létfontosságú, hogy az egészségügyi ágazat minden munkatársa határozottan megértse, mi a HIPAA megsértése,és hogyan kell jelenteni. Annak megértése, hogy a HIPAA megsértése mit jelent, bele kell foglalni a HIPAA képzésbe, csakúgy, mint a megfelelő egyénnek, aki jelentést küld neki – aki ezután feladata annak meghatározása, hogy a HIPAA jogsértési jelentést be kell-e nyújtani az Egészségügyi Minisztériumhoz és az Emberi Szolgáltatások Polgári Jogi Hivatala (OCR).Az esetleges HIPAA-jogsértéseket a HIPAA hatálya alá tartozó jogalanyoknak és – adott esetben – üzleti partnereiknek belsőleg felül kell vizsgálniuk a jogsértés mértékének, az esemény által érintett egyénekre jelentett veszélynek a meghatározása, valamint annak biztosítása érdekében, hogy a jogsértés kijavítása és a kár korlátozása érdekében gyorsan intézkedjenek. Minél gyorsabban jelentik a HIPAA esetleges megsértését, annál egyszerűbb lesz korlátozni az esetlegesen okozott károkat, és megakadályozni a HIPAA-szabályok további megsértését.
a HIPAA megsértésének belső jelentése
ha az egészségügyi vagy biztosítási dolgozók úgy vélik, hogy a HIPAA megsértése történt, az esetet tájékoztatni kell a felettesről, a szervezet Adatvédelmi Tisztviselőjéről vagy a HIPAA-megfelelés biztosításával megbízott személyről a csoportban.
a HIPAA emberi hiba miatti megsértése akkor is előfordul, ha a személyzet tagjai nagy gondossággal járnak el. A HIPAA panaszt belsőleg felül kell vizsgálni, és döntést kell hozni arról, hogy a HIPAA megsértési értesítési szabályának rendelkezései szerint bejelentendő jogsértésről van-e szó. A legtöbb esetben a kisebb incidensek olyan kicsik, hogy nem igényelnek értesítéseket, például amikor kisebb hibákat követnek el jóhiszeműen.
ha hibát követett el, véletlenül látta egy beteg PHI-jét, amelynek megtekintésére nincs engedélye, vagy a csoportjában egy másik személy gyanúja merül fel a HIPAA-szabályok megsértésével, a lehető leggyorsabban jelentse a HIPAA-jogsértéseket. Ennek elmulasztását valószínűleg kedvezőtlenül tekintik meg, amikor a jogsértést később észreveszik.
HIPAA-megsértés bejelentése a HHS OCR-jének
az alkalmazottak és a betegek számára is elfogadható, hogy megkerüljék a fedezett entitást, és HIPAA-panaszt tegyenek közvetlenül az OCR-nél, ha úgy érzik, hogy egy fedezett entitás megsértette a HIPAA adatvédelmi, biztonsági vagy értesítési szabályait. Minden esetben a HIPAA-előírások súlyos megsértését, beleértve a lehetséges bűncselekményeket, a HIPAA-szabályok szándékos/széles körű elhanyagolását, valamint számos feltételezett HIPAA-jogsértést tájékoztatni kell az állampolgári jogok hivataláról.
a HIPAA panaszokat az OCR Panaszportálján keresztül lehet elküldeni ennek a testületnek online, bár az OCR faxon, levélben vagy e-mailben is elfogadja a panaszokat. A HIPAA jogsértési jelentések elérhetőségei a fenti linken találhatók.
annak érdekében, hogy az OCR döntést hozzon arról, hogy a jogsértés valószínűleg megtörtént-e, meg kell adni a HIPAA panaszának okát a lehetséges jogsértéssel együtt. Meg kell adni az érintett szerv (vagy üzleti partner) adatait, azt az időpontot, amikor a HIPAA – jogsértés feltételezhetően megtörtént, azt a címet, ahol a jogsértés történt – ha ismert -, és amikor a panaszos tudomást szerzett a HIPAA-jogsértés lehetőségéről.
a panaszokat 180 napon belül kell benyújtani, attól számítva, hogy a szervezet tudomást szerez a jogsértésről; bár bizonyos esetekben a HIPAA megsértés bejelentési határidejének meghosszabbítása érvényes ok esetén kiosztható.
bár a panaszokat névtelenül lehet benyújtani, fontos szem előtt tartani, hogy az OCR nem vizsgálja felül a HIPAA panaszokat, ha nem adják meg a nevet és a kapcsolattartási adatokat.
minden panaszt figyelembe veszünk, és a HIPAA panaszok kivizsgálása megkezdődik, ha úgy gondolják, hogy a HIPAA szabályait megsértették, és a panaszt a 180 napos határidőn belül nyújtják be.
nem minden HIPAA jogsértés vezet településekhez vagy polgári pénzbírságokhoz. Bizonyos esetekben a kérdést önkéntes megfelelés, technikai útmutatás útján rendezik, vagy ha az érintett szervezet vagy üzleti partner beleegyezik a korrekciós intézkedések végrehajtásába.