Il nostro team legale HIPAA consiglia i clienti sulla legge federale e statale riservatezza, privacy e sicurezza esigenze sanitarie. I nostri servizi legali includono:
- Personalizzazione HIPAA le Politiche e le Procedure Per la Tua attività o Azienda
- Determinare Se HIPAA si Applica Alla Vostra Pratica
- lo Sviluppo di HIPAA Politiche e Procedure per l’App Mobile di Telemedicina
- predisposizione di Business Associato Accordi
- Rispondere alle normative Denunce
- la Revisione di Accordi per Violazioni HIPAA
Contattare il nostro HIPAA avvocati per domande sulla HIPAA privacy e obblighi in materia di sicurezza, o per discutere di conformità in caso di una violazione HIPAA, il che potrebbe comportare federali e statali di attuazione e di sanzioni significative. Oppure scopri di più sulla formazione online HIPAA compliance.
I nostri avvocati HIPAA hanno esperienza di consulenza ai clienti per aggiornare i loro sforzi di conformità HIPAA — incluso l’aggiornamento e l’implementazione di politiche, procedure e moduli di privacy e sicurezza — sia in una capacità preventiva, sia per mitigare in seguito a una violazione dei dati imprevista.
Recentemente, i nostri avvocati hanno consigliato due clienti, ognuno dei quali sta sviluppando un’applicazione medica mobile, su questioni di privacy e sicurezza HIPAA. Rappresentare questi clienti ha comportato lo sviluppo di soluzioni personalizzate per garantire che il cliente fosse protetto da responsabilità ingiustificate nella sua posizione di portale Web per un operatore sanitario. In ogni caso, abbiamo progettato i Termini di utilizzo e l’Informativa sulla privacy della società, nonché il suo contratto con i professionisti, per rispettare le norme HIPAA e le norme sulla privacy e sulla riservatezza della legge statale e le leggi correlate che regolano le pratiche di telemedicina.
Fateci sapere ogni volta che sorgono problemi HIPAA, se sei una tecnologia di avvio (e possibile un socio in affari sotto HIPAA), un gruppo o una pratica medica consolidata, o un consulente o un fornitore coinvolto nella telemedicina o un’applicazione mobile attraverso la quale vengono trasmesse le informazioni sanitarie protette (PHI).
HIPPA e HITECH
Secondo la legge federale, l’Health Insurance Portability and Accountability Act (“HIPAA”) regola lo scambio elettronico di dati di informazioni sanitarie. Il titolo I di HIPAA protegge la copertura assicurativa sanitaria per i lavoratori e le loro famiglie quando cambiano o perdono il lavoro. Il titolo II dell’HIPAA, noto come disposizioni sulla semplificazione amministrativa (AS), richiede l’istituzione di norme nazionali per le transazioni sanitarie elettroniche e di identificatori nazionali per i fornitori, i piani di assicurazione sanitaria e i datori di lavoro. Le disposizioni di semplificazione amministrativa riguardano anche la sicurezza e la riservatezza dei dati sanitari.
Sotto il Titolo II di HIPAA, HHS ha promulgato cinque serie di regolamenti di attuazione, che sono variamente noti come la regola sulla privacy; la regola di sicurezza; la regola identificatori univoci (National Provider Identification (“NPI”)); le transazioni e codice imposta regola; e la regola di applicazione. Ma i nostri clienti si occupano principalmente della regola sulla privacy e della regola di sicurezza, entrambe volte a proteggere la riservatezza e la privacy delle informazioni sanitarie dei pazienti.
Porzioni di HIPAA sono state modificate da un successivo statuto federale, la Health Information Technology for Economic and Clinical Health (“HITECH”) Act, promulgata come parte dell’American Recovery and Reinvestment Act del 2009.
HIPAA stabilisce sanzioni civili in denaro e sanzioni penali per le violazioni. HHS applica la disposizione penale di denaro civile, mentre il Dipartimento di Giustizia degli Stati Uniti applica le sanzioni penali. La disposizione di pena di denaro civile di HIPPA autorizza una sanzione civile fino a $100 per violazione, fino a $25.000 all’anno. HIPAA autorizza sanzioni penali in base al livello di colpevolezza, fino a $1,5 milioni.
Leggi statali sulla privacy e sulla riservatezza
Gli Stati hanno anche le proprie leggi sulla privacy e sulla riservatezza, parti delle quali si applicano nonostante le disposizioni di prelazione di HIPAA. Inoltre, i fornitori che non rientrano nell’ambito HIPAA saranno comunque vincolati da leggi e regolamenti statali.
Ad esempio, in California:
Gli standard sulla privacy della California sono contenuti nel Confidentiality of Medical Information Act (“CMIA”).
- Il codice di sicurezza Health& (sezioni 123100 e segg.) governare l’accesso dei pazienti alle cartelle cliniche. (Tra le altre cose, considerazioni speciali si applicano alle note di psicoterapia e ai record di salute mentale).
- La legge della California stabilisce anche un Ufficio statale per l’integrità delle informazioni sanitarie, dedicato all’informazione sui diritti e le responsabilità rilevanti per le informazioni sanitarie, nonché il ruolo degli scambi di informazioni sanitarie elettroniche (“HIEs”) nella trasmissione delle informazioni sanitarie dei pazienti.
- Il Dipartimento dei servizi sanitari della California ha anche un ufficio per la privacy, che si trova all’interno dell’ufficio di conformità HIPAA del Dipartimento, e lavora per proteggere il PHI, tra cui indagare su violazioni della privacy e reclami che coinvolgono l’accesso non autorizzato o la divulgazione di PHI.
- La California ha inoltre un Ufficio di protezione della privacy che fornisce informazioni su argomenti di privacy per individui e consumatori.
Requisiti HIPAA
HIPAA si applica alle “Entità coperte” e ai loro “Soci in affari.”
Le entità coperte includono:
(1) Piani sanitari, comprese le compagnie di assicurazione sanitaria, HMO, piani sanitari aziendali e alcuni programmi governativi che pagano per l’assistenza sanitaria, come Medicare e Medicaid.
(2) La maggior parte dei fornitori di assistenza sanitaria — che trasmettono qualsiasi informazione sanitaria in forma elettronica alle compagnie di assicurazione sanitaria. Tali fornitori di assistenza sanitaria possono includere medici, cliniche, ospedali, psicologi, chiropratici, case di cura, farmacie e dentisti o qualsiasi altra persona o organizzazione che fornisce, bollette o viene pagata per l’assistenza sanitaria nel normale corso degli affari.
(3) Health Care Clearinghouses — entità che elaborano informazioni sanitarie non standard che ricevono da un’altra entità in uno standard (ad esempio, formato elettronico standard o contenuto di dati) o viceversa.
Un socio in affari è una persona che non fa parte della forza lavoro di un’Entità coperta, che utilizza l’elaborazione o l’amministrazione di informazioni sanitarie identificabili individualmente; analisi, elaborazione o amministrazione dei dati.
Il Dipartimento della Salute dei Servizi umani (HHS) degli Stati Uniti riassume le principali procedure amministrative che un’entità coperta deve avere sotto HIPAA, come segue:
- Politiche e procedure sulla privacy. Un’Entità coperta deve sviluppare e implementare politiche e procedure scritte sulla privacy coerenti con HIPAA.
- Personale della privacy. Un’Entità coperta deve designare un funzionario della privacy responsabile dello sviluppo e dell’attuazione delle sue politiche e procedure sulla privacy e una persona di contatto o un ufficio di contatto responsabile della ricezione di reclami e di fornire alle persone informazioni sulle pratiche sulla privacy dell’Entità coperta.
- Formazione e gestione della forza lavoro. I membri della forza lavoro comprendono dipendenti, volontari, tirocinanti e possono includere anche altre persone la cui condotta è sotto il controllo diretto dell’entità (indipendentemente dal fatto che siano pagate o meno dall’entità). Un’Entità coperta deve formare tutti i membri della forza lavoro sulle sue politiche e procedure sulla privacy, se necessario e appropriato per svolgere le loro funzioni; e deve avere e applicare sanzioni appropriate contro i membri della forza lavoro che violano le sue politiche e procedure sulla privacy o HIPAA.
- Mitigazione. Un’Entità coperta deve mitigare, nella misura del possibile, qualsiasi effetto dannoso che apprende è stato causato dall’uso o dalla divulgazione di informazioni sanitarie protette da parte della sua forza lavoro o dei suoi collaboratori in violazione delle sue politiche e procedure sulla privacy o HIPAA.
- Protezione dei dati. Un’Entità coperta deve mantenere garanzie amministrative, tecniche e fisiche ragionevoli e appropriate per prevenire l’uso o la divulgazione intenzionale o non intenzionale di informazioni sanitarie protette in violazione della Regola sulla privacy e per limitarne l’uso e la divulgazione accidentali in conformità con l’uso o la divulgazione altrimenti consentiti o richiesti. Ad esempio, tali misure di sicurezza potrebbero includere la triturazione di documenti contenenti informazioni sanitarie protette prima di scartarle, la protezione delle cartelle cliniche con serratura e chiave o codice di accesso e la limitazione dell’accesso a chiavi o codici di accesso.
- Reclami. Un’Entità coperta deve disporre di procedure per i singoli individui per lamentarsi della sua conformità alle sue politiche e procedure sulla privacy e alla Regola sulla privacy. L’Entità coperta deve spiegare tali procedure nella sua informativa sulla privacy. Tra le altre cose, l’Entità coperta deve identificare a chi gli individui possono presentare reclami presso l’Entità coperta e consigliare che i reclami possono essere presentati anche al Segretario di HHS.
- Nessuna ritorsione e rinuncia. Un’Entità coperta non può vendicarsi contro una persona per aver esercitato i diritti previsti dalla Regola sulla privacy, per aver assistito in un’indagine da parte di HHS o di un’altra autorità appropriata o per essersi opposta a un atto o pratica che la persona ritiene in buona fede violi la Regola sulla privacy. Un’Entità coperta non può richiedere a un individuo di rinunciare a qualsiasi diritto ai sensi della Regola sulla privacy come condizione per ottenere il trattamento, il pagamento e l’iscrizione o l’idoneità ai benefici.
- Conservazione della documentazione e dei record. Un’Entità coperta deve mantenere, fino a sei anni dopo la data successiva della loro creazione o dell’ultima data effettiva, le sue politiche e procedure sulla privacy, le sue comunicazioni sulle pratiche sulla privacy, la disposizione dei reclami e altre azioni, attività e designazioni che la Regola sulla privacy richiede di essere documentata.
Contatta il nostro team legale HIPAA per consigli legali relativi alla privacy del paziente, alla riservatezza e alla sicurezza dei dati.
California law has HIPAA-like privacy provisions for personal information
HIPAA Privacy Compliance and Enforcement website
Physician obligation regarding medical records
See also our full series of articles:
HIPAA Omnibus Rule: Part 1 (Overview)
HIPAA Omnibus Rule: Part 2 (Business Associates & Subcontractors)
HIPAA Omnibus Rule: Part 3 (Enforcement & Penalties)
HIPAA Omnibus Rule: Part 4 (Security Rule Changes)
HIPAA Omnibus Rule: Part 5 (Privacy Rule Changes)
HIPAA Omnibus Rule: Part 6 (Business Associate Agreements)
HIPAA Omnibus Rule: Part 7 (Notice of Privacy Practices & Other Provisions)
HIPAA Omnibus Rule: Part 8 (Breach Analysis)
Or find out more about online HIPAA compliance training.