Che cos'è la conformità HIPAA e perché è importante?

Pubblicato: 2021-06-22

Cosa significa HIPAA?

Che cos'è esattamente HIPAA e cosa devi fare come azienda per rimanere dalla parte giusta delle normative associate?

HIPAA sta per Health Insurance Portability and Accountability Act, approvato dal Congresso nel 1996.

Da allora HIPAA è stato aggiornato e integrato, in particolare con la legge HITECH del 2009 (Tecnologia dell'informazione sanitaria per la salute economica e clinica) e la regola Omnibus del 2013.

Questi insieme estendevano la responsabilità nei confronti dei soci in affari e dei loro subappaltatori, oltre a protezioni più severe su come utilizzare le PHI per quanto riguarda il marketing e le vendite.

Sebbene l'HIPAA riguardi una serie di aree, tra cui la copertura sanitaria per le persone che perdono o cambiano il lavoro e le disposizioni fiscali, il nostro focus principale sarà sul titolo II della legge, che riguarda lo scambio, la sicurezza e la privacy dei dati sanitari e ciò che riguarda la stragrande maggioranza delle aziende quando si tratta di conformità.

Entriamo subito ed esaminiamo tutto ciò che devi sapere sull'HIPAA e quali sono le chiavi del successo per la conformità all'HIPAA.

Impatto iscriviti al banner del blog

Qual è lo scopo dell'HIPAA?

Come abbiamo appena notato, HIPAA ha diversi scopi al di fuori della protezione dei dati, in particolare legati alla riforma della legge sull'assicurazione sanitaria.

Per la maggior parte delle organizzazioni che ricercano HIPAA, tuttavia, il loro obiettivo principale è sapere cosa devono fare per rimanere conformi alle sue normative ed evitare le multe derivanti dalla non conformità.

Questa area dell'HIPAA ha a che fare con la protezione dei dati e la privacy in relazione alla divulgazione e all'uso di informazioni sanitarie protette o PHI.

La conformità HIPAA e la sicurezza delle PHI sono oggi fondamentali per le organizzazioni sanitarie.

Immagine di un uomo con la mano e sopra la parola HIPAA | Cos'è l'HIPAA?

Chi deve rispettare HIPAA?

Le entità che devono rispettare la conformità HIPAA sono note come entità coperte.

Le entità coperte sono persone o società che archiviano, gestiscono ed elaborano le PHI.

Gli enti interessati, oltre a rispettare l'HIPAA, sono anche responsabili della segnalazione di violazioni ad esso relative.

Le seguenti persone e organizzazioni costituiscono entità coperte:

Fornitori di servizi sanitari

  • Medici
  • Cliniche
  • psicologi
  • Dentisti
  • Chiropratici
  • Case di cura
  • Farmacie
  • Piani sanitari

Compagnie di assicurazione sanitaria

  • HMO
  • Piani sanitari aziendali
  • Piani sanitari forniti dal governo

Centri di smistamento sanitari

  • Si tratta di entità che facilitano l'elaborazione di informazioni sanitarie non standard in elementi di dati standard. Questi sono effettivamente intermediari tra fornitori di assistenza sanitaria e contribuenti assicurativi.

Soci in affari

  • Un "socio in affari" crea, riceve, mantiene o trasmette informazioni sanitarie protette (PHI) per conto di un'entità coperta o di un altro socio in affari che agisce come subappaltatore.

Subappaltatori

  • Un subappaltatore che crea, mantiene o trasmette informazioni sanitarie protette (PHI) per conto di un socio in affari ha le stesse responsabilità legali di un socio in affari ai sensi dell'HIPAA. In altre parole, le responsabilità legali relative alla privacy e alla sicurezza fluiscono "a valle" verso i subappaltatori che svolgono lavori per un socio in affari.

Entità ibride

  • Un'entità ibrida svolge sia funzioni coperte da HIPAA che funzioni non coperte come parte della sua attività. Una grande azienda che ha un piano sanitario autoassicurato per i suoi dipendenti può scegliere di essere trattata come un'entità ibrida. Altri esempi sono un'università con un centro medico o un negozio di alimentari con una farmacia.

Cosa comprende PHI?

Le informazioni sulla salute personale (PHI) si riferiscono a qualsiasi informazione demografica che può essere utilizzata per identificare un paziente, un cliente o un'altra entità.

Ci sono 18 identificatori che rendono le informazioni relative alla salute considerate PHI. Questi sono:

  1. Nomi
  2. Date, escluso l'anno
  3. Dati geografici
  4. Numeri di fax
  5. Numeri di previdenza sociale
  6. Indirizzi email
  7. Numeri di cartella clinica
  8. Numeri di conto
  9. Numeri dei beneficiari del piano sanitario
  10. Numeri di certificato/licenza
  11. Identificatori del veicolo e numeri di serie, inclusi i numeri di targa
  12. Numeri di telefono
  13. URL Web
  14. Identificatori del dispositivo e numeri di serie
  15. Indirizzi del protocollo Internet (IP).
  16. Foto a pieno facciale e immagini comparabili
  17. Identificatori biometrici (impronte digitali, ad esempio)
  18. Qualsiasi numero o codice che identifica in modo univoco qualcuno

Questi sono i tipi di dati e informazioni che devono essere protetti per mantenere la conformità HIPAA.

Che cosa è considerata una violazione HIPAA?

Una violazione HIPAA si verifica quando la conformità non è rispettata da un'entità e ci sono letteralmente centinaia di modi in cui individui e organizzazioni possono cadere in violazione della conformità HIPAA.

Le violazioni comuni dell'HIPAA riguardano in genere uno dei seguenti:

  • Divulgazione non autorizzata, non consentita o non necessaria di PHI
  • Accesso non autorizzato alle PHI
  • Smaltimento errato di PHI
  • Mancanza di una valutazione del rischio condotta dall'entità
  • Mancanza di gestione del rischio per quanto riguarda le PHI
  • Mancata conclusione dell'accordo di conformità HIPAA con terze parti durante la fornitura dell'accesso alle PHI
  • Mancata sensibilizzazione alla sicurezza della formazione HIPAA ai dipendenti
  • Furto di PHI
  • Condivisione di PHI senza previa autorizzazione
  • Gestione errata/invio ingiustificato di PHI
  • Mancata notifica all'individuo di un incidente di sicurezza che coinvolge PHI entro 60 giorni dalla scoperta della violazione
  • Nessuna documentazione di protocolli, procedure e gestione di conformità

Cosa succede se l'HIPAA viene violato?

Una violazione HIPAA si verifica quando qualsiasi aspetto degli standard e delle disposizioni HIPAA viene violato.

Puoi trovare una carrellata completa di tutte le normative HIPAA, pubblicate dall'Ufficio per i diritti civili del Dipartimento della salute e dei servizi umani, qui.

Se viene segnalata una violazione, l'entità coperta è soggetta a sanzioni, sia civili che penali: le sanzioni possono variare in modo significativo, a seconda della violazione.

In genere, l'Ufficio per i diritti civili (OCR) del Dipartimento della salute e dei servizi umani degli Stati Uniti indagherà sulle violazioni e indagherà su tutte le entità coperte che segnalano violazioni di oltre 500 record.

Se l'OCR determina che un caso particolare è penale piuttosto che civile, lo deferirà al Dipartimento di Giustizia.

Nella maggior parte dei casi, le persone possono aspettarsi di pagare $ 100 per violazione; violazioni ripetute possono causare multe fino a $ 25.000.

Nei casi in cui le persone hanno mostrato una negligenza intenzionale delle normative HIPAA e non hanno tentato di correggere le proprie politiche e procedure, può essere inflitta una sanzione minima di $ 50.000, fino a un massimo di $ 1,5 milioni.

Nei procedimenti penali sono possibili pene inferiori a $ 50.000 e fino a un anno di carcere, con una multa di $ 250.000 e fino a 10 anni di carcere come massimo.

Per i procedimenti civili, le violazioni sono classificate in livelli, di cui 4 è il più grave.

Sono i seguenti:

  • Livello 1: una violazione di cui l'entità coperta non era a conoscenza e non avrebbe potuto evitare.
  • Livello 2: una violazione di cui l'entità coperta avrebbe dovuto essere a conoscenza ma che non poteva evitare.
  • Livello 3: violazione che si è verificata come risultato diretto di negligenza intenzionale, ma in cui è stato effettuato un tentativo di rettificare la violazione.
  • Livello 4: una violazione che costituisce negligenza intenzionale in cui non è stato fatto alcun tentativo di correggere la violazione.

Le sanzioni per la non conformità HIPAA per ogni livello sono le seguenti:

  • Livello 1: multa minima di $ 100 per violazione fino a $ 50.000
  • Livello 2: multa minima di $ 1.000 per violazione fino a $ 50.000
  • Livello 3: multa minima di $ 10.000 per violazione fino a $ 50.000
  • Livello 4: multa minima di $ 50.000

I procedimenti penali sono leggermente diversi, con tre livelli e pene molto più severe rispetto ai procedimenti civili.

Sono i seguenti:

  • Livello 1: causa ragionevole o mancata conoscenza della violazione
  • Livello 2: ottenere PHI con false pretese
  • Livello 3: ottenere PHI per guadagno personale o con intenti dannosi

Sanzioni penali:

  • Livello 1: Fino a un (1) anno di carcere
  • Livello 2: Fino a cinque (5) anni di carcere
  • Livello 3: Fino a 10 anni di carcere

Immagine di un uomo con la mano e sopra la parola HIPAA | Cos'è l'HIPAA?

Posso essere certificato HIPAA?

Al momento della stesura di questo articolo, non esiste una certificazione o verifica di conformità HIPAA.

Terze parti possono offrire una forma di "certificazione HIPAA", ma non esiste una certificazione ufficialmente approvata o obbligatoria offerta da HHS.

Non esistono standard o specifiche di implementazione che richiedano a un'entità coperta di "certificare" la conformità. Lo standard di valutazione § 164.308(a)(8) richiede che gli enti interessati eseguano una valutazione tecnica e non tecnica periodica che stabilisca la misura in cui le politiche e le procedure di sicurezza di un'entità soddisfano i requisiti di sicurezza. Ufficio per i diritti civili (OCR)

Pertanto, anche se non esiste una certificazione HIPAA, molti MSSP di terze parti possono eseguire valutazioni periodiche quando necessario e garantire la conformità con HIPAA.

Che cos'è un ufficiale HIPAA?

Un funzionario HIPAA è un responsabile della conformità.

Indipendentemente dal fatto che siano interni o assunti come terze parti, il loro compito principale sarà garantire la conformità HIPAA assicurandosi che i protocolli di sicurezza e privacy per i dati PHI siano applicati correttamente.

Nei casi in cui non esiste tale politica in atto, il funzionario HIPAA sarà responsabile dello sviluppo e dell'attuazione di un piano di conformità per l'individuo o l'organizzazione.

Saranno quindi incaricati di mantenere e monitorare il programma, indagare e riferire ove legalmente necessario e garantire che i dati del paziente o del cliente siano salvaguardati come richiesto dalla legge statale e federale.

Qual è la chiave del successo per la conformità HIPAA?

Se hai letto questo pezzo (o scremato) e hai sentito il battito un po' aumentare guardando le sanzioni per la non conformità, non preoccuparti.

Non ci vuole molto per assicurarsi di essere conformi all'HIPAA, ma ci sono sicuramente alcune chiavi del successo per la conformità all'HIPAA che le organizzazioni farebbero bene a seguire.

In primo luogo, dovresti cercare un fornitore di servizi di sicurezza gestito che esegua valutazioni HIPAA per venire a controllare i tuoi sistemi per la conformità HIPAA.

Dopo aver eseguito la valutazione del rischio, saranno in grado di consigliare ed eseguire le implementazioni necessarie per assicurarsi che tu stia facendo tutto il possibile per mantenere la conformità.

Che cos'è una valutazione del rischio HIPAA?

Post correlato: Cosa succede durante un audit del rischio di sicurezza informatica?

Un audit di conformità HIPAA è la valutazione eseguita da un responsabile della conformità che approfondirà i tuoi sistemi e protocolli di sicurezza.

In primo luogo, dovranno collaborare con te nel determinare l'ambito dell'audit, principalmente in relazione ai tuoi obblighi (in questo caso, HIPAA è la priorità principale, sebbene potresti dover essere conforme anche ad altre normative).

Quindi elaboreranno un programma per l'audit e procederanno alla fase successiva; esecuzione. Questa parte comprende la scansione delle vulnerabilità, i test di penetrazione e un'analisi delle lacune.

Nel caso di una valutazione del rischio per la conformità HIPAA, sarà essenziale un'analisi delle lacune, poiché è qui che il responsabile della conformità HIPAA descriverà in dettaglio ciò che è necessario fare per rendere te o la tua azienda conformi.

Una volta concluso l'audit di conformità HIPAA, il responsabile della conformità formulerà le sue raccomandazioni e tu potrai avere una chiara comprensione di ciò che deve essere fatto.

Puoi anche cogliere l'occasione per delegare l'attuazione di queste raccomandazioni all'MSSP, nel qual caso puoi firmare un contratto a lungo termine con loro, consentendoti di andare avanti e gestire la tua attività mentre il fornitore di servizi di sicurezza gestito si occupa della conformità .

Se desideri saperne di più sulla conformità HIPAA e su cosa può fare per te un fornitore di servizi di sicurezza gestiti, dai un'occhiata alla nostra pagina Servizi di conformità.