HIPAA Basics; HIPAA Made Easy

Cercando un riassunto HIPAA o una guida HIPAA 101? Leggere il regolamento significa passare in rassegna il complesso legalese, e fare affidamento sul sentito dire può portare a più malintesi che chiarimenti.

Ecco perché abbiamo messo insieme questa guida HIPAA 101 The Basics. Avrete tutto il necessario per capire con fiducia la legge, in una guida di facile lettura per aiutarvi a capire la conformità HIPAA.

Che cos’è HIPAA?

L’Health Insurance Portability and Accountability Act del 1996 (HIPAA) è una serie di standard nazionali che le organizzazioni sanitarie devono avere in atto per salvaguardare la privacy e la sicurezza delle informazioni sanitarie protette (PHI). PHI è qualsiasi informazione demografica identificabile individualmente che può essere usata per identificare un paziente. Esempi comuni di PHI includono nomi, indirizzi, e-mail, numeri di telefono, foto complete del viso,

Prima di iniziare, diamo un’occhiata ad alcune definizioni chiave che riguardano le basi HIPAA.

Ci sono due tipi di organizzazioni delineate nel regolamento HIPAA, tra cui:

• Entità coperte (CE): fornitori di assistenza sanitaria, piani di assicurazione sanitaria e stanze di compensazione di assistenza sanitaria. Le CE sono coinvolte nella creazione diretta di PHI e devono essere conformi a tutta la portata del regolamento HIPAA.
• Business Associates (BA): Qualsiasi organizzazione assunta da un CE (o altro BA) che necessariamente incontrerà PHI nel corso del lavoro che è stato assunto per eseguire. Esempi comuni di BA includono fornitori IT, società di gestione della pratica, fornitori di archiviazione fisica, fornitori di archiviazione cloud, crittografia della posta elettronica, back-up dei dati, e molti altri. I BA non sono tenuti a rispettare la HIPAA Privacy Rule nella sua interezza, ma devono rispettare il resto degli standard normativi applicabili.

Da quando è stata promulgata nel 1996, la HIPAA ha subito molti cambiamenti, revisioni e aggiunte. Collettivamente, queste sono diventate note come le regole HIPAA. Le regole HIPAA includono:

• HIPAA Privacy Rule: La norma sulla privacy stabilisce gli standard nazionali per la privacy, l’integrità e la disponibilità di PHI. La regola delinea le salvaguardie che devono essere in atto per garantire che le PHI siano mantenute private. La regola stabilisce anche le linee guida per i diritti dei pazienti di accedere alle loro cartelle cliniche, oltre agli usi, alle divulgazioni e alle autorizzazioni che i CE devono avere in atto.
• HIPAA Security Rule: La Security Rule stabilisce gli standard nazionali per mantenere la sicurezza di PHI attraverso una serie di salvaguardie tecniche, fisiche e amministrative che i CE e i BA devono implementare.
• HIPAA Breach Notification Rule: La Breach Notification Rule delinea i processi che le entità HIPAA-beholden devono seguire in caso di violazione dei dati. A seconda del numero di individui interessati da una data violazione, ci sono diverse tempistiche e standard di notifica che la regola richiede.
• HIPAA Omnibus Rule: L’Omnibus Rule ha apportato diversi cambiamenti importanti alla normativa HIPAA, in particolare per quanto riguarda il ruolo dei BA. Da quando la regola è entrata in vigore nel 2013, i BA hanno avuto l’obbligo normativo di diventare conformi all’HIPAA. Inoltre, l’Omnibus Rule ha stabilito regole più severe per l’esecuzione degli accordi di Business Associate, che saranno discussi più avanti in questo pezzo.

Ora che avete un’idea delle basi della conformità HIPAA, faremo un tuffo in ciò che è necessario per il vostro studio per rispettare efficacemente la legge.

Come diventare conforme all’HIPAA

Audit HIPAA

Il primo passo di qualsiasi programma di conformità efficace è quello di eseguire una serie di audit. Questi controlli vi daranno una linea di base di dove si trova la vostra pratica rispetto alla legge HIPAA.

Non c’è un elenco predefinito di controlli che devono essere eseguiti, tuttavia questi controlli dovrebbero essere eseguiti in tutti gli elementi della vostra attività per misurare la vostra conformità con gli standard HIPAA. Ogni regola HIPAA è composta da molti standard HIPAA, ognuno con le proprie specifiche di implementazione. Per controllare efficacemente la tua azienda, devi usare questi standard HIPAA come base per i tuoi controlli. Controllando la tua azienda rispetto agli standard HIPAA, ti farai un’idea di dove sono le tue lacune nella conformità, in modo da poterle correggere in seguito.

Piani di riparazione

Una volta che hai completato le tue verifiche e sviluppato le tue lacune nella tua attuale conformità HIPAA, allora puoi iniziare a correggere quelle lacune.

I piani di riparazione devono essere aperti per ogni lacuna che le tue verifiche hanno scoperto. Questi devono essere completamente documentati in un repository centrale, con accesso limitato basato sul ruolo a seconda delle parti coinvolte nel processo di riparazione. Ogni piano di rimedio deve assegnare la responsabilità a qualcuno del tuo staff per risolvere la lacuna, insieme a elementi di azione e a una tempistica per il completamento.

Come la tua organizzazione chiude ogni lacuna, devi documentare il processo fino a quando tutte le lacune sono chiuse.

Politiche, procedure, formazione dei dipendenti

Politiche e procedure sono la pietra angolare di un efficace programma di conformità HIPAA.

Le organizzazioni che rispettano l’HIPAA devono avere politiche e procedure in atto che affrontano ogni standard HIPAA. Hanno lo scopo di creare processi uniformi in tutte le parti della vostra organizzazione per la gestione di PHI e tutte le altre specifiche di implementazione richieste da HIPAA.

Anche se gli standard che ogni politica e procedura deve affrontare saranno gli stessi per ogni entità HIPAA, il linguaggio effettivo delle politiche e delle procedure deve essere adattato alle esigenze della vostra organizzazione. Ecco perché trovare una soluzione come un raccoglitore di politiche non è considerata una soluzione efficace per la conformità HIPAA. Se le politiche che la vostra organizzazione implementa non si applicano all’ambito della vostra attività, non saranno in grado di proteggervi nel caso di una violazione HIPAA.

Una volta che la vostra organizzazione ha implementato politiche e procedure HIPAA, dovete assicurarvi che tutti i dipendenti siano stati formati sul loro contenuto. E per documentare adeguatamente che questa formazione è avvenuta, la vostra organizzazione deve far firmare a tutti i dipendenti un attestato in cui dichiarano di aver letto e compreso il contenuto di ogni politica. Queste attestazioni devono essere in atto per proteggere la vostra organizzazione dalla responsabilità nel caso in cui un dipendente causi una violazione HIPAA in conflitto con una delle vostre politiche.

La formazione dei dipendenti deve essere eseguita annualmente. Tutti i nuovi dipendenti che entrano a far parte della tua organizzazione devono essere istruiti sulle politiche e le procedure come parte del loro processo di inserimento.

Gestione dei fornitori

Un’altra componente essenziale della conformità HIPAA è la comprensione di come proteggere le informazioni riservate a cui hanno accesso i fornitori. Come discusso in precedenza, un BA è un fornitore che assumete il cui lavoro comporta necessariamente un incontro con PHI di qualsiasi tipo.

HIPAA impone che prima che qualsiasi PHI possa essere condiviso, la vostra organizzazione deve eseguire un accordo di business associato (BAA) con questo fornitore. Questo si applica alle relazioni tra CE e BA, oltre alle relazioni tra un BA e un altro (un BA di un BA è chiamato “subappaltatore” secondo l’HIPAA).

I BAA DEVONO essere eseguiti prima che qualsiasi PHI possa essere condiviso. Un BAA efficace dovrebbe dichiarare che:

1. L’organizzazione 1 riconosce di essere tenuta all’HIPAA.
2. BA dell’organizzazione 1 riconosce di essere tenuta all’HIPAA.
3. La responsabilità in caso di violazione dei dati appartiene alla parte responsabile della violazione.