Il nostro articolo HIPAA Spiegato fornisce informazioni sulla Healthcare Insurance Portability and Accountability Act (HIPAA), le modifiche più recenti alla legge nel 2013, e come le disposizioni all’interno della legge attualmente influenzano i pazienti, il settore sanitario nel suo complesso, e gli individui che lavorano al suo interno.
- Storia semplificata dell’HIPAA
- HIPAA spiegato in termini semplici
- HIPAA for Dummies
- Chi è coperto dall’HIPAA?
- HIPAA spiegata dopo il 2013
- Le salvaguardie richieste e indirizzabili di HIPAA spiegate
- Le implicazioni dell’HIPAA per i pazienti
- Come spiegare l’HIPAA ai pazienti
- Le implicazioni dell’HIPAA per le organizzazioni sanitarie
- Come spiegare l’HIPAA ai dipendenti
- Nuova tecnologia e regole di privacy e sicurezza HIPAA
Storia semplificata dell’HIPAA
Originariamente proposto nel 1996 affinché i lavoratori potessero portare avanti i diritti di assicurazione e di assistenza sanitaria tra un lavoro e l’altro, la nostra storia semplificata dell’HIPAA mostra che la legge da allora si è ampliata in un atto legislativo che regola anche le frodi di assicurazione sanitaria e le disposizioni fiscali per i conti di risparmio medico, e garantisce l’accettazione dei lavoratori con condizioni preesistenti nei regimi di assicurazione sanitaria professionale. Principalmente, comunque, l’HIPAA riguarda la privacy e la sicurezza delle informazioni sanitarie dei pazienti.
HIPAA (attraverso l’HITECH Act) è stato anche usato per incoraggiare l’industria sanitaria a informatizzare le registrazioni cartacee. Questo ha portato a preoccupazioni sulla divulgazione non autorizzata delle “informazioni sanitarie protette” (PHI) e ha portato allo sviluppo di ulteriori regolamenti sulla privacy e la sicurezza nel 2013. I regolamenti hanno affrontato i progressi tecnologici nel settore sanitario da quando la legislazione originale è stata approvata, e hanno ampliato la responsabilità per l’integrità delle PHI ai Business Associates.
I regolamenti HIPAA sono applicati dal Dipartimento della Salute degli Stati Uniti & Ufficio dei Servizi Umani per i diritti civili, mentre i procuratori generali statali possono anche intraprendere azioni contro le parti scoperte a non essere in conformità con HIPAA. L’Ufficio per i diritti civili ha l’autorità di imporre multe alle entità coperte e ai Business Associates per violazioni di PHI, a meno che la parte colpevole possa dimostrare una bassa probabilità che le informazioni sanitarie del paziente siano state compromesse.
HIPAA spiegato in termini semplici
Il testo combinato di tutti i regolamenti di semplificazione amministrativa HIPAA sono stati combinati in un unico documento di 115 pagine dall’HHS, che lo rende una lettura molto lunga, ma è possibile riassumere HIPAA in poche frasi e spiegare HIPAA in termini semplici.
HIPAA è stato un tentativo del Congresso di migliorare l’efficienza nell’assistenza sanitaria, eliminare gli sprechi, combattere le frodi, e garantire che le informazioni sanitarie che possono essere legate a un individuo e permettere di identificarlo siano protette e mantenute private e riservate.
HIPAA ha introdotto una serie di nuovi standard per le organizzazioni sanitarie da seguire per garantire che tutti cantassero dallo stesso foglio. Codici e identificatori standard sono stati creati per rendere più facile lo scambio di informazioni sanitarie e i fornitori di assistenza sanitaria, gli assicuratori sanitari e i loro partner commerciali sono stati obbligati a utilizzare gli stessi codici per le transazioni elettroniche per garantire che i dati potessero essere scambiati in modo efficiente. Questo ha fatto risparmiare una grande quantità di tempo, sforzo, e ha portato a un sostanziale risparmio di costi.
HIPAA ha stabilito gli usi e le divulgazioni consentite delle informazioni sanitarie, limitando chi è autorizzato ad accedere alle informazioni sanitarie e in quali circostanze. L’HIPAA ha dato agli americani il diritto di ottenere copie dei loro dati sanitari per controllare gli errori nelle loro cartelle cliniche e di condividere le loro cartelle con chiunque vogliano. L’HIPAA ha anche stabilito degli standard per la protezione dei dati sanitari per rendere più difficile l’accesso alle informazioni sanitarie da parte di individui che non avevano il diritto di visualizzare le informazioni.
HIPAA for Dummies
Anche se può essere considerato poco gentile intitolare una sezione di questo articolo “HIPAA for Dummies”, ci sono ancora alcune persone che non sanno quali informazioni sanitarie dei pazienti sono “protette”. Per chiarire ciò che è considerato “Informazioni sanitarie protette”, abbiamo elencato di seguito i diciotto “identificatori personali” che individualmente – o collegati con qualsiasi altro identificatore personale – potrebbero rivelare l’identità di un individuo, la loro storia medica o la storia dei pagamenti:
Nomi o parti di nomi | Ogni altra caratteristica identificativa unica |
Identificatori geografici | Dati direttamente collegate ad un individuo |
Numeri di telefono | Numeri di fax |
Indirizzi e-mail | Numeri di previdenza sociale |
Numeri di cartelle cliniche | Numeri di beneficiari di assicurazioni sanitarie |
Numeri di conti correnti | Numeri di certificati o licenze |
Numeri di targhe di veicoli | Identificatori di dispositivi e numeri di serie |
Url web | Indirizzi IP |
Impronte digitali, impronte della retina e della voce | Faccia intera o qualsiasi immagine fotografica comparabile |
Chi è coperto dall’HIPAA?
Prima di iniziare a spiegare l’HIPAA è meglio chiarire a chi si applica la legislazione. Praticamente tutti i piani sanitari, le stanze di compensazione dell’assistenza sanitaria, i fornitori di assistenza sanitaria e gli sponsor approvati della carta di sconto per i farmaci da prescrizione Medicare sono considerati “entità coperte da HIPAA” ai sensi della legge. Tipicamente, queste sono entità che entrano in contatto con informazioni sanitarie protette su base regolare.
Anche i “Business Associates” sono coperti dall’HIPAA. Si tratta di entità che non creano, ricevono, mantengono o trasmettono Informazioni Sanitarie Protette nella loro occupazione principale, ma che forniscono servizi e attività di terze parti per le Entità Inclusa durante il corso del quale incontreranno PHI. Prima di intraprendere un servizio o un’attività per conto di un’Entità Inclusa, un Business Associate deve firmare un Accordo di Business Associate che garantisca l’integrità di qualsiasi PHI a cui ha accesso.
Un grigio esistono per quanto riguarda i piani sanitari di gruppo auto-assicurati di un singolo datore di lavoro e i datori di lavoro che agiscono come intermediari tra i dipendenti e i fornitori di assistenza sanitaria. L’HIPAA afferma che i datori di lavoro non sono Entità Coperte a meno che la natura della loro attività rientri nei criteri per essere un’Entità Coperta (cioè un Centro Medico datore di lavoro sarebbe un’Entità Coperta). Tuttavia, poiché i datori di lavoro auto-assicurati e intermediari gestiscono PHI che sono protetti dalla norma sulla privacy HIPAA, sono considerati “Entità virtuali” e soggetti alla conformità HIPAA.
HIPAA spiegata dopo il 2013
Nota: Per informazioni relative a HIPAA prima del 2013, e la sua relazione con l’HITECH Act del 2009, si prega di fare riferimento alla nostra pagina “Storia HIPAA”. Maggiori dettagli sulle regole di privacy e sicurezza dell’HIPAA sono contenuti nella nostra “HIPAA Compliance Checklist”.
Dall’introduzione della Final Omnibus Rule, che ha emanato nuovi regolamenti all’interno dell’HIPAA nel 2013, sono state emesse nuove linee guida su come le PHI devono essere accessibili e comunicate in un ambiente medico. La legge riveduta dà ai pazienti ulteriori diritti di conoscere e controllare come vengono utilizzate le loro informazioni sanitarie ed estende i controlli sulle entità coperte dall’HIPAA e sui Business Associates a come le informazioni del paziente sono accessibili e comunicate.
Le entità coperte dall’HIPAA e i Business Associates devono implementare meccanismi per limitare il flusso di informazioni all’interno di una rete privata, monitorare l’attività sulla rete e prendere misure per impedire la divulgazione non autorizzata di PHI oltre i confini della rete. Maggiore attenzione deve essere data alla conduzione di valutazioni del rischio, e nuove procedure di segnalazione sono state sviluppate per coprire le violazioni dei dati.
Le revisioni della HIPAA Security Rule dettano le condizioni (“safeguards”) che devono essere in atto per la conservazione conforme alla HIPAA e la comunicazione di ePHI. Queste “salvaguardie” sono descritte nella HIPAA Security Rule come “richieste” o “indirizzabili”. In realtà tutte le salvaguardie sono generalmente richieste – indipendentemente da come sono descritte – come spiega la sezione seguente.
L’Ufficio per i diritti civili conduce verifiche sulle entità coperte da HIPAA per garantire che siano conformi alle norme. Quando vengono scoperte violazioni evitabili di ePHI, l’Ufficio per i Diritti Civili ha l’autorità di imporre sanzioni finanziarie e portare accuse penali contro l’entità negligente.
Le salvaguardie richieste e indirizzabili di HIPAA spiegate
Un’area di HIPAA che ha portato ad una certa confusione è la differenza tra le salvaguardie “richieste” e “indirizzabili”. Effettivamente ogni salvaguardia dell’HIPAA è “richiesta” a meno che non ci sia una ragione giustificabile per non implementare la salvaguardia o un’alternativa appropriata alla salvaguardia che raggiunge lo stesso obiettivo.
Uno scenario in cui l’implementazione di una salvaguardia indirizzabile potrebbe essere non necessaria è la crittografia delle e-mail. Le e-mail che contengono PHI – sia nel corpo che come allegato – devono essere criptate solo se vengono inviate oltre un server interno firewalled. Se un’organizzazione sanitaria usa la posta elettronica solo come forma interna di comunicazione – o ha un’autorizzazione di un paziente per inviare le sue informazioni in chiaro – non c’è bisogno di implementare questa salvaguardia indirizzabile.
La decisione di non implementare la crittografia delle e-mail dovrà essere supportata da una valutazione del rischio e documentata per iscritto. Altri fattori che possono essere presi in considerazione sono la strategia di mitigazione del rischio dell’organizzazione e altre salvaguardie messe in atto per proteggere l’integrità della PHI. Come spiega una nota a piè di pagina a questa particolare sezione dell’HIPAA, si raccomanda la crittografia delle PHI a riposo e in transito.
Le implicazioni dell’HIPAA per i pazienti
Le implicazioni dell’HIPAA per i pazienti sono che le loro informazioni sanitarie sono trattate in modo più sensibile e possono essere accessibili più rapidamente dai loro fornitori di assistenza sanitaria. Le informazioni sanitarie memorizzate elettronicamente sono ora meglio protette di quanto lo siano mai state le registrazioni cartacee, e le organizzazioni sanitarie che hanno implementato meccanismi per conformarsi ai regolamenti HIPAA stanno assistendo a una migliore efficienza. Questo si manifesta – per quanto riguarda i pazienti – come uno standard più elevato di assistenza sanitaria.
Sul lato negativo, le organizzazioni sanitarie non si preoccupano solo dello standard di assistenza sanitaria che possono fornire ai singoli pazienti. Le organizzazioni sanitarie vogliono aumentare i servizi che possono fornire, vogliono aumentare la qualità delle cure e migliorare la sicurezza dei pazienti attraverso la ricerca. Tuttavia, la ricerca è limitata dall’HIPAA e l’accesso limitato a PHI ha il potenziale di rallentare il tasso al quale i miglioramenti possono essere fatti nell’assistenza sanitaria.
C’è anche un prezzo da pagare per migliorare la sicurezza dei dati, e anche se la promulgazione del programma Meaningful Use ha fornito incentivi finanziari per i fornitori di assistenza sanitaria per informatizzare i record cartacei, l’attuazione dei controlli necessari per proteggere l’ePHI può avere un costo sostanziale. L’aumento dei finanziamenti per la conformità ha il potenziale di ridurre il livello di cura del paziente, mentre l’onere amministrativo che la conformità all’HIPAA impone alle organizzazioni sanitarie mette a dura prova le limitate risorse disponibili.
Come spiegare l’HIPAA ai pazienti
Poiché i fornitori di assistenza sanitaria sono ora tenuti per legge a dare ai pazienti un avviso della loro politica sulla privacy, sarà necessario spiegare l’HIPAA ai pazienti poiché devono firmare una copia della politica per dire di averla ricevuta. Il modo migliore per spiegare l’HIPAA ai pazienti è quello di mettere le informazioni pertinenti nella politica sulla privacy, e poi dare ai pazienti una sinossi di ciò che la politica contiene. Per esempio, spiegare al paziente:
- Hanno il diritto di richiedere le loro cartelle cliniche ogni volta che vogliono.
- Hanno il diritto di richiedere di modificare le loro cartelle cliniche quando appropriato.
- Hanno il diritto di limitare chi ha accesso alle loro informazioni sanitarie personali.
- Hanno il diritto di scegliere come gli operatori sanitari comunicano con loro.
- Hanno anche il diritto di lamentarsi della divulgazione non autorizzata delle loro PHI.
A meno che il paziente abbia subito un danno fisico o finanziario a causa della divulgazione non autorizzata delle loro PHI, non potranno intentare un’azione civile contro la parte negligente. Tuttavia, le entità coperte e gli associati commerciali che violano l’HIPAA per guadagno personale, falsi pretesti o altri guadagni personali avranno sanzioni penali imposte loro dall’Ufficio per i diritti civili che potrebbero comportare fino a dieci anni di reclusione.
Le implicazioni dell’HIPAA per le organizzazioni sanitarie
Se la privacy e la sicurezza dei dati non vengono affrontate, l’Ufficio per i diritti civili può emettere multe per non conformità. È probabile che le violazioni di dati prevenibili vedano l’emissione di notevoli sanzioni finanziarie. Secondo la struttura delle sanzioni introdotta da HITECH, le violazioni possono comportare multe fino a 1,5 milioni di dollari da parte dell’OCR, mentre le azioni legali possono essere intentate sia dai procuratori generali che – come menzionato sopra – dalle vittime delle violazioni dei dati.
L’alta probabilità che le organizzazioni sanitarie diventino obiettivi dei criminali informatici e il costo esorbitante per affrontare le violazioni dei dati – emettendo lettere di notifica della violazione, offrendo servizi di monitoraggio del credito e coprendo le multe dell’OCR – è molto superiore al costo del raggiungimento della piena conformità. Ma, mentre il costo iniziale dell’investimento nelle necessarie salvaguardie tecniche, fisiche e amministrative per proteggere i dati dei pazienti può essere alto, i miglioramenti possono risultare in risparmi sui costi nel tempo come risultato di una migliore efficienza.
Le organizzazioni che hanno già implementato meccanismi per conformarsi all’HIPAA hanno visto i flussi di lavoro dei loro dipendenti semplificati, meno tempo sprecato a giocare a “phone tag” e la forza lavoro è diventata più produttiva – permettendo alle organizzazioni sanitarie di reinvestire i loro risparmi e fornire uno standard più elevato di assistenza sanitaria ai pazienti.
Come spiegare l’HIPAA ai dipendenti
Spiegare l’HIPAA ai dipendenti delle entità coperte e degli associati commerciali richiede molto più sforzo che spiegare l’HIPAA ai pazienti. Al fine di rispettare l’HIPAA, le Entità Coperte e gli Associati Commerciali devono compilare politiche di privacy e sicurezza per il loro personale, e una politica di sanzioni per i dipendenti che non rispettano i requisiti. Pertanto è necessario spiegare HIPAA ai dipendenti in modo più dettagliato.
Il modo migliore per spiegare HIPAA ai dipendenti è in speciali sessioni di formazione sulla conformità. Anche se i regolamenti HIPAA affermano che la formazione dovrebbe essere fornita annualmente, suggeriremmo che c’è così tanto da assimilare per i dipendenti in relazione alla sicurezza e alla privacy delle informazioni sanitarie personali, le sessioni di formazione sulla conformità dovrebbero essere brevi e frequenti. Cercare di spiegare l’HIPAA ai dipendenti in una sessione di formazione di quattro ore probabilmente non avrà successo.
Molto della spiegazione ruoterà intorno al mantenimento dell’integrità di PHI, ma come questo è implementato avrà probabilmente un impatto sui dipendenti stessi. Per esempio, i dipendenti non saranno in grado di discutere l’assistenza sanitaria dei pazienti attraverso il loro dispositivo mobile, a meno che le comunicazioni non siano crittografate. A causa del numero di strutture sanitarie che implementano politiche BYOD, questo significherà che i dipendenti dovranno scaricare applicazioni di comunicazione sicure sui loro dispositivi mobili personali.
Nuova tecnologia e regole di privacy e sicurezza HIPAA
Nuova tecnologia viene costantemente sviluppata per proteggere l’integrità delle informazioni personali. La conformità con le norme sulla privacy e la sicurezza dell’HIPAA sta diventando ogni giorno più facile grazie alle innovazioni come il filtraggio del web, l’archiviazione sicura delle e-mail e le soluzioni di messaggi sicuri.
Il filtraggio del web è un eccellente meccanismo per mitigare i rischi del malware – in particolare il malware di sorveglianza che può registrare i tasti premuti per ottenere nomi utente e password. Diverse recenti violazioni dei dati sono state il risultato di download di malware – inclusi diversi che non si sarebbero verificati con l’implementazione di un meccanismo di filtraggio web.
L’archiviazione sicura delle e-mail è un’altra area in cui le organizzazioni sanitarie possono migliorare la loro posizione di sicurezza online. Mantenere sei anni di e-mail può creare un problema di archiviazione. Tuttavia, utilizzando un servizio di archiviazione e-mail sicuro di terze parti, le organizzazioni sanitarie liberano risorse all’interno della propria struttura IT, pur rispettando la privacy HIPAA e le regole di sicurezza.
È stato menzionato in precedenza in questo articolo HIPAA Explained che alcune delle modifiche più recenti a HIPAA tengono conto dei rischi da politiche “Bring Your Own Device”. Alcune organizzazioni sanitarie hanno eliminato i rischi implementando soluzioni di messaggistica sicura. Queste soluzioni consentono agli utenti autorizzati di accedere in modo sicuro e comunicare ePHI dai loro dispositivi mobili personali attraverso applicazioni di messaggistica sicura.
Come per tutti i fornitori di servizi di terze parti, l’onere è per l’organizzazione sanitaria di garantire che il Business Associate sia conforme all’HIPAA. I costi di non riuscire a garantire la conformità possono essere sostanziali, come dimostra la nostra infografica HIPAA Explained qui sotto.
Il costo della mancata conformità può essere sostanziale.