Das Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen, allgemein als HIPAA bezeichnet, ist eine Gesetzgebung, die eine Reihe von Aspekten der Gesundheitsbranche regelt, die sich hauptsächlich auf den Datenschutz und die Sicherheit von Informationen beziehen und diese verhindern Betrug im Gesundheitswesen, aber wie sollten HIPAA-Verstöße gemeldet werden und an wen sollten sie gemeldet werden?
Warum sollten HIPAA-Verstöße gemeldet werden?
Wenn von HIPAA abgedeckte Unternehmen oder deren Geschäftspartner gegen die HIPAA-Regeln verstoßen oder wenn der Verdacht besteht, gegen die HIPAA-Regeln zu verstoßen, sollte dies gemeldet werden. HIPAA-Verstöße werden häufig durch menschliches Versagen oder Missverständnisse darüber verursacht, wie HIPAA auf geschützte Gesundheitsinformationen (PHI) oder andere Elemente angewendet werden sollte. In selteneren Fällen können Verstöße durch vorsätzliche Fahrlässigkeit oder böswillige Handlungen verursacht werden. Versicherte Stellen, die für Verstöße verantwortlich sind, wissen möglicherweise nicht einmal, dass sie außerhalb der HIPAA-Bestimmungen handeln oder dass eine Aktion zu einem Informationsverstoß geführt hat.
Bekannte oder entdeckte Verstöße sollten gemeldet werden. Das Melden von Verstößen bedeutet, dass sie bei Bedarf untersucht werden können, um das Problem zu beheben und möglicherweise zu verhindern, dass es erneut auftritt. Durch die Meldung von HIPAA-Verstößen können die betroffenen Patienten auch identifiziert werden, sodass sie benachrichtigt werden und Maßnahmen ergreifen können, um Schäden zu minimieren, die durch die Veröffentlichung ihrer Informationen entstehen könnten.
Wem sollten HIPAA-Verstöße gemeldet werden?
Wem Verstöße gegen die HIPAA gemeldet werden sollten, hängt etwas von Ihrer Rolle im Gesundheitssektor ab. Optimalerweise sollte für Mitarbeiter jeder Verstoß oder vermutete Verstoß zuerst dem Compliance-Beauftragten Ihres Unternehmens gemeldet werden. Wenn dies nicht möglich ist oder wenn Ihre Organisation keinen Compliance-Beauftragten hat, können Berichte an Vorgesetzte oder Manager gesendet werden. Diese Vorgehensweise bietet dem abgedeckten Unternehmen die Möglichkeit, sofort Maßnahmen zu ergreifen, um den Verstoß oder die Verletzung zu beheben und zu korrigieren.
Sollte das abgedeckte Unternehmen keine geeigneten Maßnahmen ergreifen oder wenn der Mitarbeiter dies bevorzugt, kann er dies melden Verletzung oder vermutete Verletzung direkt an das Amt für Bürgerrechte des Ministeriums für Gesundheit und menschliche Dienste (OCR). Die OCR ist neben den Generalstaatsanwälten der Hauptdurchsetzer der HIPAA-Regeln. Damit die OCR Maßnahmen ergreifen kann, sollte die Beschwerde spezifische Details zu dem vermuteten Verstoß oder Verstoß enthalten. Die Informationen sollten so relevant wie möglich gehalten werden und das Datum oder die Daten von Verstößen enthalten, falls der Verstoß weiterhin auftritt und wann das Problem zum ersten Mal entdeckt wurde. Berichte sollten innerhalb von 180 Tagen nach Entdeckung des Verstoßes erstellt werden, da die OCR nach dieser Verzögerung keine Maßnahmen ergreift, außer in bestimmten Ausnahmefällen, in denen ein „guter Grund“ für die Verzögerung nachgewiesen werden kann.
Sollten Patienten Um Verstöße gegen die HIPAA oder vermutete Verstöße zu melden, sollten sie zunächst eine formelle Beschwerde bei der betroffenen betroffenen Stelle einreichen. Dies gibt der Organisation die Möglichkeit, eine interne Untersuchung des Problems durchzuführen und möglicherweise Korrekturmaßnahmen zu ergreifen. Die Beschwerde sollte an die Organisation gerichtet werden Compliance-Beauftragter, soweit möglich. Da es die Pflicht der Compliance-Beauftragten ist, die HIPAA-Konformität eines abgedeckten Unternehmens zu entwerfen, umzusetzen und zu überwachen, werden sie den Vorfall am wahrscheinlichsten untersuchen und versuchen, das Problem zu beheben. Die Patienten sollten sich dessen bewusst sein Alle abgedeckten Unternehmen haben dedizierte Compliance-Beauftragte. Kleinere Unternehmen können die Rolle des Compliance-Beauftragten einem anderen Mitarbeiter zuweisen, der diese Funktion zusätzlich ausführt auf andere Verantwortlichkeiten. Unternehmen jeder Größe haben möglicherweise die Funktionen ihres Compliance-Beauftragten an einen externen Dritten ausgelagert.
Patienten können ihre Beschwerden auch direkt an die OCR melden, da sie nicht verpflichtet sind, sich zuerst an das abgedeckte Unternehmen zu wenden. Sollten sich Patienten für diesen direkten Weg entscheiden, kann der Bericht über das spezielle Online-Beschwerdeportal der OCR oder durch Absenden eines Beschwerdeformulars erstellt werden, das per E-Mail, Post oder Fax gesendet werden kann. Erneut müssen Beschwerden oder Berichte über vermutete HIPAA-Verstöße innerhalb von 180 Tagen nach Entdeckung des Problems eingereicht werden. Genaue Informationen wie Daten sollten, falls bekannt, enthalten sein, wobei der Gesamtbericht so präzise und relevant wie möglich erstellt werden sollte. Die OCR prüft dann die Beschwerde und stellt fest, ob die bereitgestellten Informationen auf einen potenziellen HIPAA-Verstoß hinweisen, der eine weitere Untersuchung rechtfertigt.
Jeder kann anonym eine Beschwerde einreichen oder einen HIPAA-Verstoß melden. Es sollte jedoch beachtet werden, dass die OCR erklärt hat, dass sie keine Untersuchung eines abgedeckten Unternehmens einleiten werden, es sei denn, der Beschwerdeführer ist benannt und hat Kontaktdaten angegeben.
Es wurden Vorkehrungen getroffen, um diejenigen zu schützen, die dies tun Beschwerden oder Verstöße gegen die HIPAA. Die OCR muss benachrichtigt werden, wenn versicherte Unternehmen versuchen, Vergeltungsmaßnahmen gegen Beschwerdeführer zu ergreifen, da dies illegal ist.Sollten Personen Repressalien befürchten, können sie ihre Beschwerde dennoch unter Angabe ihres Namens und ihrer Kontaktdaten einreichen, aber die OCR-Zustimmung zur Offenlegung ihrer Identität oder zur Identifizierung von Informationen verweigern. In diesen Fällen kann die OCR die erfasste Einheit oder Organisation untersuchen, ohne der untersuchten Partei identifizierende Details zur Verfügung zu stellen.
Es wird dringend empfohlen, dass HIPAA-Verstoßberichte die Details des Reporters enthalten, da anonyme Beschwerden dies möglicherweise nicht tun zu Untersuchungen führen. Das Zurückhalten der Erlaubnis, die Identität der Beschwerdeführer preiszugeben, kann ebenfalls eine Untersuchung verlangsamen und möglicherweise dazu führen, dass weitere Verstöße gegen die HIPAA oder mehr PHI aufgedeckt werden. Einen umfassenderen HIPAA-Leitfaden finden Sie hier.