行急救的時候，媒體在邊上拍照片

5.醫(yī)生把未支付醫(yī)療費的病人信息給討債公司

您的回答是？

答案是以上情況均沒有違反HIPAA。大家不用太過恐懼HIPAA，不過前提是對HIPAA有相應(yīng)的理解。

Take Home Message

總結(jié)：2018年HIPAA案例匯總

理解HIPAA，就不用害怕HIPAA。

參考資料：

HHS.gov

本文由“健康號”用戶上傳、授權(quán)發(fā)布，以上內(nèi)容（含文字、圖片、視頻）不代表健康界立場?！敖】堤枴毕敌畔l(fā)布平臺，僅提供信息存儲服務(wù)，如有轉(zhuǎn)載、侵權(quán)等任何問題，請聯(lián)系健康界（jkh@hmkx.cn）處理。

相關(guān)知識

[圖]個人健康信息保護(hù)——美國HIPAA法案隱私規(guī)則解析
跨境數(shù)據(jù)合規(guī)系列文章（二）：個人健康信息保護(hù)——美國HIPAA法案隱私規(guī)則解析
美國HIPAA如何保護(hù)患者的健康信息隱私
上半年十大投訴熱點+典型案例！
個人健康醫(yī)療數(shù)據(jù)隱私安全法律法規(guī)研究
個人健康醫(yī)療數(shù)據(jù)隱私安全法律法規(guī)研究@MedSci
Splashtop 合規(guī)性：GDPR、HIPAA、FERPA、SOC 2、ISO 等
省衛(wèi)生健康委通報2020年度十大典型案例
【典型案例】生態(tài)環(huán)境保護(hù)檢察公益訴訟典型案例
安徽省醫(yī)保局曝光6起違法違規(guī)使用醫(yī)保基金典型案例

網(wǎng)址: 病人隱私HIPAA：盤點2018年典型違規(guī)案例（附短評） http://www.u1s5d6.cn/newsview896037.html