|
|
HIPAA
Protezione dei dati relativi alla salute - FDA Part 11
Registrazioni Elettroniche e Firma Elettronica
ISOplan
assiste le aziende per rendere i software sanitari
conformi alle norme USA relative alla salvaguardia della
riservatezza delle informazioni personali inerenti lo stato di salute
degli individui (PHI: patient protected health information) .
ISOplan verifica inoltre l'applicazione della Part 11 di FDA,
registrazioni Elettroniche e firme elettroniche, redige il protocollo
di validazione del software e documenta il relativi test.
In base alla normativa HIPAA l'organizzazione è tenuta :
a) a garantire la riservatezza, l'integrità e la disponibilità di tutte
le informazioni elettroniche protette inerenti la salute ('informazioni
elettroniche protette' o semplicemente 'informazioni protette')
ricevute, create, conservate o trasmesse nello svolgimento del suo
servizio;
b) a proteggersi contro eventuali minacce ragionevolmente prevedibili o
pericoli per la sicurezza informatica o per l'integrità di tali
informazioni;
c) a proteggersi contro gli usi ragionevolmente prevedibili o la
divulgazione di tali informazioni che non siano consentiti;
d) ad assicurarsi che i suoi dipendenti/collaboratori si conformino a
tali obblighi;
e) a tenere aggiornate le relative procedure.
Per adempiere a tali obblighi, l'organizzazione deve adottare
particolari politiche e procedure. Le politiche e procedure attuate per
rispettare la Security Rule devono essere tenute per iscritto (anche su
supporto elettronico) e andranno riviste periodicamente e aggiornate
secondo necessità.
Time limit: 6 anni dalla data della creazione o dall'ultima volta che
la procedura è stata in vigore.
In ogni caso, le misure vanno concretamente adottate tenuto conto di:
a) dimensioni, complessità e capacità di dell'organizzazione;
b) infrastruttura tecnica della società, caratteristiche di sicurezza
dell'hardware e del software;
c) costi delle misure di sicurezza;
d) la probabilità e la criticità dei rischi potenziali per le
informazioni elettroniche protette relative alla salute.
Sanzioni
Quanto alle possibili conseguenze di un accertamento positivo di
violazione da parte dell'autorità preposta del Department of Health and
Human Services, le sanzioni pecuniarie applicabili sono le seguenti:
a) se l'inadempiente non sapeva o non poteva sapere usando l'ordinaria
diligenza che stava violando la disposizione HIPAA la pena sarà non
inferiore a $ 100 e non superiore a $ 50.000 per ciascuna
violazione, o a non più di $ 1.500.000 per identiche
violazioni ripetute nel corso dell'anno solare;
b) qualora la violazione sia dovuta a giusta causa e non a negligenza
volontaria, la pena sarà non inferiore a $1.000 e non superiore a $
50.000 per ogni violazione, o non più di $1.500.000 per identiche
violazione ripetute nel corso dell'anno solare;
c) se la violazione è stata commessa con negligenza volontaria ma è
stata corretta nei 30 gg successivi a quando è stata scoperta (o
avrebbe dovuto essere scoperta), la pena sarà non inferiore a $10.000 e
non superiore a $50.000 per ogni violazione, o non più di $1.500.000
per identiche violazione ripetute nel corso dell'anno solare;
d) se la violazione è stata commessa con negligenza volontaria e non è
stata corretta nei 30 gg successivi a quando è stata scoperta (o
avrebbe dovuto essere scoperta), la pena sarà non inferiore a
$ 50.000 e non più di $1.500.000 per identiche violazione
ripetute nel corso dell'anno solare.
IL TERMINE per l'applicazione di tali sanzioni è di 6 anni dalla
commissione della violazione. L'intenzione di applicare la sanzione
deve essere comunicata per iscritto all'inadempiente, che entro 90 gg.
può chiedere di essere sentito da un Giudice Amministrativo.
|
|
Studio
di consulenza per aziende medicali e
sanitarie
Scriveteci