È vitale per tutti i membri del personale nel settore sanitario avere una solida conoscenza di cosa sia una violazione HIPAA e di come segnalarne una. Comprendere cosa comporta una violazione HIPAA dovrebbe essere incluso nella formazione HIPAA, così come dovrebbe essere l’individuo corretto a dirigere un rapporto a-che poi è incaricato di determinare se il rapporto di violazione HIPAA deve essere presentato al Dipartimento della Salute e dei Servizi umani’ Ufficio per i diritti civili (OCR).Eventuali violazioni HIPAA devono essere esaminate internamente dalle Entità coperte da HIPAA e, se del caso, dai loro soci in affari per determinare l’entità della violazione, il pericolo per le persone colpite dall’incidente e per garantire che vengano intraprese rapidamente azioni per correggere la violazione e limitare i danni. Più rapidamente viene segnalata una possibile violazione HIPAA, più semplice sarà limitare il danno potenziale che può essere causato e prevenire ulteriori violazioni delle regole HIPAA.
Segnalazione di violazioni HIPAA internamente
Quando gli operatori sanitari o assicurativi ritengono che si sia verificata una violazione di HIPAA, l’incidente dovrebbe essere reso noto a un supervisore, al responsabile della privacy dell’organizzazione o all’individuo incaricato di garantire la conformità HIPAA nel gruppo.
Le violazioni HIPAA dovute a errori umani si verificano anche quando i membri dello staff prestano molta attenzione. Il reclamo HIPAA dovrà essere esaminato internamente e una decisione presa per quanto riguarda se si tratta di una violazione oggetto di comunicazione ai sensi delle disposizioni della regola di notifica violazione HIPAA. Nella maggior parte dei casi, gli incidenti minori sono così piccoli che non richiedono l’invio di notifiche, ad esempio quando vengono commessi errori minori in buona fede.
Se hai commesso un errore, hai accidentalmente visto PHI di un paziente che non hai il permesso di visualizzare, o un’altra persona nel tuo gruppo è sospettata di violare le regole HIPAA, dovresti segnalare le violazioni HIPAA il più rapidamente possibile. Il mancato completamento di questo è probabile che sia visto in modo sfavorevole quando la violazione viene successivamente notata.
Segnalazione di una violazione HIPAA all’OCR di HHS
È anche accettabile che dipendenti e pazienti ignorino l’entità coperta e presentino un reclamo HIPAA direttamente con l’OCR se si ritiene che un’entità coperta abbia violato le regole di privacy, sicurezza o notifica di violazione HIPAA. In tutti i casi, gravi violazioni delle normative HIPAA, comprese potenziali violazioni penali, negligenza volontaria/diffusa delle regole HIPAA e una serie di sospette violazioni HIPAA dovrebbero essere rese note all’Ufficio per i diritti civili.
I reclami HIPAA possono essere inviati a questo organismo tramite il Portale dei reclami dell’OCR online, sebbene l’OCR accetterà anche reclami via fax, posta o e-mail. I dettagli di contatto per la segnalazione delle violazioni HIPAA possono essere trovati sul link sopra.
Affinché l’OCR giunga a una sentenza sul fatto che sia probabile che una violazione abbia avuto luogo, il motivo del reclamo HIPAA dovrebbe essere indicato insieme alla potenziale violazione. Dovranno essere forniti dettagli sul corpo coperto (o socio in affari), la data in cui si ritiene che la violazione HIPAA abbia avuto luogo, l’indirizzo in cui è avvenuta la violazione – se nota – e quando il denunciante è venuto a conoscenza della possibile violazione HIPAA.
I reclami devono essere presentati entro 180 giorni dal momento in cui l’entità viene a conoscenza della violazione; anche se in alcuni casi può essere allocata un’estensione del limite di tempo di segnalazione delle violazioni HIPAA se esiste un motivo valido.
Sebbene i reclami possano essere archiviati in forma anonima, è fondamentale tenere presente che l’OCR non esaminerà alcun reclamo HIPAA se non vengono forniti un nome e informazioni di contatto.
Tutti i reclami saranno presi in considerazione e le indagini sui reclami HIPAA inizieranno se si ritiene che le regole HIPAA siano state violate e che il reclamo sia archiviato entro il limite di tempo di 180 giorni.
Non tutte le violazioni HIPAA portano a insediamenti o multe monetarie civili. In alcuni casi, la questione è risolta attraverso la conformità volontaria, la guida tecnica o se l’organizzazione o il socio in affari interessati accettano di attuare misure correttive.