美國衛生部（Department of Health and Human Services，HHS）民權辦公室（Office for Civil Right，OCR）是一個實施健康保險便利和責任法案（Health Insurance Portability and Accountability Act；HIPAA）的部門。主要負責保護人的一些基本權利，主要包括不被歧視的權利，宗教自由的權利，病人醫療信息的隱私權等，並且專門負責調查HIPAA違規的案例。以下是2018年典型的八個HIPAA違規案例：

案例一（February 1, 2018）

        美國一家大型醫療集團（Fresenius Medical Care）主營腎髒病的醫療產品和醫療服務，有6萬名員工，服務17萬病人，包括腎髒透析中心，心髒血管中心，急診中心和護理中心等。該集團在全國有多處經營點，但是在這些經營點之間的交流和數據交換不能保證病人的醫療信息安全，未授權人員非常容易接近。因此，該醫療集團被OCR罰款350萬美金，外加開發並執行一整套綜合的病人信息防護係統。

評論：在美國醫療生意要做大，需要一整套完整的病人信息保護方案。

案例二（February 13, 2018）

        民權辦公室（OCR）收到匿名舉報，說有人在運送和銷毀病人醫療資料之前並沒有做相關的保護，而是將這些資料留在了未加鎖的卡車上，允許任何未授權的人接觸這些資料。卡車就停在Filefax公司的停車場。OCR的進一步調查發現，這就是Filefax公司員工所為。因此，Filefax為此疏忽支付了10萬美元的罰款。由於Filefax已經倒閉，接手Filefax的公司最後清算償還了這筆罰款。

評論：病人的醫療資料使用時保護要小心，銷毀時也要小心。

案例三（June 18, 2018）

        美國著名腫瘤研究和治療中心MD Anderson由於違反HIPAA隱私保護被罰款4.3萬美金。該罰款是針對MD Anderson在2012年和2013年的三起病人數據泄露事件，一件是員工被盜竊的筆記本電腦沒有加密；另兩件是沒有加密的包含病人信息的優盤丟失，涉及3.35萬病人的信息泄露。OCR的調查發現MD Anderson雖然在2006年已經製定了病人信息保密製度，但是直到2011年才全麵實施。並且MD Anderson在2011年到2013年之間並沒有將有病人信息（Electronic protected health information，ePHI）的電子設備都加密，從而造成了大量病人數據的泄露。

圖片來自MD Anderson

評論：帶有病人醫療資料（ePHI）的電子設備都需要加密。

案例四（September 20, 2018）

        美國波士頓一些著名的醫院波士頓醫療中心（Boston Medial Center，BMC），布萊根婦女醫院（Brigham and Women's Hospital，BWH），麻省綜合醫院（Massachusetts General Hospital，MGH）由於未經病人同意授權邀請ABC的影片製作組來拍攝醫療紀錄片。三家醫院一共被罰款99.9萬美元（BMC罰款10萬， BWH罰款38.4萬，MGH罰款51.5萬美金）。在此之前，2016年美國紐約長老會醫院同樣是因為拍攝醫療紀錄片“NY Med”，同樣也違法了HIPAA病人隱私保護。

圖片來自MediaCom

評論：在醫院內拍攝醫療紀錄片不僅需要醫院的同意，也需要病人的同意。

案例五（October 15, 2018）

        美國最大的健康保險公司之一Anthem（大家可能更熟悉Blue Cross and Blue Shield）由於沒有保護好病人的數據，被黑客侵入，導致7900萬人的醫療數據泄露。這可是美國曆史上最大的一次病人數據泄露，所以Anthem公司被OCR狠狠的罰款1600萬美金。除了被罰款之外，Anthem公司還被要求製定一套完善的修正方案來避免再次違反HIPAA。

圖片來自Anthem

評論：網絡數據的安全不容忽視，尤其是涉及醫療信息的。

案例六（November 26, 2018）

        一家治療過敏的公司（Allergy Associates）為了解決一起醫生和病人的爭論，請來當地電視台的記者做報道。在記者采訪醫生的時候，醫生未經允許把病人的醫療信息泄露給了媒體。從而被OCR罰款12.5萬美金，外加一套整改方案。

評論：病人再怎麽抱怨醫生，醫生也不能泄露病人的資料給媒體。

案例七（December 4, 2018）

        佛羅裏達一個醫生醫療集團在沒有和服務供應商（一個賬單公司）簽署商業協議的情況下，把病人的信息泄露給了服務供應商，而且這些病人的信息後來出現在了此賬單公司的網站上，病人的總數超過9000人。因此，該醫療集團被罰款50萬美金，外加一套整改方案。

評論：和醫療服務供應商打交道，一定要先簽好病人隱私保護的協議。

案例八（December 11, 2018）

        美國科羅拉多的Pagosa Springs醫學中心每年有1.7萬的病人訪問量，有175名雇員。這其中的一些雇員在離開該醫學中心之後，仍舊被允許遠程訪問包含有病人醫療信息的工作時刻表。經OCR調查，一共有557名病人的信息被泄露給已經離職的醫生和相關的工作時刻表服務商。因此該醫學中心被罰款11.14萬美金，外加一套整改方案。

評論：對於已經離職的員工，需要果斷取消其在醫院的內部網絡訪問權限。

看了這麽多這麽多違反HIPAA的案例，

我們來做個小測驗吧。

HIPAA 問答：以下情況有違反HIPAA嗎？

1、婦產科醫生展示新生兒拍照片

2、病人處於昏迷狀態，和病人朋友討論病人的病情

3、非醫務人員在用CPR救活了病人之後，將全過程告訴媒體

4、急救隊友對某受傷的明星進行急救的時候，媒體在邊上拍照片

5、醫生把未支付醫療費的病人信息給討債公司

您的回答是？

答案是以上情況均沒有違反HIPAA。大家不用太過恐懼HIPAA，不過前提是對HIPAA有相應的理解。

Take Home Message

總結：2018年HIPAA案例匯總

理解HIPAA，就不用害怕HIPAA。

參考資料：

HHS.gov

圖片部分源於網絡

版權屬於原作者

歡迎關注“邏輯醫學”公眾號

以及“治未病”網站：Jin.Care