Zákon o přenositelnosti a odpovědnosti zdravotního pojištění, běžně nazývaný HIPAA, je legislativa, která upravuje řadu aspektů zdravotnického průmyslu, většinou souvisejících s ochranou osobních údajů a zabezpečením a prevencí zdravotní podvody, ale jak by měla být hlášena porušení HIPAA a komu by měla být hlášena?
Proč by měla být hlášena porušení HIPAA?
Pokud subjekty nebo jejich obchodní partneři porušující pravidla HIPAA porušují pravidla HIPAA , nebo existuje podezření, že porušují pravidla HIPAA, mělo by to být nahlášeno. Porušení HIPAA je často způsobeno lidskou chybou nebo nedorozuměním ohledně toho, jak by měl být HIPAA aplikován na chráněné zdravotní informace (PHI) nebo jiné prvky. Zřídka může být porušení způsobeno úmyslnou nedbalostí nebo úmyslným jednáním. Subjekty, které jsou odpovědné za porušení, si možná ani neuvědomují, že jednají mimo předpisy HIPAA, nebo že některé kroky vedly k porušení informací.
Známá nebo zjištěná porušení by měla být nahlášena. Hlášení porušení znamená, že je lze v případě potřeby vyšetřit, což může pomoci problém vyřešit a potenciálně zabránit jeho opětovnému výskytu. Hlášení porušení zákona HIPAA také umožňuje identifikovat postižené pacienty, aby mohli být upozorněni a podnikli kroky k minimalizaci jakékoli újmy, která by mohla vzniknout při zveřejnění jejich informací.
Komu by měla být hlášení porušení zákona HIPAA hlášena?
Komu by se mělo hlásit porušení zákona HIPAA, to do jisté míry závisí na vaší roli ve zdravotnictví. Optimálně, pokud jde o zaměstnance, jakékoli porušení nebo podezření na porušení by mělo být nejprve nahlášeno pracovníkovi compliance vaší organizace. Pokud to není možné nebo pokud vaše organizace nemá úředníka pro dodržování předpisů, lze podávat zprávy nadřízeným nebo manažerům. Tento postup umožňuje kryté entitě příležitost okamžitě podniknout kroky k vyřešení a nápravě porušení nebo porušení.
Pokud by krytá entita nepřijala vhodná opatření, nebo pokud to zaměstnanec dává přednost, může nahlásit porušení nebo podezření na porušení přímo úřadu pro občanská práva Ministerstva zdravotnictví a lidských služeb (OCR). OCR je hlavním vymahačem pravidel HIPAA spolu s generálními státními zástupci. Aby OCR mohlo jednat, měla by stížnost obsahovat konkrétní podrobnosti o podezření na porušení nebo porušení. Informace by měly být udržovány co nejrelevantnější a měly by zahrnovat datum nebo data porušení, pokud k porušení stále dochází a kdy byl problém poprvé objeven. Hlášení by měla být podána do 180 dnů od zjištění porušení, protože OCR nebude po tomto zpoždění jednat, s výjimkou určitých výjimečných okolností, kdy lze prokázat „dobrý důvod“ zpoždění.
Měli by pacienti chtějí nahlásit porušení HIPAA nebo podezření na porušení, měli by nejprve podat formální stížnost dotčenému dotčenému subjektu. To dává organizaci příležitost provést interní vyšetřování problému a potenciálně přijmout nápravná opatření. Stížnost by měla být adresována organizaci Compliance Officer where possible. Vzhledem k tomu, že je povinností úředníků pro dodržování předpisů navrhovat, implementovat a monitorovat dodržování předpisů HIPAA u krytého subjektu, budou s největší pravděpodobností vyšetřovat incident a pokusit se problém vyřešit. Pacienti by si měli být vědomi, že ne všechny kryté subjekty mají vyhrazené pracovníky pro dodržování předpisů. Menší společnosti mohou přidělit roli odpovědného pracovníka jinému zaměstnanci, který tuto funkci provádí navíc k dalším odpovědnostem. Organizace jakékoli velikosti mohly svěřit své funkce odpovědného pracovníka externím třetím stranám.
Pacienti mohou také své stížnosti hlásit přímo OCR, protože nejsou povinni nejprve kontaktovat krytý subjekt. Pokud se pacienti rozhodnou použít tuto přímou cestu, hlášení lze podat prostřednictvím vyhrazeného online portálu pro stížnosti OCR nebo odesláním formuláře stížnosti, který lze zaslat e-mailem, poštou nebo faxem. Znovu je třeba podat stížnost nebo hlášení o podezření na porušení HIPAA do 180 dnů od zjištění problému. Měly by být zahrnuty přesné informace, jako jsou data, pokud je známa, a celková zpráva by měla být podávána co nejstručnějším a nejrelevantnějším způsobem. OCR poté posoudí stížnost a rozhodne, zda poskytnuté informace ukazují na potenciální porušení zákona HIPAA, které vyžaduje další vyšetřování.
Kdokoli může podat stížnost nebo nahlásit porušení zákona HIPAA anonymně. Je však třeba poznamenat, že úřad OCR uvedl, že nezačnou vyšetřovat subjekt, na který se vztahuje pojištění, pokud nebude jmenován stěžovatel a neposkytne kontaktní údaje.
Jsou přijata opatření na ochranu těch, kteří stížnosti nebo hlášení porušení HIPAA. OCR musí být upozorněno, pokud se kryté subjekty pokusí podniknout odvetná opatření proti stěžovatelům, protože je to nezákonné.Pokud se jednotlivci obávají odvetných opatření, mohou stále podat stížnost s uvedením svého jména a kontaktních údajů, ale odmítnou souhlas OCR se zveřejněním své identity nebo identifikačních údajů. V těchto případech může OCR vyšetřovat zahrnutou entitu nebo organizaci, aniž by vyšetřované straně poskytl jakékoli identifikační údaje.
Důrazně doporučujeme, aby zprávy o porušení předpisů HIPAA obsahovaly podrobnosti reportéra, protože anonymní stížnosti nemusí vést k vyšetřování. Zdržení povolení odhalit totožnost stěžovatelů může také zpomalit vyšetřování, což může potenciálně vést k dalšímu porušování HIPAA nebo k odhalení více PHI. Podrobnějšího průvodce HIPAA si můžete přečíst zde.