het is van vitaal belang dat alle medewerkers in de gezondheidszorg goed begrijpen wat een HIPAA-overtreding is en hoe deze moet worden gemeld. Inzicht in wat een HIPAA overtreding met zich meebrengt moet worden opgenomen in de HIPAA training, evenals de juiste persoon om een rapport te sturen aan – die vervolgens wordt belast met het bepalen of het HIPAA overtreding rapport moet worden ingediend bij het Ministerie van Volksgezondheid en Human Services’ Office for Civil Rights (OCR).Mogelijke HIPAA-schendingen moeten intern worden beoordeeld door entiteiten die onder HIPAA vallen en – indien van toepassing – hun zakenpartners om de omvang van de inbreuk te bepalen, het gevaar voor personen die door het incident worden getroffen, en om ervoor te zorgen dat er snel actie wordt ondernomen om de inbreuk te corrigeren en de schade te beperken. Hoe sneller een mogelijke HIPAA-overtreding wordt gemeld, hoe eenvoudiger het is om de mogelijke schade die kan worden veroorzaakt te beperken en verdere inbreuken op de HIPAA-regels te voorkomen.
intern melding maken van HIPAA-schendingen
wanneer werknemers in de gezondheidszorg of verzekeringen van mening zijn dat er een schending van HIPAA heeft plaatsgevonden, moet het incident worden gemeld aan een leidinggevende, de Privacy Officer van de organisatie of aan de persoon die is belast met het waarborgen van HIPAA-naleving in de groep.
HIPAA-schendingen als gevolg van menselijke fouten komen zelfs voor wanneer medewerkers grote zorgvuldigheid betrachten. De HIPAA-klacht zal intern moeten worden beoordeeld en er zal een beslissing moeten worden genomen over de vraag of het een meldbare inbreuk is op grond van de bepalingen van de HIPAA-regel voor kennisgeving van inbreuken. In de meeste gevallen zijn kleine incidenten zo klein dat er geen meldingen hoeven te worden verzonden, bijvoorbeeld wanneer kleine fouten te goeder trouw worden gemaakt.
als u een fout heeft gemaakt, per ongeluk de PHI heeft gezien van een patiënt die u niet mag bekijken, of een andere persoon in uw groep wordt verdacht van het overtreden van de HIPAA-regels, moet u HIPAA-schendingen zo snel mogelijk melden. Het falen om dit te voltooien is waarschijnlijk ongunstig worden bekeken wanneer de breuk later wordt opgemerkt.
melding maken van een HIPAA-schending van de HHS-OCR
het is ook aanvaardbaar voor werknemers en patiënten om de gedekte entiteit te omzeilen en rechtstreeks een HIPAA-klacht bij OCR in te dienen als wordt geoordeeld dat een gedekte entiteit de HIPAA-regels inzake Privacy, beveiliging of kennisgeving van inbreuken heeft geschonden. In alle gevallen moeten ernstige inbreuken op de HIPAA-regelgeving, waaronder mogelijke criminele schendingen, opzettelijke/wijdverbreide verwaarlozing van de HIPAA-regels en een aantal vermoedelijke HIPAA-schendingen, worden gemeld aan het Bureau voor burgerrechten.
HIPAA-klachten kunnen naar deze instantie worden gestuurd via het Klachtenportaal van het OCR online, hoewel het OCR ook klachten zal accepteren via fax, post of e-mail. Contactgegevens voor het melden van HIPAA-overtredingen zijn te vinden op de bovenstaande link.
om tot een uitspraak te komen over de vraag of een inbreuk waarschijnlijk heeft plaatsgevonden, moet de reden voor de HIPAA-klacht samen met de mogelijke inbreuk worden vermeld. Er moeten gegevens worden verstrekt over de gedekte instantie( of zakenpartner), de datum waarop de HIPAA – overtreding vermoedelijk heeft plaatsgevonden, het adres waar de overtreding heeft plaatsgevonden – indien bekend-en wanneer de klager op de hoogte werd gebracht van de mogelijke HIPAA-overtreding.
klachten moeten worden ingediend binnen 180 dagen nadat de entiteit kennis heeft gekregen van de inbreuk; hoewel in bepaalde gevallen een verlenging van de termijn voor het melden van HIPAA-inbreuken kan worden toegewezen als er een geldige reden is.
hoewel klachten anoniem kunnen worden ingediend, is het belangrijk om in gedachten te houden dat OCR geen HIPAA-klachten zal beoordelen als er geen naam en contactgegevens worden verstrekt.
alle klachten zullen in behandeling worden genomen en er zal een onderzoek naar HIPAA-klachten worden ingesteld als wordt aangenomen dat de HIPAA-regels zijn geschonden en de klacht binnen de termijn van 180 dagen wordt ingediend.
niet elke HIPAA-overtreding leidt tot schikkingen of civiele monetaire boetes. In sommige gevallen wordt de kwestie opgelost door middel van vrijwillige naleving, technische richtsnoeren of als de betrokken organisatie of zakenpartner ermee instemt corrigerende maatregelen te nemen.