L'Health Insurance Portability and Accountability Act (HIPAA) è stato approvato per impedire che le informazioni sanitarie di una persona siano accessibili al pubblico. Di conseguenza, l'HIPAA impone che alcune entità coperte utilizzino processi adeguati per salvaguardare le informazioni sui pazienti. Se sei un operatore sanitario coperto da HIPAA, dovrai assicurarti che la tua e-mail sia conforme a HIPAA. Sfortunatamente, non esiste un modo semplice per farlo da solo. Invece, dovrai assumere un fornitore di servizi di posta elettronica conforme a HIPAA.
Passi
Parte 1 di 2: Apprendimento dei requisiti HIPAA
Passaggio 1. Comprendi le multe
HIPAA include sia una regola sulla privacy che una regola di sicurezza. La Privacy Rule protegge le informazioni identificabili dei pazienti e la Security Rule stabilisce gli standard nazionali per la sicurezza delle informazioni protette in formato elettronico. Queste regole hanno i denti: una violazione comporta una sanzione massima di $ 1,5 milioni per violazione.
Passaggio 2. Leggi la regola di sicurezza
Il governo federale richiede che la comunicazione elettronica delle informazioni sanitarie soddisfi determinati requisiti di sicurezza e privacy. Questi requisiti sono complessi. Per rendere un'e-mail conforme allo standard HIPAA, è necessario assicurarsi di utilizzare misure di sicurezza sufficienti per garantire l'integrità, la sicurezza e la riservatezza delle informazioni elettroniche.
- È possibile leggere la Regola di sicurezza visitando il sito Web dei servizi sanitari e umani all'indirizzo https://www.hhs.gov/ocr/privacy/hipaa/administrative/securityrule/. I link sono forniti al relativo testo di legge.
- Puoi anche leggere il testo normativo. Questo documento conterrà tutti i regolamenti che sono stati emanati per attuare lo statuto HIPAA.
- Queste informazioni sono altamente tecniche e difficili da capire per un non esperto. Dovresti incontrare un avvocato sanitario per discutere le tue esigenze in merito alla sicurezza della posta elettronica.
Passaggio 3. Incontra un avvocato
Un avvocato esperto in assistenza sanitaria dovrebbe essere in grado di aiutarti a comprendere i requisiti legali e anche a trovare modi per rendere conforme il tuo sistema di posta elettronica. Ti consigliamo di incontrare un avvocato specializzato in diritto sanitario in particolare.
Per trovare un avvocato sanitario, visita l'ordine degli avvocati del tuo stato. Dovrebbe avere collegamenti a programmi di riferimento (o ospitare un programma di riferimento stesso). Una volta sul sito, ti verrà fornito un numero di telefono da chiamare o una directory che puoi cercare
Parte 2 di 2: Garantire che la tua e-mail sia conforme a HIPAA
Passaggio 1. Ricerca fornitori di servizi di posta elettronica conformi HIPAA
I requisiti tecnici sono così complicati che, a meno che tu non sia un esperto di sistemi informativi, dovrai assumere un fornitore di servizi di posta elettronica conforme HIPAA per fornire il tuo sistema di posta elettronica. I servizi di posta elettronica gratuiti basati sul Web come Yahoo e Gmail non sono sistemi di posta elettronica sufficienti. In realtà, non forniscono alcuna sicurezza. Per trovare un fornitore di servizi conforme, puoi procedere come segue:
- Parla con il tuo avvocato sanitario. Lui o lei dovrebbe avere familiarità con i fornitori di servizi di posta elettronica conformi HIPAA.
- Cerca in Internet. Diverse aziende pubblicizzano i propri servizi su Internet. Cerca "e-mail compatibile con hipaa".
Passaggio 2. Contattare i fornitori di servizi di posta elettronica conformi HIPAA
Una volta che hai i nomi dei fornitori di servizi di posta elettronica, dovresti guardare i siti Web delle aziende e vedere se hanno un aspetto professionale. Quindi chiama un'azienda e chiedi se può darti dei referral. Dovresti anche chiedere informazioni sui servizi che forniscono. Un provider di servizi di posta elettronica conforme a HIPAA dovrebbe:
- Limitare l'accesso alle informazioni elettroniche. Il fornitore di servizi di posta elettronica dovrebbe mantenere i propri server in un luogo sicuro, accessibile solo da personale autorizzato.
- Controlla chi accede alle informazioni. Il fornitore di servizi dovrebbe essere in grado di tenere traccia di chi accede alle informazioni nel sistema. Un registro di sicurezza adeguato dovrebbe tenere traccia dell'utente che ha avuto accesso alle informazioni, il giorno e l'ora in cui è stato effettuato l'accesso e a chi sono state inviate le informazioni.
- Trasmissioni sicure di posta elettronica. Un fornitore di servizi dovrebbe anche proteggere adeguatamente tutte le trasmissioni di posta elettronica utilizzando la crittografia e altre tecniche.
Passaggio 3. Ottieni il consenso del paziente
Indipendentemente dal fornitore di servizi che utilizzi, devi sempre ottenere il consenso del paziente per la trasmissione elettronica delle informazioni sanitarie. A volte un paziente ti invierà informazioni via e-mail, ma non dovresti presumere che ciò significhi che il paziente acconsente a ricevere informazioni in formato elettronico.
Invece, dovresti chiedere ai pazienti di firmare un foglio di contatto. In questo modulo, il paziente ti dirà come preferisce essere contattato. Dovresti chiedere ai pazienti attuali di firmarne uno e assicurarti che tutti i nuovi pazienti ne firmino uno alla loro prima visita
Passaggio 4. Utilizzare la crittografia
Secondo Health and Human Services, la crittografia non è obbligatoria a meno che, dopo una valutazione dei rischi, non si ritenga una protezione adeguata. In pratica, tuttavia, ciò significa che sarà quasi sempre necessario crittografare le e-mail e gli allegati.
- La crittografia è una tecnica che converte il testo originale in testo codificato. È un modo per proteggere le informazioni nel caso vengano intercettate da terzi.
- Il tuo fornitore di servizi di posta elettronica conforme HIPAA dovrebbe spiegarti le sue tecniche per crittografare le comunicazioni.
Passaggio 5. Conserva i record
HIPAA richiede di conservare le e-mail per un massimo di sei anni. Questa è chiamata la "Regola di conservazione di sei anni". Il tuo provider di servizi di posta elettronica dovrebbe essere in grado di garantire che manterrà le e-mail per questo periodo di tempo.
Passaggio 6. Non utilizzare la posta elettronica, se necessario
Potresti scoprire che i costi di conformità per l'invio legale di informazioni sulla salute del paziente sono oltre il tuo budget. In tal caso, hai sempre la possibilità di non inviare queste informazioni elettronicamente.
