Es vital que todos los miembros del personal en el sector de la salud tengan una comprensión firme de lo que es una violación de HIPAA y cómo denunciarla. Comprender lo que implica una violación de la HIPAA debe incluirse en la capacitación de la HIPAA, al igual que la persona correcta a la que se debe dirigir un informe, a la que luego se le encarga determinar si el informe de violación de la HIPAA debe presentarse o no a la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos.Las posibles violaciones de la HIPAA deben ser revisadas internamente por las Entidades cubiertas por la HIPAA y, cuando corresponda, sus Socios Comerciales para determinar el alcance de la violación, el peligro para las personas afectadas por el incidente y para garantizar que se tomen medidas rápidamente para corregir la violación y limitar el daño. Cuanto más rápido se informe de una posible violación de la HIPAA, más sencillo será restringir el daño potencial que se puede causar y evitar nuevas infracciones de las Reglas de la HIPAA.
Reportar violaciones de HIPAA Internamente
Cuando los trabajadores de la salud o de seguros creen que se ha producido una violación de HIPAA, el incidente debe darse a conocer a un supervisor, al Oficial de Privacidad de la organización o a la persona encargada de garantizar el cumplimiento de HIPAA en el grupo.
Las violaciones de HIPAA debido a errores humanos ocurren incluso cuando los miembros del personal tienen mucho cuidado. La queja de HIPAA tendrá que ser revisada internamente y se tomará una decisión con respecto a si se trata de una violación denunciable según las disposiciones de la Regla de Notificación de Violación de HIPAA. En la mayoría de los casos, los incidentes menores son tan pequeños que no requieren que se envíen notificaciones, como cuando se cometen errores menores de buena fe.
Si ha cometido un error, ha visto accidentalmente la información médica protegida de un paciente que no tiene permiso para ver, o si se sospecha que otra persona de su grupo infringe las Reglas de la HIPAA, debe informar de las violaciones de la HIPAA lo antes posible. Es probable que el fracaso en completar esto se vea desfavorablemente cuando se note la brecha más tarde.
Informar de una violación de la HIPAA al OCR del HHS
También es aceptable que los empleados y pacientes eludan la entidad cubierta y presenten una queja de la HIPAA directamente al OCR si se considera que una Entidad Cubierta ha incumplido las Reglas de Notificación de Privacidad, Seguridad o Incumplimiento de la HIPAA. En todos los casos, las infracciones graves de las regulaciones de la HIPAA, incluidas las posibles infracciones penales, el descuido deliberado/generalizado de las Reglas de la HIPAA y una serie de presuntas violaciones de la HIPAA, deben comunicarse a la Oficina de Derechos Civiles.
Las quejas de HIPAA se pueden enviar a este organismo a través del Portal de Quejas en línea de la OCR, aunque la OCR también aceptará quejas por fax, correo postal o correo electrónico. Los detalles de contacto para reportar violaciones de HIPAA se pueden encontrar en el enlace anterior.
Para que la OCR llegue a una decisión sobre si es probable que se haya producido una violación, se debe indicar el motivo de la queja de HIPAA junto con la posible violación. Se deberán proporcionar detalles sobre el cuerpo cubierto (o el socio comercial), la fecha en que se cree que se produjo la violación de la HIPAA, la dirección donde ocurrió la violación, si se conoce, y cuándo el demandante tuvo conocimiento de la posible violación de la HIPAA.
Las quejas deben presentarse dentro de los 180 días posteriores a que la entidad tenga conocimiento de la violación; aunque en ciertos casos, se puede asignar una extensión al límite de tiempo de notificación de violaciones de HIPAA si hay una razón válida.
Aunque las quejas se pueden presentar de forma anónima, es vital tener en cuenta que OCR no revisará ninguna queja de HIPAA si no se proporciona un nombre e información de contacto.
Todas las quejas serán consideradas, y las investigaciones de las quejas de HIPAA comenzarán si se cree que se han violado las Reglas de HIPAA y la queja se presenta dentro del límite de tiempo de 180 días.
No todas las violaciones de la HIPAA conducen a acuerdos o multas monetarias civiles. En algunos casos, el problema se resuelve a través del cumplimiento voluntario, la orientación técnica o si la organización cubierta o el socio comercial acepta implementar medidas correctivas.