Cos'è l'HIPAA? Ecco come assicurarti di essere conforme a HIPAA

Nessuno dovrebbe scendere a compromessi su salute e sicurezza, e questo è ciò che HIPAA garantisce.

L'Health Insurance Portability and Accountability Act (HIPAA) è stato emanato nel 1996 per fornire ai pazienti un migliore accesso alle loro informazioni sanitarie e per regolamentarne la protezione. Nel corso degli anni, l'HIPAA si è evoluto per creare requisiti di notifica delle violazioni dei dati e determinare le entità a cui si applica.

Se lavori nel settore sanitario, le persone parlano spesso di HIPAA, ma che cos'è e come puoi soddisfare i suoi requisiti?

Che cos'è la legge sulla portabilità e responsabilità dell'assicurazione sanitaria?

L'Health Insurance Portability and Accountability Act (HIPAA) descrive l'uso corretto e la divulgazione delle informazioni sanitarie protette (PHI), come dovrebbero essere protette e cosa fare in caso di violazione. Il Dipartimento della salute e dei servizi umani (HHS) regola l'HIPAA, mentre l'Ufficio per i diritti civili (OCR) impone la conformità.

Quando viene presentata una denuncia di non conformità contro un'organizzazione sanitaria, l'OCR indaga sull'organizzazione per determinare se le affermazioni sono vere. Se si scopre che l'organizzazione ha violato l'HIPAA, possono essere imposte multe e azioni correttive.

Le tre regole dell'Health Insurance Portability and Accountability Act

Il regolamento HIPAA si compone di tre regole principali. Le norme HIPAA sulla privacy, la sicurezza e le notifiche di violazione forniscono linee guida per le organizzazioni sanitarie per condividere informazioni, proteggere le informazioni sensibili dei pazienti e rispondere e segnalare una violazione.

Regola sulla privacy HIPAA

La regola sulla privacy HIPAA si concentra principalmente sull'utilizzo e la divulgazione di informazioni sanitarie protette. L'uso e la divulgazione di PHI sono consentiti solo per motivi specifici, come trattamento, pagamento e assistenza sanitaria. Qualsiasi altro utilizzo o divulgazione richiede il previo consenso scritto del paziente.

Lo standard minimo HIPAA richiede inoltre che l'accesso alle PHI sia limitato. L'accesso alle PHI dovrebbe essere concesso solo ai dipendenti che ne hanno bisogno per il loro lavoro. Tale accesso dovrebbe inoltre essere limitato alle informazioni necessarie per svolgere le loro funzioni lavorative.

Ad esempio, un assistente amministrativo potrebbe aver bisogno di accedere ad alcune informazioni sul paziente per fissare un appuntamento. Questo dipendente dovrebbe probabilmente conoscere il nome del paziente, il contatto, le informazioni sull'assicurazione e, in alcuni casi, le informazioni procedurali di base per determinare la durata dell'appuntamento. Non avranno bisogno di accedere alla cartella completa del paziente.

Il tuo avviso di pratiche sulla privacy (NPP) deve delineare chiaramente come la tua organizzazione utilizza e divulga le informazioni sui pazienti. Dovrebbe anche discutere i diritti dei pazienti riguardo alle loro informazioni. Ai pazienti deve essere fornita una centrale nucleare per la revisione al momento dell'assunzione.

Anche i diritti dei pazienti (diritto di accesso HIPAA) sono trattati in dettaglio nella normativa sulla privacy. Lo standard HIPAA Right of Access richiede agli operatori sanitari di fornire ai pazienti l'accesso alle loro cartelle cliniche su richiesta. Le schede richieste devono essere messe a disposizione del paziente entro 30 giorni dalla richiesta. I pazienti hanno anche il diritto di ricevere le proprie cartelle cliniche nel formato da loro richiesto, ove applicabile.

Regola di sicurezza HIPAA

La regola di sicurezza HIPAA richiede che la riservatezza, l'integrità e la disponibilità delle PHI siano mantenute. In sostanza, ciò significa che le organizzazioni sanitarie devono proteggere la privacy delle PHI e impedirne l'alterazione o la distruzione senza autorizzazione. Le misure di sicurezza HIPAA aiutano a raggiungere una sicurezza dei dati ottimale.

Quali sono le tutele HIPAA?

Le salvaguardie HIPAA sono misure amministrative, tecniche e fisiche adottate per impedire l'accesso, l'uso o la divulgazione non autorizzati di PHI.

Le salvaguardie amministrative sono politiche e procedure che forniscono ai dipendenti linee guida per l'uso corretto e la divulgazione delle PHI. Descrivono inoltre i requisiti di formazione HIPAA e di valutazione dei rischi per la sicurezza per i dipendenti.

Le salvaguardie tecniche sono misure per proteggere le PHI elettroniche (ePHI). Esempi comuni di misure di sicurezza tecniche includono la crittografia, l'autenticazione degli utenti, i controlli di accesso e i controlli di audit.

• Crittografia: codifica i dati in modo che le entità non autorizzate non possano leggere le informazioni.
• Autenticazione utente: fornisce a ciascun utente un ID utente univoco per accedere alla rete dell'organizzazione.
• Controlli di verifica: consentono agli amministratori di monitorare facilmente attività sospette su una rete, come un utente che accede a una rete da una posizione sospetta o più tentativi di accesso falliti da parte di un singolo utente.
• Controlli di accesso: consentono agli amministratori di designare diversi livelli di accesso alle informazioni sui pazienti in base al ruolo lavorativo del dipendente.

Le protezioni fisiche, come serrature e sistemi di allarme, proteggono la posizione fisica di un'organizzazione.

Regola di notifica delle violazioni HIPAA

La regola di notifica delle violazioni HIPAA richiede alle società coperte e ai soci in affari di segnalare le violazioni PHI.

Non tutti gli incidenti sono violazioni. Esempi comuni di violazioni includono incidenti di pirateria informatica, accesso non autorizzato a PHI, divulgazione di PHI a una parte non autorizzata, furto o perdita di documenti cartacei e furto o perdita di dispositivi elettronici portatili non crittografati.

Ad esempio, il furto o la perdita di un laptop crittografato non è una violazione in quanto non è possibile accedere alle informazioni. Se le informazioni sul laptop non fossero sicure e diventassero accessibili a persone non autorizzate, sarebbe una violazione.

Le violazioni dei dati dei pazienti devono essere segnalate obbligatoriamente. L'organizzazione violata deve informare i pazienti interessati per iscritto entro 60 giorni dalla scoperta dell'incidente. Le organizzazioni devono inoltre segnalare la violazione al Dipartimento della salute e dei servizi umani (HHS).

Se l'incidente colpisce meno di 500 pazienti, le organizzazioni hanno fino a sessanta giorni dopo la fine dell'anno solare per segnalarlo all'HHS. Se l'incidente colpisce 500 o più pazienti, le organizzazioni devono segnalarlo all'HHS 30 giorni dopo la scoperta. Anche le violazioni che interessano 500 o più pazienti devono essere segnalate ai media.

Quali informazioni protegge HIPAA?

HIPAA protegge le informazioni sui pazienti, note come Protected Health Information (PHI). PHI è definito come qualsiasi informazione sanitaria identificabile individualmente associata alla fornitura passata, presente o futura di assistenza sanitaria.

Le informazioni sanitarie protette elettronicamente (ePHI) sono PHI memorizzate in un formato elettronico, ad esempio su un laptop o in una piattaforma di cartelle cliniche elettroniche. ePHI deve anche essere protetto da HIPAA.

18 identificatori HIPAA

Il Department of Health and Human Services (HHS) classifica le informazioni sanitarie protette in 18 identificatori univoci. Ciascuno dei 18 identificatori è considerato un PHI se è associato alla fornitura di servizi sanitari.

Fonte: gruppo di conformità

Di seguito sono riportati i 18 identificatori HIPAA:

1. Nomi dei pazienti
2. Elementi geografici, come indirizzo, città, provincia o codice postale
3. Dati relativi alla salute o all'identità delle persone, comprese date di nascita, data di ricovero, data di dimissione, data di morte o età esatta di un paziente di età superiore a 89 anni
4. Numeri di telefono
5. Numeri di fax
6. Indirizzi email
7. Numeri di previdenza sociale
8. Numeri di cartelle cliniche
9. Numeri beneficiari dell'assicurazione sanitaria
10. Numeri di conto
11. Numeri di certificato o di licenza
12. Identificatori del veicolo
13. Attributi del dispositivo o numeri di serie
14. Identificatori digitali, come gli URL dei siti web
15. Indirizzi IP
16. Elementi biometrici, tra cui dita, retina e impronte vocali
17. Immagini fotografiche integrali
18. Altri numeri o codici identificativi

Chi deve essere conforme a HIPAA?

Un malinteso comune è che l'HIPAA si applichi quando si accede o si divulgano informazioni sulla salute. Mentre HIPAA limita l'uso e la divulgazione di PHI, HIPAA si applica solo alle organizzazioni coinvolte in operazioni di trattamento, pagamento o assistenza sanitaria. Queste organizzazioni sono denominate "enti coperti" e "soci in affari".

Le organizzazioni con la possibilità di accedere a PHI o ePHI devono essere conformi a HIPAA.

Enti coperti

Le entità coperte includono fornitori di assistenza sanitaria, compagnie assicurative e stanze di compensazione. Medici, dentisti, professionisti della salute mentale, chiropratici e fornitori di assicurazioni sanitarie sono tutti soggetti coperti.

Soci in affari

I soci in affari sono fornitori assunti da un'entità coperta che può avere accesso a PHI. Le piattaforme di cartelle cliniche elettroniche (EHR), i fornitori di servizi di posta elettronica, gli organizzatori di appuntamenti online e i fornitori di servizi gestiti sono esempi comuni di soci in affari.

Come essere conformi a HIPAA

La conformità HIPAA prevede diversi passaggi. È piuttosto un passaggio o un fallimento. Sei conforme o non lo sei. È necessario soddisfare i requisiti di ogni passaggio per essere conformi a HIPAA e completare alcuni di questi requisiti ogni anno.

Fonte: gruppo di conformità

Condurre valutazioni dei rischi per la sicurezza, identificare le lacune e incorporare piani correttivi

Le valutazioni dei rischi di sicurezza (SRA) sono essenziali per soddisfare i requisiti HIPAA. Per essere conformi a HIPAA, è necessario completare annualmente una valutazione dei rischi per la sicurezza HIPAA. Questo perché gli SRA misurano le tue attuali protezioni rispetto agli standard HIPAA. Una lacuna si verifica quando il tuo lavoro attuale non è sufficiente per soddisfare gli standard HIPAA.

Le "lacune" sono carenze che possono comportare violazioni e violazioni HIPAA. È qui che entrano in gioco i piani di risanamento. I piani di correzione creano passaggi attuabili per colmare le lacune di conformità. Per essere efficaci, i piani di riparazione devono essere specifici, compreso ciò che verrà fatto per colmare il divario, chi è responsabile della riparazione e una tempistica per la riparazione.

Implementare politiche e procedure

Le politiche e le procedure devono essere progettate tenendo conto delle tre regole HIPAA. Le politiche e le procedure dovrebbero adattarsi al tipo e alle dimensioni di un'organizzazione ed essere riviste e aggiornate annualmente per essere efficaci.

Linee guida e procedure:

• L'uso corretto e la divulgazione delle PHI da parte dell'organizzazione e dei dipendenti
• In che modo la tua organizzazione protegge le PHI
• Cosa fare in caso di violazione o sospetta violazione

In passato, le organizzazioni hanno utilizzato i manuali HIPAA per le loro politiche e procedure. Tuttavia, poiché i manuali HIPAA sono pronti all'uso, non affrontano le sfumature di come opera la tua organizzazione.

Le politiche e le procedure appropriate per un piccolo studio medico potrebbero non essere efficaci per un grande gruppo ospedaliero, proprio come le politiche e le procedure scritte per un'entità coperta potrebbero non essere applicabili a un socio in affari.

Condurre corsi di formazione HIPAA per i dipendenti

I dipendenti con potenziale accesso a PHI o ePHI devono essere formati annualmente. La formazione dovrebbe includere le migliori pratiche HIPAA, una panoramica delle politiche e delle procedure della tua organizzazione e le migliori pratiche di sicurezza informatica.

L'HIPAA consiglia ai dipendenti di essere formati al momento dell'assunzione, quindi tenere un corso di formazione una volta all'anno non è sufficiente. Un programma flessibile di formazione dei dipendenti HIPAA è essenziale per soddisfare le esigenze di formazione.

Utilizzare uno strumento di formazione online è il modo migliore per raggiungere questo obiettivo. Con un programma di formazione online, ai dipendenti può essere assegnata la formazione quando necessario, completare la formazione al proprio ritmo e gli amministratori possono tenere traccia dei progressi dei dipendenti.

Firmare accordi di socio in affari

Gli accordi di società in affari HIPAA (HIPAA BAA) sono contratti legali che devono essere firmati tra un'entità coperta e il suo socio in affari (o tra due soci in affari). I BAA HIPAA devono essere firmati prima di scambiare PHI o ePHI. Non tutti i fornitori sono disposti o in grado di agire come soci in affari; se il fornitore non firma un BAA, non può adempiere ad alcun obbligo di socio in affari.

Supponiamo che tu stia cercando un programmatore di appuntamenti online che consenta ai pazienti di prenotare i propri appuntamenti. Trovi un fornitore che soddisfi le tue esigenze amministrative, ma non vuole firmare un contratto di affiliazione. Non è possibile stipulare un contratto con questo fornitore per la programmazione dei pazienti fino a quando non firma un BAA.

Gestione e risposta agli incidenti

Parte della conformità HIPAA consiste nell'implementare un piano di risposta agli incidenti testato. Puoi identificare, rispondere e segnalare rapidamente gli incidenti con un piano di risposta agli incidenti. Le organizzazioni con un piano di risposta agli incidenti collaudato riducono drasticamente il tempo necessario per il ripristino da un incidente, riducendone al contempo i costi.

Violazioni HIPAA e multe

Mentre molte violazioni comportano violazioni HIPAA, la violazione in sé non è mai la ragione per cui un'azienda viene multata. Le violazioni HIPAA si verificano quando un'organizzazione non rispetta gli standard HIPAA. Le multe HIPAA possono essere imposte in base alla gravità della violazione.

Fonte: gruppo di conformità

Esempi comuni di violazioni HIPAA includono il mancato rispetto di:

• Condurre una valutazione del rischio accurata e approfondita
• Fornire ai pazienti un accesso tempestivo alle loro cartelle cliniche
• Rispondi correttamente alle recensioni online dei pazienti
• Avere un contratto di socio in affari firmato con un socio in affari
• Smaltire correttamente le cartelle cliniche dei pazienti

Quindi, quando un'organizzazione verrebbe multata per una violazione?

Le multe HIPAA vengono emesse in base al livello di negligenza percepita.

• Il livello 1 è per le infrazioni meno gravi. Le sanzioni di livello 1 vengono imposte quando si verifica una violazione HIPAA perché un'entità coperta o un socio in affari non era a conoscenza della regola che ha violato. Per qualificarsi come penalità di livello 1, la violazione deve anche essere una violazione che non avrebbe potuto essere evitata se un'organizzazione avesse usato la ragionevole diligenza per conformarsi all'HIPAA. Le multe a questo livello vanno da $ 120 a $ 60.226 per violazione.
• Le violazioni di livello 2 si verificano quando un'entità coperta o un socio in affari è a conoscenza della violazione commessa. Per qualificarsi come violazione di Livello 2, la violazione è quella che avrebbe potuto essere evitata anche con un ragionevole grado di attenzione. Le multe a questo livello vanno da $ 12.045 a $ 60.226 per violazione.
• Le violazioni di livello 3 sono considerate più gravi rispetto al livello 1 o al livello 2 e sono soggette a multe più costose. Le violazioni di livello 3 derivano dalla negligenza intenzionale dell'HIPAA. Per essere considerata una violazione di livello 3, l'organizzazione deve sapere di aver violato l'HIPAA durante lo svolgimento della due diligence. Queste violazioni devono essere corrette entro 30 giorni per qualificarsi come violazioni di Livello 3. Le multe a questo livello vanno da $ 1.205 a $ 12.045 per violazione.
• Le violazioni di livello 4 comportano la negligenza intenzionale delle regole HIPAA. L'OCR impone sanzioni di livello 4 quando l'entità coperta o il socio in affari non ha tentato di porre rimedio alla violazione. Le multe a questo livello vanno da $ 60.226 a $ 1.806.757 per violazione.

Le organizzazioni che violano l'HIPAA sono spesso soggette a monitoraggio OCR e azioni correttive. I piani d'azione correttivi vengono sviluppati dall'OCR al completamento delle indagini sulle violazioni HIPAA quando le organizzazioni identificano carenze. Sono progettati per prevenire ulteriori violazioni e incidenti allineando il programma di conformità dell'organizzazione agli standard HIPAA.

Rimani conforme; stai al sicuro

L'Health Insurance Portability and Accountability Act dovrebbe essere una priorità assoluta per qualsiasi organizzazione coinvolta nel settore sanitario (entità coperta o socio in affari). In poche parole, per lavorare nel settore sanitario, devi essere conforme a HIPAA.

Senza HIPAA, i dati dei pazienti sono vulnerabili all'uso e alla divulgazione non autorizzati. Quando si verifica una violazione, i pazienti non solo perdono la fiducia nella capacità di un'organizzazione di proteggere le loro informazioni riservate, ma possono anche portare a violazioni HIPAA e multe costose.

Implementando un efficace programma di conformità HIPAA che soddisfi tutti gli standard HIPAA, migliorerai il tuo livello di sicurezza generale e ridurrai la probabilità di violazioni.

I pazienti sono ora più consapevoli dell'HIPAA e dei loro diritti. La conformità HIPAA dà loro la tranquillità di potersi fidare di te con le loro informazioni sensibili.

La gestione della privacy non si esaurisce con l'ottenimento di un tipo di conformità. Scopri tutto sulla gestione della privacy dei dati e sulla protezione della tua organizzazione.