Nel 1996, il Congresso degli Stati Uniti ha emanato la Health Insurance Portability and Accountability Act (HIPAA), che include disposizioni in materia di assistenza sanitaria e assicurazione. La parte 1 dell’HIPAA riguarda la copertura assicurativa sanitaria, mentre la parte 2 regola la privacy dei pazienti. La parte 2 della legge HIPAA ha comportato importanti cambiamenti nell’amministrazione dell’assistenza sanitaria negli Stati Uniti e ha cambiato il modo in cui vengono gestite le cartelle cliniche dei pazienti. Gli operatori sanitari o altre persone che non rispettano nessuna di queste leggi sono colpevoli di una violazione dell’HIPAA, che comporta sanzioni sia penali che civili.
La parte 2 della legge HIPAA copre tre inquilini di base dei diritti dei pazienti, suddivisi in categorie amministrative, fisiche e tecniche. La sezione sui diritti amministrativi richiede a tutte le organizzazioni sanitarie di designare un singolo individuo che si occupi della privacy dei pazienti e di garantire il rispetto delle normative HIPAA. Questa categoria comprende anche la formazione dei dipendenti, le interazioni con terze parti che possono visualizzare i dati dei pazienti e le politiche per la gestione di una violazione della sicurezza. Le aziende che non designano un individuo per gestire i requisiti HIPAA possono essere colpevoli di una violazione HIPAA e potrebbero essere soggette a sanzioni. Qualsiasi mancata attuazione delle politiche amministrative richieste potrebbe rappresentare un’ulteriore violazione di HIPAA.
In termini di requisiti fisici, le organizzazioni sanitarie devono fornire blocchi sicuri per tutti i file dei pazienti al fine di evitare una potenziale violazione dell’HIPAA. Le organizzazioni devono tenere questi file lontani dal pubblico e garantire che l’accesso sia concesso solo in base alle necessità. Ad esempio, un dipendente che si occupa di curiosare in file che non ha bisogno di vedere per svolgere il proprio lavoro potrebbe essere colpevole di una violazione dell’HIPAA. Questa categoria richiede inoltre alle organizzazioni di disporre in modo sicuro dei file quando non sono più necessari.
Per evitare una violazione tecnica dell’HIPAA, le organizzazioni devono crittografare tutti i file del computer relativi alle cartelle cliniche del paziente. Ciascuno deve richiedere una password per l’accesso e solo i dipendenti che necessitano dell’accesso devono essere informati della password. In alcuni casi, a ciascun dipendente deve essere assegnata una password univoca in modo che i funzionari regolatori possano determinare chi ha avuto accesso a file specifici.
Le sanzioni per una violazione dell’HIPAA riguardano sia le violazioni intenzionali che non intenzionali, comprese quelle causate da semplice abbandono. Le sanzioni civili possono arrivare a 1,5 milioni di dollari USA (USD) in un solo anno. Ogni violazione di base potrebbe comportare multe penali fino a $ 25.000 USD e l’abuso intenzionale di documenti comporta una pena detentiva fino a 10 anni. Le sanzioni possono essere anche più elevate per più violazioni entro un periodo specificato.