L’Health Insurance Portability and Accountability Act del 1996 – HIPAA, in breve – è stato emanato per salvaguardare la sicurezza e la privacy dei pazienti. L’atto comprende due pezzi chiave: la regola sulla privacy HIPAA e la regola sulla sicurezza HIPPA. La regola sulla privacy aiuta a proteggere le informazioni private dei pazienti. La regola di sicurezza standardizza i protocolli di sicurezza per le informazioni sanitarie elettroniche. I gruppi coperti, inclusi gli operatori sanitari, i piani sanitari e i centri di assistenza sanitaria, devono aderire a tutte le disposizioni, compresi i requisiti di formazione. L’Ufficio per i diritti civili sovrintende e fa rispettare tutte le attività.
Requisito di formazione 1: politica scritta
Secondo il Dipartimento della salute e dei servizi umani degli Stati Uniti, qualsiasi organizzazione o gruppo coperto dalle norme sulla privacy o sulla sicurezza dell’HIPAA deve “sviluppare e attuare politiche e procedure sulla privacy scritte coerenti con la regola”. Per affrontare adeguatamente tutti i requisiti legali, coinvolgere l’ufficio legale dell’organizzazione per aiutare a redigere e rivedere la politica. Condividete la politica scritta con tutti i dipendenti coperti e gli altri stakeholder. L’organizzazione deve anche designare un responsabile della privacy e una persona di contatto o un ufficio di contatto. Il responsabile della privacy è responsabile dell’implementazione della politica. La persona o l’ufficio di contatto diffonde le informazioni relative alla politica e gestisce i reclami ufficiali. Assicurati di includere queste informazioni nei tuoi materiali di formazione e incoraggia i dipendenti a contattare la persona o l’ufficio di contatto ufficiale per qualsiasi domanda.
Requisito di formazione 2: formazione della forza lavoro
HIPAA richiede che le entità coperte formino tutti i dipendenti, i volontari, i tirocinanti e chiunque altro rappresenti l’organizzazione nelle politiche e procedure sulla privacy e sulla sicurezza. Adatta la formazione a ciascuna funzione lavorativa. Formare i nuovi dipendenti immediatamente dopo l’assunzione e condurre regolari sessioni di aggiornamento per i dipendenti esistenti. Il Dipartimento della salute e dei servizi umani degli Stati Uniti afferma inoltre che le organizzazioni sono tenute a creare e utilizzare “sanzioni appropriate contro i membri della forza lavoro che violano le politiche e le procedure”. Il dipartimento raccomanda alle organizzazioni interessate di coordinare e rivedere le politiche, le procedure e le sanzioni con la direzione, i dipendenti sanitari di alto livello e i rappresentanti legali per garantire accuratezza, completezza e legalità. In caso di infrazione, le entità coperte devono ridurre l’effetto dannoso per la parte offesa nella misura massima possibile.
Requisito di formazione 3: protezione dei dati
L’HIPAA richiede che le entità interessate mantengano garanzie tecniche e amministrative “per impedire l’uso o la divulgazione intenzionale o non intenzionale di informazioni sanitarie protette”. Per soddisfare questo standard, le organizzazioni devono formare formalmente i dipendenti e le altre parti interessate all’uso e all’applicazione di protocolli di protezione dei dati appropriati. Ciò può includere procedure di distruzione dei documenti, protocolli di sicurezza con blocco o password o altre misure di sicurezza necessarie.
Requisito di formazione 4: reclami
Le organizzazioni coperte devono creare e condividere un avviso sulle pratiche sulla privacy. Includere istruzioni dettagliate per i reclami dei pazienti in merito all’uso e alla divulgazione delle informazioni in relazione all’HIPAA. Formare i dipendenti e le altre parti interessate su come indirizzare correttamente i pazienti con reclami alla persona di contatto o all’ufficio appropriati aiuterà a mitigare la confusione e garantire un’adeguata documentazione dei reclami.