Che cos’è la conformità HIPAA?

La compliance (“rispetto”) della normativa americana HIPAA (Health Insurance Portability and Accountability Act) prevede, per le aziende che trattano dati sanitari protetti (PHI, Protected Health Information), l'adozione di rigorose misure di sicurezza fisiche, di rete e procedurali all’interno degli edifici dell’azienda.

Chiunque operi in ambito sanitario a qualsiasi livello, dal fornire i trattamenti, al prestare servizi finanziari e assicurativi per le cure mediche, è tenuto al rispetto della normativa HIPAA. Non soltanto le cosiddette entità coperte appena menzionate. Ma tutte le società in affari che hanno accesso ai dati sanitari dei pazienti, operando, fornendo supporto nei trattamenti o nei pagamenti sanitari, devono anch'esse rispettare la normativa HIPAA che vincola alla compliance anche ogni eventuale azienda partner in subappalto o comunque legata da rapporti professionali.^[1]

L'Health Insurance Portability and Accountability Act (HIPAA) è una legge federale degli Stati Uniti che definisce i requisiti per il trattamento dei dati sanitari protetti dei privati. La compliance HIPAA è regolamentata dall'HHS (Department of Health and Human Services) e l'OCR (Office for Civil Rights) ha il compito di farla rispettare.

L'HIPAA compliance deve essere parte integrante della cultura aziendale di ogni entità che opera nel settore sanitario al fine di garantire la privacy, la sicurezza e l'integrità dei dati sanitari protetti.^[2]

L'Health Insurance Portability and Accountability Act (“Atto sulla Portabilità e Rendicontabilità dell’Assicurazione Sanitaria”) fu approvata dal congresso americano e diventò legge con la firma del Presidente Bill Clinton nel 1996.

L'HIPAA venne emanata principalmente per:

• Modernizzare il flusso delle informazioni sanitarie;
• Regolamentare il trattamento dei dati identificativi personali (PII) da parte delle aziende del settore assicurativo per la salute e sanitarie, al fine di prevenire furti e frodi;
• Superare i limiti nella copertura medica assicurativa in fatto di portabilità e copertura delle persone con condizioni mediche pre-esistenti.^[3]

L'HIPAA ha imposto l'adozione di standard nazionali per proteggere le informazioni sensibili sulla salute del paziente dalla divulgazione senza che il paziente ne sia a conoscenza o abbia dato il suo consenso.

Per attuare tale normativa, l'HHS, il Dipartimento americano della Salute e dei Servizi Umani, ha pubblicato l'elenco delle regole da rispettare in materia di riservatezza che prende il nome di HIPAA Privacy Rule.^[4]

La Privacy Rule (“legge sulla privacy”) contiene 12 eccezioni che prevedono la condivisione, tra diverse entità, dei dati sanitari senza il consenso del paziente. Queste includono:

• Vittime di violenza domestica o aggressione;
• Processi giudiziari e amministrativi;
• Espianto di organi da cadaveri, donazioni di cornea o tessuti;
• Risarcimento dei lavoratori.^[5]

Un altro elemento chiave dell'HIPAA è la cosiddetta Security Rule (“legge sulla sicurezza”), che fa parte del Privacy Rule. Questo sottogruppo comprende tutti quei dati sanitari personali che ogni entità inclusa genera, riceve, conserva o trasmette in formato elettronico. Principi fondamentali della Security Rule sono:

• Assicurare la riservatezza, l'integrità, e la disponibilità di tutte le informazioni sanitarie protette in formato elettronico.
• Individuare le possibili minacce al fine di salvaguardare le informazioni riservate.
• Proteggere i dati da possibili divulgazioni o utilizzi illeciti.
• Certificare la conformità del personale che a qualsiasi livello entra in contatto con tali dati.

Qualsiasi informazione demografica che permetta l'identificazione di un paziente o cliente di una entità coperta da HIPAA, prende il nome di dato sanitario protetto, in gergo PHI (Protected Health Information). Alcuni esempi di PHI sono ad esempio nomi, indirizzi, numeri di telefono, numeri di previdenza sociale, cartelle cliniche, informazioni finanziarie, e foto in primo piano del viso per citarne alcuni.^[6]

Le aziende del settore sanitario e tutte quelle entità che hanno a che fare con i dati sanitari protetti, stanno ormai passando totalmente all'utilizzo di sistemi informatici per la gestione delle loro attività. Dai cosiddetti sistemi CPOE, per il rilascio delle prescrizioni mediche, alle cartelle cliniche elettroniche (EHR), ai sistemi informatizzati utilizzati in ambito radiologico, di laboratorio o farmaceutico.

Analogamente, le assicurazioni sanitarie permettono all'utente di sollevare reclami e gestire l'assistenza direttamente in modo autonomo, attraverso specifiche applicazioni.

Se da un lato questi sistemi informatici consentono una maggiore efficienza e mobilità, dall'altro presentano un netto aumento dei rischi per la sicurezza dei dati sanitari dei pazienti.^[7] Proprio per questo la HIPAA compliance assume un ruolo così importante al giorno d'oggi.

L'HHS, il Dipartimento americano della Salute, specifica le misure fisiche e tecniche, a cui devono conformarsi tutte le entità che conservano dati sensibili dei pazienti. In particolare sono tenute a garantire:

• accesso limitato e consentito solo su autorizzazione alle strutture che ospitano sistemi informatici
• precise politiche sull'accesso e l'utilizzo di postazioni di lavoro ed apparati informatici ed elettronici
• restrizioni al trasferimento, alla cancellazione, allo smaltimento ed al riutilizzo di mezzi elettronici e ePHI (dati sanitari elettronici protetti).

Sulla stessa linea, le misure tecniche della HIPAA impongono il controllo degli accessi, consentendo soltanto al personale autorizzato di accedere ai dati sanitari elettronici protetti (ePHI). Tale controllo impone:

• utilizzo di user ID univoci;
• predisposizione di procedure di accesso d'emergenza;
• disconnessione di sessione automatica;
• cifratura e la decifratura dei file;
• relazioni di Audit o tracking log, che monitorano l'attività svolta su hardware e software.

Altre specifiche a livello tecnico per la HIPAA compliance includono la necessità di prevedere ed attuare controlli di integrità, o le misure messe in atto per certificare che le informazioni sanitarie elettroniche del paziente (ePHI) non siano alterate o distrutte. In quest'ottica è assolutamente indispensabile predisporre sistemi di disaster recovery (“recupero del disastro”) e backup off-site (“backup esterno”) che assicurano l'immediato ed accurato ripristino dei dati del paziente in caso di guasti, errori o malfunzionamenti degli apparati elettronici.

Un'ultima specifica richiesta a livello tecnico dalla HIPAA, è la sicurezza della rete e della trasmissione dei dati, che garantisce la protezione degli ePHI da accessi non autorizzati. Questo vale per qualsiasi metodo di trasmissione dati, incluse le reti private come il private cloud, ma più semplicemente anche le email e la rete internet.

Chi tratta le migliori soluzioni per la protezione dei dati sanitari sa che i dati non svaniscono da soli. Sono le persone a causare la perdita dei dati. Per negligenza, malizia o sempre più spesso a causa di attacchi esterni da parte di malintenzionati.

È per questo motivo che un efficace rispetto della normativa HIPAA può essere raggiunto soltanto contando sulle persone, prevenendo tutte le situazioni che potrebbero portare inavvertitamente o di proposito ad esporre i dati sensibili dei pazienti in qualsiasi modo - ad esempio attraverso la divulgazione di dati strutturati o non strutturati, email, documenti e scansioni - ma allo stesso tempo consentendo agli operatori sanitari di trattare e condividere i dati del paziente in maniera sicura, in modo da garantirgli le migliori cure mediche possibili.

I pazienti affidano i propri dati alle aziende del settore sanitario, ed è compito di queste organizzazioni prendersi cura dei loro dati sanitari protetti.^[5]

L'ente americano OIG (Office of Inspector General) facente capo all'HHS, il Dipartimento americano della Salute, ha creato un programma in sette punti per fornire delle linee guida alle organizzazioni, al fine di aiutarle a vagliare le giuste soluzioni disponibili o creare programmi interni per la compliance: i Sette Elementi di un Efficace Programma di Compliance.

Questi rappresentano lo scheletro, i requisiti minimi imprescindibili a cui ogni efficace programma di compliance deve rispondere. Inoltre, per aderire totalmente agli standard di Privacy e Sicurezza imposti dalla HIPAA, un efficace programma di compliance deve anche avere la capacità di gestire ognuno dei Sette Elementi.

I Sette Elementi di un Programma di Compliance Efficace sono:

1. implementare politiche scritte, procedure e norme di comportamento;
2. nominare un responsabile e un comitato addetti a vigilare e garantire il rispetto della compliance;
3. condurre attività di formazione e di istruzione efficaci;
4. sviluppare canali di comunicazione efficaci;
5. condurre audit e monitoraggi interni;
6. far rispettare gli standard attraverso la divulgazione di linee guida di comportamento ben pubblicizzate;
7. rispondere prontamente alle minacce rilevate e adottare tutte le dovute misure correttive.

Nel corso di una investigazione portata avanti dall'OCR (Office for Civil Rights), a seguito di una violazione della normativa HIPAA, gli auditor federali della HIPAA andranno a valutare il programma di compliance della tua azienda in relazione ai Sette Elementi, per giudicare la sua efficacia.^[8]

[1] Digital Guardian. “A Definition of HIPAA Compliance”
[2] Compliancy Group. “What is HIPAA Compliance?”
[3] The HIPAA Guide. “HIPAA for Dummies”
[4] Centers for Disease Control and Prevention
[5] Ibid.
[6] Compliancy Group. “What is Protected Health Information?”
[7] Digital Compliance. “The need for HIPAA compliance”
[8] Compliancy Group. “What are the Seven Elements of an Effective Compliance Program?”