Nesta postagem, explicamos como denunciar uma violação da HIPAA anonimamente se você sentir que sua privacidade (ou de outra pessoa) foi violada se as regras da HIPAA não estiverem sendo seguidas na sua organização.
Quando uma suposta violação da HIPAA pode ser relatada?
A maioria das organizações de saúde faz de tudo para garantir que estão em conformidade com as regras da HIPAA, mas ocasionalmente as regulamentações da HIPAA são violadas pela administração ou funcionários. Nesses casos, uma reclamação pode ser apresentada ao Gabinete de Direitos Civis do Departamento de Saúde e Serviços Humanos (OCR) – o principal aplicador das Regras da HIPAA.
No entanto, as reclamações resultarão apenas em medidas tomadas se a reclamação for enviada dentro de 180 dias a partir da data de descoberta de que as regras da HIPAA foram violadas. Em casos limitados, quando há uma ‘boa causa’ de que não foi possível registrar uma reclamação em 180 dias, uma extensão pode ser concedida.
Observe que o OCR não pode investigar qualquer alegada violação da regra de privacidade da HIPAA que ocorreram antes de 14 de abril de 2003 ou violações da regra de segurança que ocorreram antes de 20 de abril de 2005 porque a conformidade com esses elementos das regras da HIPAA não era obrigatória antes dessas datas.
Denunciar uma violação da HIPAA anonimamente
OCR investiga reclamações de indivíduos que acreditam que as regras da HIPAA foram violadas por uma organização de saúde. Qualquer pessoa tem permissão para enviar uma reclamação ao OCR e um portal online compatível foi desenvolvido para esse propósito.
O portal de reclamação online contém todas as informações de que você precisa para enviar sua reclamação. Um assistente do portal de reclamações ajuda os reclamantes a determinar se o OCR está em posição de investigar.
Se quiser denunciar uma violação da HIPAA anonimamente e preferir não fazê-lo online, você pode baixar um formulário do OCR e e-mail , envie sua reclamação por correio ou fax.
Seu direito ao anonimato ao enviar uma reclamação de violação da HIPAA
Não é obrigatório fornecer um nome e informações de contato ao OCR ao enviar uma reclamação, mas o OCR deixa claro que as investigações contra as entidades cobertas não serão iniciadas como resultado de reclamações anônimas de violações da HIPAA. Todas as reclamações devem incluir um nome, assinatura e informações de contato do reclamante.
OCR explica que é ilegal para uma entidade coberta pela HIPAA tomar qualquer ação retaliatória contra um indivíduo que apresente uma reclamação sobre um suposto Violação HIPAA. Se isso acontecer, o OCR deve ser notificado.
Dito isso, os reclamantes podem sentir que serão rescindidos por fazerem uma reclamação ou que enfrentarão a reação de colegas por apresentarem oficialmente uma reclamação sobre uma suposta violação da HIPAA.
Nesses casos, a reclamação não deve ser enviada anonimamente. Você deve fornecer seu nome e detalhes de contato e negar o consentimento do OCR para revelar sua identidade ou informações de identificação sobre você. Um formulário de consentimento está incluído na parte inferior do formulário de reclamação para esse fim. Se você negar o consentimento, o OCR irá reter informações pessoais da entidade coberta ou parceiro comercial se a reclamação for investigada.
Enquanto em vigor, é possível relatar uma violação HIPAA anonimamente, sem dar o consentimento do OCR para revelar o seu a identidade pode impedir a investigação do OCR, pode atrasar qualquer investigação e pode resultar no encerramento da investigação sem que qualquer ação seja tomada contra a entidade coberta em questão.