Hukum HIPAA Melindungi Terhadap Penyingkapan Informasi Kesehatan yang Tidak Layak oleh Penyedia Perawatan Kesehatan

Pada bulan Juni 2009, seorang ibu Honolulu berusia 22 tahun dari tiga anak muda dijatuhi hukuman satu tahun penjara karena secara ilegal mengakses catatan medis wanita lain dan posting di halaman MySpace bahwa dia mengidap HIV.

Negara Bagian Hawaii mengajukan tuntutan terhadap wanita di bawah undang-undang negara yang mengkriminalisasi akses tidak sah ke komputer; dan yang mengkategorikan perilaku terdakwa sebagai kejahatan kelas B.

Menurut laporan tentang insiden yang mengarah pada keyakinan perempuan, terjadi perseteruan antara korban dan saudara ipar korban, seorang teman dari terdakwa. Terdakwa, yang bekerja sebagai perwakilan layanan pasien di rumah sakit di mana korban adalah pasien, mengakses komputer untuk saudara ipar korban.

Selama sekitar sepuluh bulan, terdakwa mengakses rekam medis pasien sebanyak tiga kali melalui komputer. Setelah dia mengetahui kondisi medis korban, terdakwa memposting di halaman MySpace bahwa korban memiliki HIV. Dalam posting kedua, dia mengatakan korban meninggal karena AIDS.

Korban mengeluh kepada petugas rumah sakit atas akses yang tidak sah. Setelah penyelidikan internal, rumah sakit memutuskan hubungan kerja terdakwa.

Perilaku terdakwa, tentu saja, sungguh mengerikan dan tidak bisa dimaafkan. Satu tahun penjara yang dijatuhkan oleh Pengadilan melebihi istilah yang direkomendasikan oleh jaksa. Namun demikian, di luar masalah memegang terdakwa bertanggung jawab atas tindakannya beberapa orang mungkin mempertanyakan sejauh mana rumah sakit harus memikul tanggung jawab atas pelanggaran kerahasiaan yang terjadi.

Undang-undang federal membebani beban hukum pada penyedia layanan kesehatan untuk melindungi terhadap penggunaan yang tidak tepat atau pengungkapan informasi kesehatan pribadi dan untuk membatasi penggunaan dan pengungkapan secara wajar hingga minimum yang diperlukan untuk mencapai tujuan yang dimaksudkan.

Secara khusus, Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan dari peraturan privasi 1996 ("HIPAA") mulai berlaku pada 14 April 2003. HIPAA dimaksudkan untuk melindungi informasi kesehatan konsumen, memungkinkan konsumen lebih banyak mengakses dan mengontrol informasi tersebut, meningkatkan perawatan kesehatan, dan akhirnya menciptakan kerangka kerja nasional untuk perlindungan privasi kesehatan. HIPAA mencakup rencana kesehatan, tempat perawatan kesehatan, dan penyedia layanan kesehatan yang melakukan transaksi keuangan dan administrasi tertentu secara elektronik.

Selain peraturan privasi, aturan keamanan HIPAA menjadi efektif pada 21 April 2005. Bersama-sama, peraturan privasi dan keamanan adalah satu-satunya peraturan nasional yang mengatur penggunaan dan pengungkapan informasi pribadi, rahasia, dan sensitif.

Di bawah Aturan Keamanan HIPAA, standar untuk perlindungan informasi elektronik yang dicakup oleh HIPAA dibagi menjadi tiga kelompok: Perlindungan administratif, perlindungan fisik dan perlindungan teknis.

Beberapa pengamanan yang diperlukan paling penting di bawah HIPAA adalah "Kebijakan Sanksi" Administratif dan "Perlindungan Kesadaran Keamanan".

Standar kebijakan sanksi mensyaratkan komunikasi kepada semua karyawan terkait tindakan disipliner yang akan diambil oleh entitas tertutup untuk pelanggaran HIPAA. Kebijakan sanksi harus memiliki pemberitahuan hukuman perdata atau pidana untuk penyalahgunaan atau penyalahgunaan informasi kesehatan dan membuat karyawan sadar bahwa pelanggaran dapat mengakibatkan pemberitahuan kepada aparat penegak hukum dan peraturan, akreditasi, dan organisasi lisensi.

Standar pelatihan kesadaran keamanan mengharuskan semua karyawan, agen, dan kontraktor untuk berpartisipasi dalam program pelatihan kesadaran keamanan informasi. Berdasarkan tanggung jawab pekerjaan, entitas tertutup harus meminta individu untuk menghadiri program pendidikan khusus yang berfokus pada masalah mengenai penggunaan informasi dan tanggung jawab kesehatan terkait kerahasiaan dan keamanan.

Peraturan privasi dan keamanan HIPAA mengharuskan petugas privasi dan petugas keamanan ditunjuk oleh entitas tertutup. Petugas privasi dan keamanan harus terus menganalisis dan mengelola risiko dengan secara menyeluruh menilai potensi risiko dan kerentanan, dan menerapkan langkah-langkah keamanan terkait.

Departemen Kehakiman AS ("DOJ") mengklarifikasi hukuman yang dapat dinilai dan terhadap siapa pelanggaran HIPAA. Perusahaan dan individu tertutup yang "secara sadar" memperoleh atau mengungkapkan informasi kesehatan yang dapat diidentifikasi secara individu yang melanggar HIPAA dapat didenda hingga $ 50.000, serta penjara hingga satu tahun.

Pelanggaran yang dilakukan dengan alasan palsu memungkinkan hukuman ditingkatkan – denda $ 100.000, dengan hingga lima tahun penjara. Terakhir, pelanggaran yang dilakukan dengan maksud untuk menjual, mentransfer, atau menggunakan informasi kesehatan yang dapat diidentifikasi secara individu untuk keuntungan komersial, keuntungan pribadi atau denda berbahaya, denda denda $ 250.000, dan penjara hingga sepuluh tahun.

Mengingat pelanggaran keamanan yang menyebabkan peristiwa tragis, termasuk masa penjara satu tahun bagi terdakwa, pengusaha Hawaii, penyedia perawatan kesehatan dan rencana kesehatan harus meninjau privasi mereka dan kebijakan HIPAA dan melakukan audit terhadap praktik mereka untuk melindungi terhadap penggunaan yang tidak tepat dan pengungkapan informasi kesehatan pribadi dan untuk mengurangi risiko pelanggaran privasi di organisasinya sendiri.

Leave a Reply

Required fields are marked*