La Ley de Portabilidad y Responsabilidad de Seguros de Salud, comúnmente llamada HIPAA, es una legislación que rige una serie de aspectos de la industria de la salud, principalmente relacionados con la privacidad y seguridad de la información, y la prevención fraude en el cuidado de la salud, pero ¿cómo se deben informar las infracciones de la HIPAA y a quién se deben informar?
¿Por qué se deben informar las infracciones de la HIPAA?
Si las entidades cubiertas por la HIPAA o sus socios comerciales violan las reglas de la HIPAA , o son sospechosos de violar las reglas de HIPAA, esto debe ser informado. Las violaciones de HIPAA a menudo son causadas por errores humanos o malentendidos sobre cómo se debe aplicar la HIPAA a la información médica protegida (PHI) u otros elementos. Más raramente, las violaciones pueden ser causadas por negligencia intencional o acción maliciosa. Es posible que las entidades cubiertas responsables de infracciones ni siquiera sepan que están actuando fuera de las regulaciones de la HIPAA o que alguna acción ha resultado en una infracción de información.
Las infracciones conocidas o descubiertas deben informarse. Informar las infracciones significa que se pueden investigar si es necesario, lo que puede ayudar a resolver el problema y, potencialmente, evitar que vuelva a ocurrir. Informar las violaciones de HIPAA también permite identificar a los pacientes afectados para que puedan ser notificados y tomar medidas para minimizar cualquier daño que pudiera resultar de la divulgación de su información.
¿A quién se deben informar las violaciones de HIPAA?
A quién se deben informar las violaciones de HIPAA depende en cierta medida de su papel en el sector de la salud. De manera óptima, para los empleados, cualquier infracción o sospecha de infracción debe informarse primero al responsable de cumplimiento de su organización. Si esto no es posible o si su organización no tiene un Oficial de Cumplimiento, se pueden hacer informes a los supervisores o gerentes. Este curso de acción le permite a la entidad cubierta la oportunidad de tomar medidas de inmediato para abordar y corregir la infracción o incumplimiento.
Si la entidad cubierta no toma las medidas adecuadas, o si el empleado lo prefiere, puede informar el violación o sospecha de violación directamente a la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos. La OCR es el principal encargado de hacer cumplir las reglas de la HIPAA, junto con los fiscales generales estatales. Para que la OCR tome medidas, la queja debe incluir detalles específicos sobre la presunta infracción o infracción. La información debe mantenerse lo más relevante posible e incluir la fecha o fechas de las infracciones, si la infracción sigue ocurriendo y cuándo se descubrió por primera vez el problema. Los informes deben realizarse dentro de los 180 días posteriores al descubrimiento de la infracción, ya que la OCR no tomará medidas después de este retraso, excepto en determinadas circunstancias excepcionales en las que se pueda demostrar una «buena causa» del retraso.
¿Deberían los pacientes Si desea informar violaciones de HIPAA o presuntas violaciones, primero debe presentar una queja formal a la entidad cubierta en cuestión. Esto le da a la organización la oportunidad de realizar una investigación interna del problema y posiblemente tomar medidas correctivas. La queja debe dirigirse al Oficial de cumplimiento cuando sea posible. Dado que es deber de los Oficiales de cumplimiento diseñar, implementar y monitorear el cumplimiento de la HIPAA de una entidad cubierta, ellos serán los más propensos a investigar el incidente y tratar de solucionar el problema. Los pacientes deben tener en cuenta que no Todas las entidades cubiertas tienen Oficiales de Cumplimiento dedicados. Las empresas más pequeñas pueden asignar el rol de Oficial de Cumplimiento a otro empleado que lleve a cabo esta función además ion a otras responsabilidades. Las organizaciones de cualquier tamaño pueden haber subcontratado las funciones de su Oficial de Cumplimiento a un tercero externo.
Los pacientes también pueden informar sus quejas directamente a la OCR, ya que no tienen la obligación de comunicarse primero con la entidad cubierta. Si los pacientes deciden tomar esta ruta directa, el informe se puede realizar a través del portal de quejas en línea exclusivo de la OCR o enviando un formulario de queja que se puede enviar por correo electrónico, correo postal o fax. Una vez más, las quejas o informes de presuntas violaciones de la HIPAA deben realizarse dentro de los 180 días posteriores al descubrimiento del problema. Si se conoce, debe incluirse información precisa, como las fechas, y el informe general debe realizarse de la manera más concisa y pertinente posible. Luego, la OCR considerará la queja y determinará si la información proporcionada apunta a una posible infracción de la HIPAA que justifica una mayor investigación.
Cualquiera puede presentar una denuncia o denunciar una infracción de la HIPAA de forma anónima. Sin embargo, debe tenerse en cuenta que la OCR ha declarado que no iniciará una investigación sobre una entidad cubierta a menos que se nombre al denunciante y haya proporcionado los datos de contacto.
Hay disposiciones para proteger a quienes hacen quejas o reportar violaciones de HIPAA. Se debe notificar a la OCR si las entidades cubiertas intentan tomar represalias contra los denunciantes, ya que esto es ilegal.Si las personas temen represalias, aún pueden presentar su queja proporcionando su nombre y datos de contacto, pero niegan el consentimiento de la OCR para revelar su identidad o información de identificación. En estos casos, la OCR puede investigar la entidad u organización cubierta sin proporcionar ningún detalle de identificación a la parte bajo investigación.
Se recomienda encarecidamente que los informes de infracción de HIPAA incluyan los detalles del denunciante, ya que es posible que las quejas anónimas no conducir a investigaciones. Retener el permiso para revelar las identidades de los denunciantes también puede ralentizar una investigación, lo que podría generar más violaciones de la HIPAA o que se exponga más PHI. Puede leer una guía HIPAA más completa aquí.