Health Insurance Portability and Accountability Act, almindeligvis kaldet HIPAA, er lovgivning, der regulerer en række aspekter af sundhedsindustrien, hovedsagelig relateret til informationsbeskyttelse og sikkerhed og forebyggelse sundhedsvæsen, men hvordan skal HIPAA-overtrædelser rapporteres, og hvem skal de rapporteres til?
Hvorfor skal HIPAA-overtrædelser rapporteres?
Hvis HIPAA-omfattede enheder eller deres forretningsforbindelser overtræder HIPAA-regler , eller mistænkes for at overtræde HIPAA-regler, skal dette rapporteres. HIPAA-overtrædelser er ofte forårsaget af menneskelige fejl eller misforståelser om, hvordan HIPAA skal anvendes på beskyttede sundhedsoplysninger (PHI) eller andre elementer. Mere sjældent kan overtrædelser skyldes forsætlig forsømmelighed eller ondsindet handling. Dækkede enheder, der er ansvarlige for overtrædelser, er måske ikke engang klar over, at de handler uden for HIPAA-reglerne, eller at en eller anden handling har resulteret i et informationsbrud.
Kendte eller opdagede overtrædelser skal rapporteres. Rapportering af overtrædelser betyder, at de kan undersøges, hvis det er nødvendigt, hvilket kan hjælpe med at løse problemet og potentielt forhindre, at det opstår igen. Rapportering af HIPAA-overtrædelser gør det også muligt at identificere de berørte patienter, så de kan underrettes og tage skridt til at minimere enhver skade, der kan opstå som følge af frigivelsen af deres oplysninger.
Hvem skal rapporteres om HIPAA-overtrædelser?
Hvem HIPAA-overtrædelser skal rapporteres for, afhænger noget af din rolle i sundhedssektoren. Optimalt, for medarbejdere, skal enhver overtrædelse eller mistanke om overtrædelse først rapporteres til din organisations Compliance Officer. Hvis dette ikke er muligt, eller hvis din organisation ikke har en Compliance Officer, kan der aflægges rapporter til vejledere eller ledere. Denne fremgangsmåde giver den dækkede enhed mulighed for straks at gribe ind for at løse og rette overtrædelsen eller overtrædelsen.
Hvis den dækkede enhed undlader at tage passende skridt, eller hvis medarbejderen foretrækker det, kan de rapportere krænkelse eller mistanke om overtrædelse direkte til Department of Health and Human Services ‘Office of Civil Rights (OCR). OCR er den primære håndhæver af HIPAA-reglerne sammen med statsadvokater. For at OCR kan handle, skal klagen indeholde specifikke detaljer om den mistænkte overtrædelse eller overtrædelse. Oplysninger skal holdes så relevante som muligt og omfatte dato eller datoer for overtrædelser, hvis overtrædelsen stadig forekommer, og da problemet først blev opdaget. Rapporter bør aflægges inden for 180 dage efter opdagelsen af overtrædelsen, da OCR ikke vil gribe ind efter denne forsinkelse undtagen i visse ekstraordinære omstændigheder, hvor en “god grund” til forsinkelsen kan vises.
Skulle patienter ønsker at rapportere HIPAA-overtrædelser eller mistanke om overtrædelser, skal de først indgive en formel klage til den pågældende dækkede enhed. Dette giver organisationen mulighed for at foretage en intern undersøgelse af problemet og potentielt tage korrigerende handlinger. Klagen skal rettes til organisationens Compliance Officer, hvor det er muligt. Da det er Compliance Officers pligt at designe, implementere og overvåge en omfattet enheds HIPAA-overholdelse, er det dem, der mest sandsynligt vil undersøge hændelsen og forsøge at løse problemet. Patienter skal være opmærksomme på, at ikke alle omfattede enheder har dedikerede Compliance Officers. Mindre virksomheder kan tildele Compliance Officer-rollen til en anden medarbejder, der udfører denne funktion i tillæg ion til andre ansvarsområder. Organisationer af enhver størrelse kan have outsourcet deres Compliance Officer-funktioner til en ekstern tredjepart.
Patienter kan også rapportere deres klager direkte til OCR, da de ikke er forpligtet til først at kontakte den dækkede enhed. Hvis patienter beslutter at tage denne direkte rute, kan rapporten laves via OCR’s dedikerede online klageportal eller ved at indsende en klageformular, der kan sendes via e-mail, post eller fax. Igen skal klager eller rapporter om mistanke om HIPAA-overtrædelser fremsættes inden for 180 dage efter opdagelsen af problemet. Præcise oplysninger såsom datoer skal medtages, hvis de er kendt, idet den samlede rapport laves på en så kortfattet og relevant måde som muligt. OCR vil derefter overveje klagen og afgøre, om de leverede oplysninger peger på en mulig HIPAA-overtrædelse, der berettiger til yderligere efterforskning.
Enhver kan fremsætte en klage eller rapportere en HIPAA-overtrædelse anonymt. Det skal dog bemærkes, at OCR har erklæret, at de ikke vil påbegynde en undersøgelse af en omfattet enhed, medmindre klageren er navngivet og har givet kontaktoplysninger.
Der er truffet bestemmelser for at beskytte dem, der foretager klager eller rapporterer HIPAA-overtrædelser. OCR skal underrettes, hvis dækkede enheder forsøger at tage gengældelse mod klager, da dette er ulovligt.Hvis enkeltpersoner frygter gengældelse, kan de stadig fremsætte deres klage med deres navn og kontaktoplysninger, men nægter OCR-samtykke til at afsløre deres identitet eller identificerende oplysninger. I disse tilfælde kan OCR undersøge den omfattede enhed eller organisation uden at give nogen identificerende detaljer til den part, der undersøges.
Det tilrådes på det kraftigste HIPAA-overtrædelsesrapporter inkluderer oplysninger om reporteren, da anonyme klager muligvis ikke føre til efterforskning. Med tilbageholdelse af tilladelse til at afsløre klageres identitet kan det også bremse en efterforskning, hvilket potentielt kan føre til yderligere HIPAA-overtrædelser eller mere PHI bliver eksponeret. Du kan læse en mere omfattende HIPAA-guide her.