일반적으로 HIPAA라고하는 건강 보험 이동성 및 책임법은 주로 정보 개인 정보 보호 및 보안과 관련된 의료 산업의 여러 측면을 관리하고 의료 사기, 그러나 HIPAA 위반은 어떻게보고해야하며 누구에게보고해야합니까?
HIPAA 위반을보고해야하는 이유는 무엇입니까?
HIPAA가 적용되는 법인 또는 비즈니스 동료가 HIPAA 규칙을 위반하는 경우 이거나 HIPAA 규칙을 위반하는 것으로 의심되는 경우이를보고해야합니다. HIPAA 위반은 종종 사람의 실수 나 HIPAA가 보호 된 건강 정보 (PHI) 또는 기타 요소에 적용되는 방식에 대한 오해로 인해 발생합니다. 드물게는 고의적 인 과실이나 악의적 인 행동으로 인해 위반이 발생할 수 있습니다. 위반에 대한 책임이있는 해당 주체는 자신이 HIPAA 규정을 위반하고 있거나 일부 조치로 인해 정보 유출이 발생했다는 사실조차 알지 못할 수 있습니다.
알려 졌거나 발견 된 위반 사항은보고해야합니다. 위반을보고한다는 것은 필요한 경우 조사를받을 수 있음을 의미하므로 문제를 해결하고 잠재적으로 다시 발생하지 않도록 방지 할 수 있습니다. HIPAA 위반을보고하면 영향을받는 환자를 식별하여 통지를 받고 정보 공개로 인해 발생할 수있는 피해를 최소화하기위한 조치를 취할 수 있습니다.
HIPAA 위반은 누구에게보고해야합니까?
HIPAA 위반을보고해야하는 사람은 의료 부문에서 귀하의 역할에 따라 다릅니다. 직원의 경우 위반 또는 의심되는 위반 사항을 먼저 조직의 준법 감시인에게보고해야합니다. 이것이 불가능하거나 조직에 준법 감시인이없는 경우 감독자 또는 관리자에게보고 할 수 있습니다. 이 조치 과정을 통해 해당 주체는 위반 또는 위반 사항을 해결하고 시정하기 위해 즉시 조치를 취할 수 있습니다.
해당 주체가 적절한 조치를 취하지 않거나 직원이 원하는 경우 신고 할 수 있습니다. 보건 복지부 시민권 사무소 (OCR)에 직접 위반 또는 의심되는 위반. OCR은 주 법무 장관과 함께 HIPAA 규칙의 주요 집행자입니다. OCR이 조치를 취하려면 불만 사항에는 의심되는 위반 또는 위반에 대한 구체적인 세부 정보가 포함되어야합니다. 정보는 가능한 한 관련성이 있어야하며 위반 날짜 또는 위반 날짜, 위반이 계속 발생하는 경우, 문제가 처음 발견 된시기를 포함해야합니다. OCR은 지연에 대한 “합당한 원인”이 표시 될 수있는 특정 예외적 인 상황을 제외하고는이 지연 후에 조치를 취하지 않으므로 위반 발견 후 180 일 이내에보고해야합니다.
환자 여야합니다. HIPAA 위반 또는 의심되는 위반을보고하려면 먼저 해당 대상에 공식적인 불만을 제기해야합니다.이를 통해 조직은 문제에 대한 내부 조사를 수행하고 잠재적으로 시정 조치를 취할 수 있습니다. 불만 사항은 조직의 가능한 경우 준법 감시인입니다. 적용 대상의 HIPAA 준수를 설계, 구현 및 모니터링하는 것은 준법 감시인의 의무이므로 사고를 조사하고 문제를 해결하려고 시도 할 가능성이 가장 높은 사람이 될 것입니다. 환자는 그렇지 않다는 점을 인식해야합니다. 모든 해당 법인에는 전담 준법 감시인이 있습니다. 소규모 회사는이 기능을 추가로 수행하는 다른 직원에게 준법 감시인 역할을 할당 할 수 있습니다. 다른 책임에 대한 이온. 모든 규모의 조직은 규정 준수 책임자의 기능을 외부 제 3 자에게 아웃소싱했을 수 있습니다.
환자는 또한 해당 대상에 먼저 연락 할 의무가 없기 때문에 OCR에 직접 불만 사항을보고 할 수 있습니다. 환자가이 직접 경로를 선택하는 경우 OCR의 전용 온라인 불만 포털을 통해 신고하거나 이메일, 우편 또는 팩스로 보낼 수있는 불만 양식을 제출할 수 있습니다. 다시 한 번, 의심되는 HIPAA 위반에 대한 불만 또는보고는 문제 발견 후 180 일 이내에 이루어져야합니다. 날짜와 같은 정확한 정보는 알려진 경우 포함되어야하며 전체 보고서는 가능한 한 간결하고 관련성있는 방식으로 작성되어야합니다. 그런 다음 OCR은 불만 사항을 고려하고 제공된 정보가 추가 조사가 필요한 잠재적 HIPAA 위반을 가리키는 지 여부를 결정합니다.
누구나 불만을 제기하거나 HIPAA 위반 사항을 익명으로보고 할 수 있습니다. 그러나 OCR은 불만 제 기자의 이름이 지정되고 연락처 정보를 제공하지 않는 한 해당 대상에 대한 조사를 시작하지 않을 것이라고 밝혔습니다.
만든 사람을 보호하기위한 조항이 있습니다. 불만 또는 HIPAA 위반보고. 해당 기관이 불만 제 기자에 대해 보복 조치를 취하려고하면 불법이므로 OCR에 알려야합니다.개인이 보복을 두려워하는 경우에도 이름과 연락처 정보를 제공하여 불만을 제기 할 수 있지만 OCR의 신원 또는 식별 정보 공개 동의는 거부합니다. 이러한 경우 OCR은 조사중인 당사자에게 식별 세부 정보를 제공하지 않고 해당 대상 또는 조직을 조사 할 수 있습니다.
HIPAA 위반 보고서에는 신고자의 세부 정보가 포함되어있는 것이 좋습니다. 익명의 불만은 그렇지 않을 수 있습니다. 조사로 이어집니다. 고소인의 신원을 밝히기위한 허가를 보류하면 조사 속도가 느려질 수 있으며 잠재적으로 HIPAA 위반 또는 더 많은 PHI가 노출 될 수 있습니다. 여기에서보다 포괄적 인 HIPAA 가이드를 읽을 수 있습니다.