Obiectivele legilor de confidențialitate HIPAA
Legile de confidențialitate HIPAA au fost adoptate pentru prima dată în 2002 cu scopul de a proteja confidențialitatea informațiilor privind asistența medicală a pacienților fără a împiedica fluxul de informații necesare pentru a oferi tratament. Legile de confidențialitate HIPAA controlează cine poate avea acces la informațiile medicale protejate (PHI), condițiile în care acestea pot fi utilizate și cui pot fi dezvăluite.
Legile de confidențialitate HIPAA nu se aplică doar furnizorilor de servicii medicale și organizațiilor pentru care aceștia lucrează. Legile se aplică oricărei entități care ar putea avea acces la informații medicale despre un pacient care – dacă ar cădea în mâini greșite – ar putea prezenta un risc de afectare a finanțelor sau a reputației pacientului. Prin urmare, asigurătorii de sănătate, casele de compensare a asistenței medicale și angajatorii care oferă planuri interne de sănătate trebuie, de asemenea, să respecte legile de confidențialitate ale HIPAA.
Informațiile protejate de legile de confidențialitate ale HIPAA
Informațiile protejate de legile de confidențialitate ale HIPAA sunt cunoscute sub numele de „informații de sănătate identificabile individual”. Este vorba de orice informație care poate dezvălui identitatea unui pacient în ceea ce privește:
- starea fizică sau mentală trecută, prezentă sau viitoare a pacientului,
- prestarea de tratament medical și de servicii medicale pacientului sau
- plata trecută, prezentă sau viitoare pentru furnizarea de servicii medicale pacientului.
Pentru că datele protejate includ informații de plată, informațiile de sănătate identificabile individual nu includ doar date precum numele, data nașterii, numerele de securitate socială și numerele de telefon, ci și numerele de înmatriculare ale mașinilor, informații despre cardurile de credit și chiar exemple de scris de mână ale unui pacient.
Este important ca entitățile acoperite să rețină că legile de confidențialitate HIPAA nu se aplică doar datelor salvate în format scris. Imaginile și clipurile video care conțin orice informație de sănătate identificabilă individual sunt, de asemenea, protejate de legile de confidențialitate HIPAA.
Dacă, de exemplu, un furnizor de servicii medicale a făcut o fotografie a rănii unui pacient – iar identitatea pacientului ar putea fi stabilită prin orice trăsătură distinctivă – confidențialitatea și divulgarea fotografiei ar fi supuse condițiilor din cadrul legilor de confidențialitate HIPAA.
PHI: Cine, când și cum?
Legile de confidențialitate ale HIPAA privind PHI se aplică fiecărei entități acoperite și fiecărui furnizor de servicii terț (sau „Asociat de afaceri”) cu care entitatea acoperită face afaceri. Acestea sunt singurele părți care ar trebui să aibă acces la PHI, cu excepția cazului în care pacientul autorizează divulgarea acesteia în scopuri de cercetare, marketing sau strângere de fonduri.
Divulgarea PHI în scopul tratamentului, plății sau operațiunilor de asistență medicală trebuie să fie limitată la o entitate acoperită sau la un Asociat de afaceri – cu excepția cazului în care divulgarea este impusă de lege, este în interesul public sau în interesul superior al pacientului (de exemplu, dacă pacientul este victima unui abuz asupra copilului, a neglijării sau a violenței domestice).
Chiar și în acest caz, legile de confidențialitate ale HIPAA stipulează că entitățile acoperite ar trebui să adere la „Regula minimului necesar” – o regulă care stipulează că dezvăluirea ISP ar trebui să fie doar minimul necesar pentru a atinge scopul declarat. De asemenea, fiecare cerere de divulgare ar trebui să fie analizată de la caz la caz, mai degrabă decât să se acorde acces la PHI unui asociat comercial pentru că i s-a permis accesul anterior.
Divulgarea neautorizată a PHI
Care entitate acoperită trebuie să implementeze măsuri de protecție pentru a preveni divulgarea neautorizată a PHI. Aceste măsuri de protecție vor varia în funcție de mărimea entității acoperite și de natura asistenței medicale pe care o furnizează, dar sancțiunile pentru nerespectarea protecției integrității ISP pot fi extrem de ridicate. Organizațiile din domeniul sănătății care, în mod deliberat sau din neglijență, nu respectă legile de confidențialitate ale HIPAA pot fi amendate cu până la 50.000 de dolari pe zi pentru fiecare infracțiune.
Potrivit Biroului pentru drepturi civile al Departamentului pentru sănătate și resurse umane, cel mai frecvent motiv pentru divulgarea neautorizată a ISP este pierderea sau furtul dispozitivelor mobile personale și a dispozitivelor media portabile (laptopuri, smartphone-uri și unități flash USB). Din acest motiv, multe organizații din domeniul sănătății au ales să implementeze soluții de mesagerie securizată ca înlocuitori adecvați pentru canalele de comunicare nesigure, cum ar fi SMS-urile și e-mail-urile.
Soluțiile de mesagerie securizată criptează ISP, astfel încât acestea să fie indescifrabile și inutilizabile în cazul în care sunt interceptate în timpul tranzitului și dispun, de asemenea, de mecanisme de securitate pentru a se asigura că ISP nu pot fi trimise în mod accidental sau rău intenționat în afara rețelei private de comunicații a unei entități acoperite sau copiate pe o unitate flash USB. În cazul în care un dispozitiv mobil personal este pierdut sau furat, există controale administrative pentru a șterge de la distanță orice informații medicale protejate primite de dispozitiv și pentru a bloca aplicația utilizată pentru mesageria securizată. Aceste controale funcționează și pe computerele desktop.
Beneficiile soluțiilor de mesagerie securizată
Nu numai că soluțiile de mesagerie securizată respectă legile de confidențialitate HIPAA, ci și cerințele administrative, fizice și tehnice ale regulii de securitate HIPAA. Acest lucru înseamnă că există mecanisme de monitorizare a mesajelor securizate și de asigurare a responsabilității mesajelor în proporție de 100%, ceea ce, la rândul său, reduce phone tag-ul – cantitatea de timp pierdută de profesioniștii din domeniul sănătății care așteaptă confirmarea că un mesaj a fost primit sau un răspuns.
Un articol recent din CNN Money a raportat că phone tag-ul costă industria americană a sănătății peste 7 miliarde de dolari în fiecare an și că implementarea soluțiilor de mesagerie securizată ar putea accelera procesele din domeniul sănătății, cum ar fi admiterea în spital și externarea pacienților. Studii separate au arătat, de asemenea, că mesageria securizată accelerează comunicațiile, încurajează colaborarea și, atunci când este integrată cu un EHR, reduce incidentele de siguranță a pacienților și erorile de medicație.
Cu ajutorul mesageriei securizate, informațiile protejate de legile de confidențialitate HIPAA rămân protejate, numai utilizatorii autorizați au acces la PHI, iar furnizorii de servicii medicale pot comunica cu aceeași rapiditate și comoditate ca și SMS-urile sau e-mail-urile, dar fără a risca divulgarea neautorizată a PHI-urilor. Mesageria securizată îndeplinește condițiile prevăzute de legile de confidențialitate HIPAA cu privire la cine poate avea acces la PHI, condițiile în care pot fi utilizate și cui pot fi dezvăluite.
Informații suplimentare despre legile de confidențialitate HIPAA
Dacă doriți să aflați mai multe despre legile de confidențialitate HIPAA, puteți găsi informații suplimentare aici.
.