只需按照美国健康与人类服务网站上的指南进行操作：

违规通常是隐私规则下不允许的使用或披露，它会损害受保护健康信息的安全性或隐私性，因此使用或披露会对受影响的个人造成重大的财务、声誉或其他损害风险。

“披露”意味着数据已披露给某人，在您的示例中并非如此。此外，如果没有人真正看到数据，似乎并不存在“……伤害的重大风险”。

另一个缓解因素：尽管终端可能已解锁，但符合 HIPAA 标准的患者数据系统将因为这个原因而处于空闲锁定状态。他们还将拥有该用户是否访问任何患者数据的审计跟踪，因此您可以确定是否存在实际违规行为。

根据我对@Alex 的评论进行编辑添加：

将患者数据留在不安全的网络上违反了 HIPAA 隐私规则，通常是一件非常糟糕的事情。但是，除非有人利用该安全漏洞，否则不会发生违规行为。

他们从未真正访问过患者数据，他们只是可以。

在有人触碰它之前，它可能不会违反法律定义的 PHI——这取决于你的律师如何看待“披露”这个词——但它违反了 HIPAA 规则的英语语言意义。PHI 应该被锁定在一个封闭的系统后面，或者被加密。如果与系统无关的人可以访问系统，则系统不会关闭。

至于好心的计算机文盲，无聊的病人（或病人的孩子）开始探索只是时间问题。

编辑：我实际上永远不会建议将加密的 PHI 留在可访问的位置。

就定义违规而言，重要的是您需要披露发生违规的时间。当然，这部分是一个法律问题，我不是律师。您会发现这一系列关于何时披露的帖子很有趣：http ://www.emrandhipaa.com/tag/jan-mcdavid/

以下是其中一篇文章的一部分： 首先，您不必在每次违反受保护的健康信息 (PHI) 时都通知患者。仅当您满足以下两个条件之一时，法律才要求通知：1) 当同时违反 500 条或更多记录时，您必须通知相关患者，或者 2) 当您作为承保实体 (CE) 进行了需要“风险分析”并确定患者（或多个患者）可能遭受重大经济或声誉损害。

我刚刚参加了一家律师事务所举办的会议，他们说一家医院被罚款一大笔钱，因为清洁人员在下班后没有人在办公室时可以访问医疗记录和员工记录室。

他们所在的医院员工接受了 HIPAA 培训，但对于可能导致 PHI 违规的情况，这是罚款。