Una storia di HIPAA: 8 cose che dovresti sapere

L’Health Insurance Portability and Accountability Act (HIPAA) è stato emanato nel 1996 per proteggere le famiglie americane dai pericoli di perdere la copertura assicurativa sanitaria. Principalmente è stato progettato per fornire ai lavoratori la portabilità dell’assicurazione durante un cambio di lavoro o una perdita. Il suo scopo secondario è quello di garantire la sicurezza e la privacy delle informazioni sanitarie individuali. HIPAA ha compiuto 20 anni l’anno scorso, ma il sistema sanitario è ancora lontano dalla piena conformità.

PHI copre un sacco di terreno.

Ci sono stati diversi emendamenti a HIPAA da quando è stato firmato in legge. Il primo nel 2003, noto come Privacy Rule, ha definito le informazioni sanitarie protette (PHI) come qualsiasi informazione relativa alla salute che può essere utilizzata per identificare un particolare individuo. Può trattarsi di informazioni relative alla salute o alle condizioni fisiche o mentali passate, presenti o future di un individuo, qualsiasi fornitura di assistenza sanitaria a un individuo, e qualsiasi pagamento passato, presente o futuro per la fornitura di assistenza sanitaria a un individuo.

Le organizzazioni possono essere lente a recepire.

La Security Rule è stata promulgata nel 2005 per standardizzare la gestione delle PHI elettroniche fornendo linee guida specifiche per la salvaguardia fisica, tecnica e amministrativa. Purtroppo, il sondaggio sulla conformità HIPAA dell’anno scorso di NueMD ha rilevato che solo il 70% delle organizzazioni sanitarie ha pianificato di sforzarsi per la conformità HIPAA. Questo numero è certamente deludente quando il tasso di adozione è più basso tra i gruppi di datori di lavoro che offrono piani sanitari di gruppo, associati commerciali e agenzie di assicurazione sanitaria. Questo si basa sulla valutazione di Total HIPAA di questi altri gruppi.

HHS OCR fa rispettare la conformità.

Con la Enforcement Rule del 2006, il Department of Health and Human Services Office for Civil Rights (HHS OCR) ha ricevuto la responsabilità di monitorare le organizzazioni che dovrebbero essere conformi alle normative HIPAA. L’HHS OCR ha il potere di indagare sui reclami relativi alle regole di privacy e sicurezza, e di multare coloro che non rispettano i regolamenti HIPAA. Le sanzioni vanno da 100 a 1,5 milioni di dollari per violazione, ma le risoluzioni con l’HHS OCR sono state nell’ordine delle centinaia di migliaia di dollari fino ai milioni, con più accordi che superano i 5 milioni di dollari.

Tutte le imprese legate alla salute contano.

Tutte le imprese che vedono informazioni relative alla salute collegate a un individuo sono tenute a rispettare l’HIPAA. L’Health Information Technology for Economic and Clinical Health (HITECH) Act richiede alle organizzazioni sanitarie di notificare ai loro business associate e subappaltatori che sono legalmente tenuti a lavorare in conformità con HIPAA. Il sondaggio NueMD del 2016 ha indicato che solo il 60% delle organizzazioni sanitarie intervistate era consapevole di questa aspettativa.

La tua organizzazione potrebbe essere soggetta a un audit.

Da oltre sei anni HHS OCR ha condotto audit di conformità nella speranza di aumentare la conformità HIPAA. Nel 2011, l’OCR ha implementato un programma pilota di audit (Fase Uno) per valutare i controlli e i processi implementati da 115 entità coperte per rispettare i requisiti dell’HIPAA. La Fase Due del programma di audit HIPAA dell’OCR è iniziata l’anno scorso selezionando oltre 200 entità coperte e associati commerciali, inviando lettere di notifica in estate e in autunno per informarli che erano stati selezionati per un audit a tavolino. L’anno scorso solo il 40 per cento delle organizzazioni sanitarie erano consapevoli che questi audit venivano condotti, secondo il sondaggio di NueMD. Attualmente, gli audit in loco da parte dell’OCR sono stati rimandati alla fine del 2017 o all’inizio del 2018.

Il PHI deve essere conservato per almeno 6 anni.

HIPAA richiede che le entità coperte e gli associati commerciali conservino la documentazione del PHI che hanno raccolto per un minimo di sei (6) anni dalla data della sua creazione, o dalla data in cui era in vigore l’ultima volta, se successiva. Le organizzazioni che detengono PHI hanno bisogno di rivedere i requisiti di conservazione del loro stato prima di smaltire correttamente PHI per assicurare la conformità dello stato.

La conformità HIPAA diminuisce.

I sondaggi di NueMD hanno anche mostrato che dal 2014 al 2016 il numero di funzionari addetti alla sicurezza e alla privacy è passato dal 56 e 55% al 53 e 54%, rispettivamente. Ci sono anche meno organizzazioni sanitarie che forniscono formazione sulla conformità HIPAA, dal 62 al 58 per cento.

L’alba della comunicazione elettronica.

Più fornitori di assistenza sanitaria stanno utilizzando app per il telefono, e-mail e social media per entrare in contatto con i pazienti. Poiché sempre più organizzazioni si muovono per comunicare elettronicamente, è importante monitorare la sicurezza di questi processi. Total HIPAA ha esaminato il software conforme all’HIPAA per la comunicazione elettronica, come la crittografia delle e-mail e la messaggistica di testo, per aiutare le organizzazioni a trovare la soluzione più adatta.

Dove andiamo da qui?

In sintesi, l’adozione della conformità HIPAA è ancora agli inizi. L’OSHA ha impiegato più di 20 anni per essere ampiamente adottata dalle aziende con sede negli Stati Uniti. Anche se la prima parte di HIPAA è entrata in vigore 20 anni fa, le parti chiave della legge sono in vigore solo dal 2009.

HHS non ha ancora deciso se i pazienti, i dipendenti o i clienti possono partecipare alle multe che ora vengono riscosse da HHS quando la PHI di questi individui è stata violata. Se l’HHS decide che gli individui possono essere rimborsati quando il loro PHI viene violato, si apriranno le porte del fiume. Quei gruppi che devono essere conformi all’HIPAA si affretteranno a completare il processo e potrebbero essere sorpresi a giocare a rimpiattino. Non perdetevi nella fretta. Agite ora e diventate conformi all’HIPAA.

Inoltre, quattro corti supreme statali hanno sostenuto l’HIPAA come Standard of Care (Missouri, North Carolina, Connecticut e West Virginia). Questo significa che le entità coperte che non proteggono correttamente PHI potrebbero affrontare azioni legali da parte di privati cittadini, non solo HHS.

Le persone sono più consapevoli dei loro diritti sotto HIPAA di quanto si possa pensare. Non essere conforme all’HIPAA espone la vostra pratica o azienda a tutta una serie di problemi normativi che è meglio mitigare prima che ci sia un problema. La realtà è che la conformità è molto più conveniente che mai, e la non conformità è molto più costosa che mai.

Sei conforme all’HIPAA?

Di: Total HIPAA Guest Bloggers

Condivisione è cura!