det är viktigt för alla anställda inom hälso-och sjukvårdssektorn att ha ett fast grepp om vad en HIPAA-överträdelse är och hur man rapporterar en. Att förstå vad en HIPAA-överträdelse innebär bör ingå i HIPAA – utbildning, liksom den korrekta individen att rikta en rapport till den-som sedan är ansvarig för att bestämma huruvida HIPAA-överträdelserapporten ska skickas till Department of Health and Human Services’ Office for Civil Rights (OCR).Eventuella HIPAA-överträdelser måste granskas internt av HIPAA – täckta enheter och – i förekommande fall-deras affärspartners för att bestämma omfattningen av överträdelsen, faran för personer som drabbats av händelsen och för att säkerställa att åtgärder vidtas snabbt för att korrigera överträdelsen och begränsa skadan. Ju snabbare en eventuell HIPAA-överträdelse rapporteras, desto enklare blir det att begränsa den potentiella skada som kan orsakas och för att förhindra ytterligare brott mot HIPAA-reglerna.
rapportering av HIPAA-överträdelser internt
när hälso-eller försäkringsarbetare anser att en överträdelse av HIPAA har ägt rum, bör händelsen göras känd för en handledare, organisationens Integritetsansvarig eller för den person som är ansvarig för att säkerställa HIPAA-efterlevnad i gruppen.
HIPAA-överträdelser på grund av mänskliga fel uppstår även när stor omsorg tas av anställda. HIPAA-klagomålet måste granskas internt och ett beslut fattas om huruvida det är ett Rapporteringsskyldigt brott enligt bestämmelserna i HIPAA-Överträdelseanmälningsregeln. I de flesta fall är mindre incidenter så små att de inte kräver att meddelanden skickas, till exempel när mindre misstag görs i god tro.
om du har begått ett misstag, av misstag sett PHI hos en patient som du inte har behörighet att se, eller om en annan person i din grupp misstänks ha brutit mot HIPAA-reglerna, bör du rapportera HIPAA-överträdelser så snabbt som möjligt. Misslyckandet med att slutföra detta kommer sannolikt att ses ogynnsamt när överträdelsen senare märks.
rapportering av en HIPAA-överträdelse till HHS’ OCR
det är också acceptabelt för anställda och patienter att kringgå den täckta enheten och göra ett HIPAA-klagomål direkt med OCR om det anses att en täckt enhet har brutit mot HIPAA: s Sekretess -, säkerhets-eller Överträdelseanmälningsregler. I alla fall bör allvarliga överträdelser av HIPAA-regler inklusive potentiella brottsliga överträdelser, avsiktlig/utbredd försummelse av HIPAA-Regler och ett antal misstänkta HIPAA-överträdelser göras kända för Byrån för medborgerliga rättigheter.
HIPAA-klagomål kan skickas till detta organ via OCR: s Klagomålsportal online, även om OCR också accepterar klagomål via fax, post eller e-post. Kontaktuppgifter för HIPAA-överträdelserapportering finns på länken ovan.
för att OCR ska kunna avgöra om en överträdelse sannolikt har ägt rum, bör orsaken till HIPAA-klagomålet anges tillsammans med den potentiella överträdelsen. Detaljer måste lämnas om det täckta organet (eller affärspartnern), det datum då HIPAA – överträdelsen tros ha ägt rum, adressen där överträdelsen inträffade – om den är känd-och när klaganden blev medveten om det möjliga HIPAA-överträdelsen.
klagomål ska lämnas in inom 180 dagar efter det att företaget blivit medveten om överträdelsen; även om det i vissa fall kan en förlängning av HIPAA-överträdelsens rapporteringsfrist tilldelas om det finns en giltig anledning.
även om klagomål kan lämnas in anonymt Är det viktigt att komma ihåg att OCR inte kommer att granska något HIPAA-klagomål om namn och kontaktinformation inte anges.
alla klagomål kommer att övervägas, och undersökningar av HIPAA-klagomål kommer att börja om HIPAA-reglerna tros ha brutits och klagomålet lämnas in inom 180-dagarsgränsen.
inte varje HIPAA-överträdelse leder till bosättningar eller civila monetära böter. I vissa fall löses problemet genom frivillig efterlevnad, teknisk vägledning eller om den berörda organisationen eller affärspartnern samtycker till att vidta korrigerande åtgärder.