Che cos'è la conformità HIPAA?

L'Health Insurance Portability and Accountability Act (HIPAA) è una legge degli Stati Uniti che prevede disposizioni in materia di privacy e sicurezza dei dati per la salvaguardia delle informazioni mediche. È stata promulgata nel 1996 con due scopi principali: fornire una copertura assicurativa sanitaria continua ai lavoratori che perdono o cambiano lavoro e ridurre gli oneri amministrativi e i costi dell'assistenza sanitaria standardizzando la trasmissione elettronica delle transazioni amministrative e finanziarie. Tra gli altri obiettivi dell'HIPAA vi è la lotta agli abusi, alle frodi e agli sprechi nell'assicurazione sanitaria e nella fornitura di assistenza sanitaria.

La conformità HIPAA si riferisce al processo di garanzia che la vostra organizzazione segua le regole stabilite dall'HIPAA. Queste regole sono pensate per proteggere la privacy e la sicurezza delle informazioni sanitarie. Queste possono includere qualsiasi cosa, dalle cartelle cliniche dei pazienti ai dettagli dei pagamenti. La mancata conformità può comportare pesanti multe e sanzioni, per cui è fondamentale per qualsiasi organizzazione che tratta informazioni sanitarie protette (PHI) assicurarsi di essere conforme.

Capire l'HIPAA

La legge HIPAA è suddivisa in due sezioni principali: Titolo I e Titolo II. Il Titolo I dell'HIPAA protegge la copertura assicurativa sanitaria per le persone che perdono o cambiano lavoro. Inoltre, vieta ai piani sanitari collettivi di negare la copertura a persone con malattie specifiche e condizioni preesistenti e di fissare limiti di copertura a vita. Il Titolo II dell'HIPAA, noto come disposizioni di semplificazione amministrativa (AS), richiede la definizione di standard nazionali per le transazioni elettroniche di assistenza sanitaria e di identificatori nazionali per fornitori, piani di assicurazione sanitaria e datori di lavoro.

Le disposizioni dell'AS riguardano anche la sicurezza e la privacy dei dati sanitari. Gli standard hanno lo scopo di migliorare l'efficienza e l'efficacia del sistema sanitario nazionale, incoraggiando l'uso diffuso dell'interscambio elettronico di dati nel sistema sanitario degli Stati Uniti.

La norma sulla privacy

La Privacy Rule, una parte fondamentale dell'HIPAA, stabilisce gli standard nazionali per l'utilizzo e la divulgazione delle informazioni sanitarie protette (PHI). Essa conferisce ai pazienti i diritti sulle loro informazioni sanitarie e stabilisce regole e limiti su chi può consultare e ricevere le informazioni sanitarie di un paziente. La Privacy Rule si applica a tutte le forme di informazioni sanitarie protette, siano esse elettroniche, scritte o orali.

In base alla Privacy Rule, le entità coperte (che comprendono i piani sanitari, i centri di clearing sanitario e alcuni fornitori di assistenza sanitaria) devono mettere in atto misure di salvaguardia per proteggere le informazioni dei pazienti. Devono limitare ragionevolmente gli usi e le divulgazioni al minimo necessario per raggiungere lo scopo prefissato. Devono stipulare contratti con i propri appaltatori e altri soggetti che garantiscano un uso e una divulgazione corretti delle informazioni sui pazienti e una loro adeguata salvaguardia. Le entità coperte devono inoltre disporre di procedure per limitare i soggetti che possono visualizzare e accedere alle informazioni dei pazienti e attuare programmi di formazione per i dipendenti su come proteggere le informazioni dei pazienti.

La regola della sicurezza

La Security Rule, un'altra parte dell'HIPAA, stabilisce gli standard per la sicurezza dei dati dei pazienti. Specifica una serie di salvaguardie amministrative, fisiche e tecniche che le entità coperte devono utilizzare per garantire la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie elettroniche protette (ePHI). Queste regole si applicano ai piani sanitari, ai centri di clearing sanitario e a qualsiasi operatore sanitario che trasmetta informazioni sanitarie in formato elettronico.

Ai sensi della Security Rule, le entità coperte devono implementare politiche e procedure tecniche che consentano l'accesso alle informazioni sanitarie elettroniche protette (ePHI) solo alle persone autorizzate. Devono inoltre implementare meccanismi hardware, software e/o procedurali per registrare ed esaminare gli accessi e altre attività nei sistemi informativi che contengono o utilizzano le ePHI. Inoltre, devono mettere in atto misure di protezione contro qualsiasi minaccia o pericolo ragionevolmente previsto per la sicurezza o l'integrità delle ePHI.

Requisiti di conformità HIPAA

La conformità all'HIPAA implica l'adempimento dei requisiti dell'HIPAA e delle norme che lo accompagnano, la Privacy Rule, la Security Rule e la Breach Notification Rule. Queste norme richiedono alle entità coperte di implementare diverse misure di salvaguardia per proteggere le informazioni personali, comprese quelle amministrative, fisiche e tecniche. Inoltre, le entità coperte sono tenute ad avere un responsabile della conformità e a formare i propri dipendenti sulla conformità all'HIPAA.

Le salvaguardie amministrative riguardano la selezione, lo sviluppo, l'implementazione e il mantenimento di misure di sicurezza per proteggere le informazioni personali e gestire il comportamento del personale dell'entità coperta in relazione alla protezione di tali informazioni. Le salvaguardie fisiche riguardano le misure fisiche, le politiche e le procedure per proteggere i sistemi informativi elettronici di un'entità coperta e i relativi edifici e attrezzature dai rischi naturali e ambientali e dalle intrusioni non autorizzate. Le salvaguardie tecniche riguardano la tecnologia e le politiche e le procedure per il suo utilizzo che proteggono le informazioni personali e ne controllano l'accesso.

Avviso sulle pratiche di privacy

Nell'ambito della conformità all'HIPAA, le entità coperte sono tenute a fornire un Avviso di pratiche sulla privacy (NPP). L'NPP deve descrivere le modalità con cui l'entità coperta può utilizzare e divulgare le PHI. Deve inoltre indicare i doveri dell'entità coperta di proteggere la privacy, fornire un avviso sulle pratiche in materia di privacy e rispettare i termini dell'avviso in vigore. L'NPP deve anche descrivere i diritti delle persone, compreso il diritto di presentare reclamo all'HHS e all'entità coperta se ritengono che i loro diritti alla privacy siano stati violati.

La NPP deve essere fornita a ogni individuo entro e non oltre la data di erogazione del primo servizio e, ad eccezione di una situazione di trattamento d'emergenza, l'entità coperta deve compiere uno sforzo in buona fede per ottenere la conferma scritta del ricevimento dell'avviso da parte dell'individuo. Se non è possibile ottenere una conferma, l'ente coperto deve documentare gli sforzi compiuti per ottenere la conferma e il motivo per cui non è stata ottenuta.

Accordi di associazione d'impresa

Un altro requisito per la conformità all'HIPAA è la stipula di accordi di business associate (BAA). Un BAA è un contratto tra un'entità coperta da HIPAA e un associato d'affari (BA) HIPAA. Il contratto protegge le informazioni personali in conformità alle linee guida HIPAA. Quando un'entità coperta si avvale di un appaltatore o di un altro membro non appartenente al personale per svolgere servizi o attività di "business associate", la norma richiede che l'entità coperta includa determinate protezioni per le informazioni in un accordo di business associate.

Nell'accordo di associazione d'impresa, l'entità coperta deve imporre salvaguardie scritte specifiche sulle informazioni sanitarie identificabili individualmente utilizzate o divulgate dai suoi associati d'impresa. Inoltre, un'entità coperta non può autorizzare contrattualmente il proprio associato d'affari a fare un uso o una divulgazione di informazioni sanitarie protette che violerebbe la Regola.

Applicazione e sanzioni in caso di non conformità

L'Ufficio per i diritti civili (OCR) applica le norme HIPAA sulla privacy e HIPAA sulla sicurezza. L'OCR indaga sui reclami presentati e conduce verifiche di conformità per determinare se le entità coperte sono conformi. Inoltre, fornisce formazione e sensibilizzazione per promuovere l'osservanza dei requisiti delle norme. L'OCR collabora anche con il Dipartimento di Giustizia per segnalare eventuali violazioni penali delle norme.

Le sanzioni per la mancata conformità all'HIPAA possono essere severe. Le sanzioni per la non conformità si basano sul livello di negligenza e possono variare da $100 a $50.000 per violazione (o per record), con una sanzione massima di $1,5 milioni all'anno per violazioni di una disposizione identica. Le violazioni possono anche comportare accuse penali che possono portare al carcere.

Reclami

Le persone che ritengono che un'entità coperta abbia violato i loro diritti alla privacy delle informazioni sanitarie (o di qualcun altro) o abbia commesso un'altra violazione delle norme sulla privacy, sulla sicurezza o sulla notifica delle violazioni, possono presentare un reclamo all'OCR. I reclami devono essere presentati per iscritto, in formato cartaceo o elettronico, e devono indicare l'entità che si ritiene abbia violato i diritti e descrivere gli atti o le omissioni ritenuti in violazione dei requisiti applicabili.

L'OCR può indagare su qualsiasi reclamo presentato in base a questa procedura. Un reclamo per ritorsione, tuttavia, può essere presentato indipendentemente dal momento in cui si è verificato l'atto di ritorsione. L'OCR può anche avviare una verifica della conformità per indagare su un'entità coperta.

Sanzioni

Le sanzioni per la mancata conformità all'HIPAA possono essere severe. Le sanzioni per la non conformità si basano sul livello di negligenza e possono variare da $100 a $50.000 per violazione (o per record), con una sanzione massima di $1,5 milioni all'anno per violazioni di una disposizione identica. Le violazioni possono anche comportare accuse penali che possono portare al carcere.

Esistono quattro categorie di violazioni che riflettono livelli crescenti di colpevolezza e quattro corrispondenti livelli di sanzioni, con una sanzione massima di $1,5 milioni all'anno per violazioni di una disposizione identica. In alcuni casi, chi ottiene o divulga consapevolmente informazioni sanitarie identificabili individualmente in violazione della Privacy Rule può incorrere in una sanzione penale fino a $50.000 e fino a un anno di reclusione. Le sanzioni penali aumentano a $100.000 e fino a cinque anni di reclusione se la condotta illecita comporta falsi pretesti, e a $250.000 e fino a dieci anni di reclusione se la condotta illecita comporta l'intento di vendere, trasferire o utilizzare informazioni sanitarie identificabili a scopo di vantaggio commerciale, guadagno personale o danno doloso.

Conclusione

La conformità HIPAA è un aspetto critico delle operazioni sanitarie negli Stati Uniti. Con la crescente digitalizzazione delle cartelle cliniche e l'elevato valore delle informazioni sanitarie per i malintenzionati, garantire la privacy e la sicurezza delle informazioni sui pazienti è più importante che mai. Comprendendo e rispettando i requisiti dell'HIPAA, le organizzazioni sanitarie possono proteggere meglio i loro pazienti ed evitare le ingenti sanzioni associate alla non conformità.

È importante notare che questo articolo fornisce una panoramica completa della conformità HIPAA, ma non è esaustivo. L'HIPAA è una legislazione complessa con molte sfumature e specificità che esulano dalla portata di questo articolo. Pertanto, si raccomanda alle organizzazioni sanitarie di consultare esperti legali e di conformità per assicurarsi di essere pienamente conformi a tutti gli aspetti dell'HIPAA.