La loi sur la portabilité et la responsabilité de l’assurance maladie, communément appelée HIPAA, est une législation qui régit un certain nombre d’aspects du secteur de la santé, principalement liés à la confidentialité et à la sécurité des informations, et à la fraude dans les soins de santé, mais comment les violations HIPAA doivent-elles être signalées et à qui doivent-elles être signalées?
Pourquoi les violations HIPAA devraient-elles être signalées?
Si les entités couvertes par la HIPAA ou leurs partenaires commerciaux enfreignent les règles HIPAA , ou sont soupçonnés d’avoir enfreint les règles HIPAA, cela doit être signalé. Les violations de la HIPAA sont souvent causées par une erreur humaine ou des malentendus sur la manière dont la HIPAA devrait être appliquée aux informations de santé protégées (PHI) ou à d’autres éléments. Plus rarement, les violations peuvent être causées par une négligence volontaire ou une action malveillante. Les entités couvertes responsables de violations peuvent même ne pas savoir qu’elles agissent en dehors des réglementations HIPAA, ou qu’une action a entraîné une violation d’informations.
Les violations connues ou découvertes doivent être signalées. Le signalement des violations signifie qu’elles peuvent faire l’objet d’une enquête si nécessaire, ce qui peut aider à résoudre le problème et potentiellement l’empêcher de se reproduire. Le signalement des violations HIPAA permet également d’identifier les patients concernés afin qu’ils puissent être notifiés et prendre des mesures pour minimiser tout préjudice pouvant résulter de la divulgation de leurs informations.
À qui les violations HIPAA doivent-elles être signalées?
À qui les violations de la loi HIPAA doivent être signalées dépend quelque peu de votre rôle dans le secteur de la santé. Idéalement, pour les employés, toute violation ou suspicion de violation doit d’abord être signalée au responsable de la conformité de votre organisation. Si cela n’est pas possible ou si votre organisation ne dispose pas d’un responsable de la conformité, des rapports peuvent être adressés aux superviseurs ou aux responsables. Ce plan d’action permet à l’entité couverte de prendre immédiatement des mesures pour traiter et corriger la violation ou la violation.
Si l’entité couverte ne prend pas les mesures appropriées, ou si l’employé le préfère, elle peut signaler le violation ou suspicion de violation directement au Bureau des droits civils (OCR) du ministère de la Santé et des Services sociaux. L’OCR est le principal exécuteur des règles HIPAA, avec les procureurs généraux des États. Pour que l’OCR prenne des mesures, la plainte doit inclure des détails spécifiques sur la violation ou la violation présumée. Les informations doivent rester aussi pertinentes que possible et inclure la ou les dates des violations, si la violation est toujours en cours et quand le problème a été découvert pour la première fois. Les rapports doivent être effectués dans les 180 jours suivant la découverte de la violation, car l’OCR ne prendra aucune mesure après ce délai, sauf dans certaines circonstances exceptionnelles où une « bonne cause » du retard peut être démontrée.
Les patients doivent souhaitent signaler des violations de la loi HIPAA ou des violations présumées, ils doivent d’abord déposer une plainte officielle auprès de l’entité couverte concernée. Cela donne à l’organisation la possibilité de mener une enquête interne sur le problème et éventuellement de prendre des mesures correctives. La plainte doit être adressée à l’organisation. Responsable de la conformité lorsque cela est possible. Comme il est du devoir des responsables de la conformité de concevoir, de mettre en œuvre et de surveiller la conformité HIPAA d’une entité couverte, ils seront les plus susceptibles d’enquêter sur l’incident et d’essayer de résoudre le problème. Les patients doivent savoir que non toutes les entités couvertes ont des responsables de la conformité dédiés. Les petites entreprises peuvent attribuer le rôle de responsable de la conformité à un autre employé qui exécute cette fonction en plus à d’autres responsabilités. Les organisations de toute taille peuvent avoir externalisé les fonctions de leur responsable de la conformité à un tiers externe.
Les patients peuvent également signaler leurs plaintes directement à l’OCR, car ils ne sont pas obligés de contacter d’abord l’entité couverte. Si les patients décident d’emprunter cette voie directe, le rapport peut être effectué via le portail de réclamation en ligne dédié de l’OCR ou en soumettant un formulaire de réclamation qui peut être envoyé par e-mail, courrier postal ou fax. Une fois de plus, les plaintes ou les rapports de violations présumées de la HIPAA doivent être déposés dans les 180 jours suivant la découverte du problème. Des informations précises telles que les dates doivent être incluses si elles sont connues, le rapport global étant rédigé de manière aussi concise et pertinente que possible. L’OCR examinera ensuite la plainte et déterminera si les informations fournies indiquent une violation potentielle de la HIPAA qui justifie une enquête plus approfondie.
N’importe qui peut déposer une plainte ou signaler une violation de la HIPAA de manière anonyme. Il convient de noter, cependant, que l’OCR a déclaré qu’il n’ouvrira pas d’enquête sur une entité couverte à moins que le plaignant ne soit nommé et n’ait fourni ses coordonnées.
Des dispositions sont prises pour protéger ceux qui plaintes ou signaler des violations de la HIPAA. L’OCR doit être notifié si des entités couvertes tentent de prendre des mesures de rétorsion contre les plaignants, car cela est illégal.Si les individus craignent des représailles, ils peuvent toujours déposer une plainte en fournissant leur nom et leurs coordonnées, mais refuser le consentement de l’OCR pour révéler leur identité ou des informations d’identification. Dans ces cas, l’OCR peut enquêter sur l’entité ou l’organisation couverte sans fournir de détails d’identification à la partie faisant l’objet de l’enquête.
Il est fortement conseillé que les rapports de violation de la loi HIPAA incluent les coordonnées du journaliste, car les plaintes anonymes ne peuvent pas mener à des enquêtes. Le fait de détenir l’autorisation de révéler l’identité des plaignants peut également ralentir une enquête, ce qui peut conduire à d’autres violations de la loi HIPAA ou à l’exposition de plus de PHI. Vous pouvez lire un guide HIPAA plus complet ici.