I det här inlägget förklarar vi hur man rapporterar en HIPAA-överträdelse anonymt om du känner att din (eller någon annans) integritet har kränkts om HIPAA-reglerna inte följs i din organisation.
När kan en påstådd HIPAA-överträdelse rapporteras?
De flesta vårdorganisationer sträcker sig mycket för att säkerställa att de överensstämmer med HIPAA-reglerna, men ibland överträder HIPAA-reglerna av ledningen eller anställda. I sådana fall kan ett klagomål lämnas in till Department of Health and Human Services Office for Civil Rights (OCR) – den huvudsakliga verkställaren av HIPAA-reglerna.
Klagomål leder emellertid bara till att åtgärder vidtas. om klagomålet lämnas in inom 180 dagar efter upptäckten av att HIPAA-reglerna överträddes. I begränsade fall, när det finns ”goda skäl” att det inte var möjligt att lämna in ett klagomål inom 180 dagar, kan en förlängning beviljas.
Observera att OCR inte kan undersöka några påstådda brott mot HIPAA: s sekretessregel. som inträffade före den 14 april 2003 eller överträdelser av säkerhetsregler som inträffade före den 20 april 2005 eftersom efterlevnad av dessa delar av HIPAA-reglerna inte var obligatorisk före dessa datum.
Rapportera ett HIPAA-överträdelse anonymt
OCR undersöker klagomål från individer som tror att HIPAA-regler har överträtts av en vårdorganisation. Alla har rätt att skicka in ett klagomål till OCR och en online-kompatibel portal har utvecklats för detta ändamål.
Online-klagomålsportalen innehåller all information du behöver för att skicka ditt klagomål. En klagomålsassistent hjälper klagande att avgöra om OCR är i stånd att utreda.
Om du vill rapportera en HIPAA-överträdelse anonymt och föredrar att inte göra det online kan du ladda ner ett formulär från OCR och e-post , posta eller faxa ditt klagomål.
Din rätt till anonymitet när du skickar in HIPAA-överträdelseklagomål
Det är inte obligatoriskt att lämna ett namn och kontaktinformation till OCR när du skickar in ett klagomål, men OCR gör det klart att utredningar mot omfattade enheter inte kommer att inledas till följd av anonyma klagomål om HIPAA-överträdelser. Alla klagomål ska innehålla klagandens namn, underskrift och kontaktinformation.
OCR förklarar att det är olagligt för en HIPAA-täckt enhet att vidta några vedergällningsåtgärder mot en person som lämnar in ett klagomål om en påstådd HIPAA-överträdelse. Om detta skulle hända måste OCR meddelas.
Med detta sagt kan klagande känna att de avslutas för att göra ett klagomål eller att de möter motslag från kollegor för att officiellt lämna in ett klagomål om en påstådd HIPAA-överträdelse.
I sådana fall ska klagomålet inte lämnas in anonymt. Du bör ange ditt namn och kontaktuppgifter och neka OCR-samtycke för att avslöja din identitet eller identifierande information om dig. För detta ändamål finns ett samtyckeformulär längst ner i klagomålsformuläret. Om du nekar samtycke kommer OCR att spara personuppgifter från den täckta enheten eller affärsassistenten om klagomålet undersöks.
Även om det i praktiken är möjligt att rapportera en HIPAA-överträdelse anonymt, utan att ge OCR-samtycke för att avslöja din identitet kan hindra OCR: s utredning, kan se att varje utredning försenas och kan leda till att utredningen avslutas utan att någon åtgärd vidtas mot den berörda enheten.