Es ist wichtig, dass alle Mitarbeiter im Gesundheitswesen genau wissen, was ein HIPAA-Verstoß ist und wie man ihn meldet. Das Verständnis, was eine HIPAA-Verletzung mit sich bringt, sollte in die HIPAA–Schulung einbezogen werden, ebenso wie die richtige Person, an die eine Meldung gerichtet werden soll – die dann die Aufgabe hat, zu bestimmen, ob der HIPAA-Verletzungsbericht beim Amt für Bürgerrechte (OCR) des Ministeriums für Gesundheit und menschliche Dienste eingereicht werden soll oder nicht.Mögliche HIPAA-Verstöße müssen intern von von HIPAA abgedeckten Unternehmen und – falls zutreffend – ihren Geschäftspartnern überprüft werden, um das Ausmaß des Verstoßes und die Gefahr für die von dem Vorfall betroffenen Personen zu ermitteln und sicherzustellen, dass rasch Maßnahmen zur Behebung des Verstoßes und zur Schadensbegrenzung ergriffen werden. Je schneller ein möglicher HIPAA-Verstoß gemeldet wird, desto einfacher ist es, den potenziellen Schaden einzuschränken und weitere Verstöße gegen die HIPAA-Regeln zu verhindern.
Interne Meldung von HIPAA-Verstößen
Wenn Mitarbeiter im Gesundheitswesen oder im Versicherungswesen der Ansicht sind, dass ein Verstoß gegen HIPAA vorliegt, sollte der Vorfall einem Vorgesetzten, dem Datenschutzbeauftragten der Organisation oder der Person mitgeteilt werden, die mit der Sicherstellung der HIPAA-Einhaltung in der Gruppe beauftragt ist.
HIPAA-Verstöße aufgrund menschlicher Fehler treten auch dann auf, wenn die Mitarbeiter große Sorgfalt walten lassen. Die HIPAA-Beschwerde muss intern geprüft und eine Entscheidung darüber getroffen werden, ob es sich um einen meldepflichtigen Verstoß gemäß den Bestimmungen der HIPAA Breach Notification Rule handelt. In den meisten Fällen sind kleinere Vorfälle so gering, dass keine Benachrichtigungen gesendet werden müssen, z. B. wenn kleinere Fehler in gutem Glauben gemacht werden.
Wenn Sie einen Fehler begangen haben, versehentlich PHI eines Patienten gesehen haben, den Sie nicht sehen dürfen, oder eine andere Person in Ihrer Gruppe im Verdacht steht, gegen die HIPAA-Regeln zu verstoßen, sollten Sie HIPAA-Verstöße so schnell wie möglich melden. Das Versäumnis, dies abzuschließen, wird wahrscheinlich ungünstig angesehen, wenn der Verstoß später bemerkt wird.
Meldung eines HIPAA-Verstoßes an die OCR von HHS
Es ist auch für Mitarbeiter und Patienten akzeptabel, die abgedeckte Entität zu umgehen und eine HIPAA-Beschwerde direkt bei OCR einzureichen, wenn der Ansicht ist, dass eine abgedeckte Entität gegen die HIPAA-Datenschutz-, Sicherheits- oder Benachrichtigungsregeln verstoßen hat. In allen Fällen sollten schwerwiegende Verstöße gegen die HIPAA-Vorschriften, einschließlich möglicher strafrechtlicher Verstöße, vorsätzlicher / weit verbreiteter Vernachlässigung der HIPAA-Regeln und einer Reihe von mutmaßlichen HIPAA-Verstößen, dem Amt für Bürgerrechte gemeldet werden.
HIPAA-Beschwerden können über das OCR-Beschwerdeportal online an diese Stelle gesendet werden, obwohl OCR Beschwerden auch per Fax, Post oder E-Mail entgegennimmt. Kontaktdaten für die Meldung von HIPAA-Verstößen finden Sie unter dem obigen Link.
Damit OCR entscheiden kann, ob ein Verstoß wahrscheinlich stattgefunden hat, sollte der Grund für die HIPAA-Beschwerde zusammen mit dem potenziellen Verstoß angegeben werden. Einzelheiten müssen über die betroffene Stelle (oder den Geschäftspartner), das Datum, an dem der HIPAA–Verstoß vermutlich stattgefunden hat, die Adresse, an der der Verstoß aufgetreten ist – falls bekannt – und wann der Beschwerdeführer Kenntnis von dem möglichen HIPAA-Verstoß erlangt hat, angegeben werden.
Beschwerden sollten innerhalb von 180 Tagen nach Bekanntwerden des Verstoßes eingereicht werden; In bestimmten Fällen kann jedoch eine Verlängerung der Frist für die Meldung von HIPAA-Verstößen gewährt werden, wenn ein triftiger Grund vorliegt.
Obwohl Beschwerden anonym eingereicht werden können, ist es wichtig zu bedenken, dass OCR keine HIPAA-Beschwerde überprüft, wenn kein Name und keine Kontaktinformationen angegeben werden.
Alle Beschwerden werden berücksichtigt, und Untersuchungen zu HIPAA-Beschwerden beginnen, wenn angenommen wird, dass gegen die HIPAA-Regeln verstoßen wurde, und die Beschwerde innerhalb der Frist von 180 Tagen eingereicht wird.
Nicht jeder HIPAA-Verstoß führt zu Abrechnungen oder zivilrechtlichen Geldstrafen. In einigen Fällen wird das Problem durch freiwillige Einhaltung, technische Anleitung oder wenn die betroffene Organisation oder der Geschäftspartner sich bereit erklärt, Korrekturmaßnahmen zu ergreifen.