一般にHIPAAと呼ばれる医療保険の相互運用性と説明責任に関する法律は、主に情報のプライバシーとセキュリティに関連する医療業界のさまざまな側面を管理し、防止する法律です。医療詐欺ですが、HIPAA違反はどのように報告し、誰に報告する必要がありますか?
HIPAA違反を報告する必要があるのはなぜですか?
HIPAAの対象となる事業体またはその取引先がHIPAA規則に違反している場合、またはHIPAA規則に違反している疑いがある場合は、これを報告する必要があります。 HIPAA違反は、多くの場合、人為的ミスや、HIPAAを保護された医療情報(PHI)またはその他の要素に適用する方法についての誤解によって引き起こされます。ごくまれに、故意の過失または悪意のある行動によって違反が引き起こされることがあります。違反の責任を負う対象事業体は、HIPAA規制の範囲外で行動していることや、何らかの措置によって情報漏えいが発生したことに気付かない場合があります。
既知または発見された違反を報告する必要があります。違反を報告すると、必要に応じて調査できるため、問題を解決し、再発を防ぐことができます。また、HIPAA違反を報告することで、影響を受けた患者を特定できるため、通知を受けて、情報の公開によって生じる可能性のある危害を最小限に抑えるための措置を講じることができます。
HIPAA違反は誰に報告する必要がありますか?
HIPAA違反を誰に報告するかは、医療部門でのあなたの役割によって多少異なります。最適には、従業員の場合、違反または違反の疑いがある場合は、最初に組織のコンプライアンス責任者に報告する必要があります。これが不可能な場合、または組織にコンプライアンス責任者がいない場合は、上司またはマネージャーに報告することができます。この一連の行動により、対象事業体は違反または違反に対処して修正するための措置を直ちに講じることができます。
対象事業体が適切な措置を講じなかった場合、または従業員が希望する場合は、報告することができます。保健社会福祉省の公民権局(OCR)に直接違反または違反の疑いがある。 OCRは、州の司法長官とともに、HIPAA規則の主要な施行者です。 OCRが行動を起こすためには、苦情に違反または違反の疑いに関する具体的な詳細を含める必要があります。情報は可能な限り関連性を保ち、違反の日付、違反がまだ発生している場合、および問題が最初に発見された日付を含める必要があります。遅延の「正当な原因」が示される可能性がある特定の例外的な状況を除いて、OCRはこの遅延後にアクションを実行しないため、違反の発見から180日以内に報告を行う必要があります。
患者はHIPAA違反または違反の疑いを報告したい場合は、最初に関係する対象エンティティに正式な苦情を申し立てる必要があります。これにより、組織は問題の内部調査を実施し、是正措置を講じる機会が得られます。苦情は組織の可能な場合はコンプライアンスオフィサー。対象となるエンティティのHIPAAコンプライアンスを設計、実装、監視するのはコンプライアンスオフィサーの義務であるため、インシデントを調査して問題の修正を試みる可能性が最も高いのはコンプライアンスオフィサーです。患者は次のことに注意する必要があります。対象となるすべてのエンティティには、専任のコンプライアンスオフィサーがいます。中小企業は、この機能を追加で実行する別の従業員にコンプライアンスオフィサーの役割を割り当てることができます。他の責任へのイオン。あらゆる規模の組織が、コンプライアンス責任者の職務を外部の第三者に外注している可能性があります。
患者は、対象となる事業体に最初に連絡する義務がないため、苦情をOCRに直接報告することもできます。患者がこの直接ルートを取ることを決定した場合、レポートはOCRの専用オンライン苦情ポータルを介して、または電子メール、郵便、またはファックスで送信できる苦情フォームを送信することによって作成できます。繰り返しになりますが、HIPAA違反の疑いについての苦情または報告は、問題の発見から180日以内に行う必要があります。日付などの正確な情報がわかっている場合は、その情報を含める必要があります。全体的なレポートは、可能な限り簡潔で適切な方法で作成されます。次に、OCRは苦情を検討し、提供された情報がさらなる調査を必要とする潜在的なHIPAA違反を示しているかどうかを判断します。
誰でも苦情を申し立てたり、HIPAA違反を匿名で報告したりできます。ただし、OCRは、申立人の名前と連絡先の詳細を提供しない限り、対象となる事業体の調査を開始しないと述べていることに注意してください。
作成者を保護するための規定があります。苦情またはHIPAA違反の報告。対象となる事業体が申立人に対して報復措置を講じようとする場合、これは違法であるため、OCRに通知する必要があります。個人が報復を恐れる場合でも、名前と連絡先の詳細を提供して苦情を申し立てることはできますが、身元や識別情報を開示するというOCRの同意を拒否します。 このような場合、OCRは、調査対象の当事者に特定の詳細を提供することなく、対象となるエンティティまたは組織を調査できます。
匿名の苦情には含まれない可能性があるため、HIPAA違反レポートにはレポーターの詳細を含めることを強くお勧めします。 調査につながります。 申立人の身元を明らかにする許可を保留すると、調査が遅くなる可能性があり、HIPAA違反がさらに発生したり、PHIがさらに公開されたりする可能性があります。 ここで、より包括的なHIPAAガイドを読むことができます。