Fecha Limite para Informar Violaciones de HIPAA

Las infracciones de HIPAA que involucren menos de 500 personas y que ocurrieron durante el 2021, deben informarse al Departamento de Salud y Servicios Humanos (HHS) antes del 1ero de marzo de 2022.

Informe de Violaciones de HIPAA

Al denunciar infracciones de HIPAA que involucren menos de 500 personas, tiene dos opciones:

1. Puede informar estas pequeñas infracciones al HHS a medida que ocurran.

2. Puede recopilar la información de estos incumplimientos de HIPAA e informarlos al HHS dentro de los 60 días posteriores al final del año calendario

De cualquier manera, usted debe registrar cada violación a medida que suceda. Incluya cada violación en su registro, independientemente de cuán pequeño sea el incidente o de la cantidad de personas involucradas.

Las entidades cubiertas y los asociados de negocios deben notificar al HHS completando y enviando electrónicamente un informe de incumplimiento en el sitio web del HHS aquí. Si el número de personas afectadas por una violación es incierto al momento de radicar el informe, la entidad cubierta o asociados de negocios debe proporcionar una cantidad estimada.

En el caso de que la entidad cubierta o el asociados de negocios descubran información adicional posteriormente, deben enviar actualizaciones como se indica en el formulario del HHS. Si la Entidad cubierta o el Socio comercial decide informar todos los incumplimientos que afecten a menos de 500 personas en una fecha, debe presentar un aviso por separado para cada incidente de incumplimiento.

Definición de infracciones de HIPAA

Un simple descuido o evento puede calificar como una violación de HIPAA. Estos son algunos ejemplos del sitio web del HHS:

1. Un miembro del personal de un consultorio médico discutió los procedimientos de prueba del VIH con un paciente en la sala de espera, revelando así la PHI a otras personas.

2. Una entidad gubernamental de servicios sociales divulgó PHI mientras procesaba solicitudes de Medicaid. Enviaban datos que contenian PHI a suplidores de computadoras que no eran asociados de negocios.

3. Una facilidad de salud no entregó el Aviso de Prácticas de Privacidad a un padre o a su hija menor de edad, quien era paciente de la facilidad.

4. Un bufete de abogados que trabajaba en nombre de una cadena de farmacias divulgó de manera no permitida el PHI de un cliente de la farmacia. La cadena de farmacias y el bufete de abogados no habían firmado un Acuerdo de Asociados Comercial.

5. Para mas ejemplos, puede ver la lista completa aquí.

¿Seré multado por las infracciones de HIPAA que informe?

No, HHS no lo penalizará. Registrar sus infracciones de HIPAA durante todo el año le demuestra al HHS que está haciendo todo lo posible para cumplir con HIPAA. Reconozca las potenciales amenazas al PHI y tome medidas para asegurarse de que incidentes similares no vuelvan a ocurrir. Sin embargo, no registrar las infracciones puede ocasionar graves consecuencias. HHS ve esto como una falta de cooperación. Para seguir cumpliendo con HIPAA, debe capacitar a todos los empleados en el registro de infracciones de HIPAA. Si el HHS audita su organización, le pedirá a sus empleados que demuestren conocimiento sobre el proceso del registro de informes de incumplimiento. De lo contrario, puede enfrentar penalidades.

¿Qué pasa si mi Asociado de Negocios registró la infracción de HIPAA?

Si su socio comercial registró la infracción y lo ha designado como responsable de informar, no hay problemas. Sin embargo, usted deberá revisar el informe de incumplimiento antes de que lo presenten para asegurarse de que contiene la información correcta.

Además, recomendamos hacer un seguimiento con ellos antes de la fecha límite (martes 1 de marzo de 2022) para asegurarse de que hayan presentado el informe. Sobre todo, mantener un Acuerdo de Asociado de Negocios firmado lo protege de ser considerado responsable de los errores de su Asociado de Negocios o de un Subcontratista de su Asociado de Negocios.

Más información sobre la denuncia de Violaciones de HIPAA

Si nunca ha registrado infracciones de HIPAA, ahora es un buen momento para establecer un proceso para informar correctamente. Debe adiestrar a sus empleados en este proceso para que puedan ayudar a su organización a mantener el cumplimiento de HIPAA.

Si necesita ayuda, este enlace al sitio web del HHS lo guiará a través del proceso. Si tiene problemas, envíe un correo electrónico a ocrprivacy@hhs.gov o llame al (800) 368-1019 o (800) 537-7697.

¿Ha realizado una evaluación de riesgos en el último año? ¿Cuenta con políticas y procedimientos actualizados de HIPAA? ¡Nuestro programa HIPAA Premium lo puede apoyar. ¿Quiere saber más sobre cómo puede cumplir con HIPAA? Envíenos un correo electrónico a info@digitbound.com para obtener más información sobre cómo podemos ayudar a su organización a cumplir y mantenerse en cumplimiento con HIPAA. O puede COMENZAR AHORA.