Health Insurance Portability and Accountability Act, vanligtvis kallad HIPAA, är lagstiftning som styr ett antal aspekter av hälso- och sjukvårdsindustrin, mest relaterade till informationssekretess och säkerhet, och förhindrar bedrägerier inom sjukvården, men hur ska HIPAA-överträdelser rapporteras och vem ska de rapporteras till?
Varför ska HIPAA-överträdelser rapporteras?
Om HIPAA-täckta enheter eller deras affärsföretag bryter mot HIPAA-reglerna , eller misstänks ha brutit mot HIPAA-regler, bör detta rapporteras. HIPAA-kränkningar orsakas ofta av mänskliga fel eller missförstånd om hur HIPAA ska tillämpas på skyddad hälsoinformation (PHI) eller andra element. Mer sällan kan kränkningar orsakas av uppsåtlig vårdslöshet eller skadlig handling. Täckta enheter som är ansvariga för överträdelser kanske inte ens är medvetna om att de agerar utanför HIPAA-reglerna, eller att någon åtgärd har resulterat i ett informationsöverträdelse.
Kända eller upptäckta överträdelser bör rapporteras. Rapportering av överträdelser innebär att de kan utredas om det behövs, vilket kan hjälpa till att lösa problemet och eventuellt förhindra att det uppstår igen. Rapportering av HIPAA-överträdelser gör det också möjligt att identifiera de drabbade patienterna så att de kan meddelas och vidta åtgärder för att minimera eventuella skador som kan uppstå till följd av att deras information släpps.
Vem ska HIPAA-överträdelser rapporteras till?
Vilka HIPAA-överträdelser ska rapporteras beror något på din roll i vårdsektorn. Optimalt, för anställda, bör alla överträdelser eller misstänkta överträdelser först rapporteras till din organisations Compliance Officer. Om detta inte är möjligt eller om din organisation inte har en Compliance Officer kan rapporter göras till handledare eller chefer. Denna åtgärd ger den täckta enheten möjlighet att omedelbart vidta åtgärder för att åtgärda och korrigera överträdelsen.
Om den täckta enheten misslyckas med att vidta lämpliga åtgärder, eller om den anställde föredrar, kan de rapportera brott eller misstänkt överträdelse direkt till Department of Health and Human Services Office of Civil Rights (OCR). OCR är den primära verkställaren av HIPAA-reglerna tillsammans med statsadvokaterna. För att OCR ska kunna vidta åtgärder bör klagomålet innehålla specifika detaljer om den misstänkta överträdelsen eller överträdelsen. Information bör hållas så relevant som möjligt och innehålla datum eller datum för överträdelser, om överträdelsen fortfarande inträffar och när problemet upptäcktes. Rapporter bör göras inom 180 dagar efter upptäckten av överträdelsen, eftersom OCR inte kommer att vidta åtgärder efter denna fördröjning utom i vissa exceptionella omständigheter där en ”god orsak” för förseningen kan visas.
Skulle patienter vill rapportera HIPAA-överträdelser eller misstänkta överträdelser, bör de först lämna in ett formellt klagomål till den berörda enheten. Detta ger organisationen möjlighet att genomföra en intern utredning av problemet och eventuellt vidta korrigerande åtgärder. Klagomålet bör riktas till organisationens Compliance Officer där det är möjligt. Eftersom det är Compliance Officers skyldighet att utforma, implementera och övervaka en täckt enhets HIPAA-efterlevnad kommer de att vara de som mest sannolikt kommer att undersöka händelsen och försöka lösa problemet. Patienter bör vara medvetna om att inte alla omfattade enheter har dedikerade Compliance Officers. Mindre företag kan tilldela Compliance Officer-rollen till en annan anställd som utför denna funktion i tillägg andra ansvar. Organisationer av vilken storlek som helst kan ha lagt ut sina Compliance Officer-funktioner till en extern tredje part.
Patienter kan också rapportera sina klagomål direkt till OCR, eftersom de inte är skyldiga att först kontakta den täckta enheten. Om patienter beslutar att gå denna direkta väg kan rapporten göras via OCR: s särskilda online-klagomålsportal eller genom att skicka in ett klagomålsformulär som kan skickas via e-post, post eller fax. Återigen måste klagomål eller rapporter om misstänkta HIPAA-överträdelser göras inom 180 dagar efter upptäckten av problemet. Exakt information som datum bör inkluderas om känd, med den övergripande rapporten som görs på ett så kortfattat och relevant sätt som möjligt. OCR kommer sedan att överväga klagomålet och avgöra om den information som ges pekar på en potentiell HIPAA-överträdelse som motiverar ytterligare utredning.
Vem som helst kan göra ett klagomål eller rapportera en HIPAA-överträdelse anonymt. Det bör dock noteras att OCR har angett att de inte kommer att inleda en utredning om en täckt enhet om inte den klagande har fått namnet och har lämnat kontaktuppgifter.
Det finns bestämmelser för att skydda dem som gör klagomål eller rapportera HIPAA-överträdelser. OCR måste meddelas om omfattade enheter försöker vidta vedergällningsåtgärder mot klagande, eftersom detta är olagligt.Om individer fruktar repressalier kan de ändå lämna in sitt klagomål med namn och kontaktuppgifter, men neka OCR: s samtycke till att avslöja sin identitet eller identifierande information. I dessa fall kan OCR utreda den omfattade enheten eller organisationen utan att ge någon identifierande information till den part som utreds.
Det rekommenderas starkt att HIPAA-rapporter om överträdelser innehåller information om reportern, eftersom anonyma klagomål kanske inte leda till utredningar. Att hålla inne tillstånd att avslöja klaganders identitet kan också sakta ner en utredning, vilket kan leda till ytterligare HIPAA-överträdelser eller att fler PHI exponeras. Du kan läsa en mer omfattande HIPAA-guide här.