é vital que todos os membros do pessoal do sector da saúde tenham uma noção firme do que é uma violação do HIPAA e como comunicar uma violação. Compreender o que uma violação de HIPAA implica deve ser incluído no treinamento de HIPAA, assim como deve o indivíduo correto para direcioná – lo para-quem, então, é acusado de determinar se o relatório de violação de HIPAA deve ou não ser submetido ao Departamento de Saúde e Serviços Humanos do Escritório de Direitos Civis (OCR).As possíveis violações do HIPAA devem ser revistas internamente pelas entidades cobertas pelo HIPAA e – se for caso disso – pelos seus associados de negócios para determinar a extensão da infração, o perigo para as pessoas afetadas pelo incidente, e para garantir que sejam tomadas rapidamente medidas para corrigir a infração e limitar os danos. Quanto mais rapidamente for reportada uma possível violação do HIPAA, mais simples será restringir os danos potenciais que possam ser causados e evitar novas violações das Regras do HIPAA.
relatando violações do HIPAA internamente
quando os trabalhadores de saúde ou seguros acreditam que uma violação do HIPAA ocorreu, o incidente deve ser dado a conhecer a um supervisor, oficial de Privacidade da organização, ou ao indivíduo encarregado de garantir o cumprimento do HIPAA no grupo.
as violações de HIPAA devido a erro humano ocorrem mesmo quando os membros do pessoal tomam grande cuidado. A denúncia HIPAA terá de ser revista internamente e tomada uma decisão sobre se se trata de uma violação relatável nos termos das disposições da regra de notificação de infração HIPAA. Na maioria dos casos, os incidentes menores são tão pequenos que não exigem o envio de notificações, como quando pequenos erros são cometidos de boa fé.Se você cometeu um erro, acidentalmente viu o PHI de um paciente que você não tem permissão para ver, ou se outra pessoa no seu grupo é suspeita de violar as regras do HIPAA, você deve relatar violações do HIPAA o mais rápido possível. A falha em completar isso é provável que seja visto desfavoravelmente quando a brecha é mais tarde notado.Também é aceitável que os empregados e os doentes contornem a entidade coberta e apresentem uma queixa HIPAA directamente com a OCR, se se considerar que uma entidade coberta violou as regras de Privacidade, segurança ou notificação de violação do HIPAA. Em todos os casos, violações graves dos regulamentos HIPAA, incluindo potenciais violações criminais, negligência deliberada/generalizada das regras HIPAA, e uma série de suspeitas de violações HIPAA deve ser comunicada ao escritório de Direitos Civis.
as queixas HIPAA podem ser enviadas a este organismo através do portal de queixas da OCR online, embora a OCR também aceite queixas por fax, correio ou e-mail. Os detalhes de contato para o relatório de violação HIPAA podem ser encontrados no link acima.Para que a OCR tome uma decisão sobre a probabilidade de ocorrência de uma violação, a razão da queixa HIPAA deve ser indicada juntamente com a potencial violação. Será necessário fornecer pormenores sobre o organismo coberto (ou parceiro de negócios), a data em que se pensa ter ocorrido a violação do HIPAA, o endereço em que a violação ocorreu – se for conhecida – e quando o queixoso tomou conhecimento da possível violação do HIPAA.
as queixas devem ser apresentadas no prazo de 180 dias a contar que a entidade tenha conhecimento da violação; embora, em certos casos, uma extensão do prazo de notificação da violação do HIPAA possa ser atribuída se houver uma razão válida.Embora as queixas possam ser arquivadas anonimamente, é vital ter em mente que a OCR não irá rever qualquer queixa da HIPAA se não for fornecido um nome e informações de contacto.Todas as queixas serão consideradas e as investigações sobre as queixas HIPAA terão início se as regras HIPAA forem consideradas infringidas e a queixa for apresentada dentro do prazo de 180 dias.
nem todas as violações do HIPAA levam a liquidações ou Multas monetárias civis. Em alguns casos, a questão é resolvida através da conformidade voluntária, orientação técnica, ou se a organização ou associada comercial coberta concordar em aplicar medidas corretivas.