L'accesso teorico a PHI è una violazione HIPAA, anche se nessuno lo accede?

Seguendo semplicemente le linee guida su US Heath & Sito Web Human Services :

A breach is, generally, an impermissible use or disclosure under the Privacy Rule that compromises the security or privacy of the protected health information such that the use or disclosure poses a significant risk of financial, reputational, or other harm to the affected individual.

"Divulgazione" implica che i dati siano stati divulgati a qualcuno, il che non è vero nel tuo esempio. Inoltre, non sembra che ci sia stato "rischio significativo di ... danno" se nessuno ha effettivamente visto i dati.

Un altro fattore attenuante: sebbene il terminale possa essere sbloccato, un sistema di dati paziente conforme a HIPAA avrà un blocco inattivo proprio per questo motivo. Avranno anche piste di controllo per verificare se l'utente abbia effettuato l'accesso a qualsiasi dato paziente, in modo da sapere con certezza se ci fosse una violazione effettiva.

Modifica da aggiungere in base al mio commento a @Alex:

Lasciare i dati dei pazienti su una rete non protetta è una violazione della regola sulla privacy HIPAA e una cosa molto negativa in generale. Tuttavia, la violazione non si verifica fino a quando qualcuno non approfitta di quel buco di sicurezza.

they never actually access the patient data, they just could.

Non può essere una violazione del PHI come definito dalla legge fino a quando qualcuno non lo tocca - dipende da come il tuo avvocato vede la parola "divulgazione" - ma è una violazione del senso inglese delle regole HIPAA. PHI dovrebbe essere bloccato dietro un sistema chiuso o crittografato. Un sistema non è chiuso se è accessibile da persone che non hanno attività con esso.

Per quanto riguarda gli analfabeti informatici benintenzionati, è una questione di tempo prima che un paziente annoiato (o figlio del paziente) inizi a esplorare.

modifica: in realtà non consiglierei mai di lasciare anche le PHI criptate in una posizione accessibile.

La cosa importante per quanto riguarda la definizione di una violazione è quando è necessario rivelare che si è verificata una violazione. Certamente una parte di questa è una domanda legale e io non sono un avvocato. Troverai questa serie di post su quando divulgare informazioni interessanti: link

Ecco una sezione di uno degli articoli: Innanzitutto, non è necessario informare il paziente ogni volta che si verifica una violazione delle informazioni sanitarie protette (PHI). La legge richiede la notifica solo se si incontra una delle due condizioni: 1) Quando 500 o più record sono stati violati nello stesso momento, è necessario informare i pazienti coinvolti, OPPURE 2) Quando voi come entità coperta (CE) avete condotto la necessaria "analisi del rischio" e determinato il paziente (oi pazienti) potrebbe subire un danno finanziario o reputazionale sostanziale.

Ho appena partecipato a una conferenza promossa da uno studio legale, hanno detto che un ospizio è stato multato per una notevole quantità di denaro perché l'equipaggio delle pulizie ha avuto accesso alle cartelle cliniche e gli impiegati registrano la stanza dopo ore quando nessuno era negli uffici .

Sono i dipendenti dell'ospedale che hanno una formazione HIPAA, ma è stata una multa per una situazione che avrebbe potuto portare a una violazione del PHI.