I de sidste par år er sætningen “HIPAA-overtrædelse” blevet brugt meget, ofte forkert. Folk har nævnt loven, som beskytter patientens helbredsoplysninger, som en grund til, at de ikke kan blive spurgt, om de er vaccineret eller få en lægeerklæring til en arbejdsgiver.
Men at spørge nogen, om de er vaccineret, er faktisk ikke en HIPAA-overtrædelse. Det er en fin og ikke-ulovlig ting for en ikke-læge at spørge en anden ikke-læge. Hvad der er en HIPAA-overtrædelse er, hvad U. Phillip Igbinadolor, en tandlæge i North Carolina, gjorde i september 2015, ifølge Department of Health and Human Services. Efter at en patient efterlod en anonym, negativ Google-anmeldelse, loggede han på og svarede med sit eget opslag på Google-siden og sagde, at patienten gik glip af planlagte aftaler. “Fortjener han nogen vurdering som patient? Ikke engang én stjerne,” skrev Igbinadolor ifølge meddelelsen om den foreslåede beslutning, der skitserede krænkelsen. (For de nysgerrige er det redigerede HIPAA-overtrædende Google-indlæg på side 3.)
I indlægget brugte han patientens fulde navn og beskrev i detaljer det specifikke tandproblem han var i for: “ulidelige smerter” fra nederste venstre kvadrant, hvilket resulterede i en henvisning til en rodbehandling.
Sådan ser en HIPAA-overtrædelse faktisk ud. Loven siger, at sundhedsudbydere og forsikringsselskaber ikke må dele identificerbare, personlige oplysninger uden patientens samtykke. I dette tilfælde delte tandlægen (en sundhedsudbyder) offentligt en patients navn, medicinske tilstand og sygehistorie (personlige oplysninger). Som følge heraf blev kontoret idømt en bøde på 50.000 USD.
Dette er ikke en usædvanlig hændelse: En ProPublica-undersøgelse fra 2016 viste, at læger regelmæssigt inkluderer detaljer om patienters helbred som svar på negative Yelp-anmeldelser. Og i 2019 blev en anden tandlæge idømt en bøde på 10.000 USD for at have lagt oplysninger om flere patienter på Yelp.
Office for Civil Rights ved Department of Health and Human Services, som håndhæver HIPAA, spurgte at se Igbinadolors kontors interne politikker og procedurer omkring personlige helbredsoplysninger og sociale medier. Fra efteråret 2020 havde kontoret ikke leveret noget. Kontoret bør nok implementere én nem politik for at forhindre, at noget som dette sker igen: selv hvis en patient er irriterende, skal du aldrig skrive.