Chi applica l'HIPAA: Cosa bisogna sapere per essere in regola

Come l'Ufficio per i diritti civili mantiene la riservatezza delle informazioni sui dati personali

L'Health Insurance Portability and Accountability Act, o HIPAA, ha avuto un impatto massiccio sul settore sanitario statunitense da quando è diventato legge nel 1996. Sebbene molti operatori sanitari ne siano a conoscenza, molti hanno bisogno di imparare o non sono sicuri di chi faccia effettivamente rispettare l'HIPAA.

Oggi affrontiamo questo argomento, dai dipartimenti governativi coinvolti alle varie sanzioni che possono essere comminate alle aziende che non rispettano la legge.

Chi è responsabile dell'applicazione delle norme HIPAA?

Semplicemente, l'Ufficio dei Diritti Civili, o OCR. Il dipartimento fa capo al Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (HHS).

L'OCR ha la responsabilità di far rispettare l'HIPAA. Fornisce informazioni per i singoli individui ai sensi dell'HIPAA e regole per le entità coperte e gli associati d'affari.

Come discusso in precedenza, le "entità coperte" sono fondamentalmente tutti coloro che possiedono informazioni sanitarie protette (PHI) in formato elettronico, secondo la definizione dell'HHS. Di solito si suddividono in:

Piani sanitari come le compagnie di assicurazione sanitaria, programmi governativi che pagano l'assistenza sanitaria (ad esempio Medicare) e programmi sanitari militari e per veterani (ad esempio VA).

I centri di compensazione sanitaria, come i servizi di fatturazione medica, le società di riprezzamento o i sistemi comunitari di gestione delle informazioni sanitarie (HMI).

Medici, farmacie e case di cura

L'OCR è anche coinvolto nella gestione della crisi dell'overdose di oppioidi che sta colpendo gli Stati Uniti.

Di recente, il dipartimento ha annunciato di voler includere la cybersicurezza tra le sue responsabilità.

Oltre all'HIPAA, l'OCR è responsabile anche di:

Applicare le leggi federali sui diritti civili che proteggono i diritti di individui ed enti da discriminazioni illegali basate su razza, colore, origine nazionale, disabilità, età o sesso nei servizi sanitari e umani.

Applicare le leggi federali che proteggono la coscienza e il libero esercizio della religione nei servizi sanitari e umani. Ciò include il divieto di coercizione e di discriminazione religiosa.

L'OCR: elenco dei suoi compiti

L'HIPAA stabilisce tre regole principali per la protezione dei dati personali. Esse sono:

La norma sulla privacy

La norma sulla sicurezza

La norma sulla notifica delle violazioni

La normativa sulla privacy

La Privacy Rule è stata concepita per proteggere i dati personali. Può essere vista in due parti:

Le entità coperte devono avere delle protezioni per proteggere le informazioni dei pazienti, che vanno dalla definizione di limiti e condizioni di utilizzo delle informazioni alle modalità di accesso.

I pazienti hanno determinati diritti di accesso alle loro informazioni personali.

La norma sulla sicurezza

Questi standard e requisiti devono essere utilizzati per proteggere le PHI quando vengono conservate dalle entità coperte e dai business associate o durante la loro trasmissione. Un esempio di quest'ultima potrebbe essere lo scambio tra il tablet medico di un RN e lo smartphone di un medico.

Le misure di sicurezza sono un modo per conformarsi a questa regola, come l'utilizzo di lettori RFID integrati e di un software di single sign-on come Imprivata in un tablet medico.

La norma sulla notifica delle violazioni

Questa norma stabilisce cosa succede quando l'entità coperta e gli eventuali associati d'affari subiscono una violazione dei dati.

Il paziente viene informato per primo? O al direttore dell'OCR? E l'HHS o addirittura i media?

Questa norma risponde a queste e altre domande.

L'OCR applica anche altre norme HIPAA più specifiche, come la Transaction Rule, la Identifiers Rule e la Enforcement Rule,

Come l'OCR applica le sentenze

L'OCR applica l'HIPAA in diversi modi.

Uno è quello di indagare sui reclami. Ciascuna di esse deve seguire linee guida rigorose perché il dipartimento le prenda in considerazione.

La possibile violazione deve essere avvenuta negli ultimi sei anni.

L'entità o il partner commerciale coinvolto rientra nelle norme HIPAA.

L'azione commessa dall'ente o dal partner commerciale ha violato le norme HIPAA.

La persona che presenta il reclamo deve presentarlo entro 180 giorni dalla scoperta della possibile violazione.

Le verifiche di conformità o gli audit sono un altro modo in cui l'OCR applica l'HIPAA. Contatterà le entità coperte per assicurarsi che i loro processi siano conformi. Ciò può avvenire nell'ambito di un'indagine su un reclamo o in modo casuale stabilito dal dipartimento.

L'OCR, se stabilisce che un'entità coperta non ha rispettato l'HIPAA, collaborerà con essa:

Conformità volontaria da parte dell'ente coperto

Esecuzione di un'azione correttiva.

Definizione di un accordo di risoluzione.

La natura del reclamo, la violazione e l'entità coperta influenzano la contrattazione dell'OCR con la particolare entità o il business associate.

Sanzioni civili in denaro

Sfortunatamente, alcune entità coperte o i loro associati d'affari possono non rispettare la loro parte dell'accordo con l'OCR. Quando il dipartimento se ne rende conto, può imporre sanzioni civili in denaro (CMP):

da 100 a 50.000 dollari per ogni violazione commessa dall'entità ma che "non conosceva"

da 1.000 a 50.000 dollari per ogni violazione commessa dall'ente e per la quale esisteva una cosiddetta "ragionevole causa" di violazione

da 10.000 a 50.000 dollari per ogni violazione commessa dall'entità con "negligenza intenzionale" e azione correttiva.

Una serie di 50.000 dollari se l'entità commette una "negligenza intenzionale" senza azioni correttive.

Le entità coperte o i business associate possono essere multati fino a un massimo di 1.500.000 dollari per tutte le violazioni di una disposizione identica durante un anno solare (al lordo dell'inflazione).

Sanzioni penali

Per le violazioni più gravi, l'OCR può imporre sanzioni penali:

50.000 dollari e fino a un anno di reclusione per l'abuso intenzionale di PHI.

100.000 dollari e fino a cinque anni di carcere se si tratta di falsi pretesti.

250.000 dollari e fino a 10 anni di carcere per le violazioni commesse a scopo di lucro.

Si noti che l'OCR non opera da solo nell'applicazione dell'HIPAA. Se necessario, l'OCR può ricorrere ai poteri di applicazione di:

Centri per i servizi Medicare e Medicaid

Food and Drug Administration degli Stati Uniti

Commissione federale per le comunicazioni

HHS

Infine, molti procuratori generali statali possono applicare l'HIPAA.

Riflessioni conclusive

L'Ufficio dei diritti civili (OCR) applica le norme HIPAA. Parte dei servizi sanitari e umani degli Stati Uniti, l'OCR si assicura che le entità coperte siano conformi e che vengano trattate in modo appropriato quando non lo sono. Si tratta di fornitori, compagnie assicurative e qualsiasi altra entità e i loro associati d'affari che rientrano nel campo di applicazione dell'HIPAA.

Contattate un esperto di Cybernet se volete assicurarvi che i vostri computer medici e attrezzature simili siano conformi all'HIPAA. Possiamo anche suggerirvi come assistervi nei vostri sforzi di conformità HIPAA, che possono includere il rispetto di eventuali sanzioni imposte dall'OCR.