La Llei de portabilitat i responsabilitat de les assegurances mèdiques (HIPAA) es va aprovar per evitar que la informació sanitària d’una persona fos accessible públicament. En conseqüència, HIPAA exigeix que certes entitats cobertes utilitzin processos adequats per protegir la informació del pacient. Si sou un proveïdor d’atenció mèdica cobert per HIPAA, haureu d’assegurar-vos que el vostre correu electrònic compleixi HIPAA. Malauradament, no hi ha cap manera senzilla de fer-ho tot sol. En el seu lloc, haureu de contractar un proveïdor de serveis de correu electrònic que compleixi HIPAA.
Passos
Part 1 de 2: Requisits d'aprenentatge HIPAA
Pas 1. Comprendre les multes
HIPAA inclou tant una regla de privadesa com una regla de seguretat. La Regla de privadesa protegeix la informació identificable del pacient i la Regla de seguretat estableix normes nacionals per a la seguretat de la informació protegida en format electrònic. Aquestes normes tenen dents: una infracció comporta una pena màxima d'1,5 milions de dòlars per infracció.
Pas 2. Llegiu la regla de seguretat
El govern federal exigeix que la comunicació electrònica de la informació sanitària compleixi alguns requisits de seguretat i privadesa. Aquests requisits són complexos. Per fer que un correu electrònic compleixi HIPAA, heu d'assegurar-vos que utilitzeu les garanties suficients per garantir la integritat, seguretat i confidencialitat de la informació electrònica.
- Podeu llegir la regla de seguretat visitant el lloc web de serveis humans i de salut a https://www.hhs.gov/ocr/privacy/hipaa/administrative/securityrule/. Es proporcionen enllaços al text legal corresponent.
- També podeu llegir el text reglamentari. Aquest document contindrà totes les normatives que s’han promulgat per implementar l’estatut HIPAA.
- Aquesta informació és altament tècnica i difícil d’entendre per a un no expert. Haureu de reunir-vos amb un advocat d’assistència sanitària per parlar dels vostres requisits pel que fa a la seguretat del correu electrònic.
Pas 3. Reuniu-vos amb un advocat
Un advocat amb experiència en salut hauria de poder ajudar-vos a comprendre els requisits legals i també trobar maneres de complir el vostre sistema de correu electrònic. Voleu reunir-vos amb un advocat especialitzat en dret de la salut especialment.
Per trobar un advocat sanitari, visiteu el col·legi d’advocats del vostre estat. Ha de tenir enllaços a programes de referència (o allotjar un programa de referència). Un cop al lloc web, se us proporcionarà un número de telèfon per trucar o un directori on podeu cercar
Part 2 de 2: Assegurar-se que el vostre correu electrònic compleix HIPAA
Pas 1. Investigueu els proveïdors de serveis de correu electrònic que compleixin HIPAA
Els requisits tècnics són tan complicats que, tret que sigueu experts en sistemes d'informació, haureu de contractar un proveïdor de serveis de correu electrònic compatible amb HIPAA per proporcionar-vos el vostre sistema de correu electrònic. Els serveis de correu electrònic gratuïts basats en la web com Yahoo i Gmail no són sistemes de correu electrònic suficients. De fet, no proporcionen seguretat. Per trobar un proveïdor de serveis compatible, podeu fer el següent:
- Parleu amb el vostre advocat sanitari. Hauria d’estar familiaritzat amb els proveïdors de serveis de correu electrònic que compleixin HIPAA.
- Cerqueu a Internet. Diverses empreses anuncien els seus serveis a Internet. Cerqueu "correu electrònic compatible amb hipaa".
Pas 2. Poseu-vos en contacte amb els proveïdors de serveis de correu electrònic que compleixin HIPAA
Un cop tingueu els noms dels proveïdors de serveis de correu electrònic, hauríeu de mirar els llocs web de les empreses i veure si semblen professionals. A continuació, truqueu a una empresa i pregunteu si us pot donar referències. També heu de preguntar sobre els serveis que ofereixen. Un proveïdor de serveis de correu electrònic compatible amb HIPAA hauria de:
- Limitar l'accés a la informació electrònica. El proveïdor de serveis de correu electrònic hauria de mantenir els seus servidors en una ubicació segura, accessible només per personal autoritzat.
- Auditoria de qui accedeix a la informació. El proveïdor de serveis hauria de poder fer un seguiment de qui accedeix a la informació del sistema. Un registre de seguretat adequat hauria de fer un seguiment de l’usuari que va accedir a la informació, el dia i l’hora en què es va accedir i a qui es va enviar la informació.
- Transmissions de correu electrònic segures. Un proveïdor de serveis també hauria de protegir adequadament totes les transmissions de correu electrònic mitjançant xifratge i altres tècniques.
Pas 3. Obteniu el consentiment del pacient
Independentment del proveïdor de serveis que utilitzeu, sempre heu d’obtenir el consentiment d’un pacient per transmetre electrònicament la informació sobre l’assistència sanitària. De vegades, un pacient us enviarà informació per correu electrònic, però no hauríeu de suposar que això significa que el pacient accepta rebre informació electrònicament.
En el seu lloc, haureu de fer signar als pacients un full de contacte. En aquest formulari, el pacient us indicarà com prefereix contactar-hi. Heu de fer que els pacients actuals en signin un i assegureu-vos que tots els pacients nous en signen un a la primera visita
Pas 4. Utilitzeu el xifratge
Segons Health and Human Services, el xifratge no és obligatori tret que, després d’una avaluació del risc, es consideri una protecció adequada. A la pràctica, però, això significa que gairebé sempre haureu de xifrar correus electrònics i fitxers adjunts.
- El xifratge és una tècnica que converteix el text original en text codificat. És una manera de protegir la informació en cas que sigui interceptada per un tercer.
- El vostre proveïdor de serveis de correu electrònic compatible amb HIPAA us hauria d’explicar les seves tècniques per xifrar les comunicacions.
Pas 5. Conservar els registres
HIPAA requereix que conserveu els correus electrònics durant un màxim de sis anys. Això s’anomena “regla de retenció de sis anys”. El vostre proveïdor de serveis de correu electrònic hauria de poder garantir que mantindrà els correus electrònics durant aquest període de temps.
Pas 6. No utilitzeu el correu electrònic, si cal
És possible que vegeu que els costos de compliment per a l’enviament legal de la informació de salut del pacient superen el vostre pressupost. Si és així, sempre teniu l'opció de no enviar aquesta informació electrònicament.