A Lei de Portabilidade e Responsabilidade de Seguro Saúde, comumente chamada de HIPAA, é uma legislação que rege uma série de aspectos do setor de saúde, principalmente relacionados à privacidade e segurança de informações e prevenção fraude de saúde, mas como as violações da HIPAA devem ser relatadas e a quem devem ser relatadas?
Por que as violações da HIPAA devem ser relatadas?
Se as entidades cobertas pela HIPAA ou seus associados comerciais violarem as regras da HIPAA , ou se houver suspeita de violação das regras da HIPAA, isso deve ser relatado. As violações da HIPAA são freqüentemente causadas por erro humano ou mal-entendidos sobre como a HIPAA deve ser aplicada às informações protegidas de saúde (PHI) ou outros elementos. Mais raramente, as violações podem ser causadas por negligência intencional ou ação maliciosa. As entidades cobertas responsáveis por violações podem nem mesmo estar cientes de que estão agindo fora dos regulamentos da HIPAA ou que alguma ação resultou em uma violação de informações.
Violações conhecidas ou descobertas devem ser relatadas. Reportar violações significa que elas podem ser investigadas se necessário, o que pode ajudar a resolver o problema e potencialmente evitar que ele ocorra novamente. O relato de violações do HIPAA também permite que os pacientes afetados sejam identificados para que possam ser notificados e tomem medidas para minimizar qualquer dano que possa resultar da divulgação de suas informações.
A quem as violações do HIPAA devem ser relatadas?
A quem as violações da HIPAA devem ser relatadas depende um pouco de sua função no setor de saúde. Idealmente, para os funcionários, qualquer violação ou suspeita de violação deve primeiro ser relatada ao Diretor de Conformidade da sua organização. Se isso não for possível ou se sua organização não tiver um Diretor de Conformidade, os relatórios podem ser feitos aos supervisores ou gerentes. Este curso de ação permite que a entidade coberta a oportunidade de agir imediatamente para tratar e corrigir a violação ou violação.
Se a entidade coberta deixar de tomar as medidas adequadas, ou se o funcionário preferir, eles podem relatar o violação ou suspeita de violação diretamente ao Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos (OCR). O OCR é o principal aplicador das Regras da HIPAA, junto com os procuradores-gerais do estado. Para que o OCR aja, a reclamação deve incluir detalhes específicos sobre a suspeita de violação ou violação. As informações devem ser mantidas o mais relevantes possível e incluir a data ou datas das violações, se a violação ainda está ocorrendo e quando o problema foi descoberto pela primeira vez. Os relatórios devem ser feitos dentro de 180 dias após a descoberta da violação, pois o OCR não tomará medidas após esse atraso, exceto em certas circunstâncias excepcionais em que uma “boa causa” para o atraso possa ser mostrada.
Os pacientes devem desejam relatar violações da HIPAA ou suspeitas de violações, eles devem primeiro fazer uma reclamação formal à entidade coberta em questão. Isso dá à organização a oportunidade de conduzir uma investigação interna do problema e, potencialmente, tomar medidas corretivas. A reclamação deve ser endereçada à organização Diretor de conformidade sempre que possível. Como é dever dos responsáveis por conformidade projetar, implementar e monitorar a conformidade HIPAA de uma entidade coberta, eles serão os mais propensos a investigar o incidente e tentar corrigir o problema. Os pacientes devem estar cientes de que não todas as entidades abrangidas têm Diretores de Conformidade dedicados. As empresas menores podem atribuir a função de Diretor de Conformidade a outro funcionário que exerça esta função adicionalmente responsabilidade para outras responsabilidades. Organizações de qualquer tamanho podem ter terceirizado as funções de seu Diretor de Conformidade para um terceiro externo.
Os pacientes também podem relatar suas reclamações diretamente ao OCR, já que não têm a obrigação de entrar em contato primeiro com a entidade coberta. Caso os pacientes decidam seguir esse caminho direto, o relatório pode ser feito através do portal de reclamação online dedicado do OCR ou enviando um formulário de reclamação que pode ser enviado por e-mail, correio ou fax. Mais uma vez, reclamações ou relatórios de suspeitas de violações da HIPAA devem ser feitas no prazo de 180 dias após a descoberta do problema. Informações precisas, como datas, devem ser incluídas, se conhecidas, com o relatório geral sendo feito da maneira mais concisa e relevante possível. O OCR irá então considerar a reclamação e determinar se as informações fornecidas apontam para uma violação potencial do HIPAA que justifica uma investigação mais aprofundada.
Qualquer pessoa pode fazer uma reclamação ou relatar uma violação do HIPAA anonimamente. Deve-se observar, no entanto, que o OCR declarou que não iniciará uma investigação sobre uma entidade coberta, a menos que o reclamante seja nomeado e forneça detalhes de contato.
Existem disposições para proteger aqueles que fazem reclamações ou relatar violações da HIPAA. O OCR deve ser notificado se as entidades cobertas tentarem tomar medidas retaliatórias contra os reclamantes, pois isso é ilegal.Caso os indivíduos temam represálias, eles ainda podem fazer sua reclamação fornecendo seu nome e detalhes de contato, mas negar o consentimento do OCR para revelar sua identidade ou informações de identificação. Nesses casos, o OCR pode investigar a entidade ou organização coberta sem fornecer quaisquer detalhes de identificação à parte sob investigação.
É altamente recomendável que os relatórios de violação da HIPAA incluam os detalhes do denunciante, já que reclamações anônimas não podem levar a investigações. Retirar a permissão para revelar as identidades dos reclamantes também pode retardar uma investigação, podendo levar a novas violações da HIPAA ou a exposição de mais PHI. Você pode ler um guia HIPAA mais abrangente aqui.