L’Health Insurance Portability and Accountability Act del 1996, noto come HIPAA, è una legge federale che protegge la privacy e la riservatezza dei pazienti medici e delle loro cartelle cliniche. La legge richiede che tutti i dipendenti con conoscenza del paziente o accesso alle cartelle cliniche siano formati sulle politiche e procedure HIPAA. I medici devono anche rendere i pazienti consapevoli della legge e di come protegge e influisce sui loro diritti e privacy.
conformità HIPAA
I requisiti di conformità per la legge sulla privacy HIPAA sono entrati in vigore il 14 aprile 2003. La legge si applica alle entità e ai dipendenti coperti che hanno accesso alle informazioni sulla salute personale. Le entità coperte includono medici, ospedali, case di cura e fornitori di assicurazioni sanitarie, ma altre società con accesso a informazioni sanitarie protette sono vincolate dalla legge e sono definite dalle linee guida HIPAA. Le entità devono designare un dipartimento o un individuo per supervisionare le politiche e le procedure, amministrare la formazione e mantenere protetti i documenti pertinenti.
Informazioni personali sulla salute
Le informazioni sulla salute personale sono definite come tutto ciò che può identificare un paziente, inclusi il nome del paziente, il numero di previdenza sociale, l’indirizzo e il numero della cartella clinica. Le persone con accesso a queste informazioni sono vincolate dalla legge sulla privacy e possono rilasciare documenti solo per procedimenti amministrativi o legali, sviste sanitarie o uso delle forze dell’ordine. I dipendenti con domande riguardanti il rilascio di informazioni devono informare le risorse umane o il responsabile della sicurezza o della conformità HIPAA designato dalla società.
Standard di sicurezza HIPAA
HIPAA fornisce linee guida per la protezione, la gestione e l’accesso alle registrazioni fisiche ed elettroniche delle informazioni sulla salute personale. Stabilisce inoltre limiti di tempo per la loro conservazione e distruzione. Le sanzioni federali e civili per la divulgazione o il trattamento improprio di informazioni protette sono severe e i datori di lavoro così come i dipendenti devono essere consapevoli delle conseguenze. Le aziende sono tenute a regolare l’accesso alle informazioni sulla salute personale e sviluppare le proprie politiche e procedure in materia di HIPAA. Esempi di standard di sicurezza includono la conservazione dei registri nei locali dell’azienda, la crittografia elettronica dei dati e l’utilizzo di maschere dello schermo del computer mentre si lavora con informazioni protette.
Formazione HIPAA in campi non medici
Le leggi HIPAA e i requisiti di formazione non sono limitati alla professione medica. I reparti di fatturazione, i centri di copia e posta, i corrieri e il personale di manutenzione sono tra coloro che possono gestire o avere accesso alle informazioni mediche. Le procedure per questi reparti devono essere incluse nelle sessioni di formazione e i dipendenti devono essere monitorati per verificarne la conformità. L’azione legale per violazioni HIPAA non è limitata alle persone fisiche; anche la società può essere ritenuta responsabile.
Sviluppo di programmi di formazione HIPAA
Il sito web del Dipartimento della salute e dei servizi umani degli Stati Uniti fornisce collegamenti a programmi di formazione approvati. In alternativa, le aziende possono sviluppare la formazione sulla base delle informazioni pubblicate, aggiungendo ulteriori politiche e procedure per riflettere le circostanze individuali. Il programma di formazione è amministrato al meglio in formato multimediale e deve essere presentato a tutti i dipendenti attuali e ai nuovi assunti. Ogni partecipante deve firmare un modulo di completamento della formazione HIPAA, che l’azienda conserva nei registri del personale del dipendente.