Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate, denumită în mod obișnuit HIPAA, este o legislație care reglementează o serie de aspecte ale industriei medicale, în principal legate de confidențialitatea și securitatea informațiilor și prevenirea fraudă în domeniul sănătății, dar cum ar trebui raportate încălcările HIPAA și cui ar trebui raportate?
De ce ar trebui raportate încălcările HIPAA?
Dacă entitățile acoperite de HIPAA sau asociații lor de afaceri încalcă regulile HIPAA , sau sunt suspectați că încalcă Regulile HIPAA, acest lucru ar trebui raportat. Încălcările HIPAA sunt adesea cauzate de erori umane sau neînțelegeri ale modului în care HIPAA ar trebui aplicat informațiilor de sănătate protejate (PHI) sau altor elemente. Mai rar, încălcările pot fi cauzate de neglijență intenționată sau de acțiuni rău intenționate. Este posibil ca entitățile acoperite responsabile de încălcări să nu știe nici măcar că acționează în afara reglementărilor HIPAA sau că unele acțiuni au dus la o încălcare a informațiilor.
Ar trebui raportate încălcările cunoscute sau descoperite. Raportarea încălcărilor înseamnă că pot fi anchetate dacă este necesar, ceea ce poate ajuta la rezolvarea problemei și poate împiedica reapariția acesteia. Raportarea încălcărilor HIPAA permite, de asemenea, identificarea pacienților afectați, astfel încât aceștia să poată fi notificați și să ia măsuri pentru a reduce la minimum orice prejudiciu care ar putea rezulta din eliberarea informațiilor lor.
Cui ar trebui raportate încălcările HIPAA?
Cui ar trebui raportate încălcările HIPAA depinde oarecum de rolul dvs. în sectorul sănătății. În mod optim, pentru angajați, orice încălcare sau suspiciune de încălcare ar trebui mai întâi raportată către ofițerul de conformitate al organizației dvs. Dacă acest lucru nu este posibil sau dacă organizația dvs. nu are un responsabil cu conformitatea, se pot face rapoarte către supervizori sau manageri. Această acțiune permite entității acoperite posibilitatea de a lua imediat măsuri pentru a remedia și corecta încălcarea sau încălcarea.
În cazul în care entitatea acoperită nu ia măsurile adecvate sau dacă angajatul preferă, poate raporta încălcare sau încălcare suspectată direct la Oficiul pentru Drepturi Civile al Departamentului Sănătate și Servicii Umane (OCR). OCR este aplicatorul principal al Regulilor HIPAA, alături de procurorii generali ai statului. Pentru ca OCR să ia măsuri, reclamația ar trebui să includă detalii specifice cu privire la încălcarea sau încălcarea suspectată. Informațiile ar trebui să fie păstrate cât mai relevante posibil și să includă data sau datele încălcărilor, dacă încălcarea se produce încă și când a fost descoperită prima dată problema. Rapoartele trebuie făcute în termen de 180 de zile de la descoperirea încălcării, deoarece OCR nu va lua măsuri după această întârziere, cu excepția anumitor circumstanțe excepționale în care poate fi arătată o „cauză bună” a întârzierii.
În cazul în care pacienții dorește să raporteze încălcările HIPAA sau încălcările suspectate, acestea ar trebui mai întâi să depună o reclamație formală la entitatea acoperită în cauză. Acest lucru oferă organizației posibilitatea de a efectua o investigație internă a problemei și, eventual, de a lua măsuri corective. Reclamația ar trebui să fie adresată Ofițerul de conformitate, acolo unde este posibil. Deoarece este de datoria ofițerilor de conformitate să proiecteze, să implementeze și să monitorizeze conformitatea HIPAA a unei entități acoperite, aceștia vor fi cei mai susceptibili să investigheze incidentul și să încerce să remedieze problema. Pacienții ar trebui să știe că nu toate entitățile acoperite au ofițeri de conformitate dedicați. Companiile mai mici pot atribui rolul de ofițer de conformitate unui alt angajat care îndeplinește această funcție în plus ion față de alte responsabilități. Organizațiile de orice dimensiune ar putea să-și fi externalizat funcțiile ofițerului de conformitate către un terț extern.
Pacienții își pot raporta plângerile direct la OCR, deoarece nu au obligația de a contacta mai întâi entitatea acoperită. În cazul în care pacienții decid să urmeze această cale directă, raportul poate fi realizat prin intermediul portalului online dedicat reclamațiilor OCR sau prin trimiterea unui formular de reclamație care poate fi trimis prin e-mail, poștă sau fax. Încă o dată, plângerile sau rapoartele privind încălcările suspecte ale HIPAA trebuie făcute în termen de 180 de zile de la descoperirea problemei. Informații precise, cum ar fi datele, ar trebui incluse dacă sunt cunoscute, raportul general fiind realizat într-un mod cât mai concis și relevant posibil. OCR va lua în considerare reclamația și va stabili dacă informațiile furnizate indică o potențială încălcare a HIPAA care justifică o anchetă ulterioară.
Oricine poate depune o reclamație sau poate raporta o încălcare HIPAA în mod anonim. Trebuie menționat, totuși, că OCR a declarat că nu vor începe o anchetă asupra unei entități acoperite decât dacă reclamantul este numit și a furnizat detalii de contact.
Există dispoziții luate pentru a proteja pe cei care fac reclamații sau raportați încălcările HIPAA. OCR trebuie să fie notificat dacă entitățile acoperite încearcă să ia măsuri de represalii împotriva reclamanților, deoarece acest lucru este ilegal.În cazul în care indivizii se tem de represalii, aceștia își pot depune plângerea cu numele și datele de contact, dar pot refuza acordul OCR pentru a-și dezvălui identitatea sau informațiile de identificare. În aceste cazuri, OCR poate investiga entitatea sau organizația acoperită fără a furniza detalii de identificare părții care face obiectul anchetei.
Este foarte recomandat ca rapoartele privind încălcarea HIPAA să includă detaliile reporterului, deoarece reclamațiile anonime ar putea să nu conduc la investigații. Dacă aveți permisiunea de a dezvălui identitatea reclamanților, puteți, de asemenea, să încetiniți o investigație, ceea ce ar putea duce la încălcări ulterioare ale HIPAA sau la expunerea mai multor PHI. Puteți citi un ghid HIPAA mai cuprinzător aici.