Notice of Privacy Practices (NPP) – La connessione della maggior parte delle persone all’HIPAA
Quando si parla di HIPAA, la maggior parte delle persone fa riferimento alla Notice of Privacy Practices (NPP) che hanno ricevuto in ospedale, dal medico, dal dentista o dall’oculista.
La NPP è un documento che dice ai vostri pazienti, dipendenti o clienti come le loro informazioni sanitarie possono essere utilizzate e condivise ed elenca i loro diritti sulla privacy relativi alle informazioni sanitarie protette (PHI). È una parte del regolamento sulla privacy HIPAA e un requisito chiave per la vostra organizzazione. Questa settimana esamineremo i requisiti per una NPP.
La tua organizzazione è tenuta a creare e distribuire una NPP?
Tu hai ricevuto una Notice of Privacy Practices (NPP) quando sei andato dal medico. Ne avete ricevuta una, ma la vostra organizzazione è responsabile della creazione e distribuzione di una NPP per gli altri?
Dal 14 aprile 2003, i fornitori di servizi medici e dentistici hanno la responsabilità di fornire ai pazienti una copia di una Notice of Privacy Practices (NPP).
Come agenzia di assicurazione sanitaria, socio d’affari, o un gruppo di datori di lavoro che fornisce un piano sanitario di gruppo, l’HIPAA richiede di creare e distribuire una Notice of Privacy Practices a partire dal 2004.
Esattamente ciò che fornite ai vostri clienti in una NPP è molto specifico e come la distribuite dipende dal vostro settore. Indipendentemente dalle vostre dimensioni o specialità, dovete fornire ai vostri pazienti, dipendenti o clienti una Notice of Privacy Practices (NPP) e deve essere resa disponibile su richiesta in qualsiasi momento.
Creare la Notice of Privacy Practices (NPP)
Il modo più semplice per creare una Notice of Privacy Practices (NPP) è usare un modello; può assicurare che includa il linguaggio e le informazioni richieste dalla legge HIPAA.
La vostra Notice of Privacy Practices (NPP) sarà diversa a seconda del vostro settore. Troverete molte fonti diverse per i modelli, ma attenzione: non tutti sono creati uguali. Dovrete assicurarvi che il modello provenga da una fonte affidabile e che contenga le informazioni richieste. Per esempio, i fornitori di assistenza sanitaria o i responsabili di un piano sanitario possono fare riferimento al sito web di HHS per un modello di avviso NPP.1
Total HIPAA ha creato un Avviso sulle pratiche di privacy (NPP) per riflettere i requisiti separati dei cinque mercati che serviamo.
Per i vettori e le agenzie di assicurazione, la vostra NPP dovrebbe avere un linguaggio che faccia riferimento al Gramm-Leach-Bliley Financial Modernization Act (Aka GLB Act), così come l’HITECH Act.
Sebbene siate liberi di sviluppare i vostri formati NPP che includono il testo e le informazioni richieste, Total HIPAA fornisce modelli NPP che includono tutti i componenti federali richiesti, così come le leggi statali o altre leggi che possono richiedere maggiori limiti sulle divulgazioni.
Inoltre, i nostri NPP sono stati testati con i consumatori per la facilità di comprensione e l’attrattiva del design.
A prescindere dal settore, il vostro NPP deve contenere un linguaggio user-friendly e informazioni specifiche:
- Per tutti i requisiti NPP, fare riferimento ai regolamenti HIPAA in 45 CFR 164.520(b).
- Header: Tutte le NPP devono avere l’intestazione: “Questo avviso descrive come le informazioni mediche su di voi possono essere utilizzate e divulgate e come potete avere accesso a queste informazioni. Si prega di leggere attentamente.”
- Dichiarazione(i) di utilizzo, divulgazione:
- Descrivere i tipi di usi o divulgazioni di PHI che sono permessi senza autorizzazione da parte dell’individuo.
- Descrivere i tipi di usi o divulgazioni che richiedono un’autorizzazione o che l’individuo può scegliere di escludere:
- Note di psicoterapia
- Uso di PHI per scopi di marketing
- La vendita di PHI
- Altri usi e divulgazioni che non sono descritti nel NPP possono essere fatti solo con l’autorizzazione dell’individuo.
- Gli individui che possono rinunciare alle comunicazioni per la raccolta di fondi.
- (solo per i fornitori) NPP deve dichiarare che gli individui hanno la possibilità di limitare certe divulgazioni di PHI a un piano sanitario quando l’individuo paga interamente di tasca propria per l’elemento o il servizio di assistenza sanitaria.
- Diritti individuali: Devono essere descritti specifici diritti individuali secondo la Regola della Privacy. Questi diritti includono il diritto di richiedere restrizioni sull’uso o la divulgazione delle PHI, il diritto di ispezionare, copiare e modificare le PHI.
- Responsabilità dell’entità coperta: Il NPP deve specificare i doveri dell’entità coperta, che includono l’obbligo, secondo la legge, di mantenere la privacy delle PHI degli individui.
- Considerazioni aggiuntive:
- La data effettiva del NPP deve essere parte dell’avviso. La data non può essere precedente alla data di pubblicazione del 14 aprile 2003, o del 2004 per i piccoli piani sanitari. Il nome o il titolo e il numero di telefono di una persona del piano sanitario o del fornitore a cui possono essere rivolte le domande devono essere inclusi.
- Devono essere fornite informazioni su come presentare un reclamo all’organizzazione. Anche se il NPP deve anche informare le persone che i reclami possono essere presentati all’HHS, il NPP non ha bisogno di dettagliare come farlo.
- Il regolamento finale sulla privacy richiede che il NPP includa una dichiarazione che informi gli individui del diritto di essere notificati a seguito di una violazione di PHI non protetta.
Distribuire la Notice of Privacy Practices (NPP)
Quando si distribuisce la NPP, ci sono dei requisiti generali che ogni industria dovrebbe conoscere:
- Chiunque chieda una copia deve riceverla.
- Le entità coperte devono affiggere la NPP in modo visibile all’interno della sede fisica.
- Pubblicare sui loro siti web se il sito fornisce informazioni sui servizi o sui benefici per i clienti.
Riferimento ai punti seguenti per i requisiti specifici del settore per quanto riguarda la distribuzione del NPP:
Medici e dentisti:
- Fare in modo che sia affisso da qualche parte in modo visibile in ufficio, sul vostro sito web (se lo studio ne ha uno), e documentare che ogni paziente ne abbia ricevuto uno.
Agenzie di assicurazione:
- Se l’agenzia fornisce un piano sanitario di gruppo all’interno dell’organizzazione, uno deve andare ad ogni dipendente.
- L’agenzia deve distribuire agli individui (solo una copia per famiglia non importa quante persone sono nella copertura familiare) e se è un piano di gruppo, l’agenzia deve fornire una copia all’azienda (come cliente) e l’azienda è responsabile della distribuzione ad ogni dipendente.
Gruppi di datori di lavoro:
- Distribuire il NPP ai dipendenti che sono parte del piano sanitario di gruppo offerto.
Associati aziendali:
- Se l’associato aziendale fornisce un piano sanitario di gruppo, una copia deve andare ad ogni dipendente.
Riconoscimento del NPP
La legge HIPAA richiede a medici, ospedali o altri fornitori di assistenza sanitaria di tenere registrazioni che i clienti o dipendenti abbiano ricevuto l’avviso. Potete farlo ottenendo una firma che riconosca che l’individuo ha ricevuto la NPP o tenendo un registro datato della distribuzione della NPP.
- Una firma non significa che il cliente/dipendente abbia acconsentito a qualsiasi uso speciale o divulgazione (condivisione) di documenti sanitari.
- Rifiutare di firmare un riconoscimento non impedisce a un fornitore o piano di usare o divulgare informazioni sanitarie come HIPAA permette.
- Se il cliente o paziente rifiuta di firmare un riconoscimento, il fornitore deve tenere una registrazione di questo fatto.
- Come fornitore di assistenza sanitaria, puoi far firmare un paziente che riceve per la prima volta un NPP e poi scansionare il documento firmato nel suo file personale.
- Fai rivedere e firmare all’individuo un’autorizzazione a ricevere il NPP elettronicamente quando gli viene dato il NPP per notifiche future.
Aggiornare e mantenere il NPP
Devi aggiornare il tuo NPP almeno una volta ogni tre anni. In particolare:
- I pazienti di un fornitore di assistenza sanitaria devono essere ricordati dell’esistenza del NPP e informati su come ottenere una copia se la desiderano.
- Le compagnie e le agenzie di assicurazione devono inviare un NPP annualmente finché dura la relazione con il cliente.