La nostra revisione della storia dell’HIPAA inizia il 21 agosto 1996, quando l’Healthcare Insurance Portability and Accountability Act (HIPAA) è stato promulgato in legge, ma perché è stato formulato l’HIPAA Act? Altri obiettivi della legge erano quelli di affrontare gli sprechi, le frodi e gli abusi nell’assicurazione sanitaria e nella fornitura di assistenza sanitaria. La legge includeva anche passaggi per incoraggiare l’uso di conti di risparmio medico creando agevolazioni fiscali, fornisce copertura ai dipendenti con condizioni mediche preesistenti e razionalizza l’amministrazione dell’assicurazione sanitaria.
I processi per semplificare l’amministrazione dell’assicurazione sanitaria sono diventati un modo per incoraggiare l’industria sanitaria a informatizzare le cartelle cliniche dei pazienti. Questa parte specifica della legge ha generato l’Health Information Technology for Economic and Clinical Health Act (HITECH) nel 2009, che ha poi portato all’introduzione del programma di incentivi Meaningful Use – descritto dai leader del settore sanitario come “il pezzo più importante della legislazione sanitaria ad essere approvato negli ultimi 20-30 anni”.
Le regole sulla privacy e la sicurezza dell’HIPAA iniziano ad evolversi
Una volta che l’HIPAA è stata promulgata in legge, il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti ha iniziato a sviluppare le prime regole sulla privacy e la sicurezza dell’HIPAA. La Privacy Rule aveva una data di entrata in vigore effettiva il 14 aprile 2003, e si riferiva alle Informazioni Sanitarie Protette (PHI) come “qualsiasi informazione detenuta da un’entità coperta che è collegata allo stato di salute, alla fornitura di assistenza sanitaria, o al pagamento dell’assistenza sanitaria che può essere collegata a un individuo”.
Sono state rese disponibili istruzioni su come le PHI dovrebbero essere condivise e che il permesso dovrebbe essere ricevuto dai pazienti prima di usare i loro dati personali per marketing, raccolta di fondi o ricerca. Ha anche dato ai pazienti il permesso di trattenere le informazioni sulla loro assistenza sanitaria dai fornitori di assicurazione sanitaria quando il loro trattamento è finanziato privatamente.
La regola di sicurezza HIPAA è diventata esecutiva due anni dopo la legislazione originale il 21 aprile 2005. Riferendosi specificamente alla PHI memorizzata elettronicamente (ePHI), la Security Rule ha stabilito tre misure di sicurezza – amministrativa, fisica e tecnica – che devono essere rispettate completamente per essere conformi alla HIPAA. Le misure di sicurezza avevano questi obiettivi:
- Amministrative – per sviluppare politiche e processi impostati per indicare chiaramente come l’entità sarà conforme alla legge.
- Fisico – per gestire l’accesso fisico alle aree di archiviazione dei dati per proteggere da accessi impropri
- Tecnico – per salvaguardare le comunicazioni, comprese le informazioni personali quando vengono inviate elettronicamente attraverso reti aperte
Quando l’HIPAA è diventata applicabile?
In quale anno l’HIPAA è stata promulgata come legge? L’HIPAA è stata promulgata il 21 agosto 1996, ma ci sono stati importanti emendamenti all’HIPAA negli ultimi 20 anni: L’introduzione della Privacy Rule, Security Rule, Breach Notification Rule, e l’Omnibus Final Rule.
Le date di entrata in vigore più significative sono: 14 aprile 2003 per la HIPAA Privacy Rule, anche se c’era una proroga di 12 mesi per i piccoli piani sanitari, che dovevano aderire alle disposizioni della HIPAA Privacy Rule entro il 14 aprile 2004.
La data di conformità effettiva per la HIPAA Security Rule era il 21 aprile 2005. Simile alla HIPAA Privacy Rule, ai piccoli piani sanitari è stato dato un anno in più per aderire alle disposizioni della HIPAA Security Rule e hanno avuto una data di conformità effettiva del 21 aprile 2006.
La HIPAA Breach Notification Rule è diventata esecutiva il 23 settembre 2009 e la Omnibus Final Rule è diventata esecutiva il 26 marzo 2013.
L’entrata in vigore della Enforcement Rule
Il fallimento di molti fornitori coperti di aderire pienamente alle regole di privacy e sicurezza dell’HIPAA ha portato all’introduzione della Enforcement Rule nel marzo 2006. L’Enforcement Rule ha dato al Department of Health and Human Services il potere di esaminare i reclami contro le entità coperte per non aver rispettato la Privacy Rule, e di multare i completi coperti per violazioni evitabili di ePHI a causa di non aver seguito le misure di sicurezza stabilite dalla Security Rule.
L’Office for Civil Rights del Dipartimento ha anche ricevuto l’autorità di portare accuse penali contro i recidivi che non introducono misure correttive entro 30 giorni. Le persone hanno anche il diritto di intraprendere un’azione legale civile contro l’entità coperta se le loro informazioni sanitarie personali sono state condivise senza il loro permesso, se questo causa loro un “danno grave”.
HITECH 2009 e la Breach Notification Rule
La storia dell’HIPAA ha preso piede nel 2009 con l’introduzione della Health Information Technology for Economic and Clinical Health Act (HITECH). HITECH aveva l’obiettivo principale di costringere le autorità sanitarie a mettere in atto l’uso delle cartelle cliniche elettroniche (EHR) e ha promulgato il programma di incentivi Meaningful Use. La fase uno del Meaningful Use è stata introdotta l’anno successivo, incentivando i gruppi sanitari a mantenere le informazioni sanitarie protette dei pazienti in formato elettronico, invece dei file cartacei.
Con il programma di incentivi è arrivata anche un’estensione delle regole HIPAA ai Business Associates e ai fornitori terzi del settore sanitario, e l’introduzione della Breach Notification Rule – che ha dichiarato che tutte le violazioni di ePHI che riguardano più di 500 individui devono essere rese note all’Ufficio per i diritti civili del Dipartimento della salute e dei servizi umani. I criteri per la notifica delle violazioni di ePHI sono stati poi estesi nella Final Omnibus Rule del marzo 2013.
La Final Omnibus Rule del 2013
L’ultimo atto legislativo nella storia dell’HIPAA fu la Final Omnibus Rule del 2013. La regola non ha realmente introdotto alcuna nuova legislazione, ma ha affrontato le lacune nei regolamenti HIPAA e HITECH esistenti – per esempio, specificando gli standard di crittografia che devono essere applicati per rendere l’ePHI inutilizzabile, indecifrabile e illeggibile in caso di violazione.
Molte definizioni sono state cambiate o estese per affrontare le aree grigie – per esempio la definizione di “forza lavoro” è stata cambiata per chiarire che il termine include dipendenti, volontari, tirocinanti e altre persone la cui condotta, nello svolgimento del lavoro per un’entità coperta o un associato commerciale, è sotto la gestione diretta dell’entità coperta o dell’associato commerciale.
Le regole sulla privacy e la sicurezza sono state anche cambiate per permettere che le informazioni sanitarie del paziente siano conservate a tempo indeterminato (la legislazione precedente aveva stabilito che fossero conservate per 50 anni), mentre nuove procedure sono state aggiunte alla Breach Notification Rule. Sono state anche applicate nuove sanzioni – come dettato da HITECH – alle aziende coperte che non rispettano la HIPAA Enforcement Rule.
Sono stati inclusi anche emendamenti per tenere conto dei cambiamenti nelle pratiche di lavoro portati dai progressi tecnologici, in particolare per quanto riguarda l’uso di dispositivi mobili. Un gran numero di operatori sanitari sta ora utilizzando i propri dispositivi mobili per visualizzare e condividere ePHI, e la Final Omnibus Rule ha incluso nuove procedure amministrative e politiche per tenerne conto, e per includere scenari che non avrebbero potuto essere previsti nel 1996. Il testo completo della Final Omnibus Rule può essere trovato qui.
Dopo un certo numero di ritardi, la scadenza per gli Stati Uniti di utilizzare la Clinical Modification ICD-10-CM per la codifica delle diagnosi e Procedure Coding System ICD-10-PCA per la codifica delle procedure ospedaliere per pazienti ricoverati è stata finalmente stabilita al 1 ottobre 2015. Tutte le attrezzature coperte da HIPAA devono usare ICD-10-CM. Un altro requisito è la versione EDI 5010.
Storia HIPAA Date significative
- Agosto 1996 – HIPAA promulgata dal presidente Bill Clinton.
- Aprile 2003 – Data di entrata in vigore della regola sulla privacy HIPAA.
- Aprile 2005 – Data di entrata in vigore della regola sulla sicurezza HIPAA.
- Marzo 2006 – Data di entrata in vigore della HIPAA Breach Enforcement Rule.
- Settembre 2009 – Data di entrata in vigore di HITECH e della Breach Notification Rule.
- Marzo 2013 – Data di entrata in vigore della Final Omnibus Rule.
Ad alcuni CE e BA è stato dato un periodo di tempo per aderire alle disposizioni di ogni regola. Per esempio, nonostante la data effettiva della Final Omnibus Rule sia marzo 2013, ai CE e ai BA sono stati dati 180 giorni per conformarsi.
Impatto della Final Omnibus Rule
Quello che la Final Omnibus Rule ha realizzato più di qualsiasi legislazione precedente è stato quello di rendere le entità coperte più consapevoli delle salvaguardie HIPAA che dovevano rispettare. Molte aziende sanitarie – che avevano violato l’HIPAA per quasi 20 anni – hanno implementato una serie di misure per conformarsi ai regolamenti, come l’uso della crittografia dei dati su dispositivi portatili e reti di computer, l’uso di soluzioni di messaggistica sicura per le comunicazioni interne con i team di assistenza, l’impostazione di filtri web e una maggiore attenzione nell’archiviare le e-mail in modo sicuro.
Le sanzioni finanziarie che ora vengono sanzionate per le violazioni dei dati insieme agli enormi costi di emissione delle notifiche di violazione, fornendo servizi di monitoraggio del credito e conducendo la mitigazione dei danni fa apparire gli investimenti in nuove tecnologie per salvaguardare i dati a buon mercato in confronto.
Il programma di audit di conformità HIPAA
Nel 2011, l’Ufficio per i diritti civili ha iniziato una serie di audit di conformità pilota per esaminare quanto bene i fornitori di assistenza sanitaria erano conformi alle regole di privacy e sicurezza HIPAA. La prima serie di audit si è conclusa nel 2012 e ha evidenziato lo scioccante stato di conformità dell’assistenza sanitaria.
I gruppi controllati hanno registrato molte violazioni della HIPAA Breach Notification Rule, Privacy Rule e Security Rule, con quest’ultima che ha portato alla maggior parte delle violazioni. L’OCR ha emesso dei piani d’azione per aiutare quelle organizzazioni a raggiungere la conformità; tuttavia, per la seconda fase di audit non ci si aspetta che sia così indulgente.
Si prevede che gli audit si concentrino su aree specifiche che si sono rivelate problematiche per così tanti fornitori di assistenza sanitaria, mentre un piano di audit permanente è in fase di pianificazione per garantire una conformità HIPAA continua. L’era degli standard di sicurezza lassisti è ormai passata e l’arena sanitaria, come il settore finanziario prima di essa, deve migliorare gli standard per garantire che i dati riservati rimangano privati.
Ogni entità coperta che non adatta i controlli necessari rischia sanzioni finanziarie, sanzioni, potenziale perdita della licenza e persino condanne penali per non aver protetto l’ePHI.
Come garantire la piena conformità HIPAA
La nostra “Lista di controllo della conformità HIPAA” copre le sfaccettature della legge sulla portabilità dell’assicurazione sanitaria e la responsabilità relativa all’archiviazione, trasmissione e smaltimento delle informazioni sanitarie protette elettroniche, le azioni che devono essere intraprese per affrontare una violazione e le politiche e le procedure che devono essere utilizzate per raggiungere la piena conformità.
Le norme HIPAA possono essere severe, ma agli enti coperti è consentita una certa flessibilità sulle misure di privacy e sicurezza utilizzate per proteggere i dati. La crittografia dei dati, per esempio, deve essere affrontata, ma non necessariamente implementata se altri controlli permettono la protezione richiesta.
Si può fare in modo che la privacy e la sicurezza dei dati siano protette.