Confidenzialità, privacy e sicurezza delle informazioni sanitarie: Balancing interests

Posted by admin Articles

Scritto da Valerie S. Prater, MBA, RHIA, Clinical Assistant Professor
Biomedical and Health Information Sciences
University of Illinois at Chicago
December 8, 2014

Tre concetti importanti e correlati sono spesso usati in modo intercambiabile nel discutere la protezione delle informazioni sanitarie all’interno del sistema sanitario statunitense: riservatezza, privacy e sicurezza. Tuttavia, ognuno di questi concetti ha un diverso significato fondamentale e un ruolo unico.

Più spesso “HIPAA” viene in mente quando si parla di privacy delle informazioni sanitarie; tuttavia, il concetto di riservatezza del paziente esiste da molto più tempo. Questo articolo esplorerà brevemente le differenze nel significato di privacy, sicurezza e riservatezza delle informazioni sanitarie. Saranno offerti esempi selezionati di fonti di legge e linee guida rispetto a questi concetti. Le sfide nel bilanciare gli interessi degli individui, dei fornitori di assistenza sanitaria e del pubblico saranno notate, così come il ruolo dei professionisti della gestione delle informazioni sanitarie.

Confidenzialità

La confidenzialità nell’assistenza sanitaria si riferisce all’obbligo dei professionisti che hanno accesso alle registrazioni o alle comunicazioni dei pazienti di mantenere tali informazioni in confidenza. Radicato nella riservatezza della relazione paziente-fornitore che può essere fatta risalire al quarto secolo a.C. e al giuramento di Ippocrate, questo concetto è fondamentale per le linee guida dei professionisti medici per la riservatezza (McWay, 2010, p. 174). Questo obbligo professionale di mantenere la riservatezza delle informazioni sanitarie è sostenuto nei codici etici delle associazioni professionali, come si può vedere nel principio I del codice etico dell’American Health Information Management Association, “Sostenere, sostenere e difendere il diritto dell’individuo alla privacy e la dottrina della riservatezza nell’uso e nella divulgazione delle informazioni” (AHIMA, 2011).

La riservatezza è riconosciuta dalla legge come comunicazione privilegiata tra due parti in un rapporto professionale, come nel caso di un paziente e un medico, un infermiere o un altro professionista clinico (Brodnik, Rinehart-Thompson, Reynolds, 2012). Come pazienti, ci aspettiamo una comunicazione confidenziale in queste relazioni. Mentre l’applicazione nei procedimenti legali è soggetta alle regole probatorie e alla considerazione del bisogno pubblico di informazioni, il sostegno della comunicazione privilegiata può essere visto nella giurisprudenza. Un esempio è la storica decisione Jaffee contro Redmond, dove la Corte Suprema degli Stati Uniti ha sostenuto il rifiuto di un terapeuta di rivelare informazioni sensibili del cliente durante il processo (Beyer, 2000). Scrivendo l’opinione della maggioranza, il giudice Stevens ha detto:

Una psicoterapia efficace… dipende da un’atmosfera di confidenza e fiducia in cui il paziente è disposto a fare una rivelazione franca e completa… Il privilegio dello psicoterapeuta serve l’interesse pubblico facilitando la fornitura di un trattamento adeguato per gli individui che soffrono gli effetti di un problema mentale o emotivo (Jaffee v. Redmond, 1996, p. 9).

Quando si considerano informazioni sanitarie sensibili che richiedono livelli speciali di riservatezza, come nel caso del trattamento della salute mentale, gli statuti statali forniscono una guida per i professionisti della gestione delle informazioni sanitarie. In Illinois, per esempio, il Mental Health and Developmental Disabilities Confidentiality Act offre requisiti dettagliati per l’accesso, l’uso e la divulgazione di informazioni riservate sui pazienti, compresi i procedimenti legali (MHDDCA, 1997).

Privacy

La privacy, distinta dalla riservatezza, è vista come il diritto del singolo cliente o paziente di essere lasciato solo e di prendere decisioni su come le informazioni personali vengono condivise (Brodnik, 2012). Anche se la Costituzione degli Stati Uniti non specifica un “diritto alla privacy”, i diritti alla privacy rispetto alle decisioni sanitarie individuali e alle informazioni sanitarie sono stati delineati nelle decisioni dei tribunali, negli statuti federali e statali, nelle linee guida delle organizzazioni di accreditamento e nei codici etici professionali.

L’esempio più importante è la norma federale sulla privacy HIPAA, che stabilisce standard nazionali per la protezione della privacy delle informazioni sanitarie e definisce le “informazioni sanitarie protette” (HHSa, 2003, p. 1). Uno scopo dichiarato della HIPAA Privacy Rule “…è quello di definire e limitare le circostanze in cui le informazioni sanitarie protette di un individuo possono essere utilizzate o divulgate…” (HHSa, 2003, p. 4).

Estabilito ai sensi del più ampio Health Insurance Portability and Accountability Act del 1996 (HIPAA), come descritto dal U.S. Department of Health and Human Services (HHS), la Privacy Rule, “…trova un equilibrio che permette un uso importante delle informazioni, mentre protegge la privacy delle persone che cercano assistenza e guarigione” (HHSa, 2003, p. 1). Agli individui vengono forniti alcuni elementi di controllo, come il diritto di accedere alle proprie informazioni sanitarie nella maggior parte dei casi e il diritto di richiedere la modifica di informazioni sanitarie inesatte (HHSa, 2003, pp. 12-13). Tuttavia, nel tentativo di trovare un equilibrio, la norma prevede numerose eccezioni all’uso e alla divulgazione di informazioni sanitarie protette senza l’autorizzazione del paziente, anche per il trattamento, il pagamento, le operazioni dell’organizzazione sanitaria e per alcune attività di salute pubblica (HHSa, 2003, pp. 4-7).

Sebbene il dibattito continui sul fatto che la HIPAA Privacy Rule abbia sostanzialmente rafforzato i diritti alla privacy individuale, ha certamente aumentato la consapevolezza del tema della privacy delle informazioni sanitarie, dei problemi che circondano la sua protezione e del ruolo del paziente in questo processo. Non c’è dubbio che i ruoli dei professionisti della gestione delle informazioni sanitarie sono stati influenzati dalle responsabilità per la conformità alla HIPAA Privacy Rule. Riflettendo sul decimo anniversario della Privacy Rule e le sue modifiche più recenti ai sensi della legge HITECH (Health Information Technology for Economic and Clinical Health), Daniel Solove ha osservato:

HIPAA si è evoluta nel corso dell’ultimo decennio ed è stata notevolmente rafforzata dalla legge HITECH del 2009 e dai suoi regolamenti di modifica HIPAA pubblicati nel gennaio 2013. Qualunque cosa si possa pensare dell’HIPAA, è difficile contestare che ha avuto un grande impatto sui pazienti, l’industria sanitaria e molti altri negli ultimi 10 anni e continuerà a plasmare i professionisti sanitari e HIM per molti anni a venire. (Solove, 2013)

Anche prima che la conversazione sulla privacy sanitaria fosse dominata dall’HIPAA, un’importante decisione della Corte Suprema, Whalen contro Roe, ha riconosciuto il diritto alla privacy delle informazioni sanitarie (1977). Questo caso considerava uno statuto statale che richiedeva che i medici riportassero per l’inserimento in un database computerizzato del Dipartimento della Salute di New York informazioni sulla prescrizione di certi tipi di farmaci che potevano essere abusati o prescritti in eccesso; le informazioni includevano il nome del paziente, del medico e della farmacia, e il dosaggio del farmaco (McWay, 2010, p. 176). Un gruppo di pazienti e due associazioni di medici hanno fatto causa, dicendo che questo violava il rapporto protetto medico-paziente (Whalen v. Roe, 1977). Nel sostenere questa legge, la Corte ha riconosciuto l’interesse dell’individuo nella protezione della privacy, pur dando maggior peso al diritto dello Stato di affrontare una questione di interesse pubblico; le procedure in atto presso il Dipartimento della Salute per proteggere la privacy delle informazioni sono state anche notate come un fattore nella decisione (Whalen v. Roe, 1977).

La decisione della Corte Suprema in Whalen v. Roe ha affrontato la nozione di interesse equilibrato visto nella successiva HIPAA Privacy Rule. Dicendo “…la divulgazione di informazioni mediche private ai medici, al personale ospedaliero, alle compagnie di assicurazione e alle agenzie sanitarie pubbliche è spesso una parte essenziale della moderna pratica medica”, la corte non ha dato agli individui il controllo assoluto sulla condivisione delle proprie informazioni sanitarie (Whalen v. Roe, 1977). È interessante notare che la decisione Whalen ha anche notato la crescente preoccupazione per la raccolta di informazioni private in formato elettronico, e il ruolo delle linee guida normative. Come dichiarato dai giudici:

Non siamo inconsapevoli della minaccia alla privacy implicita nell’accumulo di grandi quantità di informazioni personali in banche dati computerizzate….Il diritto di raccogliere e utilizzare tali dati per scopi pubblici è tipicamente accompagnato da un concomitante dovere statutario o normativo di evitare divulgazioni ingiustificate (Whalen v. Roe, 1977).

Sicurezza

La sicurezza si riferisce direttamente alla protezione, e in particolare ai mezzi utilizzati per proteggere la privacy delle informazioni sanitarie e sostenere i professionisti nel mantenere tali informazioni riservate. Il concetto di sicurezza è stato a lungo applicato ai documenti sanitari in forma cartacea; gli armadietti chiusi a chiave sono un semplice esempio. Con l’aumento dell’uso dei sistemi di cartelle cliniche elettroniche e la trasmissione di dati sanitari per sostenere la fatturazione è diventata la norma, la necessità di linee guida normative specifiche per le informazioni sanitarie elettroniche è diventata più evidente. L’HIPAA Security Rule ha fornito i primi standard nazionali per la protezione delle informazioni sanitarie. Affrontando le salvaguardie tecniche e amministrative, l’obiettivo dichiarato dell’HIPAA Security Rule è quello di proteggere le informazioni identificabili individualmente in forma elettronica – un sottoinsieme di informazioni coperte dalla Privacy Rule – mentre permette ai fornitori di assistenza sanitaria un accesso appropriato alle informazioni e la flessibilità nell’adozione della tecnologia (HHS, 2003b). Ancora una volta, questa nozione di equilibrio appare nella legge: il necessario accesso da parte dei fornitori di assistenza sanitaria contro la protezione delle informazioni sanitarie degli individui.

Le violazioni della riservatezza devono ora affrontare sanzioni più gravi, date le modifiche ad entrambe le norme sulla privacy e sulla sicurezza dell’HIPAA in seguito alla pubblicazione delle disposizioni della legge finale dell’HITECH Act. Nell’annunciare la pubblicazione di questi cambiamenti, conosciuti collettivamente come la Regola Omnibus, l’allora segretario dell’HHS Kathleen Sebelius ha riconosciuto il cambiamento che impatta sull’assistenza sanitaria dalla promulgazione iniziale dell’HIPAA: “La nuova regola aiuterà a proteggere la privacy del paziente e a salvaguardare le informazioni sanitarie dei pazienti in un’era digitale in continua espansione” (HHS, 2013).

Conclusione

Le fonti di legge e le linee guida qui indicate sono solo esempi di molte considerazioni sulla riservatezza, la privacy e la sicurezza delle informazioni sanitarie. La gestione delle informazioni sanitarie elettroniche presenta sfide uniche per la conformità normativa, per le considerazioni etiche e, infine, per la qualità delle cure. Con l’espansione dell'”uso significativo” del sistema di cartelle cliniche elettroniche e la raccolta di più dati, ad esempio dai dispositivi sanitari mobili, la sfida per le organizzazioni sanitarie si espande.

Una risposta a questa sfida è la governance delle informazioni, descritta come la gestione strategica delle informazioni a livello aziendale, comprese le politiche e le procedure relative alla riservatezza, alla privacy e alla sicurezza delle informazioni sanitarie; questo include il ruolo di stewardship (Washington, 2010). I manager delle informazioni sanitarie sono qualificati in modo unico per servire come amministratori delle informazioni sanitarie, con un apprezzamento dei vari interessi in quelle informazioni, e la conoscenza delle leggi e delle linee guida che parlano di riservatezza, privacy e sicurezza. Il ruolo dello steward comprende non solo la garanzia dell’accuratezza e della completezza del record, ma anche la protezione della sua privacy e sicurezza (Washington, 2010).

Tutti coloro che lavorano con le informazioni sanitarie – professionisti dell’informatica sanitaria e della gestione delle informazioni sanitarie, medici, ricercatori, amministratori aziendali e altri – hanno la responsabilità di rispettare tali informazioni. E come pazienti, abbiamo il diritto alla privacy per quanto riguarda le nostre informazioni sanitarie e l’aspettativa che le nostre informazioni siano tenute in confidenza e protette. Come cittadini, il nostro interesse pubblico nelle informazioni sanitarie può prevalere, come in situazioni che riguardano la salute pubblica o il crimine. Bilanciare i vari interessi nelle informazioni sanitarie e sostenere la loro riservatezza, privacy e sicurezza presenta sfide continue e importanti all’interno del sistema sanitario e legale degli Stati Uniti, e opportunità di carriera per i professionisti della gestione delle informazioni sanitarie.

AHIMA. (2011). Codice etico dell’American Health Information Management Association.
http://library.ahima.org/xpedio/groups/public/documents/ahima/bok1_024277.hcsp?dDocName=bok1_024277

Beyer, Karen. (2000). “In prima persona: Jaffee contro Redmond Il terapeuta parla”. American Psychoanalyst,
Volume 34, no. 3. Retrieved from http://jaffee-redmond.org/articles/beyer.htm

Brodnik, M., L. Rinehart-Thompson and R. Reynolds (2012). Fondamenti di diritto per i professionisti dell’informatica sanitaria
e della gestione delle informazioni. Chicago: AHIMA Press. Capitolo 1.

Jaffee v. Redmond. 518 U.S. 1; 116 S. Ct. 1923; 135 L. Ed. 2d 337 (1996). LEXIS 3879. Recuperato da
http://www.lexisnexis.com/hottopics/lnacademic.

Mental Health and Developmental Disabilities Confidentiality Act (MHDDCA) (740 ILCS 110). In vigore
l’1 luglio 1997. Assemblea Generale dell’Illinois. Retrieved from
http://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=2043&ChapAct=740%26nbsp%3BILCS%26n bsp%3B110%2F&ChapterID=57&ChapterName=CIVIL+LIABILITIES&ActName=Mental+Health+and+Developmental+Disabilities+Confidentiality+Act%2E

McWay, Dana. (2010). Aspetti legali ed etici delle informazioni sanitarie, terza edizione. New York: Cengage Learning. Capitolo 9.

Solove, D. (2013).HIPAA compie 10 anni. Analizzando l’impatto passato, presente e futuro. Journal of AHIMA 84, no.4 (aprile 2013): 22-28.

The American Psychoanalytic Association. (2014). Casi emblematici. Retrieved from
http://apsa.org/Programs/Advocacy/Landmark_Cases.aspx

U.S. Department of Health and Human Services (HHSa), Office for Civil Rights. (2003). Riassunto della norma sulla privacy HIPAA. Recuperato da http://www.hhs.gov/ocr/privacy/hipaa/understanding/summary/privacysummary.pdf

U.S. Department of Health and Human Services (HHSb), Office for Civil Rights. (2003). Riassunto della norma di sicurezza HIPAA. Retrieved from http://www.hhs.gov/ocr/privacy/hipaa/understanding/srsummary.html

U.S. Department of Health and Human Services (HHS), Office for Civil Rights. (2013). Omnibus HIPAA Rulemaking, http://www.hhs.gov/ocr/privacy/hipaa/administrative/omnibus/index.html

Washington, L. (2010). “Da Custode a Amministratore: Evoluzione dei ruoli nella transizione E-HIM.”
Journal of AHIMA. (Volume 81, no.5: 42-43).

Whalen v. Roe. 429 U.S. 589; 97 S. Ct. 869; 51 L. Ed. 2d 64 (1977). LEXIS 42. Retrieved from
http://www.lexisnexis.com/hottopics/lnacademic.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.