Sie vermuten, dass eine HIPAA-Verletzung am Arbeitsplatz vorliegt, sollten Sie die Verletzung melden? Wenn ja, wie sollten Sie den potenziellen Verstoß melden und wer muss informiert werden?
Ist es notwendig, eine HIPAA-Verletzung am Arbeitsplatz zu melden?
Wenn Sie denken, Sie haben versehentlich verletzt HIPAA-Regeln oder Sie glauben, einen Kollegen oder Ihren Arbeitgeber ist die Nichteinhaltung der HIPAA-Vorschriften, die potenzielle Verletzung(en) sollte gemeldet werden.,
Seit der Verabschiedung der HIPAA-Durchsetzungsregel können HIPAA-bedeckte Entitäten finanziell für HIPAA-Verstöße bestraft werden. Wenn ein nicht korrigierter HIPAA-Verstoß während einer Untersuchung einer Beschwerde, eines Datenverstoßes oder eines HIPAA-Audits festgestellt wird, kann das HHS-Büro für Bürgerrechte einen finanziellen Vergleich anstreben, um den Verstoß zu beheben. Solche Aktionen sind weitaus unwahrscheinlicher, wenn ein Verstoß intern entdeckt und korrigiert wurde, um ein Wiederauftreten zu verhindern.,
Wenn die Privatsphäre eines Patienten verletzt wurde, erlauben Sie Ihrem Arbeitgeber durch die interne Meldung des Verstoßes, Maßnahmen zu ergreifen, um das Potenzial für weitere Schäden zu verringern, und tragen dazu bei, dass ähnliche Vorfälle in Zukunft nicht auftreten.
Wer sollte über eine mögliche HIPAA-Verletzung informiert werden?
Mitarbeiter im Gesundheitswesen, die eine HIPAA-Verletzung am Arbeitsplatz feststellen, sollten den Vorfall zunächst ihrem Vorgesetzten oder ihrem HIPAA-Datenschutzbeauftragten melden., Der HIPAA-Datenschutzbeauftragte muss über jeden Ausfall der HIPAA-Konformität informiert werden, da eine Untersuchung durchgeführt werden muss, die eine Risikobewertung enthalten sollte.
Die Risikobewertung hilft dem Datenschutzbeauftragten festzustellen, ob es sich bei dem Verstoß um einen meldepflichtigen Vorfall handelt. Nicht alle internen Verstöße gegen die HIPAA-Regeln müssen gemeldet werden, aber das Versäumnis, den Patienten und die OCR über einen meldepflichtigen Verstoß zu informieren, kann zu einer finanziellen Strafe führen.
Es sollten auch Maßnahmen ergriffen werden, um sicherzustellen, dass die Ursache des Verstoßes behoben wird., Dies kann Aktualisierungen der Richtlinien und Verfahren oder weitere Schulungen des Personals erfordern.
Es gab viele Fälle von Mitarbeitern, die HIPAA-Verstöße intern meldeten, nur weil anscheinend keine Maßnahmen ergriffen wurden, um das Problem anzugehen. In solchen Fällen kann die Angelegenheit eskaliert und eine Beschwerde beim HHS‘ Office for Civil Rights – dem wichtigsten Vollstrecker der HIPAA-Regeln-eingereicht werden.
Einreichung einer Beschwerde beim HHS ‚ Office for Civil Rights
OCR untersucht Beschwerden über mögliche HIPAA-Verstöße, jedoch nur, wenn der Beschwerdeführer seinen Namen und seine Kontaktdaten angibt., Beschwerden können anonym eingereicht werden, obwohl es unwahrscheinlich ist, dass weitere Maßnahmen ergriffen werden. Während viele Mitarbeiter möglicherweise nur ungern solche Informationen bereitstellen, dürfen Gesundheitsorganisationen keine Vergeltungsmaßnahmen gegen Personen ergreifen, die einen HIPAA-Verstoß am Arbeitsplatz melden.
Geldstrafen für HIPAA-Verstöße werden in der Regel nur dann verhängt, wenn ein vorsätzlicher Verstoß gegen die HIPAA-Regeln vorliegt, obwohl Strafen für Verstöße möglich sind, die fahrlässig aufgetreten sind.,
In vielen Fällen werden HIPAA-Verstöße durch freiwillige Compliance oder durch OCR-technische Unterstützung behoben.