HIPAA

HIPAA

HIPAA es la ley federal de 1996 que se conoce como Ley de “Portabilidad” y Responsabilidad del Seguro Médico (Health Insurance Portability and Accountability Act). La meta fundamental de la ley es facilitar a las personas el mantener un seguro médico, proteger la confidencialidad y la seguridad de la información del cuidado médico y ayudar a la industria del cuidado de la salud a controlar los costos administrativos.

HIPAA se divide en cinco títulos o secciones. Cada título trata un aspecto único de la reforma del seguro de salud. El Título I ya vigente es la movilidad (“portabilidad”). La movilidad permite a las personas llevar su seguro médico de un trabajo a otro para que no tengan un lapso en la cobertura. También restringe a los planes médicos de requerir condiciones preexistentes a personas que cambian un plan médico a otro.

El Titulo II se conoce como la Simplificación Administrativa y tendrá un impacto mayor para los proveedores. Se diseñó para:

  • Combatir el fraude y abuso en el cuidado de la salud;
  • Garantizar la seguridad y la privacidad de la información médica;
  • Establecer estándares para la información y transacciones médicas y
  • Reducir el costo del cuidado médico mediante la estandarización de la manera en que la industria comunica la información.

Los títulos restantes son:

  • Título III – Disposiciones de Salud Relacionadas a Impuestos
  • Título IV – Aplicación y Cumplimiento de los Requisitos de Planes Grupales de Salud
  • Título V – Retenciones de Ingresos

Requerimientos de HIPAA a los proveedores

A los proveedores se les requiere que:

1. Garanticen los derechos a la privacidad del paciente:

  • Entreguen a los pacientes explicaciones claras, por escrito de cómo el proveedor podría utilizar y revelar su información de salud;
  • Aseguren que los pacientes puedan ver y obtener copias de sus expedientes y solicitar correcciones;
  • Hagan un historial de revelaciones no rutinarias accesible a los pacientes;
  • Obtengan el consentimiento del paciente antes de compartir su información para tratamiento, pago y actividades del cuidado médico;
  • Obtengan la autorización del paciente para las revelaciones no rutinarias y la mayoría de los propósitos no relacionados al cuidado médico y permitan a los pacientes solicitar restricciones en los usos y revelaciones de su información

2. Adopten procedimientos de privacidad por escrito que incluyan:

  • Quién tiene acceso a la información protegida,
  • Cómo se utilizará dentro de la agencia y
  • Cuándo la información se revelará.

3.Se aseguren que los asociados del negocio protejan la privacidad de la información de salud.

4.Enseñen a los empleados los procedimientos de privacidad del proveedor.

5.Designen un oficial de privacidad que es responsable de asegurarse que los procedimientos de seguridad se cumplen.

Manteniéndonos al día con HIPAA

El 21 de abril de 2005 entró en vigor la regla de Seguridad de HIPPA. Toda entidad cubierta que maneje PHI de forma electrónica (ePHI) ya debe tener en vigor mecanismos que protejan el acceso, uso y divulgación a la información de pacientes que mantiene en medios electrónicos.
Los empleados debemos estar en conocimiento de las medidas de seguridad que podemos adoptar para hacer uso apropiado del sistema de información. Recordemos que en el mismo sistema en que se encuentra el PHI de nuestros pacientes, se encuentra el nuestro como empleado.
La Regla de Seguridad requiere que las entidades cubiertas tomen salvaguardas administrativas, técnicas y físicas para proteger la confidencialidad, integridad y disponibilidad del ePHI, Las medidas deben ser tomadas basándose en el tamaño y complejidad de la entidad cubierta como por ejemplo, las estrategias que usará un médico en su oficina privada no serán iguales a las que pondrá en vigor un hospital.

Categorías de los estándares de seguridad

Administrativa – Son en general funciones administrativas como políticas y procedimientos que apoyan el proceso de cumplimiento con los estándares. Comprenden un conjunto de medidas que protegen el ePHI y que guían la conducta de la fuerza trabajadora en relación a la protección de la información. Implica que estén en vigor o se hayan trabajado aspectos como: análisis y manejo de riesgos, adiestramientos de seguridad y política de sanciones

Físicas – Se compone de mecanismos para proteger el acceso a lugares, equipos y sistemas en los que se conserva información de salud protegida en medios electrónicos. La protección va desde contra amenazas ambientales hasta el acceso de personas no autorizadas.

Técnicas – Son primordialmente procesos automatizados para controlar el acceso y uso no autorizado de la información. Incluye el uso de mecanismos de control de acceso e identificación de usuarios para verificar que el personal que hace uso del sistema de información está autorizado para ello.