HIPAA è un atto legale che stabilisce le regole per la protezione delle informazioni dei pazientiConsente ai pazienti sanitari di controllare le proprie informazioni sensibili e fare affidamento sulle organizzazioni, che sono tenute a implementare strutture standardizzate per la privacy e la sicurezza dei pazientiMa, anche se esiste da un po' di tempo, le sue regole, requisiti e standard di sicurezza non sono qualcosa che molte persone conosconoContinua a leggere questa pagina e ottieni tutte le informazioni sulle regole di conformità HIPAA, sanzioni per violazione e altri dettagli importanti nella lista di controllo HIPAA
Privacy HIPAA e Regole di sicurezza HIPAA
L'Health Insurance Portability and Accountability Act è stato redatto innanzitutto per modernizzare il modo in cui le informazioni sanitarie identificabili personalmente dovrebbero essere trasmesse, mantenute e protette elettronicamenteÈ stato approvato nel 1996 e da allora è stato uno standard fondamentale per ogni lista di controllo per gli audit di conformità sanitariaIn quanto legge tecnologicamente neutrale, l'HIPAA è invecchiata bene durante la sua esistenza ed è rimasta inalterata nonostante i rapidi progressi portati da Internet negli ultimi due decenniNella sua essenza, HIPAA è un atto legale composto da regole, che stabiliscono i requisiti di conformità primariLe due regole più importanti incluse in questo atto sono la regola di sicurezza HIPAA e la regola sulla privacy
Che cos'è la regola di sicurezza HIPAA?
La regola di sicurezza HIPAA è stata introdotta per la prima volta nel 1998 e ha subito diverse modifiche da quando è stata approvata per la prima voltaQuando è stato redatto per la prima volta, i moderni smartphone non erano ancora sul mercato e le prime piattaforme di social media stavano appena spuntando su InternetCon questo in mente, è comprensibile che la lista di controllo per la valutazione del rischio HIPAA sia stata aggiornata in modo significativo per rimanere al passo con la società in continua evoluzioneNonostante ciò, la maggior parte della lingua originale utilizzata nella prima regola di sicurezza HIPAA è rimasta praticamente la stessa nel corso degli anni
Cos'è la norma sulla privacy HIPAA?
La normativa sulla privacy è stata emanata per la prima volta nel 2003A differenza della HIPAA Security Rule, che stabilisce gli standard di sicurezza di base, la Privacy Rule stabilisce limiti specifici per quanto riguarda l'uso delle informazioni sensibili del paziente senza l'autorizzazione del pazienteLa Privacy Rule è una parte essenziale di HIPAA, in quanto uno dei suoi scopi principali è quello di garantire ai pazienti il diritto di ottenere una copia della loro cartella clinica e richiedere eventuali correzioni necessarieCon oltre 400 pagine nel registro federale, si colloca ai primi posti nella lista di controllo per la valutazione del rischio HIPAA
A chi si applica HIPAA?
HIPAA si applica a tutti gli operatori sanitari, i piani sanitari e i centri di informazione sanitaria se tali organizzazioni inviano informazioni sanitarie elettronicamente con le transazioniPer avere una comprensione completa di tutti e di tutto ciò che rientra in queste tre categorie, esaminiamo ciascuna di esse in modo più dettagliato:
- Fornitori di assistenza sanitaria: ospedali, cliniche, medici, dentisti, case di cura, farmacie, psicologi e chiropratici
- Piani sanitari: HMO, piani sanitari aziendali, programmi governativi (ad ese, Medicare, Medicaid), assicurazione sanitaria e programmi sanitari per veterani
- Centri di informazione sanitaria: entità che elaborano informazioni sanitarie non standard per le organizzazioni sanitarie
Qualsiasi organizzazione che rientra in una delle categorie di cui sopra è tenuta a rispettare l'elenco di controllo delle regole di conformità HIPAALe entità coperte che non rispettano la lista di controllo HIPAA possono essere soggette a severe sanzioni finanziarie e penali che possono arrivare fino a $ 250.000 e dieci anni di carcere
Detto tutto ciò, è necessario tenere presente che non tutte le organizzazioni sanitarie sono tenute a rispettare la conformità HIPAAQuesto atto si applica solo alle organizzazioni che trasferiscono informazioni sanitarie protette per transazioni che l'HHS ha adottato standardQuesto è un aspetto vitale dell'HIPAA e tutti i pazienti dovrebbero esserne consapevoli prima di condividere qualsiasi dato sanitario e personale sensibile
Regola di notifica di violazione HIPAA da fare
La dettagliata lista di controllo HIPAA include precisi requisiti di notifica delle violazioni che le entità interessate devono soddisfare in caso di tale situazioneL'elenco include le seguenti azioni:
- Avviso individuale - L'azienda deve informare tutti i suoi individui interessati dopo la scoperta di una violazione di informazioni scarsamente protetteTali notifiche devono essere inviate senza alcun ritardo irragionevole e non oltre 60 giorni dalla scoperta di una violazioneL'avviso individuale richiama anche una serie di opzioni di protezione dell'utente, tra cui un numero verde dove le persone possono ottenere informazioni utili e consigli su cosa fare per evitare ulteriori potenziali danni
- Avviso per i media: le entità interessate che affrontano una violazione che colpisce più di 500 residenti di una singola giurisdizione o stato devono anche fornire una notifica ai principali media che operano in tale giurisdizione o statoAnalogamente alla notifica precedente, l'avviso ai media deve essere fornito entro un congruo termine, non oltre 60 giorni
- Avviso al segretario: oltre ai primi due requisiti di notifica, le entità interessate devono anche notificare al segretario le violazioni delle informazioni sanitarie protette non garantiteSe una violazione riguarda più di 500 persone, l'ente interessato deve informare il Segretario entro 60 giorniSe, tuttavia, la violazione riguarda meno di 500 persone, l'ente interessato può notificare il Segretario su base annuale
Requisiti di conformità HIPAA
Abbiamo già stabilito che l'Health Insurance Portability and Accountability Act definisce con precisione gli standard di protezione per le informazioni sensibili dei pazientiOltre alla regola di sicurezza HIPAA e alla regola sulla privacy, l'HIPAA ha anche stabilito una serie di linee guida sulla sicurezza relative ai dati specifici dei pazienti conservati o trasferiti in formato elettronicoNaturalmente, tali standard sono accompagnati da sicurezza fisica, tecnica e amministrativa che ogni azienda deve seguire per essere conforme a HIPAA
Norme tecniche
Seguendo le informazioni ufficiali fornite dall'HIPAA, gli standard tecnici sono la tecnologia e le politiche messe in atto per proteggere e gestire l'accesso ai dati sensibili dei pazientiIn altre parole, obbliga l'ente interessato ad attuare ogni e qualsiasi misura necessaria che gli consenta di mantenere standard di sicurezza ragionevoli e adeguatiI legislatori hanno intenzionalmente sottolineato la parte "ragionevole e appropriata" di questo standard, in quanto consente a ogni organizzazione sanitaria di stabilire un meccanismo di sicurezza in conformità con il proprio database, budget e complessità dei dati stessi
Standard fisici
Le protezioni fisiche includono tutte le misure fisiche, le procedure e le politiche per salvaguardare i sistemi elettronici da intrusioni fisiche non autorizzate, rischi ambientali e naturaliCoinvolge tutto, dall'ufficio dell'azienda all'archiviazione fisica separata o ai dispositivi dei dipendenti che contengono informazioni sensibili che richiedono un'archiviazione adeguataSebbene non siano così sofisticati come gli standard di sicurezza tecnici e amministrativi, le misure di sicurezza fisiche sono misure di sicurezza necessarie che ogni organizzazione dovrebbe avere in atto
Standard amministrativi
Proprio come le tutele tecniche proteggono il controllo e gestiscono l'accesso alle informazioni sensibili, vengono messe in atto tutele amministrative per gestire la forza lavoro dell'organizzazione in merito alla protezione di tali informazioniSignifica che ogni entità coperta deve implementare linee guida e politiche che aiutino i dipendenti a utilizzare e gestire correttamente le informazioni sanitariePer espandere un po' questo aspetto, gli standard amministrativi stabiliscono che ogni organizzazione deve realizzare e monitorare adeguatamente la delega di responsabilità, i requisiti di formazione dei dipendenti e documentare tutte le decisioni
Come ottenere la conformità HIPAA
La verità è che non ci sono suggerimenti interni specifici che possono aiutare un'azienda a superare la lista di controllo dell'audit HIPAA senza svolgere tutto il lavoro necessarioLa conformità HIPAA richiede che un'entità coperta (l'azienda) garantisca la massima riservatezza, integrità e disponibilità delle informazioni sanitarie protette e sviluppi procedure e politiche di protezione secondo la lista di controllo HIPAA
Per raggiungere la conformità HIPAA, l'azienda deve studiare e applicare ogni regola condensata nelle 115 pagine di HIPAAPoiché una procedura così approfondita può avere un effetto scoraggiante sulla maggior parte dei fornitori, la maggior parte delle aziende decide di collaborare con aziende terze di conformità IT HIPAA che possono aiutarle a implementare tutte le le politiche richieste in modo appropriato
Hideez Enterprise Solution for Healthcare è un semplice passo per diventare conformi a HIPAAElimina il rischio di attacchi di phishing, crittografa le credenziali e le rende invisibili per i dipendenti proteggendoti dalla divulgazione accidentaleLa soluzione Hideez consente il blocco e lo sblocco senza soluzione di continuità del computer per prossimità, particolarmente utile nell'ambiente con più computer condivisi
Come mantenere la conformità HIPAA
Semplicemente facendo una semplice ricerca online, puoi trovare dozzine di risultati su come rimanere in linea con la legislazione stabilita dall'HIPAAInutile dire che non tutti possono garantire che supererai il rapporto HIPAA sulla conformità e manterrai uno stato di conformità HIPAADetto questo, ecco tre metodi infallibili da eseguire:
- Analisi periodica dei rischi
- Documentazione di conformità dettagliata
- Personale altamente qualificato
Violazioni delle Leggi sulla conformità HIPAA
Ora che abbiamo compreso le regole di conformità HIPAA di base e le misure più importanti da implementare per rimanere conformi, diamo un'occhiata ad alcune delle cause più comuni della conformità HIPAA violazioniEsistono centinaia di possibilità in cui le regole sui dati conformi a HIPAA possono essere violate, ma le più comuni sono:
- Mancata esecuzione dell'analisi dei rischi a livello aziendale
- Mancata gestione dei rischi per la sicurezza
- Scuriamento delle cartelle cliniche private
- Divulgazione di informazioni sanitarie protette
- Negare alle persone l'accesso alle proprie cartelle cliniche
- Mancata documentazione degli sforzi di conformità
- Mancata fornitura di una formazione HIPAA sufficiente
Naturalmente, per essere completamente trasparenti, dobbiamo menzionare che alcune violazioni della conformità alla privacy HIPAA derivano da reati accidentali
Tuttavia, l'ignoranza e le offese accidentali richiedono ancora alcune azioni correttive nei confronti dell'azienda, anche se probabilmente senza significative sanzioni pecuniarieInoltre, vogliamo anche menzionare che HIPAA non prevale sulla legge stataleL'unica eccezione quando questo è il caso è in circostanze in cui le normative di uno stato sono più deboli di quelle della lista di controllo HIPAA