逻辑医学

        美国卫生部（Department of Health and Human Services，HHS）民权办公室（Office for Civil Right，OCR）是一个实施健康保险便利和责任法案（Health Insurance Portability and Accountability Act；HIPAA）的部门。主要负责保护人的一些基本权利，主要包括不被歧视的权利，宗教自由的权利，病人医疗信息的隐私权等，并且专门负责调查HIPAA违规的案例。以下是2018年典型的八个HIPAA违规案例：

案例一（February 1, 2018）

        美国一家大型医疗集团（Fresenius Medical Care）主营肾脏病的医疗产品和医疗服务，有6万名员工，服务17万病人，包括肾脏透析中心，心脏血管中心，急诊中心和护理中心等。该集团在全国有多处经营点，但是在这些经营点之间的交流和数据交换不能保证病人的医疗信息安全，未授权人员非常容易接近。因此，该医疗集团被OCR罚款350万美金，外加开发并执行一整套综合的病人信息防护系统。

评论：在美国医疗生意要做大，需要一整套完整的病人信息保护方案。

案例二（February 13, 2018）

        民权办公室（OCR）收到匿名举报，说有人在运送和销毁病人医疗资料之前并没有做相关的保护，而是将这些资料留在了未加锁的卡车上，允许任何未授权的人接触这些资料。卡车就停在Filefax公司的停车场。OCR的进一步调查发现，这就是Filefax公司员工所为。因此，Filefax为此疏忽支付了10万美元的罚款。由于Filefax已经倒闭，接手Filefax的公司最后清算偿还了这笔罚款。

评论：病人的医疗资料使用时保护要小心，销毁时也要小心。

案例三（June 18, 2018）

        美国著名肿瘤研究和治疗中心MD Anderson由于违反HIPAA隐私保护被罚款4.3万美金。该罚款是针对MD Anderson在2012年和2013年的三起病人数据泄露事件，一件是员工被盗窃的笔记本电脑没有加密；另两件是没有加密的包含病人信息的优盘丢失，涉及3.35万病人的信息泄露。OCR的调查发现MD Anderson虽然在2006年已经制定了病人信息保密制度，但是直到2011年才全面实施。并且MD Anderson在2011年到2013年之间并没有将有病人信息（Electronic protected health information，ePHI）的电子设备都加密，从而造成了大量病人数据的泄露。

图片来自MD Anderson

评论：带有病人医疗资料（ePHI）的电子设备都需要加密。

案例四（September 20, 2018）

        美国波士顿一些著名的医院波士顿医疗中心（Boston Medial Center，BMC），布莱根妇女医院（Brigham and Women's Hospital，BWH），麻省综合医院（Massachusetts General Hospital，MGH）由于未经病人同意授权邀请ABC的影片制作组来拍摄医疗纪录片。三家医院一共被罚款99.9万美元（BMC罚款10万， BWH罚款38.4万，MGH罚款51.5万美金）。在此之前，2016年美国纽约长老会医院同样是因为拍摄医疗纪录片“NY Med”，同样也违法了HIPAA病人隐私保护。

图片来自MediaCom

评论：在医院内拍摄医疗纪录片不仅需要医院的同意，也需要病人的同意。

案例五（October 15, 2018）

        美国最大的健康保险公司之一Anthem（大家可能更熟悉Blue Cross and Blue Shield）由于没有保护好病人的数据，被黑客侵入，导致7900万人的医疗数据泄露。这可是美国历史上最大的一次病人数据泄露，所以Anthem公司被OCR狠狠的罚款1600万美金。除了被罚款之外，Anthem公司还被要求制定一套完善的修正方案来避免再次违反HIPAA。

图片来自Anthem

评论：网络数据的安全不容忽视，尤其是涉及医疗信息的。

案例六（November 26, 2018）

        一家治疗过敏的公司（Allergy Associates）为了解决一起医生和病人的争论，请来当地电视台的记者做报道。在记者采访医生的时候，医生未经允许把病人的医疗信息泄露给了媒体。从而被OCR罚款12.5万美金，外加一套整改方案。

评论：病人再怎么抱怨医生，医生也不能泄露病人的资料给媒体。

案例七（December 4, 2018）

        佛罗里达一个医生医疗集团在没有和服务供应商（一个账单公司）签署商业协议的情况下，把病人的信息泄露给了服务供应商，而且这些病人的信息后来出现在了此账单公司的网站上，病人的总数超过9000人。因此，该医疗集团被罚款50万美金，外加一套整改方案。

评论：和医疗服务供应商打交道，一定要先签好病人隐私保护的协议。

案例八（December 11, 2018）

        美国科罗拉多的Pagosa Springs医学中心每年有1.7万的病人访问量，有175名雇员。这其中的一些雇员在离开该医学中心之后，仍旧被允许远程访问包含有病人医疗信息的工作时刻表。经OCR调查，一共有557名病人的信息被泄露给已经离职的医生和相关的工作时刻表服务商。因此该医学中心被罚款11.14万美金，外加一套整改方案。

评论：对于已经离职的员工，需要果断取消其在医院的内部网络访问权限。

看了这么多这么多违反HIPAA的案例，

我们来做个小测验吧。

HIPAA 问答：以下情况有违反HIPAA吗？

1、妇产科医生展示新生儿拍照片

2、病人处于昏迷状态，和病人朋友讨论病人的病情

3、非医务人员在用CPR救活了病人之后，将全过程告诉媒体

4、急救队友对某受伤的明星进行急救的时候，媒体在边上拍照片

5、医生把未支付医疗费的病人信息给讨债公司

您的回答是？

答案是以上情况均没有违反HIPAA。大家不用太过恐惧HIPAA，不过前提是对HIPAA有相应的理解。

Take Home Message

总结：2018年HIPAA案例汇总

理解HIPAA，就不用害怕HIPAA。

参考资料：

HHS.gov

图片部分源于网络

版权属于原作者

欢迎关注“逻辑医学”公众号

以及“治未病”网站：Jin.Care