Nei nostri post precedenti, abbiamo discusso la storia di HIPAA, l’Health Insurance Portability and Accessibility Act. Come abbiamo detto prima, l’HIPAA è un insieme di leggi che è suddiviso in cinque “titoli”, ognuno dei quali copre un argomento diverso. Di questi, il Titolo II è quello che più probabilmente vi sarà familiare, in quanto copre la privacy. Ma scavando nel titolo II dell’HIPAA si scopre che si tratta di molto di più della sola privacy e in effetti si potrebbe sostenere che è il più ampio di tutti i titoli.
Suddivisione del titolo II dell’HIPAA
Nel titolo II dell’HIPAA si trovano cinque regole:
- Privacy Rule
- Transactions and Code Sets Rule
- Security Rule
- Unique Identifiers Rule
- Enforcement Rule
Ognuna di queste è poi ulteriormente suddivisa per coprire le sue varie parti. Per lo scopo di questo post, ci concentreremo sulle sezioni meno conosciute del Titolo II, ma raccontare l’intera storia richiede che si parli anche di privacy.
È utile pensare al Titolo II come se la prima sezione fosse l’obiettivo generale – prevenire le frodi e gli abusi nel settore sanitario. Se si fa un passo indietro e si guarda l’intero Titolo II, ogni parte cade in linea con la prevenzione delle frodi, e i pezzi che potrebbero sembrare disparati vengono riportati nel contesto.
Regola sulla privacy
La maggior parte della Regola sulla privacy copre le informazioni sanitarie protette (PHI). Nella maggior parte dei casi, è chiaro cosa può e non può essere condiviso, e con chi. Una conseguenza involontaria della Privacy Rule è che alcune strutture sono di fatto troppo restrittive nelle loro interpretazioni. Detto questo, si consiglia di essere prudenti a causa delle gravi conseguenze che sono previste dalla norma di applicazione.
È facile perdersi nelle proverbiali erbacce della Privacy Rule, quindi non ci avventureremo troppo in questo percorso. Come panoramica, quello che dovete sapere è che il consenso e la divulgazione sono entrambi fondamentali, e che l’uso di PHI è limitato a sei aree:
- Quando vengono divulgate all’individuo
- Per il trattamento, il pagamento e le operazioni
- Quando viene dato il permesso
- Quando vengono usate incidentalmente
- A beneficio dell’interesse pubblico
- Quando le informazioni di identificazione personale sono state rimosse
Un paio di queste potrebbero sollevare bandiere rosse, quindi parliamone. La prima è l’eccezione che permette un “uso incidentale”. Questo è definito come una divulgazione che avviene come un incidente per un uso consentito. HHS continua a dare un esempio, citato qui:
un visitatore dell’ospedale può ascoltare la conversazione confidenziale di un fornitore con un altro fornitore o un paziente, o può intravedere le informazioni di un paziente su un foglio di registrazione o una lavagna della stazione infermieristica. La norma sulla privacy HIPAA non intende impedire queste comunicazioni e pratiche abituali ed essenziali e, quindi, non richiede che tutti i rischi di uso o divulgazione accidentale siano eliminati per soddisfare i suoi standard.
L’altra eccezione è quella dell’interesse pubblico, e non è presa alla leggera. L’interesse pubblico è rigorosamente definito da 12 regole, tra cui quelle richieste dalla legge, le vittime di abusi e gli scopi di applicazione della legge. Basti dire che l’eccezione dell’interesse pubblico non rende facile l’uso di PHI.
Ancora una volta, potremmo immergerci profondamente nella Regola della Privacy, ma il succo delle cose è già ben compreso quindi non voglio spendere troppo tempo qui.
Regola sulle transazioni e set di codici
Ecco dove le cose si fanno davvero interessanti, specialmente per noi di Eligible. Per prima cosa, torniamo a capire che tutte le aree del Titolo II sono focalizzate sulla prevenzione di frodi e abusi. Uno degli obiettivi dell’HIPAA è quello di rendere il sistema sanitario degli Stati Uniti più efficiente, e a sua volta anche più sicuro. L’efficienza richiede la standardizzazione, e questo è ciò che la Transactions and Code Set Rule copre. Prima dell’HIPAA, ogni transazione richiedeva scartoffie o telefonate. Dopo l’HIPAA, tutte queste informazioni possono essere trasferite elettronicamente.
Secondo l’AMA, questa serie di regole è stata effettivamente richiesta dall’industria sanitaria per aiutare ad affrontare la “spesa aggiuntiva di fatturazione degli individui per la continuazione della copertura”. La logica che circonda la richiesta riguarda i modi in cui le informazioni sui pazienti dovevano essere create, mantenute e conservate in un paesaggio digitale. Inoltre, con il passaggio alle cartelle cliniche elettroniche, era importante avere metodi standardizzati per questi dati.
L’insieme delle transazioni e dei set di codici è troppo complesso per essere analizzato qui. Quindi, per lo scopo di questo post, ecco quello che dovete sapere:
Tutto, dalle prime denunce di infortunio all’idoneità del paziente e alla richiesta dello stato del reclamo, ha un tipo di transazione unico con un numero corrispondente. Per esempio, se avete visto 270/271, quelli sono i codici per una richiesta di idoneità e una risposta a quella richiesta. Ognuno di questi tipi di transazione è stato formalizzato dall’American National Standards Institute Accredited Standards Committee X12 (ANSI ASC X12, o semplicemente X12).
Se un’entità è coperta da HIPAA (e la maggior parte lo è), è richiesto di utilizzare l’X12 EDI per le transazioni elettroniche.
Regola di sicurezza
È probabilmente più facile pensare alla Regola di sicurezza in relazione alla Regola sulla privacy. Dove la Regola della Privacy ha un impatto su tutte le forme di PHI, la Regola della Sicurezza riguarda specificamente le PHI elettroniche (ePHI). Stabilisce i requisiti per le salvaguardie che devono essere in atto se un’entità coperta dall’HIPAA sceglie di usare l’ePHI.
Queste salvaguardie si dividono in tre aree:
- Amministrativa
- Fisica
- Tecnica
In queste aree, ci sono dettagli per i passi che devono essere fatti da un ente coperto. Per esempio, le salvaguardie amministrative richiedono che ci siano procedure scritte sulla privacy che coprono l’autorizzazione, l’istituzione, la modifica e la cessazione. Le salvaguardie fisiche richiedono controlli di accesso come piani di sicurezza, registri di manutenzione e scorte di visitatori. Infine, le salvaguardie tecniche stabiliscono requisiti per l’uso del checksum, la crittografia e la documentazione.
Regola sugli identificatori unici
Avrete probabilmente già sentito parlare degli NPI. Il National Provider Identifier è una stringa alfanumerica di 10 cifre che è unica per ogni entità coperta da HIPAA. Non sostituisce un numero DEA, un codice fiscale o qualsiasi altro identificatore, e non può contenere alcuna informazione. Tuttavia deve essere presente affinché un’entità HIPAA-covered possa elaborare e gestire PHI.
Regola di applicazione
Ora che abbiamo esposto tutti i requisiti che sono stabiliti nel Titolo II, cosa succede se vengono infranti? È qui che entra in gioco l’Enforcement Rule. Piuttosto che dire semplicemente che una violazione comporterà una specifica multa, l’Enforcement Rule stabilisce le procedure per le indagini, le sanzioni e le udienze.
Secondo l’Enforcement Rule, le multe vanno da 100 a 250.000 dollari e variano a seconda della gravità della violazione. C’è anche una designazione tra le violazioni che avvengono accidentalmente e quelle che sono fatte consapevolmente. Come si può dedurre, la multa di 100 dollari accadrebbe quando una persona viola erroneamente l’HIPAA, mentre le multe più grandi sono riservate alle infrazioni che hanno l’intenzione di vendere o trasferire PHI per uso commerciale, guadagno personale o danno doloso.
Basta dire che il Titolo II è un enorme insieme di regole e copre una vasta gamma di argomenti. Ma concentrandosi sull’idea che tutte le sue parti sono volte a prevenire frodi e abusi, possiamo ottenere una migliore comprensione di come funzionano.