Protéger PHI et éduquer le personnel sur le risque HIPAA dans l'utilisation des médias sociaux
La création d'une politique de médias sociaux pour le personnel du cabinet médical établit des lignes directrices pour protéger la vie privée des patients et prévenir la violation des règles de confidentialité de HIPAA. L'utilisation des médias sociaux à des fins de communication en ligne est reconnue comme un moyen efficace de promouvoir les relations communautaires, les activités de recrutement et les événements de marketing. Bien sûr, le personnel du cabinet médical doit comprendre pleinement l'utilisation appropriée des médias sociaux et éviter de violer les règles HIPAA .
1 -
Définir les médias sociauxLes médias sociaux, tels que définis par Dictionary.com, font référence à toute application, site Web ou autre moyen de communication en ligne utilisé par de grands groupes de personnes pour partager des informations et développer des contacts sociaux et professionnels. Votre personnel peut ne pas réaliser immédiatement que les applications et les sites qu'ils utilisent sont des médias sociaux. Les médias sociaux populaires ou les sites de réseautage incluent, mais ne sont pas limités à:
- Gazouillement
- Snapchat
- Youtube
- Blogs
2 -
Établir des lignes directrices pour l'utilisation des médias sociaux par les employés de la santéLa politique de médias sociaux de votre installation devrait établir des directives pour l'utilisation des médias sociaux, personnels et professionnels. En tant qu'employés travaillant pour une organisation identifiée comme une entité couverte, ils doivent respecter les règles de confidentialité de la HIPAA et assurer la confidentialité et la sécurité des informations de santé protégées en tout temps.
Faire
- Soyez professionnel, surtout si vous vous êtes identifié en tant qu'employé
- Inclure une déclaration indiquant que vos opinions sont les vôtres et non vos employeurs
- Supprimez les étiquettes sur les photos qu'un patient publie pour empêcher l'affichage de votre page ou de votre profil
Ne pas
- Participer à toute communication en ligne avec les patients du cabinet médical
- Publier des photos de patients en toute circonstance, même si elle n'est pas identifiable
- Discutez des détails de votre travail ou des activités qui ont eu lieu pendant la journée de travail
3 -
Exprimer les sanctions pour avoir violé HIPAA avec les médias sociauxVioler HIPAA peut signifier une pénalité maximale de 1,5 million de dollars et peut être imposée à l'institution contrevenante et les employés concernés. Violation de la politique des médias sociaux est une violation de la politique HIPAA et devrait entraîner une forme de mesures correctives pour le salarié (s) impliqués. Suivez les mêmes mesures correctives que dans votre politique de confidentialité actuelle , et indiquez clairement que la pénalité peut également inclure la résiliation.
4 -
Matériel de formation supplémentaireLe Département de la Santé et des Services Humains des États-Unis (HHS) fournit du matériel de formation sur son site Web qui peut être utilisé par les fournisseurs pour éduquer leur personnel qui peut être mis à jour au besoin pour incorporer les modifications apportées à la Règle de confidentialité HIPAA.
HealthIT.gov: Guide de confidentialité et de sécurité de l'information électronique sur la santé comprend les bases de la loi HIPAA.
Entité couverte, associé commercial et options organisationnelles: Explique et définit le type d'entités couvertes par la règle de confidentialité. Le terme «associé» est défini, tout comme les exigences de la Règle relative à la protection de la vie privée lorsqu'ils exercent des activités et des fonctions de soins de santé pour le compte d'entités visées. Décrit les dispositions de la règle de confidentialité qui traitent de la manière dont l'organisation de l'entité peut affecter les fonctions de confidentialité.
Informations de santé protégées, utilisations et divulgations, et minimum nécessaire: Décrit les informations de santé protégées par la règle de confidentialité. La présentation décrit en détail les utilisations et divulgations requises et autorisées de PHI par une entité couverte ou son partenaire commercial, y compris les situations dans lesquelles PHI peut être utilisé ou divulgué sans l'autorisation du particulier et lorsqu'une telle autorisation est requise. Les dispositions minimales nécessaires de la Règle et ses exigences sont expliquées.
Conformité et application
Plus
5 -
Quelques exemples de violations des médias sociaux HIPAAMDNews.com a rapporté:
Dans une affaire pendante devant le Conseil national des relations du travail, une infirmière qui avait soigné un policier mortellement blessé et l'homme armé présumé a été licenciée après avoir posté sur son compte privé Facebook qu'elle était "face à face" avec un "tueur de flic" et espérait il «pourrit en enfer». La raison apparente de la résiliation était violations de HIPAA et les règles de l'hôpital sur la vie privée des patients.
WISN.com a rapporté:
Deux infirmières ont été licenciées pour avoir pris des photos de la radiographie d'un patient avec un téléphone portable et affiché les photos sur Facebook. Le patient a été admis à la salle d'urgence avec un objet logé dans son rectum. La police a déclaré que l'infirmière a expliqué qu'elle et un collègue ont pris des photos quand ils ont appris que c'était un appareil sexuel. La police a déclaré que la discussion sur l'incident a été publiée sur sa page Facebook, mais ils n'ont trouvé personne qui ait réellement vu les images.