De Health Insurance Portability and Accountability Act, ook wel HIPAA genoemd, is wetgeving die een aantal aspecten van de gezondheidszorg regelt, meestal gerelateerd aan informatieprivacy en -beveiliging, en gezondheidszorgfraude, maar hoe moeten HIPAA-overtredingen worden gemeld en aan wie moeten ze worden gemeld?
Waarom moeten HIPAA-overtredingen worden gemeld?
Als entiteiten die onder de HIPAA vallen of hun zakenpartners de HIPAA-regels schenden , of worden verdacht van het overtreden van de HIPAA-regels, moet dit worden gemeld. HIPAA-overtredingen worden vaak veroorzaakt door menselijke fouten of misverstanden over hoe HIPAA moet worden toegepast op beschermde gezondheidsinformatie (PHI) of andere elementen. In zeldzame gevallen kunnen overtredingen worden veroorzaakt door opzettelijke nalatigheid of kwaadwillig handelen. Gedekte entiteiten die verantwoordelijk zijn voor overtredingen, zijn zich er misschien niet eens van bewust dat ze buiten de HIPAA-voorschriften handelen, of dat een handeling heeft geleid tot een inbreuk op de informatie.
Bekende of ontdekte overtredingen moeten worden gemeld. Door schendingen te melden, kunnen ze indien nodig worden onderzocht, wat kan helpen het probleem op te lossen en mogelijk te voorkomen dat het zich opnieuw voordoet. Door HIPAA-overtredingen te melden, kunnen de getroffen patiënten worden geïdentificeerd, zodat ze op de hoogte kunnen worden gebracht en actie kunnen worden ondernomen om eventuele schade die zou kunnen voortvloeien uit het vrijgeven van hun informatie te minimaliseren.
Aan wie moeten HIPAA-overtredingen worden gerapporteerd?
Aan wie HIPAA-overtredingen moeten worden gemeld, hangt enigszins af van uw rol in de gezondheidszorg. Optimaal is voor werknemers dat elke overtreding of vermoede overtreding eerst moet worden gemeld aan de Compliance Officer van uw organisatie. Indien dit niet mogelijk is of indien uw organisatie geen Compliance Officer heeft, kan er gerapporteerd worden aan leidinggevenden of managers. Deze manier van handelen geeft de gedekte entiteit de mogelijkheid om onmiddellijk actie te ondernemen om de schending of inbreuk aan te pakken en te corrigeren.
Als de gedekte entiteit niet de juiste actie onderneemt, of als de werknemer dat verkiest, kunnen ze de schending of vermoede schending rechtstreeks aan het Office of Civil Rights (OCR) van het Department of Health and Human Services. De OCR is de belangrijkste handhaver van HIPAA-regels, samen met openbare procureurs-generaal. Om de OCR actie te laten ondernemen, moet de klacht specifieke details over de vermoedelijke schending of overtreding bevatten. De informatie moet zo relevant mogelijk worden gehouden en de datum of data van overtredingen bevatten, of de overtreding nog steeds plaatsvindt en wanneer het probleem voor het eerst werd ontdekt. Meldingen moeten binnen 180 dagen na de ontdekking van de inbreuk worden gedaan, aangezien de OCR na deze vertraging geen actie zal ondernemen, behalve in bepaalde uitzonderlijke omstandigheden waarin een “goede oorzaak” voor de vertraging kan worden aangetoond.
Moeten patiënten HIPAA-overtredingen of vermoedelijke overtredingen willen melden, moeten ze eerst een formele klacht indienen bij de betrokken entiteit. Dit geeft de organisatie de mogelijkheid om een intern onderzoek naar het probleem uit te voeren en mogelijk corrigerende maatregelen te nemen. De klacht moet worden gericht aan de Nalevingsfunctionaris waar mogelijk. Aangezien het de plicht is van de nalevingsfunctionarissen om de HIPAA-naleving van een gedekte entiteit te ontwerpen, implementeren en bewaken, zullen zij het meest waarschijnlijk zijn om het incident te onderzoeken en te proberen het probleem op te lossen. Patiënten moeten zich ervan bewust zijn dat dit niet het geval is. alle betrokken entiteiten hebben toegewijde nalevingsfunctionarissen. Kleinere bedrijven kunnen de rol van nalevingsfunctionaris toewijzen aan een andere werknemer die deze functie naast ion voor andere verantwoordelijkheden. Organisaties van elke omvang hebben de functies van hun Compliance Officer mogelijk uitbesteed aan een externe derde partij.
Patiënten kunnen hun klachten ook rechtstreeks aan de OCR melden, aangezien ze niet verplicht zijn om eerst contact op te nemen met de betrokken entiteit. Als patiënten besluiten deze directe weg te volgen, kan de melding worden gedaan via het speciale online klachtenportaal van de OCR of door een klachtenformulier in te dienen dat per e-mail, per post of fax kan worden verzonden. Nogmaals, klachten of meldingen van vermoedelijke HIPAA-overtredingen moeten binnen 180 dagen na ontdekking van het probleem worden ingediend. Precieze informatie, zoals data, moet worden opgenomen indien bekend, waarbij het algehele rapport zo beknopt en relevant mogelijk moet worden opgesteld. De OCR zal vervolgens de klacht in overweging nemen en bepalen of de verstrekte informatie wijst op een mogelijke HIPAA-overtreding die nader onderzoek rechtvaardigt.
Iedereen kan anoniem een klacht indienen of een HIPAA-overtreding melden. Er moet echter worden opgemerkt dat de OCR heeft verklaard dat ze geen onderzoek naar een onder de overeenkomst vallende entiteit zullen starten, tenzij de klager wordt genoemd en contactgegevens heeft verstrekt.
Er zijn voorzieningen getroffen om degenen die klachten of meld HIPAA-overtredingen. De OCR moet worden geïnformeerd als de onder de overeenkomst vallende entiteiten proberen vergeldingsmaatregelen te nemen tegen klagers, aangezien dit illegaal is.Als personen bang zijn voor represailles, kunnen ze nog steeds een klacht indienen door hun naam en contactgegevens te vermelden, maar de OCR toestemming weigeren om hun identiteit of identificerende informatie bekend te maken. In deze gevallen kan de OCR de gedekte entiteit of organisatie onderzoeken zonder identificerende details te verstrekken aan de partij die wordt onderzocht.
Het wordt ten zeerste aangeraden de HIPAA-overtredingsrapporten de details van de melder op te nemen, aangezien anonieme klachten mogelijk niet leiden tot onderzoeken. Het weigeren van toestemming om de identiteit van de klagers bekend te maken, kan ook een onderzoek vertragen, wat mogelijk kan leiden tot verdere HIPAA-schendingen of meer PHI die wordt blootgelegd. U kunt hier een meer uitgebreide HIPAA-gids lezen.