In dit bericht leggen we uit hoe u een HIPAA-overtreding anoniem kunt melden als u denkt dat uw (of die van iemand anders) privacy is geschonden of als de HIPAA-regels niet worden gevolgd in uw organisatie.
Wanneer kan een vermeende HIPAA-overtreding worden gemeld?
De meeste zorgorganisaties doen er alles aan om ervoor te zorgen dat ze voldoen aan de HIPAA-regels, maar af en toe worden de HIPAA-regels overtreden door management of medewerkers. In dergelijke gevallen kan een klacht worden ingediend bij het Department of Health and Human Services ‘Office for Civil Rights (OCR) – de belangrijkste handhaver van de HIPAA-regels.
Klachten zullen echter alleen resulteren in actie die wordt ondernomen. als de klacht wordt ingediend binnen 180 dagen na de datum van ontdekking dat de HIPAA-regels zijn overtreden. In een beperkt aantal gevallen, wanneer er een ‘goede reden’ is dat het niet mogelijk was om binnen 180 dagen een klacht in te dienen, kan uitstel worden verleend.
Merk op dat OCR geen enkele vermeende schending van de HIPAA-privacyregel kan onderzoeken die plaatsvonden vóór 14 april 2003 of schendingen van de beveiligingsregels die plaatsvonden vóór 20 april 2005 omdat naleving van die elementen van de HIPAA-regels vóór die datums niet verplicht waren.
Anoniem een HIPAA-overtreding melden
OCR onderzoekt klachten van personen die menen dat de HIPAA-regels zijn geschonden door een zorgorganisatie. Iedereen mag een klacht indienen bij OCR en hiervoor is een online compliant portal ontwikkeld.
Het online klachtenportaal bevat alle informatie die u nodig heeft om uw klacht in te dienen. Een assistent van het klachtenportaal helpt klagers te bepalen of OCR in staat is om onderzoek te doen.
Als u een HIPAA-overtreding anoniem wilt melden, en dit liever niet online doet, kunt u een formulier downloaden van OCR en een e-mail sturen. , post of fax uw klacht.
Uw recht op anonimiteit bij het indienen van een klacht over een HIPAA-overtreding
Het is niet verplicht om een naam en contactgegevens aan OCR te verstrekken bij het indienen van een klacht, maar OCR maakt duidelijk dat er geen onderzoeken tegen gedekte entiteiten zullen worden gestart als gevolg van anonieme klachten over HIPAA-overtredingen. Alle klachten moeten een naam, handtekening en contactgegevens van de klager bevatten.
OCR legt uit dat het illegaal is voor een entiteit die onder de HIPAA valt om vergeldingsmaatregelen te nemen tegen een persoon die een klacht indient over een vermeende HIPAA-overtreding. Mocht dat gebeuren, dan moet OCR op de hoogte worden gebracht.
Dat gezegd hebbende, kunnen klagers het gevoel hebben dat ze moeten worden ontslagen omdat ze een klacht hebben ingediend of dat ze te maken krijgen met terugslag van collega’s omdat ze officieel een klacht hebben ingediend over een vermeende HIPAA-overtreding.
In dergelijke gevallen mag de klacht niet anoniem worden ingediend. U dient uw naam en contactgegevens op te geven en OCR-toestemming te weigeren om uw identiteit of identificerende informatie over u bekend te maken. Hiervoor is onderaan het klachtenformulier een toestemmingsformulier opgenomen. Als u toestemming weigert, zal OCR persoonlijke informatie onthouden aan de betrokken entiteit of zakenpartner als de klacht wordt onderzocht.
Hoewel het in feite mogelijk is om een HIPAA-overtreding anoniem te melden, geeft OCR geen toestemming om uw identiteit kan het onderzoek van OCR belemmeren, kan een onderzoek vertragen en kan resulteren in de afsluiting van het onderzoek zonder dat er actie wordt ondernomen tegen de betrokken gedekte entiteit.
