Gli obiettivi delle leggi sulla privacy HIPAA
Le leggi sulla privacy HIPAA sono state promulgate per la prima volta nel 2002 con l’obiettivo di proteggere la riservatezza delle informazioni sanitarie dei pazienti senza ostacolare il flusso di informazioni che era necessario per fornire il trattamento. Le leggi sulla privacy HIPAA controllano chi può avere accesso alle informazioni sanitarie protette (PHI), le condizioni in cui possono essere utilizzate, e a chi possono essere divulgate.
Le leggi sulla privacy HIPAA non si applicano solo agli operatori sanitari e alle organizzazioni per cui lavorano. Le leggi si applicano a qualsiasi entità che può avere accesso a informazioni sanitarie su un paziente che – se dovesse cadere nelle mani sbagliate – potrebbe presentare un rischio di danno alle finanze o alla reputazione del paziente. Pertanto gli assicuratori sanitari, le stanze di compensazione sanitaria e i datori di lavoro che forniscono piani sanitari interni devono anche rispettare le leggi sulla privacy HIPAA.
Le informazioni protette dalle leggi sulla privacy HIPAA
Le informazioni protette dalle leggi sulla privacy HIPAA sono note come “Individually Identifiable Health Information”. Si tratta di qualsiasi informazione che può rivelare l’identità di un paziente per quanto riguarda:
- la condizione fisica o mentale passata, presente o futura del paziente,
- la fornitura di trattamenti sanitari e servizi sanitari al paziente, o
- il pagamento passato, presente o futuro per la fornitura di servizi sanitari al paziente.
Poiché i dati protetti includono informazioni di pagamento, le informazioni sanitarie identificabili individualmente non solo includono dati come nomi, date di nascita, numeri di previdenza sociale e numeri di telefono, ma anche numeri di registrazione dell’auto, informazioni sulla carta di credito e persino esempi di scrittura di un paziente.
E’ importante per le entità coperte notare che le leggi sulla privacy HIPAA non si applicano solo ai dati salvati in un formato scritto. Anche le immagini e i video che contengono informazioni sanitarie identificabili individualmente sono protetti dalle leggi sulla privacy HIPAA.
Se, per esempio, un fornitore di assistenza sanitaria scattasse una foto della ferita di un paziente – e l’identità del paziente potesse essere stabilita da qualsiasi caratteristica distintiva – la riservatezza e la divulgazione della fotografia sarebbero soggette alle condizioni previste dalle leggi sulla privacy HIPAA.
PHI: Chi, quando e come?
Le leggi sulla privacy HIPAA riguardanti PHI si applicano a ogni entità coperta e ogni fornitore di servizi di terze parti (o “Business Associate”) con cui l’entità coperta fa affari. Queste sono le uniche parti che dovrebbero avere accesso alle PHI, a meno che il paziente non abbia dato l’autorizzazione a divulgarle per scopi di ricerca, marketing o raccolta fondi.
La divulgazione delle PHI per scopi di trattamento, pagamento o operazioni sanitarie deve essere contenuta all’interno di un’entità coperta o di un Business Associate – a meno che la divulgazione sia richiesta dalla legge, sia nel migliore interesse pubblico o nel migliore interesse del paziente (per esempio, se il paziente è una vittima di abuso di minori, negligenza o violenza domestica).
Anche in questo caso, le leggi sulla privacy HIPAA stabiliscono che le entità coperte dovrebbero aderire alla “regola del minimo necessario” – una regola che afferma che la divulgazione di PHI dovrebbe essere solo il minimo necessario per raggiungere lo scopo dichiarato. Ogni richiesta di divulgazione dovrebbe anche essere esaminata caso per caso, piuttosto che dare accesso a PHI a un socio d’affari perché è stato permesso l’accesso in precedenza.
La divulgazione non autorizzata di PHI
Ogni entità coperta è tenuta a implementare misure di sicurezza per prevenire la divulgazione non autorizzata di PHI. Queste salvaguardie variano a seconda delle dimensioni dell’entità coperta e della natura dell’assistenza sanitaria che fornisce, ma le sanzioni per non aver salvaguardato l’integrità delle PHI possono essere estremamente elevate. Le organizzazioni sanitarie che deliberatamente o per negligenza non aderiscono alle leggi sulla privacy dell’HIPAA possono essere multate fino a 50.000 dollari per infrazione al giorno.
Secondo l’Ufficio per i diritti civili del Dipartimento della salute e delle risorse umane, la ragione più comune per la divulgazione non autorizzata di PHI è la perdita o il furto di dispositivi mobili personali e dispositivi multimediali portatili (computer portatili, smartphone e unità flash USB). Per questo motivo, molte organizzazioni sanitarie hanno scelto di implementare soluzioni di messaggistica sicura come sostituti appropriati per i canali di comunicazione non sicuri come SMS ed e-mail.
Le soluzioni di messaggistica sicura criptano le informazioni personali in modo che siano indecifrabili e inutilizzabili se vengono intercettate durante il trasporto, e hanno anche meccanismi di sicurezza per garantire che le informazioni personali non possano essere accidentalmente o maliziosamente inviate al di fuori della rete di comunicazione privata di un ente coperto o copiate su un’unità flash USB. Nel caso in cui un dispositivo mobile personale venga perso o rubato, esistono controlli amministrativi per cancellare a distanza qualsiasi PHI ricevuta dal dispositivo e bloccare l’applicazione utilizzata per la messaggistica sicura. Questi controlli funzionano anche sui computer desktop.
I vantaggi delle soluzioni di messaggistica sicura
Non solo le soluzioni di messaggistica sicura sono conformi alle leggi sulla privacy HIPAA, ma anche ai requisiti amministrativi, fisici e tecnici della HIPAA Security Rule. Questo significa che sono in atto meccanismi per monitorare i messaggi sicuri e garantire il 100% di responsabilità dei messaggi che, a sua volta, riduce il phone tag – la quantità di tempo sprecato dagli operatori sanitari in attesa della conferma che un messaggio è stato ricevuto o di una risposta.
Un recente articolo di CNN Money ha riportato che il phone tag costa al settore sanitario statunitense più di 7 miliardi di dollari ogni anno e che l’implementazione di soluzioni di messaggistica sicura potrebbe accelerare i processi sanitari come i ricoveri in ospedale e le dimissioni dei pazienti. Studi separati hanno anche dimostrato che la messaggistica sicura accelera le comunicazioni, favorisce la collaborazione e, se integrata con un EHR, riduce gli incidenti di sicurezza del paziente e gli errori di medicazione.
Con la messaggistica sicura, le informazioni protette dalle leggi sulla privacy HIPAA rimangono protette, solo gli utenti autorizzati hanno accesso a PHI e gli operatori sanitari possono comunicare con la stessa velocità e comodità di SMS o e-mail, ma senza rischiare la divulgazione non autorizzata di PHI. La messaggistica sicura soddisfa le condizioni delle leggi sulla privacy HIPAA su chi può avere accesso a PHI, le condizioni in cui può essere usata e a chi può essere rivelata.
Altre informazioni sulle leggi sulla privacy HIPAA
Se vuoi saperne di più sulle leggi sulla privacy HIPAA, puoi trovare ulteriori informazioni qui.