La Ley de Portabilidad y Responsabilidad del Seguro Médico fue promulgada en 1996. La aplica la Oficina de Derechos Civiles del Gobierno de los Estados Unidos. Es un conjunto de pautas federales creadas para permitir que los empleados lleven consigo su seguro médico si dejan un empleador, permiten que las personas accedan al seguro médico a pesar de las condiciones preexistentes (bajo ciertas condiciones) y establecen estándares de privacidad para la salud del paciente información.
- La Regla de Privacidad de HIPAA protege la privacidad de la información de salud individualmente identificable.
- La Regla de Seguridad HIPAA establece estándares nacionales para la seguridad de la información de salud electrónica.
La ley exige que se proporcione educación y capacitación de HIPAA a las personas que trabajan en la industria de la salud para garantizar la responsabilidad de la privacidad y seguridad de la información de salud protegida. Las entidades cubiertas deben capacitar a todos los miembros de la fuerza de trabajo en las políticas y procedimientos de HIPAA.
1 -
Regla de privacidad HIPAALos Estándares para la Privacidad de la Información de Salud de Identificación Individual (la Regla de Privacidad) se diseñaron para abordar específicamente la protección de la información de salud personal de un individuo. Es importante para la vitalidad de su consultorio médico mantener el cumplimiento de HIPAA.
¿Quién está cubierto por la regla de privacidad?
- Planes de salud
- Proveedores de servicios de salud
- Centros de información de atención médica
Una entidad cubierta, como se define en HIPAA, puede ser un plan de seguro de salud, una cámara de compensación de atención médica o un proveedor de atención médica que transmite información de salud protegida electrónicamente y puede ser organizaciones, instituciones o personas.
Los médicos y otros profesionales de la salud que trabajan con pacientes y sus registros médicos confidenciales deben cumplir con las políticas, procedimientos y leyes diseñados para proteger la privacidad y confidencialidad del paciente. Todos los proveedores de atención médica tienen la responsabilidad de mantener a su personal capacitado e informado con respecto al cumplimiento de HIPAA . Ya sea intencional o accidental, la divulgación no autorizada de PHI se considera una violación de HIPAA.
- Socios de negocio
Un socio comercial, según lo define HIPAA, es cualquier persona o entidad que realiza negocios que impliquen el uso o la divulgación de información de salud protegida en nombre de una entidad cubierta y no es un empleado de la entidad cubierta.
¿Qué información está protegida?
La PHI o información de salud protegida se refiere a cualquier información de identificación individual incluida en la historia clínica de un paciente que se transmite o mantiene en cualquier forma.
Usos y divulgaciones
Una entidad cubierta puede usar o divulgar información de salud protegida (PHI) sin autorización bajo ciertas condiciones.
- Para el individuo
- Tratamiento, pago y operaciones de atención médica
- Usos y divulgaciones con la oportunidad de estar de acuerdo u objetar
- Uso y divulgación incidental.
- Interés público y actividades de beneficios
- Conjunto de datos limitados para fines de investigación, salud pública u operaciones de atención médica
Aviso de prácticas de privacidad
Los proveedores de atención médica tienen la obligación de proporcionar a sus pacientes un Aviso de prácticas de privacidad. Este aviso, tal como lo requiere la Regla de Privacidad de HIPAA, otorga a los pacientes el derecho de ser informados sobre sus derechos de privacidad en lo que se refiere a su información de salud protegida (PHI).
El aviso debe describir cierta información en términos fáciles de entender:
- Cómo usará y divulgará su PHI el proveedor
- Los derechos que los pacientes tienen con respecto a su propia PHI
- Una declaración que informa al paciente de las leyes que requieren que el proveedor mantenga la privacidad de su PHI.
- A quién pueden contactar los pacientes para obtener más información sobre las políticas de privacidad del proveedor
Aplicación y sanciones por incumplimiento
Sanciones de dinero civil
- $ 100 por incumplimiento
- Máximo de $ 25,000 por año por infracciones múltiples del mismo requisito
Sanciones penales (por obtener o divulgar a sabiendas PHI en violación de HIPAA)
- $ 50,000 de multa y hasta un año de prisión
- Multa de $ 100,000 y hasta cinco años de prisión (si la violación implica falsas pretensiones)
- Multa de $ 250,000 y hasta diez años de prisión (si la violación implica intento de vender, transferir o usar PHI)
2 -
Regla de seguridad HIPAALas normas de seguridad para la protección de la información médica electrónica protegida (la regla de seguridad)
La seguridad de HIPAA se refiere al establecimiento de salvaguardas para la PHI en cualquier formato electrónico. Esto incluye cualquier información utilizada, almacenada o transmitida electrónicamente. Cualquier instalación definida por HIPAA como entidad cubierta tiene la responsabilidad de garantizar la privacidad y seguridad de la información de su paciente, así como de mantener la confidencialidad de su PHI.
¿Quién está cubierto por la regla de seguridad?
- Planes de salud
- Proveedores de servicios de salud
- Centros de información de atención médica
Una entidad cubierta, como se define en HIPAA, puede ser un plan de seguro de salud, una cámara de compensación de atención médica o un proveedor de atención médica que transmite información de salud protegida electrónicamente y puede ser organizaciones, instituciones o personas.
- Socios de negocio
Un socio comercial, según lo define HIPAA, es cualquier persona o entidad que realiza negocios que impliquen el uso o la divulgación de información de salud protegida en nombre de una entidad cubierta y no es un empleado de la entidad cubierta.
¿Qué información está protegida?
La PHI electrónica o Información de salud protegida se refiere a cualquier información de identificación individual incluida en la historia clínica de un paciente que se transmite o mantiene en cualquier forma. La regla de seguridad excluye la PHI transmitida oralmente o por escrito.
Simplificación Administrativa
Las disposiciones de simplificación administrativa de HIPAA establecen estándares nacionales para la seguridad de la información de salud protegida electrónica. Esto incluye las reglas y estándares para transacciones y conjuntos de códigos e identificadores para empleadores y proveedores.
Transacciones y estándares de conjunto de códigos
Las transacciones estándar para el Intercambio Electrónico de Datos (EDI) de datos de atención médica incluyen información sobre reclamos y encuentros, recomendaciones de pago y pago, estado de reclamos, elegibilidad, inscripción y desafiliación, derivaciones y autorizaciones, coordinación de beneficios y pago de primas.
Los conjuntos de códigos estándar para diagnósticos, procedimientos y códigos de medicamentos incluyen HCPCS (Servicios auxiliares / Procedimientos), CPT-4 (Procedimientos médicos), CDT (Terminología dental), ICD-9 (Diagnóstico y procedimientos hospitalarios para pacientes hospitalizados), ICD-10 ( A partir del 1 de octubre de 2015) y los códigos NDC (National Drug Codes).
Normas de identificación para empleadores y proveedores
Los identificadores estándar incluyen el Número de Identificación del Empleador (EIN) y el Identificador Nacional de Proveedor (NPI). El EIN se usa para identificar a los empleadores en las transacciones estándar. La identificación del proveedor nacional o NPI es un número de identificación único de 10 dígitos que se utiliza para reemplazar los identificadores del proveedor, como el número único de identificación del proveedor (UPIN) en las transacciones estándar de HIPAA. Los proveedores de atención médica son requeridos por la regulación de HIPAA para obtener un NPI.
Las reglas para mantener la seguridad de HIPAA incluyen salvaguardas para tres áreas clave.
Salvaguardias Administrativas
- Desarrollar un proceso formal de gestión de seguridad que incluya el desarrollo de políticas y procedimientos, auditorías internas, planes de contingencia y otras medidas de seguridad para garantizar el cumplimiento por parte del personal de la oficina médica.
- Asignar la responsabilidad de la seguridad a una persona designada para administrar y supervisar el uso de las medidas de seguridad y la conducta del personal.
- Implementar características que aseguren que el personal tenga la capacitación adecuada y la autorización adecuada para acceder a PHI.
- Definir niveles de acceso para todo el personal y cómo se otorga
- Exigir que todo el personal de la oficina médica, incluida la gerencia, reciba capacitación de seguridad y tenga recordatorios periódicos y educación para el usuario.
Salvaguardias Físicas
- Archive PHI en una ubicación segura y área de trabajo para empleados (esto incluye el uso de cerraduras, llaves y distintivos que desbloqueen puertas) que restrinjan el acceso a personas no autorizadas e intrusos.
- Desarrolle políticas para verificar autorizaciones de acceso, control de equipos y manejo de visitantes. Desarrolle y proporcione documentación que incluya instrucciones sobre cómo su consultorio médico puede ayudar a proteger su PHI (por ejemplo, cerrar la sesión de la computadora antes de dejarla desatendida)
- Proporcionar protección contra incendios y otros peligros
Salvaguardias Técnicas
- Establezca una identificación de usuario única que incluya contraseñas y números de pin
- Adoptar un control de cierre de sesión automático
- Registrar y examinar la actividad del sistema con fines de auditoría
- Utiliza controles de cifrado para proteger los datos transmitidos a través de una red
Aplicación y sanciones por incumplimiento
Sanciones de dinero civil
- $ 100 por incumplimiento
- Máximo de $ 25,000 por año por infracciones múltiples del mismo requisito
Sanciones penales (por obtener o divulgar a sabiendas PHI en violación de HIPAA)
- $ 50,000 de multa y hasta un año de prisión
- Multa de $ 100,000 y hasta cinco años de prisión (si la violación implica falsas pretensiones)
- Multa de $ 250,000 y hasta diez años de prisión (si la violación implica intento de vender, transferir o usar PHI)
3 -
Consejos para evitar la violación de HIPAA- Tome los pasos necesarios para evitar revelar información a través de una conversación de rutina. Evitar la divulgación de información a través de conversaciones de rutina; discutir la información del paciente en áreas de espera, pasillos o elevadores; eliminación adecuada de PHI; y el acceso a la información se limita estrictamente a los empleados cuyos trabajos requieren esa información. La información básica puede parecer tan insignificante que puede mencionarse fácilmente en una conversación de rutina, pero solo debe compartirse según la necesidad de conocerla.
- Evite hablar sobre la información del paciente en áreas de espera, pasillos o elevadores. La información confidencial puede ser escuchada por los visitantes u otros pacientes. También asegúrese de mantener registros de pacientes fuera de las áreas que son accesibles al público. Como los mostradores de facturación y las estaciones de enfermeras están a la vista, haga un esfuerzo adicional para asegurarse de que las computadoras estén seguras en todo momento. Los soportes gráficos deben montarse y cubrirse el panel frontal de acuerdo con los estándares HIPAA.
- La PHI nunca se debe tirar a la basura. Cualquier documento arrojado a la basura está abierto al público y, por lo tanto, es una violación de la información. Hay muchas maneras de deshacerse de la PHI. La eliminación correcta de PHI en papel incluye la quema o trituración. La PHI electrónica se puede eliminar borrando, eliminando, reformateando, incinerando, derritiendo o triturando.
- Hay varias tecnologías disponibles diseñadas para proteger los datos de los pacientes. Sea selectivo en la elección de dispositivos y software que protejan los datos a través de una conexión inalámbrica, que incluye firewalls, antivirus, antispyware y tecnología de detección de intrusos. Tenga extrema precaución al acceder a los datos a través de una conexión remota. Los especialistas en TI sugieren utilizar un sistema de autenticación de dos factores con tokens de seguridad y contraseñas.