A Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) incluiu procedimentos padronizados para proteger registros de saúde. A Regra de Privacidade da HIPAA aborda como as informações podem ser usadas e as etapas que as entidades cobertas devem tomar para garantir a confidencialidade. Como parte da questão de privacidade, o ato identifica métodos descartáveis aceitáveis para informações pessoais.
Período de retenção
O HIPAA não determina por quanto tempo os registros de um paciente devem ser mantidos. As leis de cada estado regem o período de retenção de registros médicos. No entanto, a Regra de Privacidade HIPAA se aplica durante todo o período de retenção até que os registros tenham sido destruídos adequadamente.
Destruição de Registros em Papel
Registros em papel incluem arquivos médicos, frascos de prescrição com o nome do paciente e etiquetas ou braceletes de identificação. Se um dumpster, lixeira ou receptáculo de reciclagem puder ser acessado pelo pessoal público ou não autorizado, todas as informações protegidas serão destruídas ou tornadas indecifráveis e ilegíveis antes de serem colocadas no contêiner. Usar um fornecedor externo para destruir os registros é aceitável se os registros estiverem protegidos até que o fornecedor os recolha. Se justificado pelo tipo e tamanho do prestador de cuidados de saúde, um contentor de lixo bloqueado que só pode ser acedido por pessoas com autoridade para o fazer pode ser utilizado para eliminação.
Destruição de dados eletrônicos
A regra de privacidade HIPAA exige que os dados gravados em mídia eletrônica sejam substituídos por informações que não sejam de natureza sensível ou estejam expostas a um campo magnético de força suficiente para interromper os dados gravados. O provedor também pode destruir fisicamente os discos ou fitas derretendo, rasgando, incinerando ou pulverizando-os. Somente depois que a mídia for ilegível, essa mídia poderá ser colocada em um dumpster ou lixeira acessível. Fitas, discos e computadores podem ser reutilizados se todas as informações protegidas forem limpas da mídia, hardware ou software que armazenou os dados.
Destruição de Dados Retidos pelo Pessoal de Campo
Se os registros ou informações de saúde forem fornecidos ao pessoal externo para uso no desempenho de suas funções, as regras para o descarte adequado ainda se aplicam. Os funcionários podem destruir as informações no campo ou devolvê-las ao local de trabalho do empregador para serem destruídas.