Inserito: 1 febbraio 2015 | Revisionato: 1 febbraio 2015
- Introduzione
- Cos’è l’HIPAA?
a. Una breve storia di HIPAA
b. L’HIPAA è l’unica legge applicabile alle informazioni sanitarie? - Chi deve conformarsi all’HIPAA?
a. Entità coperte
b. Associati in affari
c. Subappaltatori
d. Entità ibride - Chi non è tenuto a conformarsi all’HIPAA?
- Quali informazioni copre l’HIPAA?
a. A quali informazioni si applica la normativa sulla privacy dell’HIPAA?
b. A quali informazioni si applica la regola di sicurezza HIPAA? - Quali informazioni non sono coperte dalla regola sulla privacy HIPAA?
a. Informazioni sanitarie nei registri del lavoro
b. Informazioni sanitarie nei documenti dell’istruzione (per la maggior parte)
c. Informazioni sanitarie relative a una persona deceduta da oltre 50 anni
d. Dati anonimizzati - In che modo il Dipartimento della salute e dei servizi umani (HHS) degli Stati Uniti applica l’HIPAA?
a. Quando l’HHS esaminerà un reclamo?
b. In che modo l’HHS determina una sanzione per una violazione?
c. Se è prevista una sanzione pecuniaria, la persona che ha presentato il reclamo riceverà denaro?
d. Le persone possono citare in giudizio ai sensi dell’HIPAA? - Risorse
1. Introduzione
Quasi tutti riconoscono la natura sensibile delle informazioni sanitarie e mediche. Tuttavia, la privacy e la sicurezza delle informazioni sanitarie sono argomenti complessi da esplorare sia per i pazienti che per gli operatori sanitari.
I regolamenti federali che regolano la privacy e la sicurezza delle informazioni sanitarie sono noti come HIPAA, per l’Health Insurance Portability and Accountability Act che li ha incaricati. Come paziente, è importante comprendere l’ambito e i limiti dell’HIPAA. Questa guida fornisce informazioni sui principi di base dell’HIPAA, ad esempio a chi si applica l’HIPAA e quali informazioni copre.
2. Che cos’è l’HIPAA?
L’Health Insurance Portability and Accountability Act (HIPAA) è una legge federale che fornisce standard di base sulla privacy e sulla sicurezza per le informazioni mediche. Il Dipartimento della salute e dei servizi umani (HHS) degli Stati Uniti è l’agenzia federale responsabile della creazione delle regole che implementano l’HIPAA e lo fanno anche rispettare.
a. Breve storia di HIPAA
- 1996 – Il Congresso ha approvato l’Health Insurance Portability and Accountability Act (HIPAA).
La maggior parte delle persone ha familiarità con HIPAA come legge sulla privacy e sicurezza medica. Tuttavia, lo scopo iniziale di HIPAA era di stabilire standard per la trasmissione di dati sanitari elettronici e di consentire alle persone di trasferire e continuare l’assicurazione sanitaria dopo aver cambiato o perso un lavoro.
In Infatti, fino al 2003 non esistevano norme nazionali sulla privacy per informazioni mediche ai sensi dell’HIPAA. Tutte le protezioni erano basate sulla legge statale.
- 2003 – Il Dipartimento della salute e dei servizi umani (HHS) degli Stati Uniti ha emesso e adottato la normativa sulla privacy HIPAA, la regola sulla sicurezza HIPAA e l’HIPAA Regola di applicazione.
Nel 2003, HHS ha emesso le prime norme nazionali sulla privacy e sulla sicurezza dei dati ai sensi dell’HIPAA.
La normativa sulla privacy conferisce alle persone diritti rispetto alle loro informazioni sanitarie protette (PHI). Spiega anche come le entità coperte (coloro che devono conformarsi all’HIPAA) possono utilizzare e divulgare i PHI.
La regola di sicurezza stabilisce gli standard per la salvaguardia dei PHI elettronici.
La Regola di applicazione riguarda la conformità, le indagini e le potenziali sanzioni per le violazioni della Regola sulla privacy e della Regola di sicurezza HIPAA. L’Ufficio per i diritti civili (OCR) all’interno dell’HHS è responsabile dell’applicazione dei regolamenti HIPAA.
- 2009 – La legge sulla tecnologia dell’informazione sanitaria per la salute economica e clinica (HITECH) è stata firmata legge. L’HITECH Act è il titolo XIII dell’American Recovery and Reinvestment Act (AARA).
Tra il 2003 e il 2009 la tecnologia ha cambiato il panorama della privacy medica. Le cartelle cliniche elettroniche hanno iniziato a sostituire i file cartacei. I pazienti hanno iniziato a comunicare con i loro medici tramite e-mail e attraverso portali online. Le farmacie hanno iniziato a elaborare le prescrizioni elettronicamente.
La legge HITECH ha creato incentivi finanziari per gli operatori sanitari e gli assicuratori affinché continuino a passare alle cartelle cliniche elettroniche e ha anche affrontato i problemi di privacy e sicurezza relativi alla trasmissione elettronica di informazioni sanitarie, inclusi l’accesso e i dati non autorizzati violazioni.
- 2013 – HHS “Office for Civil Rights ha emesso la HIPAA Omnibus Rule.
HHS” Omnibus Rule ha apportato diverse importanti modifiche alla HIPAA Privacy, Security, and Enforcement Regole. Ha implementato molte disposizioni della legge HITECH. Ha modificato e finalizzato la regola di notifica delle violazioni. Ha inoltre implementato modifiche alla normativa sulla privacy HIPAA richiesta dal Genetic Information Nondiscrimination Act del 2008 (GINA).
b. L’HIPAA è l’unica legge che si applica alle informazioni sulla salute?
No. L’Health Insurance Portability and Accountability Act (HIPAA) non è l’unica legge applicabile alle informazioni sanitarie.
Esistono leggi federali che si applicano a tipi specifici di informazioni sanitarie (o record contenenti informazioni sanitarie) come informazioni genetiche, informazioni sanitarie nei registri scolastici, informazioni identificabili su individui mantenute dal governo federale, determinati alcol e record di abuso di sostanze stupefacenti e informazioni relative alla ricerca medica.
Inoltre, gli stati possono emanare le proprie leggi per proteggere le informazioni sanitarie perché HIPAA stabilisce una linea di base da cui gli stati possono creare leggi più forti. Per ulteriori informazioni sulla legge statale, vedere HealthInfoLaw.org (un progetto del programma Hirsh Health Law and Policy della George Washington University).
3. Chi deve conformarsi a HIPAA?
HIPAA non protegge tutte le informazioni sanitarie. Né si applica a tutte le persone che possono vedere o utilizzare informazioni sanitarie. HIPAA si applica solo alle entità coperte e ai loro soci in affari.
a. Entità coperte
Esistono tre tipi di entità coperte dall’HIPAA.
- Gli operatori sanitari vengono pagati per fornire assistenza sanitaria. Medici, dentisti, ospedali, case di cura, farmacie, cliniche di pronto soccorso e altro le entità che forniscono assistenza sanitaria in cambio di un pagamento sono esempi di fornitori.
Gli operatori sanitari devono conformarsi all’HIPAA solo se trasmettono informazioni sanitarie elettronicamente in relazione alle transazioni coperte. La maggior parte dei fornitori trasmette le informazioni elettronicamente per svolgere funzioni come l’elaborazione delle richieste e ricevere il pagamento. Pertanto, la maggior parte prov gli iders sono coperti dall’HIPAA. - I piani sanitari pagano il costo delle cure mediche.
Di seguito sono riportati esempi di piani sanitari coperti dall’HIPAA: compagnie di assicurazione sanitaria, organizzazioni di manutenzione sanitaria (HMO), piani sanitari di gruppo sponsorizzato da un datore di lavoro, piani sanitari finanziati dal governo come Medicare e Medicaid e la maggior parte delle altre società o strutture che pagano per l’assistenza sanitaria. - I centri di compensazione dell’assistenza sanitaria elaborano le informazioni in modo che possano essere trasmesse in un formato standard tra entità coperte. I centri di smistamento spesso fungono da tramite tra gli operatori sanitari e i piani sanitari, il che significa che raramente trattano direttamente con i pazienti. Ad esempio, un centro di compensazione può prendere informazioni da un medico e inserirle in un formato codificato standard che può essere utilizzato a fini assicurativi.
Per ulteriori informazioni sul fatto che un’entità sia coperta da HIPAA, HHS fornisce un grafico utile.
b. Associati in affari
Che cos’è un socio in affari? Gli operatori sanitari, i piani sanitari e le stanze di compensazione dell’assistenza sanitaria sono solo alcuni degli attori nel settore dell’assistenza sanitaria. Gli enti coperti assumono o stipulano contratti con persone e aziende per eseguire numerosi servizi.
Un “socio in affari” crea, riceve, mantiene o trasmette informazioni sanitarie protette (PHI) per conto di un’entità coperta o di un altro socio in affari che agisce come subappaltatore.
Per la definizione di socio in affari, vedere 45 CFR § 160.103.
Cosa fanno i soci in affari? I soci in affari possono eseguire molti servizi diversi per un’entità coperta, inclusi (ma non limitati a):
- legale
- attuariale
- contabilità
- consulenza
- aggregazione di dati
- gestione
- accreditamento amministrativo
- elaborazione o amministrazione di reclami
- dati analisi
- trasmissione dei dati
- riesame dell’utilizzo
- controllo della qualità
- determinate attività per la sicurezza dei pazienti
- fatturazione
- gestione dei benefici
- gestione dello studio
- repricing.
I soci in affari spesso eseguono servizi che non implicano l’interazione con il paziente. Tuttavia, un esempio comune di un socio in affari con cui i pazienti possono interagire è un’azienda che offre una cartella clinica personale (PHR) a individui per conto di entità coperte.
Quali responsabilità hanno i soci in affari? Le entità coperte devono eseguire contratti scritti con i loro soci in affari per assicurarsi che salvaguardino PHI secondo gli standard HIPAA. I soci in affari devono fare lo stesso con i loro subappaltatori che possono essere considerati soci in affari. Il sito Web di HHS contiene ulteriori informazioni sui rapporti di soci in affari e fornisce anche clausole di esempio per gli accordi di soci in affari.
I soci in affari devono rispettare i contratti che firmano con le entità coperte. Inoltre, i soci in affari sono direttamente responsabili delle violazioni della regola di sicurezza HIPAA e di molte disposizioni della regola sulla privacy HIPAA. Ciò significa che i soci in affari sono soggetti alla maggior parte degli stessi standard di privacy e sicurezza dei dati che si applicano alle entità coperte e possono essere soggetti a verifiche e sanzioni HHS.
c. Subappaltatori
Un subappaltatore che crea, mantiene o trasmette informazioni sanitarie protette (PHI) per conto di un socio in affari ha le stesse responsabilità legali di un socio in affari ai sensi dell’HIPAA.In altre parole, le responsabilità legali relative alla privacy e alla sicurezza fluiscono “a valle” verso i subappaltatori che svolgono lavori per un socio in affari.
Ad esempio, un socio in affari di un ospedale può assumere una società esterna per distruggere documenti contenenti PHI o per fornire un servizio cloud per archiviare i dati. In entrambi i casi, la società esterna (subappaltatore) sarebbe tenuta a rispettare la maggior parte delle regole HIPAA come socio in affari. Sarebbe anche vincolata da un contratto con il socio in affari piuttosto che l’entità coperta (o l’ospedale in questo esempio).
d. Entità ibride
Un’entità ibrida svolge sia funzioni coperte da HIPAA che non coperte come parte della sua attività. Un grande una società che dispone di un piano sanitario autoassicurato per i propri dipendenti può scegliere di essere trattata come un’entità ibrida. Altri esempi sono un’università con un centro medico o un negozio di alimentari con una farmacia.
Quando un’organizzazione sceglie di essere trattato come un’entità ibrida, solo la parte del l’azienda che è un’entità coperta (chiamata componente sanitaria) è soggetta a HIPAA. Le entità ibride devono garantire che la componente sanitaria non divulga informazioni sanitarie protette a un’altra componente non coperta dell’azienda. Devono inoltre salvaguardare le informazioni sanitarie protette elettroniche.
4. Chi non è tenuto a conformarsi all’HIPAA?
Ricorda, molte aziende e persone non sono tenute a conformarsi all’HIPAA e ci sono molte volte in cui le informazioni sulla salute possono essere disponibili per queste persone e aziende . HIPAA si applica solo alle entità coperte e ai loro soci in affari.
Di seguito sono riportati solo alcuni esempi di coloro che non sono coperti da HIPAA ma possono gestire informazioni sanitarie:
- compagnie di assicurazione sulla vita e a lungo termine
- lavoratori “assicuratori di indennizzo, agenzie amministrative o datori di lavoro (a meno che non siano altrimenti considerati enti coperti)
- agenzie che forniscono previdenza sociale e prestazioni assistenziali
- piani assicurativi automobilistici che includono benefici per la salute
- motori di ricerca e siti web che forniscono informazioni sanitarie o mediche e non sono gestiti da un’entità coperta
- operatori di marketing
- palestre e fitness club
- diretti alle società di test genetici dei consumatori (DTC)
- molte applicazioni mobili (app) utilizzano d per scopi di salute e fitness
- coloro che conducono screening presso farmacie, centri commerciali, fiere della salute o altri luoghi pubblici per la pressione sanguigna, il colesterolo, l’allineamento della colonna vertebrale e altre condizioni
- determinate professionisti della medicina alternativa
- la maggior parte delle scuole e dei distretti scolastici
- ricercatori che ottengono dati sanitari direttamente dagli operatori sanitari
- la maggior parte delle forze dell’ordine
- molte agenzie statali, come i servizi di protezione dei minori
- tribunali, dove le informazioni sanitarie sono materiali per un caso
Per saperne di più su chi è (o non è) coperto da HIPAA, vedere HHS Guidance Materials for Consumers.
5. Quali informazioni copre l’HIPAA?
Per determinare se l’HIPAA protegge un certo tipo di informazioni sanitarie, è più facile capire prima se esiste un’entità coperta o un socio in affari che deve rispettare la legge.
Secondo HIPAA, “informazione sanitaria” è qualsiasi informazione (comprese le informazioni genetiche) creata o ricevuta da un fornitore di assistenza sanitaria, un piano sanitario, un’autorità sanitaria pubblica, un datore di lavoro, una compagnia di assicurazioni sulla vita, una scuola o un’università o centro di assistenza e si riferisce alla
- salute o condizione fisica o mentale passata, presente o futura di una persona;
- trattamento fornito a una persona; o
- pagamento passato, presente o futuro per l’assistenza sanitaria ricevuta da un individuo.
Le informazioni sanitarie possono esistere in qualsiasi forma o mezzo, incluso cartaceo, elettronico o orale.
Quando un’entità coperta crea o riceve informazioni sanitarie che identificano – o possono essere utilizzate per identificare – una persona, HIPAA la chiama “individualmente identi informazioni sanitarie attendibili. “Le informazioni sanitarie identificabili individualmente includono dati demografici e di altro tipo che identificano una persona come nome, indirizzo, data di nascita e numero di previdenza sociale.
Per definizioni precise di uno qualsiasi dei termini in questo sezione, vedere 45 CFR § 160.103.
a. A quali informazioni si applica la regola sulla privacy HIPAA?
La regola sulla privacy HIPAA si applica alle “informazioni sanitarie protette” (PHI) che includono tutte le “informazioni sanitarie identificabili individualmente” trasmesse o mantenute in qualsiasi formato o supporto.
Ciò significa che le conversazioni tra un paziente e un medico hanno la stessa protezione della privacy delle note scritte a mano o elettroniche.
Per ulteriori informazioni sulla regola sulla privacy HIPAA, vedere: la regola sulla privacy HIPAA : In che modo le entità interessate possono utilizzare e divulgare le informazioni sanitarie?
b. A quali informazioni si applica la regola di sicurezza HIPAA?
La regola di sicurezza HIPAA richiede alle entità coperte di stabilire misure di sicurezza dei dati solo per PHI mantenute in formato elettronico, chiamate “informazioni sanitarie protette elettroniche” (ePHI). La regola di sicurezza non si applica alle PHI trasmesse oralmente o per iscritto.
Per ulteriori informazioni sulla regola di sicurezza HIPAA, consultare la scheda informativa sui diritti alla privacy 8d: Protezione delle informazioni sanitarie: la notifica di sicurezza e violazione HIPAA Regole.
6. Quali informazioni non sono coperte dalla normativa sulla privacy HIPAA?
a. Informazioni sanitarie nei registri di lavoro
L’HIPAA non si applica ai registri di lavoro, anche quando tali registri includono informazioni mediche. Questo include i documenti di lavoro detenuti da un’entità coperta nel suo ruolo di datore di lavoro. Tuttavia, se un dipendente di un operatore sanitario diventa un paziente di quel fornitore, si applicherà l’HIPAA.
Per saperne di più sulle informazioni mediche sul posto di lavoro, vedere l’HHS “Datori di lavoro e informazioni sanitarie sul posto di lavoro.
b. Informazioni sanitarie nei registri dell’istruzione (per la maggior parte)
Le informazioni sanitarie nei registri dell’istruzione che sono soggetti al Family Educational Rights and Privacy Act (FERPA) non sono considerate informazioni sanitarie protette (PHI) ai sensi dell’HIPAA. Ad esempio, i record K-12 di un bambino contenenti informazioni sulle visite degli infermieri scolastici non sono soggetti all’HIPAA.
Per ulteriori informazioni sulla FERPA in relazione alle informazioni sanitarie e all’HIPAA, vedere: Guida congiunta sul Applicazione del Family Educational Rights and Privacy Act (FERPA) e dell’Health Insurance Portability and Accountability Act del 1996 (HIPAA) alle cartelle cliniche degli studenti e alla privacy degli studenti 101: Privacy sanitaria nelle scuole: quale legge si applica?
c. Informazioni sanitarie relative a una persona deceduta da oltre 50 anni
Le informazioni sanitarie protette (PHI) non includono informazioni sanitarie su una persona deceduta più di 50 anni fa.
Per ulteriori informazioni sulle informazioni sanitarie delle persone decedute, consultare il sito web dell’HHS.
d. Dati anonimi
I dati anonimi sono informazioni sanitarie che hanno avuto 18 dati specifici identificatori rimossi e, pertanto, si ritiene che la persona fisica oggetto dell’informazione sia uni dentificabile. Ciò significa che i dati anonimi non sono protetti dalle norme sulla privacy HIPAA poiché PHI e le entità coperte possono utilizzarli e divulgarli più ampiamente.
I dati non identificati sono spesso oggetto di dibattito a causa della possibilità di identificare nuovamente un individuo. Prof. Latanya Sweeney, ha svolto una notevole quantità di lavoro nell’area della reidentificazione.
Per ulteriori informazioni sulla deidentificazione, vedere 45 CFR 164.514 e HHS ‘Guidance Regarding Methods for De -identificazione di Informazioni sanitarie protette in conformità con la normativa sulla privacy HIPAA.
7. In che modo l’HHS applica l’HIPAA?
La regola di applicazione dell’HIPAA consente all’Ufficio per i diritti civili (OCR) del Dipartimento della salute e dei servizi umani (HHS) degli Stati Uniti di indagare su potenziali violazioni dell’HIPAA e di valutare sanzioni pecuniarie civili (CMP) per violazioni. I procuratori generali dello stato hanno anche l’autorità per far rispettare le regole HIPAA. Gli individui non hanno un diritto privato di azione ai sensi dell’HIPAA e non possono citare in giudizio per una violazione.
OCR avvia il processo di applicazione aprendo un’indagine su potenziali violazioni della normativa sulla privacy o sulla sicurezza HIPAA. L’OCR risponde ai reclami individuali, ma può scoprire violazioni HIPAA anche in altri modi (come condurre audit). Dopo l’indagine, l’OCR può risolvere un problema stabilendo che non vi è violazione, stipulando un accordo di risoluzione con la parte responsabile o rilevando che la parte è in violazione e valutando le sanzioni.
Per saperne di più su HIPAA applicazione, vedere In che modo OCR applica le norme sulla privacy e la sicurezza HIPAA, i dati di applicazione, i punti salienti dell’applicazione e l’applicazione HIPAA.
a. Quando l’HHS esaminerà un reclamo?
Quando le persone sono a conoscenza di una potenziale violazione dell’HIPAA, possono presentare un reclamo all’HHS ‘Office for Civil Rights (OCR). Per essere preso in considerazione per un’indagine, un reclamo deve soddisfare i seguenti criteri di base:
- Se il reclamo riguarda una potenziale violazione delle Regole sulla privacy, l’azione deve essere avvenuta dopo l’aprile 2003. Se il reclamo riguarda una potenziale Violazione delle norme di sicurezza, l’azione deve essere avvenuta dopo l’aprile 2005.
- Un individuo deve presentare un reclamo contro una persona, organizzazione o altra entità soggetta a HIPAA.
- Il reclamo deve indicare qualcosa che violerebbe le regole HIPAA.
- Le persone devono presentare reclami entro 180 giorni dal momento in cui erano a conoscenza (o avrebbero dovuto sapere) della potenziale violazione.
Se OCR ritiene che il reclamo sia valido, l’agenzia contatterà la persona che ha presentato il reclamo e l’entità interessata coinvolta per cercare di raggiungere una risoluzione reciproca.Alcune questioni possono essere deferite a un’udienza davanti a un giudice di diritto amministrativo.
b. In che modo l’HHS determina una sanzione per una violazione?
Per le violazioni che si sono verificate dopo il 2009, l’HHS determina le sanzioni per le violazioni HIPAA in base alla colpevolezza del trasgressore. La pena minima varia, ma la pena massima è di $ 1,5 milioni all’anno per le violazioni della stessa disposizione HIPAA.
La struttura della sanzione civile a quattro livelli è la seguente:
Ignorare significa che l’ente coperto non era a conoscenza della violazione e non l’avrebbe saputo attraverso l’esercizio di ragionevole diligenza.
Per causa ragionevole si intende che l’ente coperto sarebbe stato a conoscenza della violazione esercitando una ragionevole diligenza.
Per negligenza volontaria corretto significa che l’ente coperto ha violato intenzionalmente l’HIPAA o ha agito con indifferenza sconsiderata ma ha corretto la violazione entro 30 giorni dalla scoperta.
Trascuratezza intenzionale non corretta significa che l’ente coperto ha violato intenzionalmente l’HIPAA o ha agito con spericolata indifferenza ma non ha corretto la violazione entro 30 giorni dalla scoperta.
c . Se è prevista una sanzione pecuniaria, la persona che ha presentato il reclamo riceverà denaro?
No. Il denaro derivante dalle sanzioni riscosse da HHS viene pagato al Tesoro degli Stati Uniti.
d. Può le persone fanno causa ai sensi dell’HIPAA?
No. Le persone non hanno il diritto di intentare una causa ai sensi dell’HIPAA. Tuttavia, l’HIPAA non impedisce agli stati di approvare leggi che forniscono una protezione rafforzata. La George Washington University ha una guida, informazioni sanitarie e legge, che contiene informazioni sulle leggi statali.
8. Risorse
Legge federale
Legge sulla tecnologia dell’informazione sanitaria per la salute economica e clinica (HITECH), legge pubblica Legge 111-5, 2009
Legge sulla non discriminazione sulle informazioni genetiche del 2008 (GINA), (Legge pubblica 110-223, 122 Stat. 881)
Regolamenti federali
HIPAA Privacy Rule del 2003 e successive modifiche
HHS Omnibus Rule, 78 Federal Register, 25 gennaio 2013
State Laws and Health Privacy
George Washington University, Health Information e Legge
Associazione nazionale dei commissari assicurativi
Dipartimento della salute e dei servizi umani, Ufficio dei diritti civili
Materiali di orientamento per i consumatori
Argomenti speciali sulla privacy delle informazioni sanitarie
Accordi di società in affari
Autorizzazioni
Entità coperte
Datori di lavoro e informazioni sanitarie sul posto di lavoro