I dette indlæg forklarer vi, hvordan du rapporterer en HIPAA-overtrædelse anonymt, hvis du føler, at dit (eller andres) privatliv er blevet overtrådt, hvis HIPAA-regler ikke følges i din organisation.
Hvornår kan en påstået HIPAA-overtrædelse rapporteres?
De fleste sundhedsorganisationer gør meget for at sikre, at de overholder HIPAA-reglerne, men lejlighedsvis overtræder HIPAA-reglerne af ledelsen eller medarbejderne. I sådanne tilfælde kan der indgives en klage til Department of Health and Human Services ‘Office for Civil Rights (OCR) – den vigtigste håndhæver af HIPAA-reglerne.
Imidlertid vil klager kun resultere i, at der træffes handling hvis klagen indgives inden for 180 dage efter datoen for opdagelsen af, at HIPAA-reglerne blev overtrådt. I begrænsede tilfælde, når der er ‘god grund’ til, at det ikke var muligt at indgive en klage inden for 180 dage, kan der gives en forlængelse.
Bemærk, at OCR ikke kan undersøge nogen påstået krænkelse af HIPAAs privatlivsregel der opstod før 14. april 2003 eller overtrædelser af sikkerhedsreglen, der opstod inden 20. april 2005, fordi overholdelse af disse elementer i HIPAA-reglerne ikke var obligatorisk før disse datoer.
Rapporter en HIPAA-overtrædelse anonymt
OCR undersøger klager fra enkeltpersoner, der mener, at HIPAA-regler er blevet overtrådt af en sundhedsorganisation. Enhver har tilladelse til at indsende en klage til OCR, og der er udviklet en online-kompatibel portal til dette formål.
Online-klageportalen indeholder alle de oplysninger, du har brug for til at indsende din klage. En klageportalassistent hjælper klagere med at afgøre, om OCR er i stand til at undersøge.
Hvis du ønsker at rapportere en HIPAA-overtrædelse anonymt og foretrækker ikke at gøre det online, kan du downloade en formular fra OCR og e-mail , post eller fax din klage.
Din ret til anonymitet ved indgivelse af en HIPAA-overtrædelsesklage
Det er ikke obligatorisk at angive et navn og en kontaktinformation til OCR, når du indsender en klage, men OCR gør det klart, at efterforskning mod dækkede enheder ikke vil blive indledt som et resultat af anonyme klager over HIPAA-overtrædelser. Alle klager skal omfatte klagerens navn, underskrift og kontaktoplysninger.
OCR forklarer, at det er ulovligt for en HIPAA-dækket enhed at tage gengældelsesforanstaltninger mod en person, der indgiver en klage over en påstået HIPAA overtrædelse. Skulle dette ske, skal OCR underrettes.
Når det er sagt, kan klager måske føle, at de bliver afsluttet for at fremsætte en klage, eller at de står over for tilbageslag fra kolleger for officielt at indgive en klage over en påstået HIPAA-overtrædelse.
I sådanne tilfælde bør klagen ikke indgives anonymt. Du skal angive dit navn og dine kontaktoplysninger og nægte OCR-samtykke til at afsløre din identitet eller identificerende oplysninger om dig. En samtykkeformular er inkluderet i bunden af klageformularen til dette formål. Hvis du nægter samtykke, vil OCR tilbageholde personlige oplysninger fra den omfattede enhed eller forretningsforbindelse, hvis klagen undersøges.
Mens det faktisk er muligt at rapportere en HIPAA-overtrædelse anonymt uden at give OCR-samtykke til at afsløre din identitet kan hæmme OCR’s efterforskning, kunne se enhver efterforskning forsinket og kan resultere i afslutningen af efterforskningen uden nogen handling mod den pågældende dækkede enhed.