Comment signaler les violations HIPAA?
La loi de 1996 sur la portabilité et la responsabilité de l'assurance maladie («HIPAA») est une loi fédérale qui protège la confidentialité des informations / dossiers de santé des patients et impose la promulgation de mesures de sécurité pour protéger les informations / dossiers de santé des patients stockés électroniquement. Si vous pensez que vos informations de santé ont été compromises en violation de la HIPAA, vous pouvez déposer une plainte pour signaler la violation.
Méthode 1 sur 3: signaler une violation HIPAA
- 1Obtenez le package de formulaire. L'Office for Civil Rights («OCR») du ministère américain de la Santé et des Services sociaux fournit un ensemble de formulaires de plainte OCR Health Information Privacy sur son site Web. Vous utiliserez ce formulaire pour signaler une violation HIPAA en le téléchargeant, en le complétant, puis en le soumettant à l'entité appropriée.
- 2Lisez le package de formulaire. Le package de formulaire se compose de huit pages. Avant de commencer à remplir le formulaire, vous devriez prendre le temps de lire l'intégralité du formulaire. Vous utiliserez les deux premières pages pour signaler la violation HIPAA.
- Les troisième et quatrième pages comprennent un formulaire de consentement que vous pouvez remplir pour autoriser l'OCR à accéder à vos informations personnelles pendant que le bureau enquête sur votre plainte.
- Les quatre dernières pages fournissent des informations sur ce que l'OCR peut faire avec vos informations personnelles, comment elles seront protégées et quand elles pourront être divulguées.
- 3Fournissez des informations d'identification. La moitié supérieure de la première page du formulaire de plainte vous oblige à fournir des informations permettant à l'OCR d'identifier qui signale la violation de la loi HIPAA. Vous devrez fournir votre nom, votre numéro de téléphone, votre adresse postale et votre adresse e-mail.
- Si vous remplissez le formulaire pour quelqu'un d'autre, cochez la case appropriée et inscrivez le nom de cette personne dans la section appropriée.
- 4Fournissez des informations sur la violation HIPAA. Dans la seconde moitié de la première page, vous devrez détailler qui, quand et quoi de la violation présumée de la loi HIPAA. Vous devrez fournir le nom et l'adresse postale de l'entité qui, selon vous, a commis la violation, ainsi que la date à laquelle la violation s'est produite. Vous devrez ensuite décrire brièvement comment l'entité nommée a violé vos droits (ou ceux de quelqu'un d'autre) en vertu de la HIPAA.
- Lorsque vous décrivez la nature de la violation, vous devez être aussi précis que possible. Vous n'avez pas besoin d'utiliser un langage juridique complexe ou de faire référence à la loi HIPAA elle-même. Notez simplement la séquence des événements qui, selon vous, ont conduit à la violation, puis fournissez autant de détails que possible sur la violation et comment elle vous a affecté.
- Si vous avez besoin d'un espace supplémentaire par rapport à celui fourni, vous pouvez joindre des pages supplémentaires.
- 5Fournissez des informations facultatives. La deuxième page du formulaire de réclamation est entièrement facultative. Cette partie du formulaire vous demande d'identifier tout besoin particulier que vous pourriez avoir et qui pourrait affecter la communication avec OCR, vous permet de fournir un contact supplémentaire si OCR ne peut pas vous joindre directement pour discuter de votre rapport, vous demande si vous avez déposé votre plainte ailleurs, et pose des questions sur la race / l'origine ethnique et comment vous avez entendu parler de l'OCR.
- Remplissez tout, une partie ou aucune de cette section comme vous le souhaitez.
- 6Signez et datez le formulaire. En bas de la première page, il y a un espace pour signer et dater le formulaire. Vous devrez le faire avant de le soumettre.
- 7Remplissez le formulaire de consentement du plaignant. Les troisième et quatrième pages du formulaire sont un formulaire de consentement qui doit être soumis avec le formulaire de plainte que vous venez de remplir. Lisez le formulaire et décidez si vous souhaitez consentir à ce que l'OCR accède et révèle vos informations personnelles à certaines entités au cours de son enquête. Ensuite, cochez la case appropriée en ce qui concerne votre décision de consentement, écrivez votre adresse et votre numéro de téléphone, puis signez et datez le formulaire.
- Le consentement est entièrement volontaire, mais l'OCR prévient que le fait de ne pas donner son consentement peut entraver son enquête et finalement la clôturer.
- 8Soumettez votre plainte. Après avoir rempli les formulaires de plainte et de consentement (encore une fois, les quatre premières pages du formulaire), vous avez plusieurs options pour soumettre votre plainte à l'OCR:
- Vous pouvez imprimer les formulaires remplis et les envoyer par courrier ou par télécopieur au bureau régional de l'OCR approprié (le bureau de l'OCR dans la région où la violation s'est produite). OCR fournit en ligne une liste des coordonnées de ses bureaux régionaux.
- Vous pouvez envoyer les formulaires remplis à l'OCR à OCRComplaint@hhs.gov.
Méthode 2 sur 3: utiliser des méthodes alternatives pour signaler les violations HIPAA
- 1Soumettez une plainte écrite. Si vous ne souhaitez pas utiliser le package de formulaire officiel fourni par OCR sur son site Web pour signaler une violation de la loi HIPAA, vous pouvez également rédiger une plainte dans votre propre format. Vous soumettrez ensuite la plainte écrite de la manière dont vous soumettriez le formulaire officiel (par courrier ou fax au bureau régional concerné ou par e-mail). Vous devez inclure les informations suivantes dans votre réclamation écrite:
- Votre nom, adresse postale, numéro de téléphone et adresse e-mail.
- Le nom, l'adresse postale et le numéro de téléphone de l'entité qui, selon vous, a commis la violation.
- Une brève description de la violation (en particulier: le comment, le pourquoi et le moment de la violation).
- Votre signature et la date de la réclamation.
- Si vous déposez une plainte au nom d'une autre personne, vous devez également inclure le nom de cette personne.
- 2Soumettez une plainte en ligne. Vous pouvez également déposer une plainte par voie électronique en utilisant le portail des plaintes OCR. Ouvrez le portail, sélectionnez le type de réclamation que vous souhaitez déposer et répondez aux questions au fur et à mesure qu'elles vous sont présentées. Vous fournirez des informations d'identification, détaillerez la nature de votre plainte et fournissez d'autres informations qui pourraient aider l'OCR à enquêter / examiner votre plainte. Ensuite, cliquez simplement sur le bouton pour soumettre votre réclamation.
- Vous aurez la possibilité d'imprimer une copie de votre plainte.
Méthode 3 sur 3: savoir quand signaler une violation HIPAA
- 1Déposer une plainte contre une «entité couverte». La HIPAA n'exige pas que tout le monde se conforme à ses règles. Seules les entités que la HIPAA considère comme une "entité couverte" sont susceptibles d'une telle violation. Les «entités couvertes» comprennent les prestataires de soins de santé, les plans de santé et les centres d'échange de soins de santé. Les entités suivantes sont généralement tenues de se conformer à la HIPAA et peuvent donc faire l'objet d'une enquête pour violation par l'OCR:
- Médecins, psychologues, chiropracteurs, dentistes.
- Hôpitaux, cliniques, maisons de retraite, pharmacies.
- Compagnies d'assurance maladie, plans de santé d'entreprise.
- Programmes de santé gouvernementaux tels que Medicaid ou Medicare.
- 2Sachez qui vous ne pouvez pas signaler. Tout comme certaines entités sont couvertes par les dispositions de la HIPAA, il y a celles qui ne sont pas liées par ses règles et donc incapables de les enfreindre. OCR n'enquêtera pas sur une plainte déposée contre les entités suivantes:
- Employeurs, assureurs-vie, organismes d'indemnisation des accidents du travail.
- De nombreuses écoles / districts scolaires.
- De nombreux organismes publics, tels que ceux qui s'occupent des services de protection de l'enfance.
- De nombreux organismes d'application de la loi.
- De nombreux bureaux municipaux.
- 3Sachez quelles informations sont protégées. La règle de confidentialité HIPAA protège votre vie privée en réglementant qui est autorisé à voir ou à recevoir vos informations médicales. La règle de sécurité HIPAA exige que toute entité couverte qui stocke vos informations de santé sous forme électronique ait pris les mesures de sécurité appropriées pour protéger ces informations contre tout accès non autorisé. Les informations suivantes sont protégées par HIPAA:
- Informations placées dans votre dossier médical par un professionnel de la santé.
- Conversations que votre médecin a avec d'autres professionnels de la santé concernant vos soins ou votre traitement.
- Informations de facturation à votre clinique et informations personnelles détenues par votre assureur maladie.
- 4Sachez ce que les entités couvertes sont tenues de faire pour protéger vos informations. La HIPAA oblige les entités couvertes à mettre en place certaines mesures et à prendre certaines mesures pour garantir que vos informations de santé sont protégées contre tout accès ou divulgation non autorisés. Plus précisément, une telle entité doit faire ce qui suit:
- Établissez des mesures de protection pour protéger vos informations de santé et ne pas utiliser / divulguer vos informations de santé de manière inappropriée.
- Limitez l'utilisation et la divulgation de vos informations médicales à ce qui est nécessaire.
- Établissez des procédures pour limiter l'accès à vos informations de santé.
- Formez les employés à la protection de vos informations de santé.
- 5Connais tes droits. HIPAA donne également à chaque individu certains droits sur ses propres informations de santé. Toute entité couverte doit respecter et se conformer à ces droits. Ces droits comprennent:
- Demander à voir / obtenir une copie de vos dossiers médicaux.
- Faire corriger vos dossiers de santé le cas échéant.
- Recevoir un avis concernant la manière dont vos informations de santé sont utilisées / partagées, et obtenir un rapport détaillant quand / pourquoi vos informations de santé ont été utilisées / partagées.
- Décider si vos informations de santé peuvent être partagées à d'autres fins, telles que le marketing.
- N'oubliez pas de conserver une copie de la plainte pour vos propres dossiers.
- La loi fédérale vous protège de toute action de rétorsion par une entité couverte en réponse à votre signalement d'une violation HIPAA contre cette entité. Toute action de représailles de ce type doit être immédiatement signalée à l'OCR.
- Si vous avez des questions en remplissant votre plainte ou si vous avez besoin d'aide pour déposer votre plainte, envoyez un courriel à l'OCR à OCRComplaint@hhs.gov ou contactez son numéro sans frais au 1-866-627-7748.
- Vous devez déposer une plainte signalant une violation de la HIPAA dans les 180 jours suivant le moment où vous avez su que la violation s'est produite.
- La violation présumée de la vie privée doit avoir eu lieu le ou après le 14 avril 2003 pour que l'OCR puisse enquêter sur la violation. Une violation présumée de la sécurité doit avoir eu lieu le 20 avril 2005 ou après cette date.
Questions et réponses
- Un médecin peut-il déclarer le solde dû sur un compte et demander l'argent devant d'autres patients?Je pense que oui, mais il est généralement plus respectueux de demander en privé.
- Est-ce une violation de la HIPPA si une infirmière discute des détails du patient avec sa famille?Les violations ne concernent généralement que les informations personnelles. Par exemple, Fiona, l'AIIC, s'occupe de George, un homme dont elle a la garde. George a une blessure qu'elle surveille en permanence. Quand Fiona rentre à la maison, son fils demande si quelque chose d'inhabituel s'est produit ce jour-là. Si Fiona a remarqué que l'une des blessures de ses patients guérissait anormalement lentement, elle est en clair. Cependant, si elle mentionnait le nom de George ou toute autre chose qui se connecte directement au patient, c'est une violation.
- Nous avons une infirmière dans notre hôpital qui accède fréquemment (8 à 10 fois seulement aujourd'hui) aux dossiers des patients qui ne sont pas dans notre service, puis se met à parler et à se moquer de ces patients. Le directeur des soins infirmiers et d'autres ont été informés de la situation. Rien n'a changé. Que puis-je faire?Votre hôpital a-t-il un comité d'éthique? Signalez l'infirmière à eux ou au Conseil des soins infirmiers de votre état.
- Si un médecin a déterminé qu'une personne est en soins de longue durée et que ses deux défenseurs des patients sont d'accord, la maison de soins infirmiers peut-elle remettre le patient à un autre membre de la famille sans consulter son épouse, une avocate des patients?Il devrait y avoir un contact de soins médicaux primaires, qui est normalement le conjoint. Il serait illégal de remettre une personne en soins de longue durée à une autre personne sans en informer le conjoint ou le décideur en soins de santé primaires, à moins que la personne prise en charge n'ait été déclarée compétente et choisie pour changer de décideur en matière de soins de santé primaires ou qu'elle soit autrement légalement capables de prendre leurs propres décisions, et peut-être de justifier de ne pas informer le conjoint.
- Si un enseignant d'université apporte les dossiers de santé d'un patient avec toutes les informations personnelles barrées mais certaines informations toujours visibles, cela serait-il considéré comme une violation de la HIPAA?Ça dépend. Si les informations encore visibles ne sont toujours pas adéquates pour identifier le patient, elles ne sont probablement pas illégales tant que l'enseignant a eu la permission d'accéder aux dossiers de santé en premier lieu et de les utiliser dans un cadre éducatif sans contenu personnel. Cependant, si quelque chose d'identification - comme l'adresse du patient - était encore visible, alors ce serait clairement une violation.
- Je travaille pour une grande entreprise. J'ai donné à notre responsable des ressources humaines des informations médicales sensibles relatives à un handicap et elle a diffusé mes informations privées. Est-ce couvert par HIPAA?Oui. HIPAA couvre tous les dossiers médicaux - y compris ceux traités par les employeurs et leurs départements des ressources humaines ou des assurances. Ils ne sont pas autorisés à partager ces informations avec d'autres parties sans l'autorisation signée du patient.
- Est-ce une violation de la loi HIPPA si mon parodontiste a publié une photo de moi sur son compte Facebook?Seulement si vous n'avez pas donné votre consentement pour que votre photo soit prise et publiée. Je vous suggère de leur faire savoir si cela vous met mal à l'aise.
- Puis-je signaler à mon employeur des violations de la loi HIPAA?Oui, vous pouvez (et devez) signaler toute violation de la loi HIPAA, quel que soit l'auteur de la violation.
- Est-ce une violation de la loi HIPAA si un membre de ma famille obtient mes informations médicales de mes flacons de médicaments et les utilise au tribunal?Je dirais que cela dépend de l'endroit où ils ont vu les bouteilles. Si c'était chez vous dans votre chambre, par exemple, où les gens ne fréquentent pas en visite, alors oui. Si vous les avez laissés chez la personne, alors probablement pas. Il vous incombe de protéger vos informations sensibles.
- Que dois-je faire si je reçois les résultats médicaux de quelqu'un d'autre par e-mail?Appelez ou renvoyez l'e-mail à la personne qui l'a envoyé pour lui faire savoir que les informations sont allées au mauvais endroit. Répondez à leur demande ou détruisez les enregistrements.
Questions sans réponse
- Un prescripteur dans mon bureau enregistre les enveloppes avec les ordonnances des patients sur le mur devant son bureau pour les ramasser. Est-ce une violation?
- Que dois-je faire si j'envoie accidentellement un e-mail à des patients sans utiliser BCC?
- Est-ce une violation de la loi HIPAA si mon médecin m'appelle des noms et se moque de moi pour ne pas avoir effectué une certaine procédure?
- Comment savoir si quelque chose est une violation de la loi HIPAA?
- Comment signaler des violations de la loi HIPAA au sujet de quelqu'un qui donne des documents médicaux à quelqu'un d'autre?
Lisez aussi:
Avertissement légal Le contenu de cet article est pour votre information générale et n'est pas destiné à se substituer à des conseils professionnels en droit ou en finance. De plus, il n'est pas destiné à être utilisé par les utilisateurs pour prendre des décisions d'investissement.