L’Health Insurance Portability and Accountability Act del 1996 (HIPAA) è una legge federale che ha richiesto la creazione di standard nazionali per proteggere le informazioni sanitarie sensibili dei pazienti dalla divulgazione senza il consenso o la conoscenza del paziente. Il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (HHS) ha emesso la HIPAA Privacy Rule per implementare i requisiti della HIPAA. La HIPAA Security Rule protegge un sottoinsieme delle informazioni coperte dalla Privacy Rule.
HIPAA Privacy Rule
Gli standard della Privacy Rule riguardano l’uso e la divulgazione delle informazioni sanitarie degli individui (note come “informazioni sanitarie protette”) da parte di entità soggette alla Privacy Rule. Questi individui e organizzazioni sono chiamati “entità coperte”. La Privacy Rule contiene anche degli standard per i diritti degli individui di capire e controllare come vengono usate le loro informazioni sanitarie. Uno dei principali obiettivi della Privacy Rule è quello di garantire che le informazioni sanitarie degli individui siano adeguatamente protette, pur consentendo il flusso di informazioni sanitarie necessarie per fornire e promuovere un’assistenza sanitaria di alta qualità e per proteggere la salute e il benessere del pubblico. La Regola della Privacy trova un equilibrio che permette importanti usi delle informazioni proteggendo la privacy delle persone che cercano assistenza e guarigione.
Entità coperte
I seguenti tipi di individui e organizzazioni sono soggetti alla Regola della Privacy e considerati entità coperte:
- Operatori sanitari: Ogni fornitore di assistenza sanitaria, indipendentemente dalle dimensioni della pratica, che trasmette elettronicamente informazioni sanitarie in relazione a determinate transazioni. Queste transazioni includono reclami, richieste di idoneità ai benefici, richieste di autorizzazione di rinvio e altre transazioni per le quali l’HHS ha stabilito degli standard secondo la HIPAA Transactions Rule.
- Piani sanitari: Entità che forniscono o pagano il costo delle cure mediche. I piani sanitari includono assicuratori sanitari, odontoiatrici, oculistici e di farmaci da prescrizione; organizzazioni di mantenimento della salute (HMO); assicuratori Medicare, Medicaid, Medicare+Choice, e integratori Medicare; e assicuratori di assistenza a lungo termine (escluse le polizze di indennizzo fisso per le case di cura). I piani sanitari includono anche i piani sanitari di gruppo sponsorizzati dal datore di lavoro, i piani sanitari sponsorizzati dal governo e dalla chiesa, e i piani sanitari multi-datore di lavoro.
- Eccezione: Un piano sanitario di gruppo con meno di 50 partecipanti che è amministrato esclusivamente dal datore di lavoro che ha stabilito e mantiene il piano non è un’entità coperta.
- Compensatori sanitari: Entità che elaborano informazioni non standard che ricevono da un’altra entità in uno standard (cioè, formato standard o contenuto di dati), o viceversa. Nella maggior parte dei casi, le stanze di compensazione sanitaria riceveranno informazioni sanitarie identificabili individualmente solo quando stanno fornendo questi servizi di elaborazione a un piano sanitario o a un fornitore di assistenza sanitaria in qualità di associati commerciali.
- Associati commerciali: Una persona o un’organizzazione (diversa da un membro della forza lavoro di un’entità coperta) che utilizza o divulga informazioni sanitarie identificabili individualmente per eseguire o fornire funzioni, attività o servizi per un’entità coperta. Queste funzioni, attività o servizi includono l’elaborazione delle richieste, l’analisi dei dati, la revisione dell’utilizzo e la fatturazione.
Usi e divulgazioni consentiti
Un ente coperto è autorizzato, ma non obbligato, a usare e divulgare informazioni sanitarie protette, senza l’autorizzazione di un individuo, per i seguenti scopi o situazioni:
- Divulgazione all’individuo (se l’informazione è richiesta per l’accesso o la contabilità delle divulgazioni, l’entità DEVE divulgare all’individuo)
- Trattamento, pagamento e operazioni sanitarie
- Opportunità di acconsentire od opporsi alla divulgazione di PHI (l’autorizzazione informale può essere ottenuta chiedendo direttamente all’individuo, o da circostanze che danno chiaramente all’individuo l’opportunità di accettare, acconsentire o obiettare)
- Incidente ad un uso e divulgazione altrimenti permessi
- Attività di interesse pubblico e di beneficio-La regola sulla privacy permette l’uso e la divulgazione di informazioni sanitarie protette, senza l’autorizzazione o il permesso di un individuo, per 12 scopi prioritari nazionali:
- Quando richiesto dalla legge
- Attività di sanità pubblica
- Vittima di abuso o negligenza o violenza domestica
- Attività di supervisione sanitaria
- Procedimenti giudiziari e amministrativi
- Attuazione della legge
- Funzioni (come l’identificazione) riguardanti persone decedute
- Donazione cadaverica di organi, occhi o tessuti
- Ricerca, in determinate condizioni
- Per prevenire o diminuire una grave minaccia alla salute o alla sicurezza
- Funzioni governative essenziali
- Risarcimento dei lavoratori
- Dati limitati per ricerca, salute pubblica, o operazioni sanitarie
Regola di sicurezza HIPAA
Mentre la regola sulla privacy HIPAA salvaguarda le informazioni sanitarie protette (PHI), la regola di sicurezza protegge un sottoinsieme di informazioni coperte dalla regola sulla privacy. Questo sottoinsieme è costituito da tutte le informazioni sanitarie identificabili individualmente che un’entità coperta crea, riceve, mantiene o trasmette in forma elettronica. Queste informazioni sono chiamate “informazioni sanitarie protette elettroniche” (e-PHI). La Regola di sicurezza non si applica alle PHI trasmesse oralmente o per iscritto.
Per rispettare la Regola di Sicurezza HIPAA, tutte le entità coperte devono fare quanto segue:
- Garantire la riservatezza, l’integrità e la disponibilità di tutte le informazioni sanitarie protette elettroniche
- Rilevare e salvaguardare dalle minacce previste alla sicurezza delle informazioni
- Proteggere da usi o divulgazioni inammissibili previsti
- Certificare la conformità da parte del loro personale
Le entità coperte devono fare affidamento sull’etica professionale e sul miglior giudizio quando considerano le richieste per questi usi e divulgazioni permissive. L’HHS Office for Civil Rights fa rispettare le regole dell’HIPAA, e tutti i reclami dovrebbero essere riportati a quell’ufficio. Le violazioni dell’HIPAA possono comportare sanzioni pecuniarie civili o penali.
Per maggiori informazioni, visita il sito web HIPAA del Dipartimento della Salute e dei Servizi Umani.
HIPAA Enforcementexternal icon. Dipartimento della Salute e dei Servizi Umani degli Stati Uniti.