Anche se l’HIPAA ha avuto un impatto sul settore sanitario dalla fine degli anni ’90, troppe aziende ancora lottano per rispettare le varie sfaccettature della legge. Una particolare area di debolezza per le entità coperte coinvolge la protezione delle informazioni sanitarie protette dei loro pazienti. Di volta in volta, non riescono a salvaguardare adeguatamente le informazioni di identificazione personale che sono state affidate alla loro custodia. Naturalmente, tali difese lassiste possono provocare una serie di problemi come il furto di dati, la frode, la perdita di fiducia dei clienti, le multe e persino il carcere.
Nel corso degli anni, una delle principali cause di non conformità con l’HIPAA è il risultato dell’errore umano. Nella maggior parte dei casi, i dipendenti aprono inconsapevolmente le porte a occhi indiscreti o ai criminali informatici a causa di una semplice mancanza di comprensione, educazione o previdenza. Anche se tali azioni sono raramente maliziose, l’ignoranza non è una scusa facilmente accettata da Health and Human Services. Pertanto, è fondamentale che tu ti assicuri che i membri del tuo team rispettino le regole e i regolamenti dell’HIPAA.
Guarda le nostre linee guida HIPAA per i dipendenti qui!
I datori di lavoro sono vincolati da HIPAA?
Se la tua attività non rientra nel campo dell’assistenza sanitaria, potresti chiedere al tuo team HR: “I datori di lavoro sono vincolati dall’HIPAA? Anche se non siete un’entità coperta, raccogliete comunque le informazioni sanitarie dei vostri dipendenti per cose come il Workers Comp o l’Americans with Disabilities Act.
In generale, l’HIPAA si applica solo alle “entità coperte”. Questi sono definiti come:
- Piani sanitari
- Fornitori di assistenza sanitaria che memorizzano elettronicamente, condividono o inviano PHI
- Caratteristiche sanitarie
In breve, HIPAA in genere non si applica all’atto diretto di raccogliere le informazioni sanitarie personali del vostro dipendente; tuttavia, si applica all’entità sanitaria da cui state raccogliendo tali informazioni.
Valutate la vostra conformità HIPAA / HITECH
Secondo i confini stabiliti dall’HIPAA, le entità coperte sono autorizzate a divulgare le informazioni sanitarie protette del paziente solo quando l’individuo lo permette. In senso lato, un’entità coperta può divulgare PHI ai fini del trattamento; dopo di che, le limitazioni sulla rivelazione diventano più severe. In genere, ciò che può essere rivelato è soggetto alla limitazione del “minimo necessario” stabilita dall’HIPAA. Per la sezione 164.512 dell’HIPAA:
Un’entità coperta può usare o divulgare informazioni sanitarie protette senza l’autorizzazione scritta dell’individuo, come descritto in § 164.508, o l’opportunità per l’individuo di acconsentire o opporsi come descritto in § 164.510, nelle situazioni coperte da questa sezione, soggetto ai requisiti applicabili di questa sezione. Quando l’entità coperta è obbligata da questa sezione a informare l’individuo di, o quando l’individuo può acconsentire a, uso o divulgazione permessi da questa sezione, l’informazione dell’entità coperta e l’accordo dell’individuo possono essere dati oralmente.
Business Associates
Nel 2009, l’American Reinvestment and Recovery Act (ARRA) ha ampliato l’ombrello dell’HIPAA per coprire i business associates, che sono definiti da HHS come: “Una persona o entità che svolge determinate funzioni o attività che comportano l’uso o la divulgazione di informazioni sanitarie protette per conto di, o fornisce servizi a, un’entità coperta. Un membro della forza lavoro dell’entità coperta non è un socio d’affari. Un fornitore di assistenza sanitaria coperto, un piano sanitario o una stanza di compensazione dell’assistenza sanitaria può essere un socio d’affari di un’altra entità coperta”.
Esempi di funzioni e attività di business associate possono includere:
- analisi dei dati
- elaborazione dei dati
- amministrazione dei dati
- elaborazione delle richieste
- amministrazione delle richieste
- utilizzo revisione
- Assicurazione di qualità
- Fatturazione
- Gestione dei benefici
- Gestione della pratica
- Repricing
Quindi, i servizi di business associate possono coprire una qualsiasi delle seguenti occupazioni:
- Legale
- Contabile
- Amministrativo
- Consulenza
- Aggregazione dati
- Data gestione dei dati
- Accreditamento dei dati
- Finanziario
Linee guida HIPAA per i dipendenti
Cos’è PHI?
Se la tua azienda è un’entità coperta o un socio d’affari, è essenziale che tu e i tuoi dipendenti abbiate particolare cura delle informazioni sanitarie protette dei tuoi clienti. Ma cosa è considerato PHI? Per la rivista HIPAA è:
Tutte le informazioni sanitarie identificabili che sono usate, mantenute, conservate o trasmesse da un’entità coperta dall’HIPAA o da un socio d’affari di un’entità coperta dall’HIPAA, in relazione alla fornitura di assistenza sanitaria o al pagamento di servizi sanitari. Non sono solo le informazioni sanitarie passate e attuali ad essere considerate PHI secondo le norme HIPAA, ma anche le informazioni future sulle condizioni mediche o sulla salute fisica e mentale relative alla fornitura di assistenza o al pagamento dell’assistenza. PHI è l’informazione sanitaria in qualsiasi forma, compresi i record fisici, record elettronici, o informazioni parlate.
I 18 identificatori che si qualificano come PHI sono:
- Numeri di conto
- Qualsiasi numero o codice identificativo unico
- Identificatori biometrici (impronte digitali, scansione della retina)
- Numeri di certificati/licenze
- Dati, tranne l’anno
- Identificatori di dispositivi e numeri di serie
- Indirizzi e-mail
- Numeri di fax
- Fotografie integrali e immagini simili
- Dati geografici
- Numeri di beneficiari di piani sanitari
- Indirizzi di protocollo internet
- Numeri di cartelle cliniche
- Numeri di record number
- Nomi
- Numeri di previdenza sociale
- Numeri di telefono
- Identificatori dei veicoli e numeri di serie, incluse le targhe
- Urls web
Salvaguardia amministrativa
Se sei un’entità coperta o un socio d’affari, la Regola di Sicurezza impone che la tua azienda inserisca le seguenti salvaguardie amministrative:
- Processo di gestione della sicurezza – Le entità coperte sono tenute a identificare e analizzare i rischi potenziali per l’ePHI. Una volta fatto, sono tenute ad aggiungere protocolli e procedure di sicurezza per diminuire tali rischi.
- Funzionario della sicurezza – Si deve designare un funzionario della sicurezza che sarà incaricato di creare e applicare protocolli e procedure di sicurezza.
- Gestione dell’accesso alle informazioni – Si richiede di limitare l’uso e la divulgazione di PHI al “minimo necessario”.
- Formazione e gestione della forza lavoro – Sei obbligato per legge a garantire che tu fornisca sia un’adeguata supervisione che la formazione di ogni dipendente che maneggia le informazioni elettroniche. Questo include istruirli sulle politiche di sicurezza, le procedure e le sanzioni per la non conformità.
Se la tua azienda gestisce regolarmente informazioni sensibili dei clienti, sei obbligato dalla legge a proteggere tali informazioni. Imponendo una formazione sulla conformità HIPAA, si prendono le dovute precauzioni preventive e, in caso di fallimento, si può poi dimostrare a fonti esterne che si è fatto tutto il possibile per addestrare i dipendenti ad agire correttamente.
Violazioni e passi falsi comuni dei dipendenti HIPAA
Come detto, i dipendenti sono la causa più comune delle violazioni HIPAA. La stragrande maggioranza di questi casi di cattiva condotta sono semplicemente il risultato della pigrizia e della mancanza di formazione. I dipendenti non sanno fare di meglio, anche se dovrebbero, e poi agiscono per incompetenza. Con questo in mente, è vostro dovere educare regolarmente i vostri dipendenti sui pericoli della non conformità HIPAA sia per loro personalmente che per l’azienda per cui lavorano.
La formazione sulla conformità HIPAA ha lo scopo di insegnare ai dipendenti a gestire correttamente l’ePHI in modo che:
- Assicurare la riservatezza, l’integrità e la disponibilità di tutte le e-PHI che creano, ricevono, mantengono o trasmettono;
- Identificare e proteggere da minacce ragionevolmente previste alla sicurezza o all’integrità delle informazioni;
- Proteggere da usi o divulgazioni inammissibili ragionevolmente previste; e
- Assicurare la conformità della loro forza lavoro.
Per aiutarvi nel compito di creare una lista di controllo di conformità HIPAA del datore di lavoro, è fondamentale che siate consapevoli delle violazioni comuni che i dipendenti tipicamente intraprendono così come delle azioni preventive che potete intraprendere. Queste includono:
- Curiosare nei file dei pazienti – Secondo l’HIPAA Journal:
Il curiosare è stata la più grande causa singola di esposizione delle informazioni sanitarie dei pazienti secondo il sondaggio con il 27% di aver subito una violazione quando un dipendente ha visto le cartelle cliniche di amici e familiari, mentre il 35% si è verificato quando i dipendenti hanno controllato le cartelle cliniche dei loro colleghi di lavoro.
Un dipendente che accede illegalmente alle PHI dei clienti per scopi non legati al lavoro si comporta in modo non professionale e cavalleresco. Che lo facciano per malizia, curiosità o amicizia, ciò è illegale e può causare seri danni alla vostra azienda.
Le misure che potete prendere per prevenire tali azioni includono la limitazione dell’accesso ai registri dei pazienti o dei dipendenti a meno che non sia esplicitamente richiesto per scopi lavorativi.
- Manipolazione delle cartelle cliniche – L’HIPAA richiede che qualsiasi cartella clinica stampata contenente PHI sia conservata in un luogo sicuro. Se un infermiere lascia la cartella di un paziente precedente nella stanza degli esami e quella cartella può essere letta, accessibile o rubata da un altro paziente, questa è una chiara violazione dell’HIPAA. Inoltre, non lasciare incustodite le cartelle o simili PHI; invece, inserire una politica di archiviazione immediata di cartelle, test e altri documenti del paziente al termine di un esame.
- Social media – L’inettitudine sui social media ha causato la sua giusta quota di mal di testa sia per le aziende che per gli individui. Pubblicare foto dei volti dei clienti, specialmente senza il loro espresso consenso, è uno dei modi più semplici per violare l’HIPAA. A meno che il paziente non vi dia il via libera, pubblicare una foto di loro li esporrebbe potenzialmente ad altri che scoprono che vanno da quel medico specifico per quello che può essere un motivo privato e/o imbarazzante.Se volete evitare gli errori dei social media, rendete molto chiaro alla persona responsabile dei vostri social media e/o ai dipendenti di stare molto attenti a quello che fate o non pubblicate. Comunica loro come anche un post innocente potrebbe potenzialmente causare una serie di ramificazioni negative per loro, l’azienda e, soprattutto, il paziente.
- Dipendenti che discutono informazioni sui pazienti – Che sia al lavoro o a casa, i dipendenti non dovrebbero mai parlare o spettegolare su un paziente già visto, a meno che non stiano attualmente lavorando sul loro caso. Questo è particolarmente vero per avere tali conversazioni in luoghi dove dipendenti o pazienti non collegati potrebbero ascoltare e quindi carpire PHI. Molti dipendenti commettono l’errore di discutere dei pazienti con amici, familiari o altri colleghi, il che è una grave violazione dell’HIPAA. Incoraggiate i vostri dipendenti ad evitare di parlare dei pazienti o anche di riferirsi a loro per cognome quando sono in presenza di altre persone che non hanno alcuna relazione con il loro caso. Inoltre, evidenziare il fatto che la diffusione verbale di PHI è una violazione tanto quanto l’atto di condividere fisicamente i documenti del paziente.
- Dispositivi smarriti o rubati – I telefoni, i tablet o i computer portatili di lavoro sono un tipo speciale di minaccia alla sicurezza, soprattutto perché sono molto più vulnerabili al furto, alla perdita o all’intrusione informatica.Se un dipendente perde o ha un dispositivo di lavoro rubato, è fondamentale che lo segnali immediatamente. Inoltre, qualsiasi dispositivo di lavoro con accesso a PHI dovrebbe avere misure di sicurezza installate per prevenire l’accesso ingiustificato. Le misure che si possono prendere includono:
-
- Crittografia
- Password di doppia autenticazione
- Scansione biometrica
- Accessi VPN
- Messaggi di informazioni sui pazienti – Alcune entità coperte useranno sistemi di messaggistica o i loro telefoni per condividere informazioni particolari. Anche se questo viene fatto semplicemente per comodità e velocità, l’inclusione di PHI tramite un’applicazione di messaggistica espone tali informazioni a occhi indiscreti. Se si desidera che i dipendenti siano in grado di discutere le informazioni dei pazienti tramite messaggi o testi, è essenziale che ogni dipendente installi un’applicazione di crittografia per proteggere tali dati.
- Esporre PHI sui computer di casa – Naturalmente, i medici hanno bisogno di essere in grado di rivedere i casi dal comfort delle loro case. Questo potrebbe significare che il loro computer o laptop contiene PHI. Di per sé, una tale azione non è una violazione dell’HIPAA; tuttavia, se dovessero lasciare quelle informazioni sullo schermo incustodito, potrebbero essere viste da occhi indesiderati. Questa è una violazione dell’HIPAA.
Come datore di lavoro, incoraggia i tuoi dipendenti a chiudere i loro computer se stanno lavorando da casa e hanno bisogno di allontanarsi dai loro compiti. Inoltre, assicuratevi che tutti i dispositivi abbiano password a doppia autenticazione, crittografia e altri protocolli di sicurezza.
Allerta e forma i tuoi dipendenti
È vitale che i tuoi dipendenti siano consapevoli che le loro azioni, intenzionali o meno, possono avere serie conseguenze non solo su loro stessi, ma anche sull’azienda e i suoi pazienti. Se dovessero essere trovati colpevoli di una violazione dell’HIPAA, in particolare una che erano pienamente consapevoli di violare, potrebbero trovarsi di fronte a sanzioni severe come multe monetarie e carcere.
Se volete proteggere la vostra azienda, è necessario prendere le dovute precauzioni per garantire che i vostri dipendenti siano stati adeguatamente formati in conformità alle linee guida HIPAA. Potete farlo arruolando RSI security per valutare i processi, i controlli, le politiche e le procedure di formazione della vostra organizzazione. Il nostro audit completo può aiutarvi a identificare le lacune tra le pratiche e i requisiti HIPAA e quindi fornire azioni prescrittive e la formazione dei dipendenti.
Interessato? Contattateci oggi stesso e potremo aiutarvi a garantire che i dipendenti non siano la rovina della vostra azienda.
Scaricate la nostra guida completa alla navigazione della conformità sanitaria Whitepaper
Non siete sicuri che i vostri sforzi di conformità HIPAA o sanitaria siano all’altezza? Non sai nemmeno da dove cominciare? Scarica la guida completa di RSI Security per navigare nel labirinto della conformità HIPAA e sanitaria. Compilando questo breve modulo riceverete il whitepaper via e-mail.
Fonti
Cornell Law School. 45 CFR 164.512. Usi e divulgazioni. https://www.law.cornell.edu/cfr/text/45/164.512
HHS. Associati d’affari. https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/business-associates/index.html
HHS. Riassunto della regola di sicurezza HIPAA. https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html
Northern Illinois University Division of Information Technology. Regola di sicurezza HIPAA: Spiegazione e guida. https://www.niu.edu/doit/policies_root/HIPAA%20Security%20Rule.shtml