2020年8月19日

经过: Joshua M. Robbins.和rea r. musker.

2020年8月6日,美国法院对第一路进行上诉 肯定了定罪 Massachusetts妇科医生Rita Luthra为犯罪HIPAA违规和阻碍医疗保健调查。虽然这种HIPAA起诉罕见,但案件强调了风险保健提供者和其他人在处理受保护的患者信息时运行,并与政府调查人员交谈时。

Luthra起诉

Luthra的案例从更广泛的药物公司华纳·奇特科特调查,这使得在假“扬声器系列”的幌子下对医生致敬的责任。 Luthra通过该计划从公司收到超过23,000美元,规定了其骨质疏松药物给她的一些患者。根据政府起诉书,当Luthra落后于完成毒品保险保险所需的事先授权表格时,她要求华纳智士销售代表使用机密患者记录来帮助她的医疗助理填写表格。

作为较大的Warner Chilcott调查的一部分,督察卫生和人类服务办公室的特殊代理人访问了Luthra的办公室并采访了她。在采访过程中,Luthra承认她已经要求药物代表有助于事先授权,但否认他可以获得受保护的患者信息。她还提供了有关她所做的达到Warner Chilcott的付款的冲突的信息,交替声称它是为了审查他人的临床研究,并且它是为了撰写研究论文。

政府用犯罪HIPAA违规和妨碍医疗治疗调查,收取了Luthra。她在两项算法上被定罪。第一个电路维护了定罪,发现有足够的证据证明了两者。

早些时候在同一调查中,一个华纳·奇特科特药物代表有 认罪 与HIPAA违规行为类似地涉及获得对患者文件的访问,以帮助填写先前的授权表格。

HIPAA刑事法规

虽然几乎所有医疗保健提供者都熟悉HIPAA,但许多人可能不会意识到违规行为可以被惩罚为联邦犯罪。相关法规是 42 U.S.C. §1320D-6,这使得故意“使用或导致使用独特的健康标识符”是非法的,从而获得可单独识别的健康信息,或向另一个人披露这些信息。非法“获得”或“披露”信息如果它由HIPAA“覆盖实体”(如HIPAA隐私法规所定义),并且如果未经授权,人员获得或披露其披露。

授权访问和披露不受起诉,但必须适合在HIPAA规定下指定的类别之一。例如,为了患者治疗,医疗保健提供者可以向另一种医疗保健提供者提供患者信息。只要有适当的商业助理协议(BAA),也可以向“商业伙伴”提供给卫生保健提供者提供服务的“商业伙伴员”的信息。然而,遵守这些技术要求至关重要;为没有任何BAA的保险或营销目的提供患者信息,因为在Luthra的情况下 - 不是允许的例外。

违反§1320D-6的违规可能是一个轻罪(可判处长达一年的监狱或50,000美元),或者 - 如果在“假借口”下犯下或意图销售,转让或使用受保护的信息。为了商业优势,个人收益或恶意危害 - 可以是惩罚最多5甚至10年的重罪,罚款250,000美元。虽然Luthra被判缓刑,但第一个电路指出,信念“可能会对她的专业能力产生不利影响。”实际上,这种信念可以导致明显的声誉危害,以及国家许可机构的潜在问题。

潜在的增长趋势

虽然HIPAA刑事起诉历史罕见,但近年来除了华纳智科案件之外还有一个数字。例如,2015年,德克萨斯州医院员工是 被判刑 在诉讼中辩护有罪的监禁18个月,以获得个人收益的意图,以获取HIPAA信息。 2016年,俄亥俄州呼吸治疗师被判犯有未经授权访问受保护的信息。在2017年,Aegerion Pharmaceuticals 同意支付 超过3500万美元来解决销售队违反的犯罪责任,这些刑事责任违规;一位格鲁吉亚儿科心脏病学家稍后 愧疚 在相关情况下非法披露患者信息。

检察官可能会将HIPAA收费视为较大的欺诈工具和华纳·奇特科特的反弹调查。为了获得信念,政府不需要证明被告人知道他的行为侵犯了HIPAA;它必须只表明他知道他正在没有授权访问相关信息。这可以更容易向陪审团解释而不是更复杂的欺诈计划,可以提供杠杆,以诱导欺诈调查中的较低级别的数据,以与他人合作。当反冲或欺诈费用不可持续的情况下,它也可以提供“后退”费用,如Luthra的案例。

提供者提示

为避免潜在的刑事违规,提供商应确保他们已经书面策略,以指示患者健康信息的正确处理,限制仅限于适用的HIPAA例外的人员。应定期审查和更新这些政策,以确保它们与现行规定一致。他们还应与所有雇员进行定期培训,为所有员工处理或访问患者记录,准确和彻底记录关于任何披露,以及遵守提供商的隐私惯例通知。此外,提供商必须在适当的情况下,提供书面业务助理协议,以确保披露患者信息符合HIPAA的严格要求,并进一步迫使第三方获取信息,以维护隐私和安全的信息信息。

同样重要的是,在与政府调查人员交谈时,提供者应非常谨慎,无论是关于HIPAA合规性还是其他问题。后来可以将不一致,错误或不准确的回忆被用作刑事意图的证据,甚至作为单独刑事指控的基础 - 例如对Luthra的障碍指控。在讨论由HIPAA和其他医疗保健法规等复杂规则所涵盖的行为时,这种风险是发表的。更好的做法是在与来自HHS-OIG的法律执法代理人的互动之前涉及经验丰富的律师,或者调查监管遵守的任何其他政府人员。

由于Luthra案例中的第一循环,“[M] Odern医学实践需要无穷无尽的监管和令人恐惧的惩罚。”提供机密患者信息的供应商应该将警告到心脏。


此沟通不旨在创造或构成,也不是创造或构成的,律师 - 客户或任何其他法律关系。本次沟通中没有陈述构成法律建议,也不应该将本文的任何沟通都解释为,依赖或解释为法律咨询。此沟通仅用于一般信息目的,只有近期兴趣的法律发展,并不是任何主题的法律顾问的替代品。在不寻求影响读者的特定事实和情况的情况下,没有读者应根据本文的任何信息行事或避免行动或避免行动。有关更多信息,请访问www.buchalter.com。