Il est essentiel que tous les membres du personnel du secteur de la santé comprennent bien ce qu’est une violation de la loi HIPAA et comment en signaler une. Comprendre ce qu’implique une violation de la HIPAA devrait être inclus dans la formation HIPAA, tout comme la bonne personne à qui la signaler – qui est ensuite chargée de déterminer si le rapport de violation de la HIPAA doit ou non être soumis au Bureau des droits civils (OCR) du Ministère de la Santé et des Services sociaux.Les éventuelles violations de la loi HIPAA doivent être examinées en interne par les Entités couvertes par la Loi HIPAA et, le cas échéant, leurs associés commerciaux afin de déterminer l’étendue de la violation, le danger pour les personnes touchées par l’incident et de s’assurer que des mesures sont prises rapidement pour corriger la violation et limiter les dommages. Plus une éventuelle violation de la loi HIPAA est signalée rapidement, plus il sera simple de limiter les dommages potentiels qui peuvent être causés et d’empêcher d’autres violations des règles HIPAA.
Signalement interne des violations de la loi HIPAA
Lorsque des travailleurs de la santé ou des assurances estiment qu’une violation de la loi HIPAA a eu lieu, l’incident doit être porté à la connaissance d’un superviseur, du responsable de la protection de la vie privée de l’organisation ou de la personne chargée de veiller à la conformité de la loi HIPAA dans le groupe.
Les violations HIPAA dues à une erreur humaine se produisent même lorsque les membres du personnel sont très prudents. La plainte HIPAA devra être examinée en interne et une décision sera prise quant à savoir s’il s’agit d’une violation à signaler en vertu des dispositions de la Règle de notification de violation HIPAA. Dans la plupart des cas, les incidents mineurs sont si petits qu’ils ne nécessitent pas l’envoi de notifications, par exemple lorsque des erreurs mineures sont commises de bonne foi.
Si vous avez commis une erreur, si vous avez accidentellement vu le PHI d’un patient que vous n’avez pas la permission de consulter, ou si une autre personne de votre groupe est soupçonnée d’avoir enfreint les règles HIPAA, vous devez signaler les violations HIPAA le plus rapidement possible. Il est probable que l’omission de mener à bien cette tâche sera considérée de manière défavorable lorsque la violation sera constatée ultérieurement.
Signaler une violation HIPAA à l’OCR du HHS
Il est également acceptable pour les employés et les patients de contourner l’entité couverte et de déposer une plainte HIPAA directement auprès de l’OCR s’il est estimé qu’une Entité couverte a enfreint les Règles de confidentialité, de Sécurité ou de Notification de violation HIPAA. Dans tous les cas, les violations graves des règlements HIPAA, y compris les violations criminelles potentielles, la négligence volontaire / généralisée des règles HIPAA, et un certain nombre de violations présumées de la HIPAA devraient être portées à la connaissance du Bureau des droits civils.
Les plaintes HIPAA peuvent être envoyées à cet organisme via le portail de plaintes en ligne de l’OCR, bien que l’OCR accepte également les plaintes par fax, courrier ou courrier électronique. Les coordonnées des rapports de violation HIPAA se trouvent sur le lien ci-dessus.
Pour que l’OCR puisse décider si une violation est susceptible d’avoir eu lieu, la raison de la plainte HIPAA doit être indiquée avec la violation potentielle. Des détails devront être fournis sur l’organisme couvert (ou l’associé), la date à laquelle la violation HIPAA est présumée avoir eu lieu, l’adresse où la violation s’est produite – si elle est connue – et le moment où le plaignant a pris connaissance de la violation possible HIPAA.
Les plaintes doivent être déposées dans les 180 jours suivant la prise de conscience de la violation par l’entité; bien que, dans certains cas, une prolongation du délai de signalement des violations de la loi HIPAA puisse être allouée s’il existe une raison valable.
Bien que les plaintes puissent être déposées de manière anonyme, il est essentiel de garder à l’esprit que OCR n’examinera aucune plainte HIPAA si aucun nom et coordonnées n’est fourni.
Toutes les plaintes seront examinées et les enquêtes sur les plaintes HIPAA commenceront si les règles HIPAA sont considérées comme ayant été enfreintes et si la plainte est déposée dans le délai de 180 jours.
Toutes les violations de la loi HIPAA ne donnent pas lieu à des règlements ou à des amendes civiles. Dans certains cas, le problème est réglé par une conformité volontaire, des conseils techniques ou si l’organisation ou l’associé concerné accepte de mettre en œuvre des mesures correctives.