In questo post spieghiamo come segnalare una violazione HIPAA in modo anonimo se ritieni che la tua privacy (o di qualcun altro) sia stata violata o se le regole HIPAA non vengono seguite nella tua organizzazione.
Quando può essere segnalata una presunta violazione HIPAA?
La maggior parte delle organizzazioni sanitarie fa di tutto per assicurarsi di essere in conformità con le regole HIPAA, ma a volte le normative HIPAA vengono violate dalla direzione o dai dipendenti. In tali casi, è possibile presentare un reclamo all’Ufficio per i diritti civili (OCR) del Dipartimento della salute e dei servizi umani, il principale garante delle norme HIPAA.
Tuttavia, i reclami comporteranno solo l’adozione di provvedimenti se il reclamo viene presentato entro 180 giorni dalla data in cui si è scoperto che le regole HIPAA sono state violate. In casi limitati, quando esiste una “buona causa” per cui non è stato possibile presentare un reclamo entro 180 giorni, può essere concessa un’estensione.
Tieni presente che OCR non può indagare su qualsiasi presunta violazione della regola sulla privacy HIPAA verificatisi prima del 14 aprile 2003 o violazioni delle regole di sicurezza verificatesi prima del 20 aprile 2005 perché la conformità a quegli elementi delle regole HIPAA non era obbligatoria prima di tali date.
Segnala una violazione HIPAA in modo anonimo
OCR indaga sui reclami di persone che ritengono che le regole HIPAA siano state violate da un’organizzazione sanitaria. Chiunque è autorizzato a presentare un reclamo a OCR e a questo scopo è stato sviluppato un portale online conforme.
Il portale dei reclami online contiene tutte le informazioni necessarie per inviare il reclamo. Un assistente del portale dei reclami aiuta i denuncianti a determinare se OCR è in grado di indagare.
Se desideri segnalare una violazione HIPAA in modo anonimo e preferisci non farlo online, puoi scaricare un modulo da OCR ed e-mail , posta o fax il tuo reclamo.
Il tuo diritto all’anonimato quando presenti un reclamo per violazione HIPAA
Non è obbligatorio fornire un nome e informazioni di contatto a OCR quando si invia un reclamo, ma l’OCR chiarisce che le indagini contro le entità coperte non saranno avviate a seguito di denunce anonime di violazioni HIPAA. Tutti i reclami devono includere un nome, una firma e le informazioni di contatto del denunciante.
OCR spiega che è illegale per un’entità coperta da HIPAA intraprendere qualsiasi azione di ritorsione contro un individuo che presenta un reclamo su un presunto Violazione HIPAA. In tal caso, l’OCR deve essere informato.
Detto questo, i denuncianti potrebbero ritenere di dover essere licenziati per aver presentato un reclamo o di dover affrontare la reazione dei colleghi per aver presentato ufficialmente un reclamo su una presunta violazione HIPAA.
In questi casi, il reclamo non deve essere presentato in forma anonima. Dovresti fornire il tuo nome e i dettagli di contatto e negare il consenso OCR a rivelare la tua identità o identificare le informazioni su di te. A tale scopo, in fondo al modulo di reclamo è incluso un modulo di consenso. Se neghi il consenso, OCR tratterrà le informazioni personali dall’entità coperta o dal socio in affari se il reclamo viene indagato.
Mentre in effetti è possibile segnalare una violazione HIPAA in modo anonimo, non dando il consenso OCR a rivelare il tuo l’identità potrebbe impedire le indagini di OCR, potrebbe causare ritardi nelle indagini e potrebbe comportare la chiusura dell’indagine senza che venga intrapresa alcuna azione nei confronti dell’entità interessata.