L’Health Insurance Portability Accountability Act (HIPAA) è stato approvato dal Congresso degli Stati Uniti nel 1996. Inizialmente era inteso a proteggere l’accesso di un paziente all’assicurazione. Successivamente, sono state aggiunte politiche di sicurezza per coprire la condivisione elettronica delle cartelle cliniche. Nonostante il fatto che queste regole siano in vigore da oltre due decenni, c’è ancora confusione sulla loro applicazione.
HIPAA chiama quei registri "informazioni sanitarie protette". Stabilisce politiche e standard per la condivisione delle informazioni sui pazienti, comprese le note dei medici, i risultati dei test medici, i rapporti di laboratorio e le informazioni di fatturazione.
I fornitori temono le multe che saranno costretti a pagare se condividono le informazioni con qualcuno o qualche entità al di fuori delle regole, quindi spesso proteggono eccessivamente le informazioni sui pazienti.
I pazienti si sentono frustrati nel cercare di ottenere informazioni per se stessi e per i propri cari, alcuni dei quali sono esclusi dall’accesso senza il permesso scritto del paziente. I pazienti sono spesso sorpresi di apprendere solo chi è autorizzato dalla legge ad accedere ai propri archivi. I pagatori, il governo, a volte i datori di lavoro e molti altri hanno accesso alle cartelle cliniche.
Puoi essere un paziente o un difensore autorizzato conoscendo le basi di HIPAA e avendo la certezza di richiedere record dai fornitori. Ecco alcuni miti su HIPAA e su come essi influenzano te, il paziente: M 1Myth: HIPAA impedisce la condivisione di informazioni con i membri della famiglia
Questo non è vero. Le leggi HIPAA sono estese e confuse. Molti medici non sono sicuri di ciò che sono e non possono condividere con i pazienti e le loro famiglie. Piuttosto che cercare di capire i regolamenti, alcuni provider dicono semplicemente no, non condivideranno le tue informazioni con un membro della famiglia o con nessun altro.
In effetti, le leggi sono state chiarite e le traduzioni della legge sono disponibili presso il Dipartimento di salute e servizi umani degli Stati Uniti. Con permessi specifici da parte tua, per iscritto, i record possono essere condivisi con chiunque tu abbia designato.
2M: Solo i pazienti o i caregiver possono ottenere copie dei record sanitari
Anche questo è falso. In realtà, ci sono molti altri individui e organizzazioni che possono accedere alle cartelle cliniche di un paziente senza il permesso del paziente, alcuni legalmente e alcuni illegalmente.
Le informazioni mediche personali possono essere ottenute da chiunque ti aiuti a pagare per la tua assistenza sanitaria, dall’assicurazione al governo al tuo datore di lavoro.
- Può anche essere ottenuto da chiunque voglia acquistarlo, sebbene possa essere aggregato e de-identificato al momento dell’acquisto.
- E a volte viene rubato o dato via per sbaglio.
- Scopri di più sulle molte persone, entità e organizzazioni che condividono, ottengono, acquistano o rubano giornali medici privati dei pazienti. M 3Mio: i datori di lavoro sono pagatori e possono accedere alle registrazioni dei dipendenti
Nella maggior parte dei casi, HIPAA proibisce ai datori di lavoro l’accesso ai dati di un paziente, indipendentemente dal fatto che paghino per cure. Ciò vale sia che il datore di lavoro partecipi ad un piano assicurativo esterno, sia che sia autoassicurato.
Se il datore di lavoro vuole accedere ai propri registri, è necessario fornire il permesso, per iscritto, per farlo. Ci sono alcune eccezioni alla regola, specialmente per i datori di lavoro auto-assicurati. M 4Myth: Le leggi HIPAA impediscono ai medici di scambiare messaggi di posta elettronica con i loro pazienti
Non è vero, anche se il medico ti ha detto che è vero. È possibile che il tuo fornitore utilizzi HIPAA come scusa, ma HIPAA non proibisce l’uso della posta elettronica tra medici e pazienti.
HIPAA richiede solo che le informazioni sulla salute siano salvaguardate e che l’e-mail normale che usiamo ogni giorno non sia affatto tutelata.
Esistono programmi che assicurano che l’e-mail sia protetta. Ad esempio, alcuni programmi di posta elettronica "crittografano" un’e-mail prima che essa viaggi attraverso Internet, trasformandola in codice illeggibile fino a quando qualcuno che ha la chiave per sbloccare il codice lo riceve. Altri installano sistemi che avvisano i loro pazienti che un messaggio li sta aspettando sul server sicuro del medico. In entrambi i casi, tutte le informazioni che i pazienti devono essere in grado di leggere un’e-mail sicura dal proprio medico vengono fornite in anticipo.
Tuttavia, per troppi provider, e come con altri aspetti di questo insieme di leggi, i requisiti di sicurezza delle e-mail potrebbero essere più di quelli che vogliono gestire e potrebbero usare HIPAA come scusa per non scambiare email con te.
Puoi saperne di più sullo scambio di email con il tuo medico. M 5Mese: i fornitori sono obbligati per legge a fornirvi tutti i documenti medici
In effetti, alcuni record potrebbero essere trattenuti e non forniti all’utente.
Se richiedi record ritenuti dannosi dal fornitore o dalla struttura, questi potrebbero negarti l’accesso. Questi record sono spesso record di salute mentale. Non possono essere nascosti solo perché il fornitore crede che ti turberanno. Ma puoi essere negato se il fornitore pensa che farai del male a te stesso a causa del loro risultato.
Se hai richiesto i tuoi registri, ma non ti sono stati forniti, ciò potrebbe essere dovuto al fatto che non hai seguito i passaggi richiesti dal fornitore per ottenere copie delle tue cartelle cliniche. Se hai seguito questi passaggi e ancora non riesci a ottenere quelle copie, allora nella maggior parte degli stati, il fornitore deve notificarti per iscritto che non le riceverai.
Ulteriori informazioni su come ottenere copie delle cartelle cliniche. M 6Mio: i pazienti a cui è stato negato l’accesso ai loro registri possono inviare delle copie
Esistono rimedi per i pazienti a cui viene negata la copia delle loro cartelle cliniche, ma una causa non è una di queste.
Il Dipartimento di salute e servizi umani (HHS) degli Stati Uniti fornisce una procedura che i pazienti possono seguire se ritengono che i loro diritti siano stati violati in base alle leggi HIPAA. Include la presentazione di un reclamo formale attraverso un processo online.
Se la violazione è atroce, l’HHS, o anche il Dipartimento di Giustizia, può invocare una sanzione per l’entità che viola, che va da una multa di $ 25.000 a 10 anni di carcere e una multa di $ 250.000.
Ecco i passi da seguire se ti è stato negato l’accesso alle cartelle cliniche. M 7Myth: le leggi HIPAA coprono la privacy e la sicurezza per tutte le cartelle cliniche
Ciò è parzialmente vero, ma solo in determinate circostanze.
Gli operatori sanitari, le strutture sanitarie e talvolta gli assicuratori sono le uniche entità vincolate da HIPAA.
Ma ci sono molti altri che potrebbero avere quell’informazione e non sono obbligati o regolati da HIPAA. Negli ultimi anni sono diventate disponibili dozzine di applicazioni web, molte gratuite, che invitano i pazienti a caricare le proprie informazioni mediche e sanitarie, di solito a scopo di archiviazione. Affermano che questi PHR (cartelle cliniche personali) diventano convenienti e disponibili in caso di emergenza se conservati in questo modo. E così sembrerebbe che lo siano.
Ma queste organizzazioni non sono limitate a fare quello che vogliono con quei documenti, anche se affermano che i registri sono privati e sicuri.
8Mio: i fornitori sono obbligati a correggere eventuali errori rilevati nei record dei pazienti
Ancora, questo è parzialmente vero. Hai il diritto di richiedere modifiche ai tuoi record, ma ciò non significa che verranno corretti.
Se il fornitore si rifiuta di apportare le modifiche, è possibile scrivere una lettera di contestazione sugli errori riscontrati. Il fornitore o la struttura deve includere la lettera nel file del paziente. M 9M: la tua salute e le cartelle cliniche non possono influenzare i tuoi record di credito
Sbagliato! Se i servizi ti sono stati forniti da un fornitore o da una struttura, hanno diritto al pagamento. Sono autorizzati a fare tutto ciò che è legale sotto la legge che raccoglie statuti per raccogliere quel debito, tra cui consegnare i file a un’agenzia di raccolta. Se rimani indietro nel pagare le tue spese mediche, questo verrà segnalato alle agenzie di credito e le tue lotte di pagamento verranno registrate sul tuo rapporto di credito.
La tua storia medica e problemi di pagamento possono anche essere segnalati al Medical Information Bureau che fornisce servizi di assicurazione sulla vita, tra gli altri, e lega insieme salute e credito. F Inoltre, FICO, l’organizzazione che sviluppa punteggi di credito per l’uso da parte dei finanziatori, ha iniziato a sviluppare "punteggi di adesione ai farmaci" nel 2011. Molti esperti ritengono che alla fine quei punteggi saranno messi insieme a punteggi di credito per trarre conclusioni sui singoli pazienti che, in girare, influenzare la loro capacità di accedere alle cure mediche o altri tipi di assicurazione sanitaria (vita, disabilità, altri).
10Mese: le informazioni mediche non possono essere vendute legalmente o utilizzate per il marketing
Questo è anche falso, a seconda di come tali informazioni saranno condivise, ea chi, e ovviamente, queste regole sono anche fonte di confusione per i fornitori. Ciò significa che questi diritti possono essere violati, sia che ciò sia intenzionale o non intenzionale.
Un esempio di quando le informazioni possono essere condivise per scopi di marketing è quando un ospedale usa la sua lista pazienti per informarti di un nuovo servizio che fornisce, un nuovo dottore che ha aderito allo staff, o un programma di raccolta di fondi.
Un esempio di quando le informazioni non possono essere condivise senza un’ulteriore autorizzazione da parte tua è quando un assicuratore che ha ottenuto le tue informazioni da uno dei tuoi fornitori, quindi usa o vende le tue informazioni per venderti un’assicurazione aggiuntiva o un altro prodotto relativo ai servizi che hai già ricevuto.
Puoi vedere come questi esempi sono confusi e come le varie entità che hanno accesso ai tuoi record potrebbero trarre vantaggio da questa confusione.
Esistono molti altri modi in cui le informazioni mediche vengono vendute e utilizzate per scopi di marketing. M 11M: HIPAA può essere usato come scusa
In generale, i pazienti e gli operatori sanitari possono trovare HIPAA utilizzato per prevenire o richiedere loro, per comportarsi o conformarsi alle regole di qualcun altro, anche quando non si applica affatto.
Questo è molto più facile da capire con gli esempi:
Esempio:
Un membro della famiglia o un avvocato vuole rimanere al capezzale di un paziente in ospedale dopo l’orario di visita. Uno dei membri dell’ospedale dice loro che non possono rimanere perché farebbe violare l’HIPAA perché interferisce con la privacy di un altro paziente.
Non è vero.
HIPAA non dice nulla sulla violazione della privacy altrui e non ha nulla a che fare con le ore di visita in ospedale. In questo caso, l’ospedale sta tentando di spiegare la loro inaccettabile politica di fare in modo che un protettore lasci il capezzale.
Esempio:
Un paziente anziano visita il suo medico e attende nella sala d’attesa fino a quando non viene chiamata. Quando finalmente viene chiamata, viene usato il suo nome. "Anna!" Lei obietta – perché non le piace l’assistente medica ventenne che la chiama con il suo nome di 85 anni. Le viene detto che non hanno scelta perché HIPAA significa che non possono usare il suo cognome.
Non è vero. In HIPAA ha rilasciato interpretazioni di "uso incidentale" nel 2002 che ha affrontato questa domanda in modo specifico (pagina 7), affermando che fino a quando le informazioni richiamate sono limitate, non c’è alcun problema nel chiamare i nomi. Pensaci: quando viene chiamato il nome di qualcuno, nessuno sta chiamando la loro diagnosi o i sintomi, il che significa che non ci sono informazioni mediche utilizzate in congiunzione con il nome del paziente. Usare solo un nome, o solo un cognome (Mrs. Smith) è perfettamente accettabile e non può essere interpretato come una violazione di HIPAA.
Esempio:
Un difensore del paziente inserisce il nome del suo paziente su un cartello sopra il letto d’ospedale del paziente come modo per assicurare che il paziente sia identificato correttamente e per prevenire errori come il farmaco sbagliato o altra terapia somministrata al suo paziente. Un dipendente dell’ospedale insiste perché rimuova il segno perché si tratta di una violazione HIPAA per identificare il paziente.
Non è vero. Lo stesso documento, a pagina 9, spiega che anche questo è un uso incidentale del nome del paziente e il segno non è una violazione della legge HIPAA.
- Una parola da Verywell Conoscere le basi di ciò che HIPAA significa e non significa è importante per la tua assistenza sanitaria. L’accesso alle cartelle cliniche può aiutarti a capire le tue condizioni e i tuoi trattamenti e ad essere un paziente autorizzato o un difensore di una persona cara.
