مكتب الحقوق المدنية يعلن عن انتهاكات قانون HIPAA
أعلن مكتب الحقوق المدنية التابع لوزارة الصحة والخدمات الإنسانية عن أولى قضايا انتهاك قانون HIPAA لعام 2022 ضد أربعة مسؤولين منفصلين عن مقدمي الخدمات بسبب الانتهاكات المحتملة لقاعدة خصوصية قانون نقل التأمين الصحي والمساءلة (HIPAA)، بما في ذلك الحق في الوصول إلى المعلومات الصحية المحمية.
الأطراف المحددة التي تواجه الانتهاكات
بالإضافة إلى الدكتور دونالد بروكلي، وهو طبيب أسنان في ولاية بنسلفانيا، فقد شوهدت غرامات انتهاك قانون HIPAA في التسويات التي تم التوصل إليها مع الدكتور يو فيليب إجبينادولور، DM,D، ومقره ولاية كارولينا الشمالية (UPI)؛ وشركة Jacob and Associates ومقرها كاليفورنيا، وهي شركة تقدم خدمات الصحة العقلية؛ وشركة Northcutt Dental-Fairhope ومقرها ألاباما، وهي عيادة أسنان في مدينة فيرهوب والمناطق المحيطة بها.
تصريحات من مدير OCR
في بيان لها، صرّحت ليزا بينو، مديرة مكتب الحقوق المدنية (OCR)، بأنّ الهدف من إجراءات الإنفاذ هذه هو محاسبة مُقدّمي الرعاية الصحية على امتثالهم لقانون HIPAA. ووفقًا لبينو، "نظرًا لتزايد وتيرة اختراق بيانات المعلومات الصحية غير المحمية، ومخاطر الأمن السيبراني المُستمرة التي تُؤثّر على قطاع الرعاية الصحية، من الضروري أن تأخذ الجهات المُغطاة بقانون HIPAA مسؤولياتها في الامتثال للقانون على محمل الجد". يُكرّس مكتب الحقوق المدنية جهوده للحفاظ على المعلومات الصحية من خلال إنفاذه لمخالفات الخصوصية والأمن، بما في ذلك مُقاضاة مُخالفات مالية مدنية تُرتكب دون أن تُكتشف.
وبحسب الاتفاقيات، فإن اثنتين من المستوطنات تتعلقان بانتهاكات مزعومة لمعيار حق الوصول إلى المعلومات الصحية بموجب قانون HIPAA.
السياق التاريخي والسوابق
ومنذ تقديم برنامج OCR في عام 2018، والذي يهدف إلى ضمان وصول المرضى إلى معلوماتهم الطبية في الوقت المناسب، واجه 27 مزودًا عقوبات HIPAA وتوصلوا إلى تسوية مع الوكالة بشأن إخفاقات محتملة في حق الوصول، وفقًا للمنظمة.
قضية مثيرة للجدل لوكالة يونايتد برس إنترناشونال
توصل مكتب حقوق المستهلك إلى تسوية مع طبيب أسنان استشاط غضبًا من تقييم سلبي. وغرّم مكتب الحقوق المدنية (OCR) شركة UPI 50,000 دولار أمريكي كعقوبات مالية مدنية بعد أن امتنعت الشركة عن الاستجابة لطلب بيانات من المكتب واستدعاء إداري. كما تجاهلت UPI أي اعتراضات على استنتاجات المكتب. وتأتي هذه التسوية والنتائج نتيجة حادثة غير مألوفة وقعت عام 2015.
أصل القضية
خلال عامي ٢٠١٣ و٢٠١٤، راجع مريض وكالة UPI لعلاج أسنانه. في عام ٢٠١٥، استخدم المريض اسمًا مستعارًا لنشر تقييم سلبي للوكالة على جوجل، والذي حُذف لاحقًا. ردّت UPI على التقييم السلبي بعد عدة أسابيع، كاشفةً عن اسم المريض ومعلوماته الصحية المحمية، وهو ما كان يُعدّ خرقًا للبيانات ومخالفًا للقانون آنذاك.
تم التعرف على المريض في منشور UPI، الذي اتهمهم بتقديم "ادعاءات لا أساس لها" ضده لأنه لم يقم بزيارة العيادة إلا في مناسبتين منذ أكتوبر 2013. وواصلت UPI وصف كل موعد بالإضافة إلى طبيعة تلك العلاجات، وزعمت أنها تنتقد المريض ومعدل ذكائه استعدادًا للتحقيق.
قُدِّمت شكوى من مريض إلى مكتب الحقوق المدنية، مُشيرةً إلى أن وكالة UPI انتهكت حقوقه بموجب قانون HIPAA للخصوصية. أُبلغت وكالة UPI من قِبل مكتب الحقوق المدنية بالتدقيق، وطلبت الوكالة معلومات حول سياسات وإجراءات مُقدِّم الخدمة للرد على مراجعات المرضى عبر الإنترنت، واستخدام معلومات الصحة الشخصية والإفصاح عنها، وضمانات حماية معلومات الصحة الشخصية، وإثبات التدريب على قانون HIPAA. بدأ التحقيق في العام التالي.
استمرار عدم تعاون وكالة يونايتد برس إنترناشونال
ومع ذلك، في حين اعترفت وكالة يونايتد برس إنترناشونال بأنها ردت على المراجعة السلبية للمريض وقدمت إشعار ممارسات الخصوصية الخاص بها إلى مكتب الحقوق المدنية (OCR)، إلا أنها فشلت في تزويد الوكالة بأي وثائق تدريبية أو قواعد أو إجراءات.
بعد مراجعة ردّ UPI الإلكتروني على المراجعة، قرر مكتب الحقوق المدنية (OCR) أن هذا الردّ "يُشكّل إفصاحًا غير قانوني عن معلومات صحية محمية"، وأن على UPI "حذف ردّها فورًا". كما أُبلغت UPI بأنه "ينبغي عليها، إن لم تكن لديها بالفعل مثل هذه القواعد والإجراءات، اعتماد سياسات وإجراءات تتعلق بالإفصاح عن المعلومات الصحية المحمية، وبشكل أكثر تحديدًا فيما يتعلق بمشاركة المعلومات الصحية المحمية على وسائل التواصل الاجتماعي".
وما تلا ذلك كان معركة استمرت لمدة عام بين UPI والهيئة التنظيمية، والتي تضمنت طلبات من مكتب الحقوق المدنية للحصول على نسخ من سياسات وإجراءات UPI لاستخدام وسائل التواصل الاجتماعي فيما يتصل بالكشف عن المعلومات الصحية المحمية (PHI) وما إذا كانت UPI قد أزالت استجابتها للمراجعة السلبية من موقعها على الإنترنت.
على الرغم من أن وكالة يونايتد برس إنترناشونال (UPI) أرسلت إشعارًا باستلام التدريب، إلا أنه لم يتضمن أي مواد تصف مضمونه. وصرح طبيب الأسنان، تعليقًا على عدم حذفه معلوماته الصحية المحمية من صفحته الشخصية على جوجل: "لا يزال الرد علنيًا حتى تاريخ هذا التحذير". ولم يُقدم مقدم الخدمة بعدُ قواعده وإجراءاته المتعلقة بوسائل التواصل الاجتماعي إلى مكتب حقوق المستهلك.
وذكر مكتب الحقوق المدنية أن رد الفعل على المراجعة السلبية للمريض كان انتهاكًا لقاعدة خصوصية HIPAA وحاول الحصول على بيانات مالية من UPI من أجل تحديد مبلغ العقوبة النقدية المدنية بشكل مناسب، وهو ما كان عاملاً في هذه القرارات.
مع ذلك، رفض المُقدِّم المشاركة، مُصرِّحًا بأن "السجلات المطلوبة لن تُقدَّم لأنها "لا تتعلق بقانون HIPAA". هذا الموقف مُقلق بالنظر إلى تزايد عدد حالات انتهاك قانون HIPAA التي نشهدها. وقد أوضح مكتب الحقوق المدنية (OCR)، المسؤول عن الإشراف على عقوبات HIPAA وضمان امتثال الجهات المُغطاة به، مجددًا هدف الطلبات، مما أدى إلى مزيد من رفض المشاركة وإعلان: "سأراك في المحكمة".
في ضوء تزايد عدد انتهاكات قانون حماية البيانات الشخصية (HIPAA) وما يترتب عليه من غرامات، فإن حرص مكتب الحقوق المدنية (OCR) ليس مفاجئًا. تلقت وكالة UPI استدعاءً من مكتب الحقوق المدنية في نوفمبر 2017، يطلب السجلات ذات الصلة. قد يتساءل المرء عما إذا كان هذا الرفض القاطع سيؤدي إلى غرامة باهظة لانتهاك قانون حماية البيانات الشخصية (HIPAA).
وفقًا لقانون HIPAA، "يجب على الكيان المشمول بالقانون التعاون مع مكتب الحقوق المدنية (OCR) إذا أجرى المكتب تحقيقًا أو مراجعة امتثال". وهذا يؤكد أهمية فهم لوائح HIPAA لجميع خطط الرعاية الصحية والكيانات الخاضعة لإرشادات HIPAA.
سلّطت إجراءات التنفيذ الضوء على عدم تعاون وكالة UPI المزعوم. وهذه القضية واحدة من قضايا انتهاك عديدة تُبرز أهمية الالتزام بتفويضات قانون HIPAA فيما يتعلق بالسياسات والإجراءات والممارسات.
قضايا انتهاك قانون HIPAA الأخرى الجديرة بالملاحظة
مخالفات وعقوبات بروكلي دينتال
لننتقل سريعًا إلى حالة أخرى، حيث واجهت بروكلي دينتال عقوبات صارمة ناجمة عن انتهاكات شائعة لقانون التأمين الصحي والمساءلة (HIPAA). توصلت إلى تسوية مع مكتب الحقوق المدنية بقيمة 30,000 دولار أمريكي، ودخلت في خطة عمل تصحيحية بعد أن كشف تدقيق في شكوى أحد المرضى عن عدم امتثال. في عام 2020، أصدرت وزارة الصحة والخدمات الإنسانية (HHS)، المسؤولة عن الإشراف على هذه العقوبات المتعلقة بانتهاكات قانون التأمين الصحي والمساءلة (HIPAA)، غرامة محتملة قدرها 104,000 دولار أمريكي بسبب فشل الوصول إلى المعلومات. ومع ذلك، وبعد مداولات مستفيضة، خُفِّضت الغرامة بشكل كبير.
ألزمت الاتفاقية شركة بروكلي بتطبيق ونشر سياسات وإجراءات HIPAA الشاملة، بما يضمن فهمهم لمتطلبات حق الوصول واحترامها. علاوة على ذلك، كان من المقرر تدريب جميع الموظفين، وهي خطوة حاسمة للحد من انتهاكات HIPAA مستقبلاً.
خرق شركة جاكوب وشركائه
من الحالات الأخرى التي سُلِّطت عليها الأضواء شركة جاكوب وشركاه، التي عانت من قلةٍ في قضايا اختراق البيانات. فبعد عدم استجابتها لطلباتٍ متكررة من مريضةٍ للوصول إلى سجلاتها الطبية، طُلِب منها دفع مبلغ 28,000 دولار أمريكي لمكتب الحقوق المدنية. تُعَدُّ هذه الحالات تذكيرًا صارخًا بعواقب عدم الالتزام بمعايير الخصوصية والأمان في قانون التأمين الصحي المحمول والمساءلة (HIPAA).
علاوةً على ذلك، وجدت الدراسة أن مُقدِّم الخدمة يفتقر إلى مسؤول خصوصية مُعيَّن، وهو دورٌ بالغ الأهمية في ضمان الامتثال للوائح قانون HIPAA. وقد يؤدي غياب هذا المسؤول إلى زيادة احتمالات اختراق البيانات.
إساءة استخدام البيانات الشخصية في Northcutt Dental-Fairhope
في قضية منفصلة، تورطت عيادة نورثكوت لطب الأسنان في فيرهوب في فضيحة للاشتباه بانتهاكها لقانون حماية خصوصية المرضى (HIPAA). كانت هذه الحادثة مثيرة للقلق بشكل خاص، إذ اتضح أن مقدم الخدمة استخدم البيانات لتحقيق مكاسب شخصية. أثار قرار الدكتور نورثكوت بمشاركة معلومات المرضى مع مدير حملته الاستغراب، وأدى إلى غرامات باهظة.
في الختام، تُبرز هذه الحالات المُسلّطة أهمية لوائح قانون HIPAA والعواقب المحتملة على الجهات المُغطاة به والتي لا تلتزم به. أي تقصير، سواءً كان مُتعمدًا أو غير مُتعمد، قد يُؤدي إلى عقوبات صارمة. علاوةً على ذلك، فإن أي تحقيق يُجريه مكتب الحقوق المدنية (OCR)، حتى لو بدأ بناءً على شكوى بسيطة، قد يكشف عن العديد من التناقضات الأخرى المتعلقة بقانون HIPAA.