Il Congresso ha approvato l’Health Insurance Portability and Accountability Act, altrimenti noto come HIPAA, nel 1996. La legge consente agli americani di trasferire e continuare la copertura assicurativa sanitaria in caso di perdita o cambio di lavoro e richiede ai fornitori di servizi sanitari di fornire ai pazienti avvisi scritti di come le loro informazioni personali sulla salute verranno utilizzate o divulgate. Qualsiasi azienda che gestisce informazioni sanitarie protette per i dipendenti deve rispettare le linee guida sulla privacy HIPAA. “Informazioni sanitarie protette” o PHI si riferisce a tutte le informazioni sanitarie identificabili individualmente coperte dalla normativa sulla privacy dell’HIPAA.
La regola sulla privacy
La regola sulla privacy è progettata per rendere le persone consapevoli dei problemi di privacy e delle preoccupazioni relative al loro PHI. Consente loro di avvisare i piani sanitari e gli operatori sanitari di potenziali violazioni della regola e di esercitare i propri diritti laddove necessario. La normativa sulla privacy afferma che i piani sanitari e gli operatori sanitari devono sviluppare e distribuire avvisi ai pazienti che spieghino chiaramente come usano o rivelano le PHI di quel paziente e quali sono i diritti del paziente sotto la regola.
Politiche PHI
Ai sensi della legge HIPAA, la normativa sulla privacy classifica tutte le aziende che trasmettono o ricevono PHI dei pazienti come “entità coperte”. Queste entità aziendali devono disporre di politiche e procedure sulla privacy documentate e della necessaria formazione per integrarle. Un responsabile della privacy dovrebbe essere designato per creare e applicare le politiche sulla privacy e gestire i relativi reclami per l’azienda. La mitigazione dei rischi, la protezione da ritorsioni o la rinuncia a qualsiasi diritto della Regola sulla privacy e la salvaguardia dei PHI sono tutte politiche dettagliate nella Regola sulla privacy. Se una piccola impresa raccoglie PHI da sottoporre a un fornitore di un piano sanitario per conto del dipendente, deve farlo in un modo di reclamo PHI in quanto è considerata un’entità coperta.
Procedure PHI
Le aziende devono intraprendere tutte le azioni appropriate per garantire la riservatezza delle informazioni riservate limitando l’accesso ai file dei dipendenti al personale autorizzato. Ove possibile, le entità coperte dovrebbero sforzarsi di utilizzare solo le informazioni minime sulla salute del paziente richieste a terze parti. Qualsiasi entità coperta che esternalizza l’analisi, l’elaborazione o la gestione dei PHI a una terza parte, denominata socio in affari ai sensi della normativa sulla privacy, dovrebbe assicurarsi di avere un contratto conforme in atto con il fornitore.
Considerazioni
Le entità coperte devono assicurarsi di seguire le politiche e le procedure PHI dell’HIPAA, secondo le linee guida stabilite nella Normativa sulla privacy o in combinazione con i desideri dell’individuo o del suo rappresentante personale come espresso per iscritto. Gli individui possono essere vigili contro potenziali abusi delle loro PHI da parte di piani sanitari, fornitori di assistenza sanitaria, datori di lavoro e soci in affari esaminando attentamente tutte le informative sulla privacy. Le violazioni dei reclami devono essere presentate all’Office for Civil Rights per posta, fax o posta elettronica entro 180 giorni dalla presunta violazione.