La Legge sulla portabilità e responsabilità dell’assicurazione sanitaria del 1996 (HIPAA) è una legge federale statunitense per proteggere i dati sanitari sensibili dei pazienti. L’obiettivo primario di conformità dell’HIPAA è proteggere le informazioni sulla salute delle persone senza compromettere il libero flusso di informazioni necessarie per fornire ai pazienti un’assistenza sanitaria di qualità.
Sebbene la legge sia entrata in vigore dal 1996, l’Ufficio per i diritti civili del Dipartimento della salute e dei servizi umani degli Stati Uniti continua a registrare migliaia di casi di violazione. Questo articolo analizza gli aspetti critici dell’HIPAA e della Regola sulla privacy. Le precauzioni che dovresti prendere come operatore sanitario, agenzia di piani sanitari o socio in affari per evitare sanzioni.
Che cos’è l’Health Insurance Portability and Accountability Act (HIPAA)?
Ventiquattro anni fa, precisamente il 21 agosto 1996, il presidente Bill Clinton firmava l’Health Insurance Portability and Accountability Act (legge pubblica 104-191). Il Kennedy-Kassebaum Act (un altro nome per HIPAA) si compone di cinque titoli. Titolo I, III, IV, e V di HIPAA affrontano i piani sanitari, la copertura assicurativa, i risparmi medici e le questioni relative alle tasse. Ma il titolo II dell’HIPAA si concentra sul rafforzamento della sicurezza dei dati per prevenire le frodi sanitarie e l’abuso delle informazioni dei pazienti. Le Regole di semplificazione amministrativa, un sottoinsieme del Titolo II, sembra essere la disposizione più significativa. Descrive le linee guida per la gestione delle informazioni sanitarie protette.
Che cos’è la normativa sulla privacy di conformità HIPAA?
Normativa sulla privacy di conformità HIPAA, chiamata anche “Standard per la privacy delle informazioni sanitarie identificabili individualmente”. L’HIPAA riguarda l’uso e la divulgazione di informazioni sanitarie da parte di determinate entità o organizzazioni da parte degli individui. Dall’inizio di aprile 2003, gli enti danno mandato di dimostrare la conformità a queste regole. Per questo articolo, il termine “entità coperte” farà riferimento a organizzazioni e individui a cui si rivolge la regola.
Simile al Regolamento generale sulla protezione dei dati (GDPR), la Regola sulla privacy HIPAA contiene i requisiti per il diritto degli individui di comprendere come vengono utilizzate le loro informazioni mediche e di controllare tale utilizzo. Le entità interessate possono ottenere e utilizzare le informazioni sanitarie con giudizio, ma non devono divulgare o trasferire tali dati senza autorizzazione.
Quali sono le “Entità coperte” ai sensi dell’HIPAA?
La Privacy Rule comprende una categoria selezionata di individui e organizzazioni. Questi sono:
- Operatori sanitari: indipendentemente dalle dimensioni dell’operazione, gli operatori sanitari che trasmettono informazioni mediche in formato digitale relative a transazioni specifiche hanno l’obbligo di rispettare la Normativa sulla privacy. Tali transazioni includono richieste, richieste di idoneità ai benefici, ecc. e altre transazioni stabilite dalla Regola sulle transazioni HIPAA. I fornitori di assistenza sanitaria hanno fornitori istituzionali (come gli ospedali) e fornitori non istituzionali (compresi medici, dentisti, ecc.).
- Fornitori di piani sanitari: i piani sanitari sono beni comuni nel mondo di oggi. A volte sono gestiti da compagnie di assicurazione sanitaria o sponsorizzati dal governo. Anche i piani sanitari di gruppo sponsorizzati dal datore di lavoro rientrano tra i fornitori di piani sanitari. Un piano sanitario potrebbe essere una visione, un piano dentistico o medico generale. Per le entità o le organizzazioni che forniscono il costo dell’assistenza sanitaria, l’Health Insurance Portability and Accountability Act ha stabilito linee guida di conformità per guidare il loro utilizzo delle informazioni sanitarie del paziente alla loro portata. Nel frattempo, ci sono alcune eccezioni ai piani sanitari coperti dalla regola. Ad esempio, i piani sanitari di gruppo che non hanno fino a 50 partecipanti escono da questa categorizzazione. Anche alcuni piani sponsorizzati dal governo non rientrano in questa categoria. Sono:
– (a) Piani sanitari che non prevedono costi diretti per l’assistenza sanitaria, ad esempio programmi di buoni alimentari
– (b) Programmi che forniscono direttamente assistenza sanitaria, come i centri sanitari comunitari. - Clearinghouse sanitari: sono agenzie di terze parti, pubbliche o private, che elaborano transazioni o dati non standard in elementi di dati o transazioni standard. Il più delle volte, i centri di smistamento sanitari ricevono dati sanitari quando prestano servizi a fornitori di servizi sanitari o piani sanitari come soci in affari. I servizi di fatturazione, i sistemi informativi per la gestione della salute della comunità, le società di repricing, ecc., sono esempi di centri di smistamento sanitari.
Quando è “obbligatoria” la divulgazione dei dati?
Come la Legge sulla comunicazione e sull’accessibilità ai video (CVAA), la Legge sulla portabilità e responsabilità dell’assicurazione sanitaria fornisce flessibilità nelle sue regole sulla privacy. Per quanto sia vietato alle entità divulgare i dati dei pazienti, gli standard HIPAA sulla privacy consentono due eccezioni.
Quando è necessaria la comunicazione di dati sanitari, la prima occasione è quando un individuo possiede i dati in questione richiede le sue informazioni. Se il Servizio per la salute umana richiede informazioni sui dati per l’indagine sulla conformità o il processo di applicazione, l’HIPAA richiede la divulgazione di tali informazioni.
La regola generale relativa alle informazioni sanitarie è che i dati sanitari sono “ammissibili” in modo responsabile e autorizzato. Tuttavia, ad ogni regola generale, ci sono delle eccezioni. Ne consegue, quindi, che l’Health Insurance Portability and Accountability Act consente alle entità di utilizzare e divulgare informazioni sanitarie sensibili senza il permesso dell’individuo in determinate situazioni e per scopi specifici, alcuni dei quali includono:
- Operazioni sanitarie tra cui trattamento o invio di cure, pagamento o rimborso per il servizio sanitario, ecc.
- Quando è coinvolto l’interesse pubblico, in particolare se si riferisce a uno dei 12 scopi prioritari nazionali (per l’applicazione della legge, ordine del tribunale, procedimenti amministrativi o giudiziari, in caso di abuso, negligenza o violenza domestica, scopo di ricerca e così via). Nel frattempo, non ci sono restrizioni alla divulgazione o all’uso di informazioni sanitarie anonime; vale a dire, informazioni sanitarie che non forniscono alcun motivo ragionevole per l’identificazione. L’anonimizzazione può avvenire attraverso la rimozione di specifici identificatori chiave dell’individuo. Potrebbe essere necessario uno statistico qualificato per determinare il processo di anonimizzazione.
Lista di controllo per la conformità HIPAA per i siti web
HIPAA Regola di sicurezza è un regolamento gemello della Normativa sulla privacy . La principale differenza tra i due è che la regola di sicurezza si occupa strettamente delle informazioni sanitarie che le entità coperte creano, ricevono, salvano o trasmettono elettronicamente. La regola di sicurezza fa riferimento a tali dati come “informazioni sanitarie protette elettronicamente (e-PHI). “Come regola generale, le entità interessate devono mantenere riservate tutte le informazioni sanitarie protette elettronicamente (e-PHI) durante la creazione, la ricezione, la trasmissione o l’archiviazione.
In questo momento ed età, la raccolta, l’elaborazione e la raccolta dei dati avvengono su Internet e i dati sanitari non fanno eccezione. I sistemi sanitari utilizzano cartelle cliniche elettroniche (EHR) e altre applicazioni cliniche che comportano potenziali rischi per la sicurezza. In tal caso, le istituzioni sanitarie (ospedali e centri di smistamento) e gli operatori sanitari devono proteggere “le informazioni sanitarie identificabili individualmente”.
Poiché Internet è l’indiscusso punto di accesso ai dati di base, le entità coperte dall’HIPAA. La normativa sulla privacy HIPAA deve gestire siti Web sicuri e protetti. Le seguenti sono considerazioni utili sulla lista di controllo della conformità del sito web HIPAA.
HIPAA Lista di controllo per la conformità
- Ottieni una protezione SSL: Secure Sockets Layer (SSL) è una scommessa sicura per i siti di e-commerce che raccolgono i dettagli degli utenti. Facendo affidamento sulla crittografia SSL, le entità coperte possono garantire che tutti i dati registrati e trasmessi sul loro sito Web rimangano sicuri e privati. Inoltre, un certificato SSL aumenterà la fiducia in te. In quanto stabilisce la tua identità mentre rafforza la sicurezza tra reti o dispositivi. Un certificato SSL (Secure Server Layer) protegge un’ampia gamma di informazioni. Include cartelle cliniche, credenziali di accesso, informazioni personali identificabili, nome, indirizzo di casa, numero di telefono e una carta di credito o informazioni bancarie.
- Attiva la crittografia completa dei dati: la crittografia dei dati archiviati è un buon modo per garantire che le persone non autorizzate non interferiscano con le informazioni sensibili del cliente.
- Aggiorna frequentemente le credenziali di accesso: una buona pratica di sicurezza Web consiste nel modificare le credenziali di accesso il più frequentemente possibile per rafforzare frequentemente la sicurezza.
- Limitare il controllo dell’accesso ai membri del team e, nelle occasioni necessarie, agli appaltatori. Come la migliore pratica, l’accesso all’account principale dovrebbe essere riservato a un individuo, chiunque esso sia.
- Aggiorna software di sicurezza e firewall
- Crea un protocollo di violazione dei dati per ogni evenienza
- Garantisci il backup completo dei dati nonostante la crittografia dei dati e la sicurezza del firewall.
Come rispettare la legge sulla portabilità e la responsabilità dell’assicurazione sanitaria?
Rispettare l’HIPAA è un obbligo etico. Non solo salva la reputazione dell’organizzazione, ma evita anche multe esorbitanti per violazione. Dall’entrata in vigore, l’Ufficio per i diritti civili degli Stati Uniti ha imposto sanzioni pecuniarie che sono non meno di 135 milioni di dollari. È interessante notare che la conformità HIPAA non è impossibile, a condizione che tu sia determinato a farlo.
- Creare una consapevolezza interna: “Una casa divisa contro se stessa non reggerà” è un adagio rilevante per rispettare la regola di sicurezza dell’HIPAA. Assicurati che lo sforzo della tua organizzazione per implementare queste linee guida venga raggiunto. Attraverso l’orientamento e la formazione continua, il tuo team sarà in una posizione migliore per rispettare tutte le normative necessarie.
- Designare un responsabile della privacy: un compito per tutti può finire come un compito per nessuno. Le informazioni sanitarie protette (PHI) dei clienti sono dati sensibili che la tua agenzia dovrebbe monitorare da vicino. L’uomo migliore per questo lavoro è un addetto alla privacy che investe tempo e risorse in questa sacra responsabilità. Oltre a supervisionare i dati dei clienti, il Privacy Officer deve anche sviluppare e implementare politiche e procedure per proteggere la privacy dei dati.
- Eseguire una valutazione periodica del rischio: la regola di sicurezza incoraggia le organizzazioni interessate a condurre una valutazione del rischio per valutare le probabili minacce alla sicurezza su e-HPI. Un aspetto positivo della valutazione periodica del rischio è che rafforza la sicurezza informandoti del potenziale pericolo e proteggendoti da esso. Prevenire è meglio che curare.
Conclusione
La Legge sulla portabilità e responsabilità dell’assicurazione sanitaria ha stabilito linee guida per proteggere i dati medici dei pazienti da frodi e abusi senza compromettere la qualità dell’assistenza sanitaria. Pertanto, le entità interessate devono dimostrare la conformità alle varie regole dell’HIPAA a livello amministrativo, tecnico e fisico per un risultato efficace. Considerando il crescente tasso di criminalità informatica, gli operatori sanitari, le istituzioni di piani sanitari e i soci d’affari devono implementare solide pratiche di sicurezza Internet. Ciò include la protezione SSL, la crittografia dei dati e la fornitura di un protocollo di violazione dei dati. Comprendere le linee guida e i regolamenti internazionali più importanti nel 2021, come ad esempio GDPR, CVAA e WCAG.