L'HIPAA (Health Insurance Portability and Accountability Act) includeva procedure standardizzate per la protezione delle cartelle cliniche. La regola sulla privacy di HIPAA affronta il modo in cui le informazioni possono essere utilizzate e le misure che coprono le entità devono essere prese per garantire la riservatezza. Nell'ambito del problema della privacy, l'atto identifica metodi monouso accettabili per le informazioni personali.
Periodo di conservazione
HIPAA non impone quanto tempo devono essere conservati i registri di un paziente. Le leggi di ogni stato regolano il periodo di conservazione per le cartelle cliniche. Tuttavia, la regola sulla privacy HIPAA si applica per tutto il periodo di conservazione fino a quando i record non sono stati adeguatamente distrutti.
Distruzione di documenti cartacei
I registri cartacei comprendono cartelle mediche, flaconi di prescrizione con il nome del paziente e targhette identificative o braccialetti. Se un cassonetto, un bidone della spazzatura o un recipiente per il riciclaggio sono accessibili al pubblico o al personale non autorizzato, tutte le informazioni protette possono essere sminuzzate o altrimenti rese indecifrabili e illeggibili prima di essere collocate nel contenitore. Utilizzare un fornitore esterno per distruggere i record è accettabile se i record sono protetti fino a quando il venditore li preleva. Se giustificato dal tipo e dalle dimensioni del fornitore di assistenza sanitaria, è possibile utilizzare per lo smaltimento un cassonetto chiuso a chiave accessibile solo a chi è autorizzato a farlo.
Distruzione di dati elettronici
La regola sulla privacy HIPAA impone che i dati registrati su supporti elettronici possano essere sovrascritti con informazioni che non sono di natura sensibile o esposte a un campo magnetico di forza sufficiente a interrompere i dati registrati. Il fornitore può anche distruggere fisicamente i dischi o i nastri sciogliendoli, triturandoli, incenerendoli o polverizzandoli. Solo dopo che il supporto è reso illeggibile, tali supporti possono essere collocati in un cassonetto o un cestino della spazzatura accessibile. Nastri, dischi e computer possono essere riutilizzati se tutte le informazioni protette vengono prima eliminate dal supporto, dall'hardware o dal software che conteneva i dati.
Distruzione di dati detenuti dal personale di campo
Se le cartelle cliniche o le informazioni vengono fornite al personale esterno perché possano essere utilizzate nello svolgimento delle proprie mansioni, si applicano comunque le regole per il corretto smaltimento. I dipendenti possono distruggere le informazioni sul campo o restituirle alla sede del datore di lavoro per la distruzione.
