Health Insurance Portability and Accountability Act, ofte kalt HIPAA, er lovgivning som styrer en rekke aspekter av helsevesenet, hovedsakelig relatert til informasjonssikkerhet og sikkerhet, og forebygging helsetilsvindel, men hvordan skal HIPAA-brudd rapporteres og hvem skal de rapporteres til?
Hvorfor skal HIPAA-brudd rapporteres?
Hvis HIPAA-dekkede enheter eller deres forretningsforbindelser bryter HIPAA-regler , eller mistenkes for å ha brutt HIPAA-regler, bør dette rapporteres. HIPAA-brudd er ofte forårsaket av menneskelige feil eller misforståelser om hvordan HIPAA skal brukes på beskyttet helseinformasjon (PHI) eller andre elementer. Mer sjelden kan brudd være forårsaket av forsettlig uaktsomhet eller ondsinnet handling. Omfattede enheter som er ansvarlige for brudd, er kanskje ikke engang klar over at de handler utenfor HIPAA-regelverket, eller at noen handlinger har resultert i et informasjonsbrudd.
Kjente eller oppdagede brudd bør rapporteres. Rapportering av brudd betyr at de kan etterforskes om nødvendig, noe som kan bidra til å løse problemet og potensielt forhindre at det oppstår igjen. Rapportering av HIPAA-brudd gjør det også mulig å identifisere de berørte pasientene slik at de kan varsles og iverksette tiltak for å minimere eventuelle skader som kan oppstå som følge av utlevering av informasjonen deres.
Hvem skal HIPAA-brudd rapporteres til?
Hvem HIPAA-brudd skal rapporteres om, avhenger noe av din rolle i helsesektoren. Optimalt sett, for ansatte, skal brudd eller mistanke om brudd først rapporteres til organisasjonens Compliance Officer. Hvis dette ikke er mulig, eller hvis organisasjonen din ikke har en Compliance Officer, kan det rapporteres til veiledere eller ledere. Denne handlingen gir den omfattede enheten muligheten til å umiddelbart iverksette tiltak for å løse og korrigere brudd eller brudd.
Hvis den omfattede enheten ikke klarer å iverksette passende tiltak, eller hvis den ansatte foretrekker det, kan de rapportere brudd eller mistenkt brudd direkte til Department of Health and Human Services ‘Office of Civil Rights (OCR). OCR er den primære håndhevingen av HIPAA-reglene, sammen med statsadvokater. For at OCR skal iverksette tiltak, bør klagen inneholde spesifikke detaljer om det mistenkte bruddet eller bruddet. Informasjonen bør holdes så relevant som mulig og inkluderer dato eller datoer for brudd, hvis bruddet fremdeles forekommer, og da problemet først ble oppdaget. Rapporter bør gjøres innen 180 dager etter oppdagelsen av bruddet, da OCR ikke vil iverksette tiltak etter denne forsinkelsen, bortsett fra i visse eksepsjonelle omstendigheter der en «god grunn» for forsinkelsen kan vises.
Skulle pasienter ønsker å rapportere HIPAA-brudd eller mistanke om brudd, bør de først komme med en formell klage til den berørte enheten. Dette gir organisasjonen muligheten til å foreta en intern etterforskning av problemet og potensielt iverksette korrigerende tiltak. Klagen bør rettes til organisasjonens Compliance Officer der det er mulig. Siden det er plikten til Compliance Officers å designe, implementere og overvåke HIPAA-overholdelse av en omfattet enhet, vil de være de som mest sannsynlig vil undersøke hendelsen og prøve å løse problemet. Pasienter bør være klar over at ikke alle dekkede enheter har dedikerte Compliance Officers. Mindre selskaper kan tilordne Compliance Officer-rollen til en annen ansatt som utfører denne funksjonen i tillegg ion til andre ansvarsområder. Organisasjoner av hvilken som helst størrelse kan ha outsourcet sine Compliance Officer-funksjoner til en ekstern tredjepart.
Pasienter kan også rapportere sine klager direkte til OCR, ettersom de ikke er forpliktet til å kontakte den omfattede enheten først. Hvis pasienter bestemmer seg for å ta denne direkte ruten, kan rapporten gjøres via OCRs dedikerte online klageportal eller ved å sende inn et klageskjema som kan sendes via e-post, post eller faks. Nok en gang må klager eller rapporter om mistenkte HIPAA-brudd komme innen 180 dager etter at problemet ble oppdaget. Nøyaktig informasjon som datoer bør inkluderes hvis kjent, med den samlede rapporten som gjøres på en så kortfattet og relevant måte som mulig. OCR vil deretter vurdere klagen og avgjøre om informasjonen som gis peker på et potensielt HIPAA-brudd som berettiger videre etterforskning.
Alle kan klage eller rapportere et HIPAA-brudd anonymt. Det skal imidlertid bemerkes at OCR har uttalt at de ikke vil starte en etterforskning av en omfattet enhet med mindre klageren er oppkalt og har oppgitt kontaktdetaljer.
Det er gjort bestemmelser for å beskytte de som lager klager eller rapporterer HIPAA-brudd. OCR må varsles dersom dekkede enheter prøver å ta gjengjeldelse mot klager, da dette er ulovlig.Hvis enkeltpersoner frykter represalier, kan de fremdeles komme med klagen og oppgi navn og kontaktinformasjon, men nekte OCR-samtykke til å avsløre identiteten eller identifiserende informasjon. I disse tilfellene kan OCR undersøke den omfattede enheten eller organisasjonen uten å gi noen identifiserende detaljer til den parten som etterforskes. føre til etterforskning. Å holde tillatelse til å avsløre klagers identitet kan også bremse etterforskningen, noe som potensielt kan føre til ytterligere HIPAA-brudd eller mer PHI blir eksponert. Du kan lese en mer omfattende HIPAA-guide her.