1. Definizione di entità coperta da HIPAA: L'Health Insurance Portability and Accountability Act (HIPAA) è una legge federale approvata nel 1996 che protegge la privacy delle informazioni sanitarie degli individui, spesso indicate come informazioni sanitarie protette (PHI). Un'entità coperta dall'HIPAA è un'organizzazione o un individuo che deve rispettare le normative HIPAA. Le entità coperte devono essere in grado di identificare e proteggere le PHI in qualsiasi forma, compresa quella cartacea, elettronica o orale, nonché di proteggere le PHI da accessi, usi o divulgazioni non autorizzati.
2. Che cos'è un'entità coperta dall'HIPAA? Un'entità coperta dall'HIPAA è un'organizzazione o un individuo che deve rispettare le normative HIPAA. Sono compresi i piani sanitari, i centri di compensazione sanitaria, i fornitori di servizi sanitari e gli associati d'affari che creano, ricevono, conservano o trasmettono PHI. Gli associati d'affari sono appaltatori che forniscono servizi alle entità coperte, come la fatturazione o l'elaborazione delle richieste di rimborso, che comportano l'accesso ai dati personali.
3. Chi sono le entità coperte dall'HIPAA? Le entità coperte comprendono i piani sanitari, come le compagnie di assicurazione sanitaria, le HMO e i piani sanitari collettivi; i fornitori di servizi sanitari, come i medici e gli ospedali; e i centri di compensazione sanitaria che elaborano le informazioni sanitarie, come le società di fatturazione. Anche gli associati d'affari sono entità coperte, anche se non creano o ricevono effettivamente PHI.
4. Cosa sono le informazioni sanitarie protette (PHI)? Le informazioni sanitarie protette (PHI) sono tutte le informazioni sulle condizioni di salute fisica o mentale passate, presenti o future di un individuo, create o conservate da un'entità coperta o ricevute da un fornitore di servizi sanitari. Le PHI includono qualsiasi informazione che identifichi l'individuo, come nome, indirizzo, numero di previdenza sociale o numero di assicurazione sanitaria.
5. Quali sono gli obblighi delle entità coperte ai sensi dell'HIPAA? Le entità coperte devono proteggere le informazioni personali in qualsiasi forma, compresa quella cartacea, elettronica o orale, nonché proteggere le informazioni personali da accessi, usi o divulgazioni non autorizzati. Le entità coperte devono inoltre garantire che le PHI in loro possesso siano sicure e accurate e che siano conformi alle regole sulla privacy e sulla sicurezza dell'HIPAA.
6. Che cos'è la norma HIPAA sulla privacy? La HIPAA Privacy Rule stabilisce gli standard nazionali per la privacy delle informazioni personali. Richiede alle entità coperte di fornire alle persone l'accesso alle loro PHI, di limitare l'uso e la divulgazione delle PHI e di proteggere la privacy delle PHI.
7. Che cos'è la norma HIPAA sulla sicurezza? La Regola di sicurezza HIPAA impone alle entità coperte di proteggere la sicurezza delle PHI e di garantire che le PHI non vengano divulgate o consultate in modo improprio. La Regola di sicurezza prevede che le entità coperte adottino misure di salvaguardia amministrative, fisiche e tecniche per proteggere le PHI.
8. Che cos'è la legge HITECH? La legge HITECH (Health Information Technology for Economic and Clinical Health) è una legge federale emanata per promuovere l'adozione e l'uso significativo delle tecnologie informatiche sanitarie. La legge HITECH richiede inoltre che le entità coperte informino le persone se i loro dati personali sono stati consultati o divulgati in caso di violazione della sicurezza.
9. Quali sono le sanzioni in caso di violazione dell'HIPAA? Le entità coperte che non rispettano le normative HIPAA possono essere soggette a sanzioni civili e penali. Le sanzioni civili possono variare da un minimo di 100 dollari per violazione a un massimo di 50.000 dollari per violazione, con un massimo annuale di 1,5 milioni di dollari. Le sanzioni penali possono variare da un'ammenda fino a 50.000 dollari e fino a un anno di carcere per le infrazioni minori, a un'ammenda fino a 250.000 dollari e fino a dieci anni di carcere per le infrazioni più gravi.
Le entità non coperte includono: 1) individui; 2) datori di lavoro; 3) piani sanitari che non sono né "piani sanitari di gruppo" né "emittenti di assicurazione sanitaria individuale"; 4) agenzie governative federali, statali e locali; 5) scuole e università (a meno che non forniscano assicurazione sanitaria agli studenti o impieghino fornitori di assistenza sanitaria); 6) assicuratori sulla vita; 7) strutture di trattamento residenziale; 8) datori di lavoro che auto-assicurano le prestazioni sanitarie dei propri dipendenti.
Un'entità coperta è un'organizzazione o un individuo che è tenuto a rispettare la HIPAA Privacy Rule. Esempi di entità coperte sono: fornitori di servizi sanitari, piani sanitari e centri di compensazione sanitaria.
Un'entità coperta è un piano sanitario, un centro di clearing sanitario o un fornitore di assistenza sanitaria che effettua determinate transazioni in forma elettronica. La HIPAA Privacy Rule si applica a tutte le entità coperte e stabilisce gli standard nazionali per la protezione di alcune informazioni sanitarie.
Le cinque entità coperte sono:
1) I piani sanitari
2) I centri di clearing dell'assistenza sanitaria
3) I fornitori di assistenza sanitaria che effettuano determinate transazioni in forma elettronica
4) I soci d'affari dei soggetti coperti
5) I subappaltatori dei soci d'affari
L'Health Insurance Portability and Accountability Act (HIPAA) si applica a tutti i piani sanitari, ai centri di compensazione sanitaria e ai fornitori di assistenza sanitaria che effettuano determinate transazioni in forma elettronica. Queste transazioni sono note come informazioni sanitarie elettroniche protette (ePHI).
Quindi, qualsiasi azienda che rientri in una di queste tre categorie e che si occupi di ePHI sarebbe soggetta all'HIPAA. Ciò include un'ampia gamma di aziende, dagli ospedali e dagli studi medici ai piani di assicurazione sanitaria e ai gestori di benefici farmaceutici.