Di Jordan MacAvoy, vice presidente del marketing, Reciprocity Labs.
Ci sono diversi requisiti di conformità normativa che le organizzazioni sanitarie devono seguire. Anche così, è l’Health Insurance Portability and Accountability Act (HIPAA) che ottiene il maggior riconoscimento. Se la vostra organizzazione è coinvolta nel settore sanitario, dovreste assicurarvi che sia conforme anche all’Health Information Technology for Economic and Clinical Health Act (HITECH).
Questi due requisiti di conformità sono in qualche modo correlati. Tuttavia, HITECH ha lo scopo di migliorare la tecnologia dell’informazione nel settore sanitario, mentre protegge la sicurezza e la privacy per quanto riguarda l’ePHI. HITECH ha modificato significativamente HIPAA e il Social Security Act. Pertanto, può essere difficile capire come questi quadri di conformità normativa si completano a vicenda.
Come HITECH e HIPAA sono simili
La conformità HITECH e HIPAA è supervisionata dal Dipartimento della salute e dei servizi umani (HHS). In genere, le organizzazioni sanitarie tendono a concentrarsi sulla conformità HIPAA poiché è la spina dorsale della Privacy Rule che stabilisce gli standard nazionali in materia di PHI e protezione delle cartelle cliniche. La Privacy Rule è stata adottata nel 2000. Da allora, l’HHS ha fatto solo una modifica. Nel 2002, quando la Privacy Rule è stata modificata per diventare uno dei primi regolamenti sulla privacy e la sicurezza delle informazioni.
L’Office of the National Coordinator for Health Information Technology (ONC) ha il compito di promuovere la qualità dell’assistenza sanitaria facendo progredire l’informatica sanitaria. L’ONC ha anche il compito di mettere in sicurezza l’ePHI e di stabilire procedure per le cartelle cliniche elettroniche (EHRs) per promuovere la privacy.
Quindi, mentre HITECH e HIPAA si completano a vicenda, sono dissimili. HITECH si concentra sulla tecnologia dell’informazione e sulla conservazione delle informazioni elettroniche, mentre HIPAA si sofferma sulla protezione della privacy e sull’espansione oltre i sistemi informatici.
Come HITECH e HIPAA differiscono
Anche se HITECH e HIPAA hanno molte similitudini, i due regolamenti differiscono anche su vari dettagli vitali. HITECH era destinato ad espandere HIPAA. Anche così, quest’ultima rimane focalizzata sull’affrontare i problemi di privacy e di notifica delle violazioni per proteggere dal furto d’identità e dalla frode. D’altra parte, HITECH differisce da HIPAA perché ha stabilito sanzioni di conformità penali e civili ristrutturate. Inoltre, HITECH ha esteso il requisito di notifica di violazione di HIPAA oltre le organizzazioni coperte per includere anche i soci d’affari.
Da una prospettiva IT, i responsabili della conformità dovrebbero concentrarsi sull’importanza della crittografia robusta. Nel caso in cui attori malintenzionati violino l’ePHI, una crittografia efficace attenuerà le violazioni delle regole. Pertanto, se la crittografia rende le informazioni illeggibili, l’organizzazione non sarà multata. Tuttavia, provare una crittografia efficace significa rispettare il NIST Federal Information Process Standard. Pertanto, la conformità normativa sanitaria può essere realizzata solo se si comprende appieno l’infrastruttura IT della propria organizzazione.
Come la conformità Medicaid e Medicare di HITECH influisce sui Business Associates HIPAA
È possibile comprendere la conformità normativa sanitaria solo dopo aver compreso le sovrapposizioni che esistono tra i business associates, così come le loro informazioni e come questo influisce sull’intera catena di fornitura. I soci d’affari sono individui o organizzazioni che forniscono servizi alle entità coperte o svolgono attività o funzioni per conto delle entità.
In genere, la definizione di soci d’affari dell’Omnibus Rule include società di gestione sanitaria, organizzazioni di pagamento sanitario e piani sanitari sotto l’ombrello HITECH e HIPAA. Tuttavia, per coloro che lavorano con Medicaid, i servizi aggiuntivi possono essere incorporati sotto i requisiti di conformità.
Per esempio, HIPAA e HITECH considerano il Non-Emergency Medical Transportation (NEMT) di Medicaid come un business associate che ricade sotto la Omnibus Rule. Pertanto, nonostante sia una rete di intermediari di trasporto, le informazioni raccolte rimangono soggette alle normative sanitarie necessarie.
Le organizzazioni dovrebbero determinare la loro posizione all’interno della catena di fornitura, poiché questo ridurrà al minimo le violazioni HITRUST e HIPAA. Inoltre, un’organizzazione dovrebbe decidere se vuole assumersi o meno i rischi di conformità se sceglie di scalare.
Cosa dovrebbero sapere i consigli di amministrazione?
Le organizzazioni che stanno cercando di entrare nel settore sanitario dovrebbero assicurarsi che i loro consigli riconoscano le implicazioni di conformità. Fornire il livello richiesto di supervisione del consiglio richiede una visibilità approfondita nel panorama sanitario e nell’ambiente di conformità di un’organizzazione. Inoltre, se un’organizzazione decide di includere i suoi venditori o fornitori di assistenza sanitaria come parte del suo set-up aziendale, il consiglio dovrebbe essere consapevole di come queste parti si inseriscono nella catena di fornitura.
In base ai requisiti normativi HIPAA, il rischio del fornitore può creare un rischio aziendale. Pertanto, sia che la vostra organizzazione si trovi in basso, nella catena di fornitura, al timone, o nel mezzo, qualsiasi interazione che fa con le entità regolate dall’HIPAA significa che deve rispettare tutti i requisiti normativi necessari.
Dovreste pensare alle violazioni HITECH e HIPAA come a tessere del domino disposte in fila. Nel caso in cui una tessera del domino cada, le altre cadranno automaticamente. Pertanto, l’importanza della gestione dei fornitori potrebbe aumentare, soprattutto se si decide di espandersi ulteriormente nel settore sanitario.
Le organizzazioni del settore sanitario non dovrebbero concentrarsi solo sulla conformità HIPAA. Incorporare la conformità HITECH vi aiuta a proteggere le informazioni che sono nella vostra privacy. Rimanendo conformi, si eviteranno anche le sanzioni nel caso in cui si verifichi una violazione. Quindi, è fondamentale capire come HIPAA e HITECH si completano a vicenda.
Lavori nel settore sanitario