Quando è stato istituito l’HIPAA?
La nostra lezione di storia HIPAA inizia il 21 agosto 1996, quando l’Healthcare Insurance Portability and Accountability Act (HIPAA) è stato firmato in legge, ma perché la legge HIPAA è stata creata? HIPAA è stato creato per “migliorare la portabilità e la responsabilità della copertura assicurativa sanitaria” per i dipendenti tra un lavoro e l’altro. Altri obiettivi della legge erano di combattere gli sprechi, le frodi e gli abusi nell’assicurazione sanitaria e nella fornitura di assistenza sanitaria. La legge conteneva anche passaggi per promuovere l’uso di conti di risparmio medico introducendo agevolazioni fiscali, fornisce copertura per i dipendenti con condizioni mediche preesistenti e semplifica l’amministrazione dell’assicurazione sanitaria.
Le procedure per semplificare l’amministrazione dell’assicurazione sanitaria divennero un veicolo per incoraggiare l’industria sanitaria a informatizzare le cartelle cliniche dei pazienti. Questa particolare parte della legge ha generato l’Health Information Technology for Economic and Clinical Health Act (HITECH) nel 2009, che a sua volta ha portato all’introduzione del programma di incentivi Meaningful Use – descritto dai leader del settore sanitario come “il pezzo più importante della legislazione sanitaria approvata negli ultimi 20-30 anni”.
Le regole sulla privacy e la sicurezza dell’HIPAA prendono forma
Una volta che l’HIPAA è stato firmato in legge, il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti ha iniziato a creare le prime regole sulla privacy e la sicurezza dell’HIPAA. La Regola della Privacy aveva una data di entrata in vigore il 14 aprile 2003, e definiva le Informazioni Sanitarie Protette (PHI) come “qualsiasi informazione tenuta da un’entità coperta che riguarda lo stato di salute, la fornitura di assistenza sanitaria, o il pagamento dell’assistenza sanitaria che può essere collegata a un individuo”.
Sono state date istruzioni su come le PHI dovrebbero essere divulgate e che il permesso dovrebbe essere richiesto ai pazienti prima di usare le loro informazioni personali per il marketing, la raccolta di fondi o la ricerca. Ha anche dato ai pazienti il diritto di trattenere le informazioni sulla loro salute dai fornitori di assicurazione sanitaria quando il loro trattamento è finanziato privatamente.
La HIPAA Security Rule è entrata in vigore due anni dopo la legislazione originale il 21 aprile 2005. Trattando specificamente con PHI memorizzate elettronicamente (ePHI), la Security Rule ha stabilito tre salvaguardie di sicurezza – amministrativa, fisica e tecnica – che devono essere rispettate in pieno per essere conformi alla HIPAA. Le salvaguardie avevano i seguenti obiettivi:
- Amministrative – per creare politiche e procedure progettate per mostrare chiaramente come l’entità sarà conforme alla legge.
- Fisico – per controllare l’accesso fisico alle aree di archiviazione dei dati per proteggere da accessi inappropriati
- Tecnico – per proteggere le comunicazioni contenenti PHI quando trasmesse elettronicamente su reti aperte
Quando è entrata in vigore la HIPAA?
In che anno è stata firmata la legge HIPAA? L’HIPAA è stato firmato in legge il 21 agosto 1996, ma ci sono state importanti aggiunte all’HIPAA negli ultimi 20 anni: L’introduzione della Privacy Rule, Security Rule, Breach Notification Rule, e l’Omnibus Final Rule.
Le date di entrata in vigore più importanti sono: 14 aprile 2003 per la HIPAA Privacy Rule, anche se c’è stata una proroga di un anno per i piccoli piani sanitari, che dovevano conformarsi alle disposizioni della HIPAA Privacy Rule entro il 14 aprile 2004.
La data di conformità effettiva per la HIPAA Security Rule era il 21 aprile 2005. Come nel caso della HIPAA Privacy Rule, ai piccoli piani sanitari è stato dato un anno supplementare per conformarsi alle disposizioni della HIPAA Security Rule e hanno avuto una data effettiva di conformità del 21 aprile 2006.
La HIPAA Breach Notification Rule è entrata in vigore il 23 settembre 2009 e la Omnibus Final Rule è entrata in vigore il 26 marzo 2013.
L’introduzione della Enforcement Rule
Il fallimento di molte entità coperte di rispettare pienamente le regole di privacy e sicurezza HIPAA ha portato all’introduzione della Enforcement Rule nel marzo 2006. L’Enforcement Rule ha dato al Department of Health and Human Services il potere di indagare sui reclami contro le entità coperte per non aver rispettato la Privacy Rule, e di multare le entità coperte per violazioni evitabili di ePHI dovute alla mancata osservanza delle salvaguardie stabilite dalla Security Rule.
Al Department’s Office for Civil Rights è stato dato anche il potere di portare accuse penali contro i trasgressori persistenti che non riescono a introdurre misure correttive entro 30 giorni. Gli individui hanno anche il diritto di perseguire un’azione legale civile contro l’entità coperta se le loro informazioni sanitarie personali sono state divulgate senza il loro permesso, se questo causa loro un “danno grave”.
HITECH 2009 e la Breach Notification Rule
La storia dell’HIPAA è continuata nel 2009 con l’introduzione della Health Information Technology for Economic and Clinical Health Act (HITECH). HITECH aveva l’obiettivo primario di costringere le autorità sanitarie a implementare l’uso delle cartelle cliniche elettroniche (EHR) e ha introdotto il programma di incentivi Meaningful Use. La fase uno del Meaningful Use è stata lanciata l’anno successivo, incentivando le organizzazioni sanitarie a mantenere le informazioni sanitarie protette dei pazienti in formato elettronico, piuttosto che in file cartacei.
Con il programma di incentivi è arrivata anche un’estensione delle regole HIPAA ai Business Associates e ai fornitori terzi del settore sanitario, e l’introduzione della Breach Notification Rule – che ha stabilito che tutte le violazioni di ePHI che colpiscono più di 500 individui devono essere segnalate al Department of Health and Human Services’ Office for Civil Rights. I criteri per la segnalazione di violazioni di ePHI sono stati successivamente estesi nella Final Omnibus Rule del marzo 2013.
La Final Omnibus Rule del 2013
L’atto legislativo più recente nella storia dell’HIPAA è stata la Final Omnibus Rule del 2013. La regola non ha introdotto alcuna nuova legislazione, ma ha colmato le lacune nei regolamenti HIPAA e HITECH esistenti – per esempio, specificando gli standard di crittografia che devono essere applicati per rendere le informazioni elettroniche inutilizzabili, indecifrabili e illeggibili in caso di violazione.
Molte definizioni sono state modificate o aggiunte per chiarire le aree grigie – per esempio la definizione di “forza lavoro” è stata cambiata per chiarire che il termine include dipendenti, volontari, tirocinanti e altre persone la cui condotta, nello svolgimento del lavoro per un’entità coperta o un associato commerciale, è sotto il controllo diretto dell’entità coperta o dell’associato commerciale.
Le regole sulla privacy e la sicurezza sono state anche modificate per permettere che le informazioni sanitarie dei pazienti siano conservate a tempo indeterminato (la legislazione precedente aveva stabilito che fossero conservate per cinquant’anni), mentre nuove procedure sono state scritte nella Breach Notification Rule. Sono state anche applicate nuove sanzioni – come dettato da HITECH – alle entità coperte che non rispettano la HIPAA Enforcement Rule.
Sono stati inclusi anche emendamenti per tenere conto dei cambiamenti nelle pratiche di lavoro portati dai progressi tecnologici, che riguardano in particolare l’uso di dispositivi mobili. Un numero significativo di operatori sanitari sta ora utilizzando i propri dispositivi mobili per accedere e comunicare ePHI, e la Final Omnibus Rule ha incluso nuove procedure amministrative e politiche per tenerne conto, e per coprire scenari che non potevano essere previsti nel 1996. Il testo completo della Final Omnibus Rule può essere trovato qui.
Dopo molteplici ritardi, la scadenza per gli Stati Uniti di utilizzare la modifica clinica ICD-10-CM per la codifica delle diagnosi e il Procedure Coding System ICD-10-PCA per la codifica delle procedure ospedaliere per pazienti ricoverati è stata finalmente fissata al 1 ottobre 2015. Tutte le entità coperte da HIPAA devono usare ICD-10-CM. Un altro requisito è la versione EDI 5010.
Date chiave nella storia dell’HIPAA
- Agosto 1996 – HIPAA firmato in legge dal presidente Bill Clinton.
- Aprile 2003 – Data di entrata in vigore della regola sulla privacy HIPAA.
- Aprile 2005 – Data di entrata in vigore della regola sulla sicurezza HIPAA.
- Marzo 2006 – Data di entrata in vigore della HIPAA Breach Enforcement Rule.
- Settembre 2009 – Data di entrata in vigore di HITECH e della Breach Notification Rule.
- Marzo 2013 – Data di entrata in vigore della Final Omnibus Rule.
In alcune circostanze, agli EC e agli BA è stato concesso un periodo di tempo per conformarsi alle disposizioni di ciascuna regola. Per esempio, anche se la data effettiva della Final Omnibus Rule era marzo 2013, ai CE e ai BA sono stati concessi 180 giorni per conformarsi. Altre date chiave nella storia dell’HIPAA possono essere trovate nella nostra infografica qui sotto.
Conseguenze della Final Omnibus Rule
Quello che la Final Omnibus Rule ha raggiunto più di qualsiasi altra legislazione precedente è stato quello di rendere le entità coperte più consapevoli delle salvaguardie HIPAA che dovevano rispettare. Molte organizzazioni sanitarie – che avevano violato l’HIPAA per quasi due decenni – hanno implementato una serie di misure per conformarsi ai regolamenti, come l’uso della crittografia dei dati su dispositivi portatili e reti di computer, l’implementazione di soluzioni di messaggistica sicura per le comunicazioni interne con i team di cura, l’installazione di filtri web e una maggiore cura nell’archiviare le e-mail in modo sicuro.
Le sanzioni finanziarie che vengono ora emesse per le violazioni dei dati insieme ai costi colossali di emettere notifiche di violazione, fornire servizi di monitoraggio del credito e condurre la riduzione dei danni fa apparire gli investimenti in nuove tecnologie per proteggere i dati a buon mercato in confronto.
Il programma di audit di conformità HIPAA
Nel 2011, l’Ufficio per i diritti civili ha iniziato una serie di audit pilota di conformità per valutare quanto bene i fornitori di assistenza sanitaria stavano implementando le regole di privacy e sicurezza HIPAA. La prima serie di audit è stata completata nel 2012 e ha evidenziato il terribile stato di conformità dell’assistenza sanitaria.
Le organizzazioni sottoposte ad audit hanno registrato numerose violazioni della HIPAA Breach Notification Rule, della Privacy Rule e della Security Rule, con quest’ultima che ha causato il maggior numero di violazioni. L’OCR ha emesso dei piani d’azione per aiutare quelle organizzazioni a raggiungere la conformità; tuttavia, per la seconda tornata di controlli non ci si aspetta che sia così indulgente.
Si prevede che i controlli prendano di mira le aree specifiche che si sono rivelate problematiche per così tanti fornitori di assistenza sanitaria, mentre un piano di controllo permanente è in fase di pianificazione per garantire la continua conformità HIPAA. L’era degli standard di sicurezza lassisti è ormai passata e l’industria sanitaria, come l’industria finanziaria prima di essa, deve aumentare gli standard per garantire che i dati riservati rimangano privati.
Ogni entità coperta che non implementa i controlli richiesti rischia sanzioni finanziarie, sanzioni, potenziale perdita di licenza e persino procedimenti penali per non aver protetto l’ePHI.
Come raggiungere la piena conformità all’HIPAA
La nostra “Lista di controllo per la conformità all’HIPAA” copre gli elementi dell’Health Insurance Portability and Accountability Act relativi alla conservazione, trasmissione e smaltimento delle informazioni sanitarie protette elettroniche, le azioni che le organizzazioni devono intraprendere in risposta a una violazione e le politiche e procedure che devono essere adottate per raggiungere la piena conformità.
I regolamenti HIPAA possono essere rigorosi, ma alle organizzazioni coperte è consentita una certa flessibilità sulla privacy e sulle misure di sicurezza utilizzate per proteggere i dati. La crittografia dei dati, per esempio, deve essere affrontata ma non necessariamente implementata se altri controlli forniscono la protezione necessaria.
Alcune delle principali salvaguardie tecniche utilizzate per proteggere e controllare l’ePHI aiutano effettivamente a semplificare la comunicazione e il flusso di informazioni, e le organizzazioni che hanno adottato canali di comunicazione sicuri e implementato controlli sui dati hanno beneficiato di una migliore efficienza, tempi di risposta più rapidi e hanno migliorato i risultati dei pazienti, pur garantendo che i dati sanitari dei pazienti rimangano completamente protetti in ogni momento.
Salvaguardie tecniche per proteggere l’ePHI e gli identificatori personali
Crittografia dei dati
L’uso di computer portatili e altri dispositivi mobili per memorizzare o accedere all’ePHI porta inevitabilmente a una violazione HIPAA se questi dispositivi vengono persi, rubati o riciclati impropriamente. La protezione con password dei dispositivi – e dei dati che contengono – è un passo ragionevole per prevenire l’accesso non autorizzato, ma da sola non è sufficiente a fornire la protezione necessaria per i dati sanitari. Le password possono essere facilmente decifrate dagli hacker e non forniscono un livello di sicurezza sufficientemente alto.
La crittografia dei dati comporta la conversione dei dati in simboli indecifrabili – chiamati testo cifrato – tramite algoritmi complessi, che richiedono una chiave di sicurezza per riconvertire i dati nella loro forma originale. La crittografia dei dati assicura la privacy, ma può offrire altri vantaggi per la sicurezza come la verifica degli utenti, la registrazione degli accessi, la prevenzione delle modifiche ai record e il non ripudio dell’accesso e/o del furto.
Il livello di sicurezza può essere regolato in modo appropriato in base alla sensibilità dei dati che viene utilizzato per proteggere. I dati possono essere crittografati con un unico accesso alla chiave di sicurezza o con chiavi separate per la crittografia e la decrittografia (crittografia simmetrica e asimmetrica dei dati).
Se un dispositivo mobile viene perso o rubato o se le reti di computer vengono violate, anche se questo sarà considerato una violazione della sicurezza, non sarebbe una violazione HIPAA a meno che la chiave di accesso non sia anche divulgata.
Secure Messaging
Il settore sanitario e il cercapersone sembrano quasi inseparabili, ma questo sta per cambiare. L’attenzione sulla conformità HIPAA si concentra attualmente su smartphone e tecnologia indossabile, ma il cercapersone non è conforme all’HIPAA. Tutti i dispositivi mobili trasmettono dati su reti non protette e quindi fanno affidamento sul fatto che gli utenti non inviino ePHI.
Gli schemiBYOD sono stati introdotti da molti fornitori di assistenza sanitaria, anche se i moderni dispositivi mobili hanno un potenziale ancora maggiore di causare violazioni HIPAA a causa della facilità con cui gli identificatori personali e l’ePHI possono essere inviati. Politiche e procedure possono essere messe in atto per controllare come questi dispositivi vengono utilizzati, anche se le indagini suggeriscono che in pratica molti professionisti medici stanno ancora utilizzando i dispositivi per comunicare ePHI.
Le soluzioni di messaggistica sicura impediscono questo. Funzionano mantenendo le informazioni elettroniche su un database sicuro e poi permettendo ai professionisti medici autorizzati di accedere ai dati tramite applicazioni di messaggistica sicura scaricabili. Le comunicazioni sono incanalate attraverso una piattaforma di messaggistica sicura che ha controlli amministrativi in atto per monitorare l’attività del personale autorizzato. Hanno anche dei responsabili della conformità per produrre valutazioni del rischio, come richiesto dall’HIPAA e dai revisori dell’Office for Civil Rights.
Molte organizzazioni sanitarie hanno riferito che l’implementazione di soluzioni di messaggistica sicura ha aumentato la produttività semplificando le comunicazioni, aumentando la responsabilità dei messaggi e accelerando i tempi di risposta. Secondo gli studi condotti nelle strutture mediche conformi all’HIPAA, anche l’efficienza è aumentata, con il risultato di uno standard più elevato di assistenza sanitaria fornita ai pazienti.
Compliant Cloud Storage
Il passaggio dalle cartelle cliniche fisiche ai formati di dati elettronici ha richiesto notevoli investimenti nelle infrastrutture IT. Le richieste poste alle organizzazioni sanitarie per aggiornare continuamente i server e le reti, e impiegare il personale per gestire i centri dati, possono essere considerevoli. Oltre all’hardware, è necessario dedicare spazio all’immagazzinamento dell’attrezzatura e utilizzare controlli fisici per controllare l’accesso.
L’attrezzatura informatica ora richiesta per gestire grandi reti e immagazzinare dati sanitari richiede l’installazione di sistemi di raffreddamento per dissipare il calore generato dall’attrezzatura. La soluzione più conveniente per molti fornitori di assistenza sanitaria è quella di esternalizzare l’archiviazione dei dati e sfruttare il cloud per memorizzare i dati. Il cloud hosting conforme all’HIPAA impiega i controlli appropriati per proteggere tutti i dati memorizzati con la crittografia. Esternalizzando, le organizzazioni sanitarie possono conformarsi alle normative HIPAA senza dover investire così pesantemente nell’infrastruttura IT.
Piattaforme mobili conformi (sviluppo di applicazioni)
Le applicazioni sanitarie mobili sono popolari tra i pazienti per il monitoraggio e il controllo della salute e del fitness, e i dispositivi indossabili hanno il potenziale per rivoluzionare l’assistenza sanitaria a domicilio. Possono essere utilizzati in combinazione con le visite elettroniche per fornire servizi di assistenza domiciliare ai pazienti ad una frazione delle visite al centro sanitario.
I portali per i pazienti hanno analogamente un grande potenziale e migliorano l’interazione tra fornitori di assistenza e pazienti, e riducono i costi inutili aiutando a migliorare i risultati dei pazienti. Lo sviluppo di strutture di applicazioni mobili conformi all’HIPAA, archiviazione conforme e soluzioni web conformi all’HIPAA significa che i fornitori di assistenza sanitaria possono sfruttare i vantaggi della nuova tecnologia senza mettere a repentaglio la privacy e la sicurezza dei dati dei pazienti.
Maggiori garanzie tecniche per proteggere l’ePHI e gli identificatori personali sono senza dubbio in fase di pianificazione ora e avranno un impatto sulla storia dell’HIPAA in futuro. Nel frattempo, ecco una breve cronologia della storia dell’HIPAA.