L'HIPAA è una normativa lunga e complessa. Tutto ciò che possiamo fare è fornire informazioni di alto livello. La presente lista di controllo vuole essere un semplice punto di partenza per aiutarvi a gestire la conformità all'HIPAA. Se avete bisogno di andare più a fondo, dovete rivolgervi a un professionista legale.
Inoltre, tenete presente che l'HIPAA non riguarda solo la privacy. La legge comprende norme sulla sicurezza, sulla portabilità, sugli standard tecnici per le cartelle cliniche elettroniche e altro ancora. Da sola, la conformità alla Privacy Rule non garantisce la conformità all'HIPAA nel suo complesso. Non dimenticatevi di tutto il resto!
- L'HIPAA si applica a me?
- Quali informazioni sono coperte dall'HIPAA?
- Sono un'entità coperta; e adesso?
- Sono un socio d'affari/subappaltatore; e ora?
- Riflessioni finali
L'HIPAA si applica a me?
Prima di tutto, è necessario capire se l'HIPAA si applica alla vostra organizzazione. Ciò significa che dovete capire se siete un'entità coperta, un'azienda associata o un subappaltatore.
Se non siete nessuno di questi soggetti, non dovete assolutamente preoccuparvi dell'HIPAA. Tuttavia, è possibile che si applichino altre norme sui dati sanitari (ad esempio, le norme del CCPA sui dati sensibili).
La mia organizzazione o il mio cliente è un'entità coperta dall'HIPAA?
Le entità coperte (CE) appartengono a tre categorie:
- fornitori di servizi sanitari. Si tratta di individui, gruppi o organizzazioni che forniscono servizi, cure, attrezzature o forniture mediche nell'ambito della loro attività abituale.
- I piani sanitari sono piani individuali o di gruppo che forniscono o pagano l'assistenza medica.
- I centri di compensazione sanitaria sono definiti in modo molto complicato, ma in termini pratici si tratta solitamente di intermediari come fornitori di pagamenti e reti a valore aggiunto.
Si noti che queste definizioni legali sono accompagnate da molte eccezioni. È impossibile riassumerle tutte, quindi assicuratevi di controllare il § 160.103 nel testo consolidato della legge.
La mia organizzazione è un business associate o un subappaltatore?
Anche leaziende associate (BA) hanno obblighi ai sensi delle norme HIPAA e sulla privacy. Un BA è colui che fornisce a un'entità coperta determinati servizi e riceve informazioni sanitarie protette (PHI) dall'entità coperta.
I servizi forniti dai BA comprendono l'analisi, l'elaborazione e l'amministrazione dei dati. La definizione legale copre quindi molti intermediari che offrono servizi della società dell'informazione, come il web hosting e la web analytics. La parte più difficile per determinare se siete un BA è valutare se il vostro cliente è un'entità coperta dall'HIPAA (vedere la sezione precedente).
Si noti che lavorare per un'entità coperta e accedere ai dati personali sono requisiti cumulativi. Se non ricevete PHI, non siete un BA, indipendentemente dalla persona con cui lavorate. Allo stesso modo, se elaborate informazioni sanitarie ma non siete un'entità coperta e non lavorate con un'entità coperta, non dovete preoccuparvi dell'HIPAA (ma potrebbero applicarsi altre leggi, come il CCPA).
L'HIPAA copre anche i subappaltatori che aiutano i BA a fornire il loro servizio. Si può pensare a un subappaltatore come a un business associate di un business associate.
Quali informazioni sono coperte dall'HIPAA?
Se vi qualificate come entità certificata/associazione d'imprese/subappaltatore, avete determinati obblighi ai sensi dell'HIPAA. Ma questo non significa che tali obblighi coprano tutti i dati che trattate! Il passo successivo consiste quindi nel capire cosa è PHI e cosa non lo è tra le informazioni trattate.
Tre criteri cumulativi definiscono le informazioni sanitarie protette:
- a. sono raccolte da un'entità coperta
- b. riguardano la salute
- c. sono personalmente identificabili
Se manca uno di questi requisiti, non state trattando le informazioni sanitarie protette.
Supponiamo che un ospedale offra ai medici professionisti un seminario su un trattamento nuovo e innovativo e pubblicizzi il seminario attraverso il suo sito web. Il sito web utilizza Google Analytics per la pagina del seminario. Questo comporta la divulgazione di dati personali?
Vediamo di capire meglio:
- un ospedale è un fornitore di servizi sanitari, quindi il requisito a è soddisfatto_.
- Google Analytics raccoglie dati che si qualificano come informazioni di identificazione personale ai sensi dell'HIPAA (ID dei cookie ed eventualmente IP, a seconda delle impostazioni e della versione del software). Il requisito c è soddisfatto
- il fatto che qualcuno voglia partecipare a un seminario sul tema non significa che sia affetto dalla malattia. Infatti, il seminario è rivolto a professionisti del settore medico che probabilmente sono professionalmente interessati all'argomento. Il requisito b non è soddisfatto
In questo caso, non viene divulgata alcuna PHI. Ma la risposta potrebbe essere diversa se la pagina fornisse informazioni al pubblico in generale invece di promuovere un seminario.
In conclusione, capire quali informazioni sono o non sono PHI non è facile! È necessario tenere a mente tutti e tre i requisiti previsti dall'HIPAA.
Ma è anche molto importante! Cercare di essere conformi all'HIPAA per tutti i dati che trattate sarà incredibilmente oneroso per la vostra organizzazione. Per questo motivo è fondamentale determinare quali dati rientrano nell'HIPAA e quali no.
Ricordate che se siete un BA, tutte le informazioni che non ricevete da un CE non possono, per definizione, essere PHI. D'altra parte, il fatto di ricevere informazioni da un CE non significa di per sé che si tratti di PHI. Anche in questo caso, è necessario esaminare ogni categoria di dati in base alla definizione di PHI dell'HIPAA.
Per quanto riguarda le analisi web, il sito web dell'HHS fornisce informazioni utili sulla divulgazione di PHI. Se non siete ancora sicuri al 100% di cosa siano le PHI e di cosa non lo siano, rivolgetevi a un consulente legale: la risposta è davvero importante per la conformità!
Sono un'entità coperta; e adesso?
Se siete un'entità coperta, dovete rispettare le regole specifiche sulla divulgazione dei dati personali.
Alcune divulgazioni sono sempre consentite perché sono necessarie per curare il paziente o per garantire il funzionamento del sistema sanitario nel suo complesso. Ad esempio, è possibile divulgare la cartella clinica elettronica di un paziente al suo nuovo ospedale o inoltrare le fatture mediche alla sua assicurazione sanitaria.
Qualsiasi altra divulgazione richiede l'autorizzazione scritta del paziente. Questo è molto importante, perché le divulgazioni non autorizzate sono punibili ai sensi dell'HIPAA!
L'HIPAA contiene regole dettagliate su ciò che costituisce un'autorizzazione scritta. Come regola generale, il paziente deve essere davvero libero di rifiutare l'autorizzazione. Non è consentito negare i servizi sanitari a un paziente per estorcere l'autorizzazione!
A proposito, l'HHS ha chiarito che fare clic su "ok" sui banner dei cookie e su pop-up simili non vale come autorizzazione scritta. Se utilizzate un servizio online come un servizio di analisi web, non potrete fare affidamento sui pop-up per raccogliere il consenso.
Inoltre, se lavorate con un BA, avete bisogno di un accordo di associazione d'impresa (BAA). Un BAA è un contratto che indica a un BA cosa può o non può fare con i dati personali. Un BAA contiene clausole standard dettagliate dal Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (per saperne di più su queste clausole, cliccate qui).
Sono un socio d'affari/subappaltatore; e ora?
Se siete un BA o un subappaltatore, dovete avere un accordo di business associate con il vostro business associate/ente coperto.
I BAA impongono ai BA e ai subappaltatori standard di privacy e sicurezza simili a quelli delle entità coperte. Per questo motivo, non basta firmare un documento cartaceo, ma è necessario esaminarne dettagliatamente il contenuto e assicurarsi di poterne rispettare tutti i requisiti. Ciò include la possibilità di rispondere alle richieste di informazioni da parte dei pazienti e di rendere disponibile una determinata documentazione.
Se firmate un BAA, siete responsabili di qualsiasi violazione dell'accordo. Non dovreste offrire di firmare un BAA se non siete davvero sicuri che la vostra organizzazione sia in grado di elaborare le informazioni in conformità con l'HIPAA. Questo è il motivo per cui molti servizi, compresi quelli di grandi dimensioni come Google Analytics, non sono disponibili a firmare un BAA! In caso di dubbi, è necessario consultare un professionista legale per evitare qualsiasi responsabilità ai sensi dell'HIPAA.
Per i fornitori di servizi sono disponibili diverse certificazioni di conformità HIPAA, che possono essere un vantaggio quando si negoziano i contratti con le entità coperte. Ma sappiate che nessuna certificazione è legalmente riconosciuta. L'utilità di una certificazione dipende interamente dal suo riconoscimento nel settore. Prima di spendere soldi per una certificazione, è necessario fare delle ricerche e consultare un professionista legale.
Infine, vale la pena notare che i BA e i subappaltatori di solito non hanno un rapporto diretto con i pazienti. Ciò significa che non sarà possibile fare affidamento sulle autorizzazioni dei pazienti per le divulgazioni.
Riflessioni finali
La conformità inizia sempre ponendosi le domande giuste, e la conformità alla normativa HIPAA sulla privacy non è diversa. Ecco alcune fasi utili da seguire:
- valutare se siete un'entità coperta, un'azienda associata, un subappaltatore o nessuna di queste categorie
- capire quali dati rientrano nell'HIPAA e quali no
- assicurarsi di essere conformi alla Privacy Rule e alle regole sulla limitazione della divulgazione
- valutare se sono stati stipulati tutti gli accordi di collaborazione commerciale necessari (e assicurarsi di poterli rispettare).
- (facoltativo) Considerare la certificazione HIPAA da parte di un ente affidabile.
- non dimenticate tutte le altre regole dell'HIPAA!
- non dimenticate le altre leggi sui dati sanitari! (CCPA, My Health My Data, ecc.)
Ancora una volta, l'HIPAA è una normativa lunga e complessa. Questo blog contiene solo informazioni di alto livello e non sostituisce il parere di un professionista qualificato.
In fin dei conti, la conformità non è semplice. Vale quindi la pena chiedersi: ho davvero bisogno di divulgare questi dati? Forse esistono alternative completamente anonimizzate e rispettose della privacy che possono risparmiarvi molti grattacapi di conformità.
Simple Analytics può essere una soluzione di questo tipo per la vostra analisi web. Non tracciamo i visitatori né raccogliamo dati sensibili. Utilizziamo solo gli indirizzi IP per la comunicazione; anche questa divulgazione minima può essere evitata tramite il proxy dell'indirizzo.
Simple Analytics può essere facilmente implementato in conformità alla normativa HIPAA e non richiede BAA. Se vi sembra una buona idea, non esitate a provarci!