Cosa rende la conformità HIPAA così difficile?

Le conseguenze del mancato dispiegamento e mantenimento di misure di conformità HIPAA efficaci sono state rese molto chiare negli ultimi anni. Semi-correlato è anche il problema degli ospedali e degli uffici medici che utilizzano tecnologie e soluzioni obsolete che rendono difficile conformarsi alla conformità sanitaria nel suo complesso.

Le violazioni dei dati che espongono in massa le informazioni sanitarie dei pazienti e gli attacchi ransomware che compromettono seriamente la capacità delle organizzazioni sanitarie di fornire servizi sono due degli esempi più recenti di tecnologia obsoleta che causa problemi. Mettendo da parte il danno monetario che il mancato rispetto comporta per un'organizzazione sanitaria, l'impatto che questi eventi hanno sulla sua reputazione è ancora più preoccupante.

Non pensi che la tua organizzazione debba conformarsi a HIPAA? Quattro tipi di aziende sanitarie devono essere consapevoli e aderire alla regolamentazione HIPAA: piani sanitari, clearinghouse sanitarie, fornitori di assistenza sanitaria e associati commerciali. (Il mancato riconoscimento che la tua azienda non è conforme o che tale regolamentazione esiste non può più essere utilizzato come difesa ragionevole nel caso in cui la tua azienda venga multata.)

Qualsiasi azienda che rientra in questi quattro tipi raccoglie, elabora e archivia regolarmente dati medici e finanziari dei pazienti. Già sopraffatti da enormi quantità di dati, una qualsiasi di queste aziende può compromettere involontariamente i dati dei pazienti o la rete sanitaria senza l'aiuto di un software di conformità specifico per HIPAA o di un'agenzia di consulenza.  

Tuttavia, solo perché un'organizzazione o un'azienda sanitaria ha deciso di fare passi seri verso la conformità HIPAA non significa che sia un processo facile. E così, abbiamo compilato una lista di controllo che puoi utilizzare per trasformare la tua organizzazione in una che sia deliberatamente e risolutamente conforme.  

Lista di controllo per la conformità HIPAA

Ci sono quattro componenti di questa lista di controllo:

1. Condurre una valutazione completa del rischio della tua organizzazione — Prima di tutto, devi capire come HIPAA si applica alla tua pratica, struttura o azienda specifica. Lo fai conducendo una valutazione del rischio per comprendere debolezze, potenziali vulnerabilità e eventuali lacune nelle misure esistenti. Puoi condurre auto-audit regolari o puoi assumere un'agenzia di consulenza per auditare la tua organizzazione. L'obiettivo finale è identificare quali elementi di HIPAA sono a rischio di non conformità.
2. Rimedi — Una volta identificate le lacune e i rischi nella conformità, devi creare piani per assicurarti che questi problemi vengano affrontati. Una cosa da notare: i piani di rimedio non possono essere generici. I piani devono essere adattati alle diverse regole HIPAA che esistono; le politiche e le procedure variano a seconda che tu stia aderendo alla Regola della Privacy HIPAA, alla Regola della Sicurezza HIPAA o alla Regola di Notifica delle Violazioni HIPAA. (Discuteremo ulteriormente queste diverse regole e salvaguardie più avanti.)
3. Monitorare, segnalare e formare — Le soluzioni di conformità HIPAA offrono report di conformità automatizzati, che sono utili per compiti come identificare, tracciare, indagare e segnalare incidenti. Le diverse regole HIPAA richiedono salvaguardie amministrative, fisiche o tecniche, tutte rese molto più facili con strumenti che automatizzano le responsabilità di monitoraggio e segnalazione. Inoltre, la conformità sanitaria di qualsiasi tipo è efficace solo se ogni singolo membro del personale e dipendente partecipa. La formazione è cruciale ed essenziale per garantire che i tuoi sforzi di conformità siano mantenuti.
4. Gestione continua — La documentazione è necessaria per dimostrare che la tua organizzazione sta mantenendo gli sforzi di conformità. Organizzazioni come i Centri per i Servizi Medicare & Medicaid (CMS), l'ONC (Office of the National Coordinator for Health Information Technology) e l'HHS (U.S. Department of Health and Human Services) auditano regolarmente i fornitori di assistenza sanitaria e gli associati commerciali per assicurarsi che rimangano conformi, anno dopo anno. Inoltre, gestire e valutare continuamente il rischio aiuterà a mantenere le tue salvaguardie in perfetta forma.

Regole da seguire (sempre)

Ci sono quattro regole di HIPAA che le organizzazioni sanitarie seguono, indipendentemente dal tipo di attività. Le Regole della Privacy e della Sicurezza devono essere rispettate in ogni momento. Vengono con tre salvaguardie. Le Regole di Applicazione e di Notifica delle Violazioni stabiliscono quadri post-incidenti.

1. Regola della Privacy HIPAA — La Regola della Privacy protegge tutte le informazioni sanitarie individualmente identificabili che vengono condivise o archiviate da organizzazioni o aziende. La Regola della Privacy salvaguarda le informazioni sanitarie protette (PHI), sia elettronicamente (ePHI) che su carta, e dà ai pazienti diritti sull'accesso e la condivisione delle proprie informazioni sanitarie personali. I tipi di organizzazioni che prestano particolare attenzione alla Regola della Privacy sono: fornitori di assistenza sanitaria, clearinghouse di assicurazioni sanitarie e qualsiasi azienda che utilizza dati dei pazienti.
2. Regola della Sicurezza HIPAA — La Regola della Sicurezza protegge l'ePHI degli individui; la regola stabilisce specificamente i parametri per la creazione, la condivisione e l'archiviazione di tali informazioni sanitarie. Mantenere la riservatezza regolando al contempo l'accesso a quei dati sono aspetti cruciali che la Regola della Sicurezza assicura che le organizzazioni sanitarie abbiano. La Regola della Sicurezza aiuta le organizzazioni a identificare le lacune di sicurezza che possono poi essere affrontate tramite varie salvaguardie adattate agli standard differenti delle organizzazioni.

Salvaguardie

Le salvaguardie esistono per prevenire la condivisione non autorizzata o illegale di PHI, indipendentemente dal fatto che tale condivisione sia stata fatta intenzionalmente o involontariamente. In definitiva, queste salvaguardie esistono per proteggere le informazioni dei pazienti, ma sono anche destinate a proteggere l'organizzazione sanitaria dal compromettere i loro sforzi di conformità.

• Salvaguardie amministrative — Le salvaguardie amministrative aiutano a stabilire politiche e procedure interne tramite processi di gestione della sicurezza, formazione sulla consapevolezza della sicurezza e pianificazione delle contingenze. Il personale medico e i dipendenti dovrebbero essere in grado di fare riferimento a quelle politiche per ridurre eventuali violazioni involontarie della riservatezza dei pazienti. La documentazione è fondamentale per implementare salvaguardie amministrative efficaci; così come l'accesso facile a quella documentazione da parte dei dipendenti.
• Salvaguardie tecniche — Le salvaguardie tecniche aiutano a formulare la Regola della Sicurezza HIPAA tramite il controllo degli accessi, il controllo degli audit e l'autenticazione delle entità. Con le salvaguardie tecniche, le organizzazioni sanitarie possono garantire la sicurezza e l'integrità degli ePHI. Inoltre, le salvaguardie tecniche monitorano l'accesso degli utenti ai sistemi di archiviazione degli ePHI.  
• Salvaguardie fisiche — Le salvaguardie fisiche come i controlli che ordinano l'accesso alle strutture e l'uso di dispositivi e supporti aiutano a guidare la creazione delle politiche che proteggono i sistemi elettronici che ospitano gli ePHI. Con le salvaguardie fisiche, sia la struttura sanitaria che i dipendenti possono comprendere e prevenire potenziali minacce e azioni non autorizzate che comprometteranno il mantenimento della riservatezza dei pazienti.  

Regole da seguire post-incidente 

1. Regola di Applicazione HIPAA — La Regola di Applicazione stabilisce e applica le procedure che devono essere seguite una volta determinata una possibile violazione HIPAA. La Regola di Applicazione fornisce le procedure che aiutano le organizzazioni sanitarie a navigare tra le multe e le sanzioni che possono colpirle nel caso in cui quella violazione richieda conseguenze post-investigazione. La Regola di Applicazione viene attivata solo una volta che il dipartimento della Salute e dei Servizi Umani decide di indagare sulla tua organizzazione.
2. Regola di Notifica delle Violazioni HIPAA — La Regola di Notifica delle Violazioni assicura che le organizzazioni sanitarie notifichino i pazienti dopo che le PHI sono state compromesse. Una violazione delle PHI dovrebbe avvenire solo se la tua organizzazione non è conforme alla Regola della Privacy HIPAA, ad esempio, non hai protetto le informazioni dei tuoi pazienti.

Dotare la tua struttura sanitaria degli strumenti e delle risorse per mantenere la conformità HIPAA è una misura difficile ma necessaria. L'impiego di soluzioni come i sistemi di messaggistica conformi a HIPAA può proteggere l'ospedale o la pratica medica dall'aprirsi accidentalmente a responsabilità quando tutto ciò che stanno facendo è inviare un'email di conferma al paziente riguardo a un appuntamento imminente. Le organizzazioni devono considerare i pro e i contro del mantenimento della sicurezza e della riservatezza dei pazienti rispetto al mantenimento della tecnologia che consente ai pazienti di avere accesso regolare alle proprie informazioni sanitarie. Con app mobili come Apple Health Records e gestori del diabete o tracker del glucosio che creano ciò che è essenzialmente nuove tecnologie EHR e mediche, la linea tra la condivisione e la fornitura di accesso ai dati sanitari dei pazienti, rispetto all'aderenza alle leggi sul rilascio medico, è diventata sfocata.

Come soddisfare la conformità HIPAA

Ora che conosci i diversi componenti che compongono la conformità HIPAA, come fai a soddisfarla?

Ecco quattro regole che ti aiuteranno a creare e spuntare una lista di controllo per la conformità HIPAA:

1. Standardizzare la documentazione e la comunicazione clinica — La codifica è cruciale per i professionisti medici per documentare e trasmettere le note dei pazienti. Esistono set di codici specifici per semplificare la cartella clinica, unificare la comunicazione sanitaria e codificare le trasmissioni. Alcuni esempi comuni di codici medici includono: NDC (National Drug Codes) per l'identificazione e la distribuzione dei farmaci; ICD-10-CM (International Classification of Diseases, Tenth Revision, Clinical Modification) per la diagnosi dei sintomi; e HCPCS (Healthcare Common Procedure Coding System/CPT (Current Procedural Terminology) per la fatturazione medica. La maggior parte degli EHR automatizza la formattazione della codifica. Assicurati che la tua struttura sia aggiornata sulle migliori pratiche di codifica.
2. Registrazione NPI — NPI (National Provider Identifier) è un numero a 10 cifre utilizzato dai piani sanitari, dai fornitori di assistenza sanitaria e dalle clearinghouse sanitarie per verificare e convalidare le transazioni finanziarie. HIPAA impone l'uso di NPI unici quando si trasmettono dati sanitari, quindi la tua pratica deve ottenere e utilizzare NPI per differenziarsi da altri professionisti con nomi simili.  
3. Migliori pratiche per la privacy dei pazienti — Sviluppa procedure di privacy per la tua struttura e designa un responsabile per monitorarne l'implementazione o crea un database facilmente accessibile di quelle politiche. Mantieni un registro delle PHI della tua struttura, in particolare gli scenari di utilizzo e divulgazione autorizzati delle PHI, e assicurati che la tua organizzazione richieda sia una formazione continua su quelle procedure di privacy che valutazioni regolari del rischio sull'integrità delle tue salvaguardie di sicurezza.
4. Pianificazione delle contingenze — La tua organizzazione sanitaria dovrebbe essere preparata a gestire eventuali incidenti o violazioni che violano HIPAA. Indipendentemente dal fatto che la tua pratica violi effettivamente HIPAA, è meglio stabilire procedure che si allineino con le Regole di Applicazione e di Notifica delle Violazioni HIPAA. Più la tua organizzazione è preparata, più sarà attrezzata quando si tratta di indagini.