Capacitación anual sobre el cumplimiento de HIPAA

La  Ley de Portabilidad y Responsabilidad del Seguro de Salud  fue promulgada en 1996. Es ejecutada por la Oficina de Derechos Civiles del Gobierno de los Estados Unidos. Es un conjunto de pautas federales creadas para permitir que los empleados lleven consigo su seguro médico si dejan un empleador, permiten que las personas accedan a un seguro médico a pesar de las condiciones preexistentes (bajo algunas condiciones) y establecen estándares de privacidad para la salud de un paciente información. 

  • La  Regla de privacidad de HIPAA  protege la privacidad de la información de salud individualmente identificable.
  • La Regla de seguridad de HIPAA establece estándares nacionales para la seguridad de la información médica electrónica.

La ley exige que se proporcione educación y capacitación sobre HIPAA a las personas que trabajan en la industria de la salud para garantizar la responsabilidad de la privacidad y la seguridad de la información de salud protegida. Las entidades cubiertas deben capacitar a todos los miembros de la fuerza laboral en las políticas y procedimientos de HIPAA.1

Regla de privacidad de HIPAA

Los Estándares para la Privacidad de la Información de Salud Individualmente Identificable (la Regla de Privacidad) fueron diseñados para tratar específicamente la protección de la información de salud personal de un individuo. Es importante para la vitalidad de su consultorio médico mantener el cumplimiento de HIPAA.

¿Quién está cubierto por la regla de privacidad?

  • Planes de salud
  • Proveedores de servicios de salud
  • Centros de intercambio de información de atención médica

 Una entidad cubierta, tal como se define en HIPAA, puede ser un plan de seguro de salud, un centro de información de atención médica o un proveedor de atención médica que transmita información médica protegida de manera electrónica y puede ser una organización, institución o persona.

Los médicos y otros profesionales de la salud que trabajan con pacientes y sus registros médicos confidenciales deben cumplir con las políticas, procedimientos y leyes diseñados para proteger la privacidad y confidencialidad del paciente. Todos los proveedores de atención médica tienen la responsabilidad de mantener a su personal capacitado e informado con respecto al  cumplimiento de HIPAA . Ya sea intencional o accidental, la divulgación no autorizada de PHI se considera una violación de HIPAA.

  • Socios de negocio

Un socio comercial, según lo define HIPAA, es cualquier persona o entidad que realiza negocios que involucran el uso o la divulgación de información médica protegida en nombre de una entidad cubierta y no es un empleado de la entidad cubierta. 

¿Qué información está protegida?

La PHI o Información de salud protegida se refiere a cualquier información de identificación individual incluida en el registro médico de un paciente que se transmite o se mantiene en cualquier forma. 

Usos y Divulgaciones

Una entidad cubierta puede usar o divulgar información médica protegida (PHI) sin autorización bajo ciertas condiciones.

  1. Al individuo
  2. Tratamiento, pago y operaciones de salud.
  3. Usos y Revelaciones con Oportunidad de Acuerdo u Objeto
  4. Uso incidental y divulgación.
  5. Interés público y actividades benéficas
  6. Conjunto de datos limitados para fines de investigación, salud pública o operaciones de atención médica

Aviso de prácticas de privacidad

Los proveedores de atención médica tienen la obligación de proporcionar a sus pacientes un Aviso de prácticas de privacidad. Este aviso, tal como lo exige la Regla de privacidad de HIPAA, otorga a los pacientes el derecho a ser informados sobre sus derechos de privacidad en relación con su información de salud protegida (PHI).

El aviso debe describir cierta información en términos fáciles de entender:

  • Cómo el proveedor usará y divulgará su PHI
  • Los derechos que tienen los pacientes sobre su propia PHI.
  • Una declaración que informa al paciente de las leyes que requieren que el proveedor mantenga la privacidad de su PHI
  • Con quién pueden comunicarse los pacientes para obtener más información sobre las políticas de privacidad del proveedor

Cumplimiento y Sanciones por Incumplimiento

Penalidades civiles de dinero

  • $ 100 por incumplimiento
  • Máximo de $ 25,000 por año por violaciones múltiples del mismo requisito

Sanciones penales (por obtener o divulgar a sabiendas la PHI en violación de HIPAA)

  • Multa de $ 50,000 y hasta un año de prisión
  • $ 100,000 de multa y hasta cinco años de prisión (si la violación involucra falsas pretensiones)
  • Multa de $ 250,000 y hasta diez años de prisión (si la violación implica la intención de vender, transferir o usar PHI)

2

Regla de seguridad de HIPAA

Las Normas de seguridad para la protección de la información electrónica de salud protegida (la Regla de seguridad)

La seguridad de HIPAA se refiere al establecimiento de salvaguardas para la PHI en cualquier formato electrónico. Esto incluye cualquier información utilizada, almacenada o transmitida electrónicamente. Cualquier instalación definida por HIPAA como una entidad cubierta tiene la responsabilidad de garantizar la privacidad y seguridad de la información de sus pacientes, así como de mantener la confidencialidad de su PHI.

¿Quién está cubierto por la regla de seguridad?

  • Planes de salud
  • Proveedores de servicios de salud
  • Centros de intercambio de información de atención médica

 Una entidad cubierta, tal como se define en HIPAA, puede ser un plan de seguro de salud, un centro de información de atención médica o un proveedor de atención médica que transmita información médica protegida de manera electrónica y puede ser una organización, institución o persona.

  • Socios de negocio

Un socio comercial, según lo define HIPAA, es cualquier persona o entidad que realiza negocios que involucran el uso o la divulgación de información médica protegida en nombre de una entidad cubierta y no es un empleado de la entidad cubierta.

¿Qué información está protegida?

La PHI electrónica o la Información de salud protegida se refieren a cualquier información de identificación individual incluida en el registro médico de un paciente que se transmite o se mantiene en cualquier forma. La regla de seguridad excluye la PHI transmitida oralmente o por escrito.

Simplificación administrativa

Las disposiciones de simplificación administrativa de HIPAA establecen estándares nacionales para la seguridad de la información de salud protegida electrónicamente. Esto incluye las reglas y estándares para transacciones y conjuntos de códigos e identificadores para empleadores y proveedores.

Transacciones y normas de conjunto de códigos

Las transacciones estándar para el intercambio electrónico de datos (EDI, por sus siglas en inglés) de datos de atención médica incluyen información sobre reclamos y encuentros, consejos sobre pagos y remesas, estado de reclamos, elegibilidad, inscripción y baja, referencias y autorizaciones, coordinación de beneficios y pagos de primas.

Los conjuntos de códigos estándar para diagnósticos, procedimientos y códigos de medicamentos incluyen HCPCS (Servicios / Procedimientos Auxiliares), CPT-4 (Procedimientos Médicos), CDT (Terminología Dental), ICD-9 (Diagnóstico y Procedimientos para pacientes hospitalizados), ICD-10( A partir del 1 de octubre de 2015) y los códigos NDC (códigos nacionales de medicamentos).

Normas de identificación para empleadores y proveedores

Los identificadores estándar incluyen el Número de Identificación del Empleador (EIN) y el Identificador Nacional del Proveedor (NPI). El EIN se utiliza para identificar a los empleadores en las transacciones estándar. La Identificación del proveedor nacional o NPI es un número de identificación único de 10 dígitos que se utiliza para reemplazar a los identificadores del proveedor, como el Número de identificación único del proveedor (UPIN) en las transacciones estándar de HIPAA. Los proveedores de atención médica están obligados por la regulación de HIPAA a obtener un NPI.

Las reglas para mantener la seguridad de HIPAA incluyen salvaguardas para tres áreas clave.

Salvaguardias Administrativas

  1. Desarrolle un proceso formal de gestión de la seguridad que incluya el desarrollo de políticas y procedimientos, auditorías internas, plan de contingencia y otras salvaguardas para garantizar el cumplimiento por parte del personal de la oficina médica.
  2. Asigne la responsabilidad de la seguridad a una persona designada para administrar y supervisar el uso de las medidas de seguridad y la conducta del personal.
  3. Implementar características que garanticen que el personal tenga la capacitación adecuada y la autorización para acceder a la PHI.
  4. Definir los niveles de acceso para todo el personal y cómo se otorga.
  5. Requerir que todo el personal de la oficina médica, incluida la administración, reciba capacitación en seguridad y tenga recordatorios periódicos y educación para el usuario.

Salvaguardias Físicas

  1. Archive la PHI en un lugar y lugar de trabajo seguro para los empleados (esto incluye el uso de cerraduras, llaves y distintivos que abren puertas) que restringen el acceso a personas no autorizadas e intrusos.
  2. Desarrolle políticas para verificar autorizaciones de acceso, control de equipos y manejo de visitantes. Desarrolle y proporcione documentación que incluya instrucciones sobre cómo su consultorio médico puede ayudar a proteger la PHI (por ejemplo, desconectar la computadora antes de dejarla desatendida)
  3. Proporcionar protección contra incendios y otros peligros.

Garantías técnicas

  1. Establezca una identificación de usuario única que incluya contraseñas y números de pin
  2. Adoptar un control de cierre de sesión automático.
  3. Registrar y examinar la actividad del sistema para fines de auditoría.
  4. Utilice controles de cifrado para proteger los datos transmitidos a través de una red

 Cumplimiento y Sanciones por Incumplimiento

Penalidades civiles de dinero

  • $ 100 por incumplimiento
  • Máximo de $ 25,000 por año por violaciones múltiples del mismo requisito

Sanciones penales (por obtener o divulgar a sabiendas la PHI en violación de HIPAA)

  • Multa de $ 50,000 y hasta un año de prisión.
  • $ 100,000 de multa y hasta cinco años de prisión (si la violación involucra falsas pretensiones)
  • Multa de $ 250,000 y hasta diez años de prisión (si la violación implica la intención de vender, transferir o usar PHI)

3

Consejos para evitar violar la HIPAA

  1. Tome los pasos necesarios para evitar revelar información a través de una conversación de rutina. Evite la divulgación de información a través de una conversación de rutina; discutir información del paciente en áreas de espera, pasillos o ascensores; disposición adecuada de la PHI; y el acceso a la información debe limitarse estrictamente a los empleados cuyos trabajos requieran esa información. La información básica puede parecer tan insignificante que puede mencionarse fácilmente en una conversación de rutina, pero solo debe compartirse según sea necesario.
  2. Evite hablar sobre la información del paciente en áreas de espera, pasillos o ascensores. Los visitantes u otros pacientes pueden escuchar la información confidencial. También asegúrese de mantener los registros de pacientes fuera de las áreas que sean accesibles para el público. Dado que los mostradores de facturación y las estaciones de enfermería están a la intemperie, haga un esfuerzo adicional para asegurarse de que las computadoras estén protegidas en todo momento. Los soportes de gráficos deben montarse y el panel frontal debe cubrirse de acuerdo con los estándares de HIPAA.
  3. La PHI nunca debe desecharse en el bote de basura. Cualquier documento arrojado a la basura está abierto al público y, por lo tanto, es una violación de la información. Hay muchas maneras de deshacerse de la PHI. La eliminación adecuada del papel PHI incluye la quema o la trituración. La PHI electrónica se puede eliminar borrando, eliminando, reformateando, incinerando, fundiendo o triturando.
  4. Hay una serie de tecnologías disponibles diseñadas para proteger los datos del paciente. Sea selectivo al elegir los dispositivos y el software que protegen los datos a través de una conexión inalámbrica, incluidos firewalls, antivirus, antispyware y tecnología de detección de intrusos. Tenga mucho cuidado al acceder a los datos a través de una conexión remota. Los especialistas de TI sugieren utilizar un sistema de autenticación de dos factores con tokens y contraseñas de seguridad.