L’Health Insurance Portability and Accountability Act, comunemente chiamato HIPAA, è una legislazione che disciplina una serie di aspetti del settore sanitario, principalmente legati alla privacy e alla sicurezza delle informazioni e alla prevenzione frode sanitaria, ma come devono essere segnalate le violazioni HIPAA ea chi devono essere segnalate?
Perché dovrebbero essere segnalate violazioni HIPAA?
Se le entità coperte dall’HIPAA oi loro soci in affari violano le regole HIPAA , o sono sospettati di violare le regole HIPAA, questo dovrebbe essere segnalato. Le violazioni HIPAA sono spesso causate da errori umani o incomprensioni su come applicare l’HIPAA alle informazioni sanitarie protette (PHI) o ad altri elementi. Più raramente, le violazioni possono essere causate da negligenza intenzionale o azione dolosa. Le entità coperte responsabili delle violazioni potrebbero anche non essere consapevoli di agire al di fuori dei regolamenti HIPAA o che alcune azioni hanno portato a una violazione delle informazioni.
Le violazioni note o scoperte devono essere segnalate. Segnalare le violazioni significa che possono essere indagate se necessario, il che può aiutare a risolvere il problema e potenzialmente impedire che si ripresenti. La segnalazione di violazioni HIPAA consente inoltre di identificare i pazienti affetti in modo che possano essere informati e agire per ridurre al minimo qualsiasi danno che potrebbe derivare dal rilascio delle loro informazioni.
A chi devono essere segnalate le violazioni HIPAA?
A chi devono essere segnalate le violazioni HIPAA dipende in qualche modo dal tuo ruolo nel settore sanitario. In modo ottimale, per i dipendenti, qualsiasi violazione o sospetta violazione dovrebbe essere prima segnalata al responsabile della conformità della tua organizzazione. Se ciò non è possibile o se l’organizzazione non dispone di un responsabile della conformità, è possibile inviare segnalazioni a supervisori o manager. Questa linea di condotta offre all’entità coperta l’opportunità di intraprendere immediatamente azioni per affrontare e correggere la violazione o violazione.
Se l’entità coperta non intraprende l’azione appropriata, o se il dipendente preferisce, può segnalare il violazione o sospetta violazione direttamente all’Ufficio dei diritti civili (OCR) del Dipartimento della salute e dei servizi umani. L’OCR è il principale esecutore delle regole HIPAA, insieme ai procuratori generali dello stato. Affinché l’OCR possa intervenire, il reclamo dovrebbe includere dettagli specifici sulla sospetta violazione o violazione. Le informazioni dovrebbero essere mantenute quanto più pertinenti possibile e includere la data o le date delle violazioni, se la violazione è ancora in corso e quando il problema è stato scoperto per la prima volta. Le segnalazioni devono essere effettuate entro 180 giorni dalla scoperta della violazione poiché l’OCR non interverrà dopo questo ritardo, tranne in alcune circostanze eccezionali in cui può essere dimostrata una “buona causa” per il ritardo.
desiderano segnalare violazioni HIPAA o sospette violazioni, devono prima presentare un reclamo formale all’entità interessata interessata. Ciò offre all’organizzazione l’opportunità di condurre un’indagine interna sul problema e potenzialmente intraprendere azioni correttive. Il reclamo deve essere indirizzato all’organizzazione Responsabile della conformità ove possibile. Poiché è dovere dei responsabili della conformità progettare, implementare e monitorare la conformità HIPAA di un’entità coperta, saranno loro i più propensi a indagare sull’incidente e cercare di risolvere il problema. I pazienti devono essere consapevoli che non tutte le entità coperte hanno responsabili della conformità dedicati. Le aziende più piccole possono assegnare il ruolo di responsabile della conformità a un altro dipendente che svolge questa funzione in aggiunta ione ad altre responsabilità. Organizzazioni di qualsiasi dimensione possono aver affidato in outsourcing le funzioni del proprio Responsabile della conformità a una terza parte esterna.
I pazienti possono anche segnalare i loro reclami direttamente all’OCR, poiché non hanno l’obbligo di contattare prima l’ente coperto. Se i pazienti decidono di prendere questa strada diretta, la segnalazione può essere effettuata tramite il portale dei reclami online dedicato dell’OCR o inviando un modulo di reclamo che può essere inviato tramite e-mail, posta ordinaria o fax. Ancora una volta, i reclami o le segnalazioni di sospette violazioni HIPAA devono essere presentati entro 180 giorni dalla scoperta del problema. Informazioni precise come le date dovrebbero essere incluse, se note, e la relazione generale sarà redatta nel modo più conciso e pertinente possibile. L’OCR valuterà quindi il reclamo e determinerà se le informazioni fornite indicano una potenziale violazione HIPAA che giustifica ulteriori indagini.
Chiunque può presentare un reclamo o segnalare una violazione HIPAA in modo anonimo. Va notato, tuttavia, che l’OCR ha dichiarato che non avvierà un’indagine su un’entità coperta a meno che il denunciante non sia stato nominato e abbia fornito i dettagli di contatto.
Sono previste disposizioni per proteggere coloro che effettuano reclami o segnalare violazioni HIPAA. L’OCR deve essere informato se le entità coperte tentano di intraprendere azioni di ritorsione contro i denuncianti, poiché ciò è illegale.Se le persone temono rappresaglie, possono comunque presentare il reclamo fornendo il loro nome e i dettagli di contatto, ma negare il consenso dell’OCR a rivelare la loro identità o le informazioni di identificazione. In questi casi, l’OCR può indagare sull’entità o organizzazione interessata senza fornire alcun dettaglio identificativo alla parte indagata.
Si consiglia vivamente che le segnalazioni di violazione HIPAA includano i dettagli del segnalante, poiché i reclami anonimi potrebbero non portare a indagini. Anche la mancata autorizzazione a rivelare le identità dei denuncianti può rallentare un’indagine, portando potenzialmente a ulteriori violazioni dell’HIPAA o all’esposizione di più PHI. Puoi leggere una guida HIPAA più completa qui.