Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych, powszechnie nazywana HIPAA, to przepisy regulujące szereg aspektów branży opieki zdrowotnej, głównie związanych z prywatnością i bezpieczeństwem informacji oraz zapobieganiem oszustwa zdrowotne, ale w jaki sposób należy zgłaszać naruszenia ustawy HIPAA i komu należy je zgłaszać?
Dlaczego należy zgłaszać naruszenia ustawy HIPAA?
Jeśli podmioty objęte ustawą HIPAA lub ich współpracownicy naruszają zasady HIPAA lub podejrzewasz, że naruszają przepisy HIPAA, należy to zgłosić. Naruszenia ustawy HIPAA są często spowodowane błędem ludzkim lub niezrozumieniem, w jaki sposób należy stosować ustawę HIPAA w odniesieniu do chronionych informacji zdrowotnych (PHI) lub innych elementów. Rzadziej naruszenia mogą być spowodowane umyślnym zaniedbaniem lub złośliwym działaniem. Podmioty objęte odpowiedzialnością za naruszenia mogą nawet nie być świadome, że działają niezgodnie z przepisami HIPAA lub że jakieś działanie doprowadziło do naruszenia informacji.
Znane lub odkryte naruszenia należy zgłaszać. Zgłaszanie naruszeń oznacza, że w razie potrzeby można je zbadać, co może pomóc w rozwiązaniu problemu i potencjalnie zapobiec jego ponownemu wystąpieniu. Zgłaszanie naruszeń HIPAA umożliwia również identyfikację poszkodowanych pacjentów, aby mogli zostać powiadomieni i podjąć działania w celu zminimalizowania wszelkich szkód, jakie mogą wyniknąć z ujawnienia ich informacji.
Komu należy zgłaszać naruszenia HIPAA?
Komu należy zgłaszać naruszenia HIPAA, zależy w pewnym stopniu od Twojej roli w sektorze opieki zdrowotnej. Optymalnie w przypadku pracowników każde naruszenie lub podejrzenie naruszenia należy najpierw zgłosić do specjalisty ds. Zgodności w organizacji. Jeśli nie jest to możliwe lub jeśli Twoja organizacja nie ma specjalisty ds. Zgodności, można zgłaszać przełożonym lub menedżerom. Ten sposób postępowania daje podmiotowi objętemu ubezpieczeniem możliwość natychmiastowego podjęcia działań w celu usunięcia naruszenia lub naruszenia.
Jeżeli podmiot objęty ubezpieczeniem nie podejmie odpowiednich działań lub jeśli pracownik woli, może zgłosić naruszenie lub podejrzenie naruszenia bezpośrednio do Biura Praw Obywatelskich Departamentu Zdrowia i Opieki Społecznej (OCR). OCR jest głównym organem egzekwującym zasady HIPAA wraz z prokuratorami generalnymi. Aby OCR mógł podjąć działania, skarga powinna zawierać szczegółowe informacje dotyczące podejrzewanego naruszenia lub naruszenia. Informacje powinny być na tyle istotne, na ile to możliwe, i zawierać datę lub daty naruszeń, jeśli naruszenie nadal ma miejsce oraz datę pierwszego wykrycia problemu. Zgłoszenia należy dokonać w ciągu 180 dni od wykrycia naruszenia, ponieważ OCR nie podejmie żadnych działań po tym opóźnieniu, z wyjątkiem pewnych wyjątkowych okoliczności, w których można wykazać „dobrą przyczynę” opóźnienia.
Jeśli pacjenci chcą zgłosić naruszenie lub podejrzenie naruszenia HIPAA, powinni najpierw złożyć formalną skargę do zainteresowanego podmiotu, którego dotyczy umowa. Daje to organizacji możliwość przeprowadzenia wewnętrznego dochodzenia w tej sprawie i ewentualnego podjęcia działań naprawczych. Skargę należy skierować do organizacji Inspektor ds. Zgodności tam, gdzie to możliwe. Obowiązkiem urzędników ds. Zgodności jest projektowanie, wdrażanie i monitorowanie zgodności podmiotu objętego ubezpieczeniem z ustawą HIPAA, dlatego będą oni najbardziej skłonni zbadać incydent i spróbować rozwiązać problem. Pacjenci powinni mieć świadomość, że nie wszystkie podmioty objęte ochroną mają wyznaczonych Specjalistów ds. zgodności. Mniejsze firmy mogą przypisać rolę Compliance Officerowi innemu pracownikowi, który dodatkowo do innych obowiązków. Organizacje dowolnej wielkości mogły zlecić wykonywanie funkcji Inspektora ds. Zgodności zewnętrznej stronie trzeciej.
Pacjenci mogą również zgłaszać swoje skargi bezpośrednio do OCR, ponieważ nie są zobowiązani do skontaktowania się najpierw z podmiotem objętym ubezpieczeniem. Jeśli pacjenci zdecydują się na tę bezpośrednią drogę, zgłoszenie można złożyć za pośrednictwem dedykowanego internetowego portalu skarg OCR lub poprzez przesłanie formularza skargi, który można wysłać pocztą elektroniczną, pocztą lub faksem. Po raz kolejny skargi lub zgłoszenia podejrzewanych naruszeń ustawy HIPAA należy składać w ciągu 180 dni od wykrycia problemu. Jeśli są znane, należy podać dokładne informacje, takie jak daty, przy czym ogólne sprawozdanie powinno być sporządzone w możliwie zwięzły i odpowiedni sposób. Następnie OCR rozpatrzy skargę i ustali, czy podane informacje wskazują na potencjalne naruszenie ustawy HIPAA, które uzasadnia dalsze dochodzenie.
Każdy może złożyć skargę lub zgłosić naruszenie ustawy HIPAA anonimowo. Należy jednak zauważyć, że OCR oświadczył, że nie rozpocznie dochodzenia w sprawie podmiotu objętego ubezpieczeniem, dopóki skarżący nie zostanie wymieniony i nie poda danych kontaktowych.
Istnieją przepisy chroniące tych, którzy skarg lub zgłaszać naruszenia HIPAA. OCR należy powiadomić, jeśli objęte ubezpieczeniem podmioty próbują podjąć działania odwetowe wobec skarżących, ponieważ jest to niezgodne z prawem.Jeśli osoby obawiają się represji, nadal mogą złożyć skargę, podając swoje imię i nazwisko oraz dane kontaktowe, ale odmówić zgody OCR na ujawnienie ich tożsamości lub danych identyfikacyjnych. W takich przypadkach OCR może przeprowadzić dochodzenie w sprawie podmiotu lub organizacji objętej dochodzeniem bez podawania jakichkolwiek danych identyfikacyjnych stronie objętej dochodzeniem.
Stanowczo zaleca się, aby zgłoszenia o naruszeniach HIPAA zawierały dane zgłaszającego, ponieważ anonimowe skargi nie mogą prowadzić do dochodzeń. Wstrzymanie pozwolenia na ujawnienie tożsamości skarżących może również spowolnić dochodzenie, potencjalnie prowadząc do dalszych naruszeń ustawy HIPAA lub ujawnienia większej liczby PHI. Możesz przeczytać bardziej wszechstronny przewodnik HIPAA tutaj.