Cumplimiento de HIPAA

En el 2017, Cyper comenzó a trabajar con clientes de la industria de la salud en Norte America.

En Cyper, estamos profundamente comprometidos con la protección de datos de nuestros clientes.

  • En 2018, Cyper, por primera vez, pasó su auditoría de seguridad y confirmó su cumplimiento con las regulaciones de HIPAA ante Compliancy Groupe.
  • En 2019, Cyper, por segunda vez, pasó su auditoría de seguridad y confirmó una vez más su cumplimiento con las regulaciones de HIPAA ante Compliancy Groupe.

Acerca de HIPAA

Fuente: https://searchhealthit.techtarget.com/definition/HIPAA

Inicio del proceso:

“HIPAA (Health Insurance Portability and Accountability Act)”

HIPAA (Health Insurance Portability and Accountability Act de 1996) es la legislación de los Estados Unidos que proporciona disposiciones de seguridad y privacidad de datos en el área de protección de la información de salud. La ley ha visto un interés renovado en los últimos años con la proliferación de violaciones de datos de salud causadas por ataques cibernéticos y ataques de ransomware.

El proyecto de ley, que fue firmado por el presidente Bill Clinton, contiene 5 secciones.

Sección I: Reforma del Seguro de Salud bajo HIPAA

La Sección I garantiza la cobertura de seguro de salud para las personas que cambian de trabajo o pierden su trabajo. También prohíbe que los planes de seguro de salud grupal nieguen cobertura a personas con enfermedades específicas o condiciones médicas preexistentes, así como limitar la cobertura de por vida.

Sección II: Simplificación Administrativa bajo HIPAA

La Sección II ordena al Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS por sus siglas en Inglés) a establecer estándares nacionales para el procesamiento de transacciones electrónicas de atención médica. También requiere que las organizaciones de atención médica implementen un acceso electrónico seguro a los datos de salud y cumplan con las normas de privacidad establecidas por el HHS.

Sección III: Disposiciones de salud relacionadas con los impuestos de HIPAA

La Sección III incluye información fiscal e instrucciones de atención médica.

Sección IV: Aplicación e Implementación de Requisitos para Planes de Seguro de Salud Colectivo

La Sección IV establece la reforma del seguro de salud con más detalle, incluyendo información para personas con condiciones de salud preexistentes y aquellas que buscan cobertura permanente.

Sección V: Compensación de Ingresos

La Sección V incluye información sobre el seguro de vida comercial y el tratamiento de quienes pierden su ciudadanía estadounidense debido a los impuestos sobre la renta.

En los círculos de atención médica, la adherencia a la Sección II es a lo que la mayoría se refiere cuando habla sobre el cumplimiento de HIPAA. También conocida como las disposiciones de Simplificación Administrativa, la Sección II incluye los siguientes criterios para el cumplimiento bajo HIPPA:

  • Estándar Nacional de Identificación de Proveedores. Cada entidad en el negocio de la atención médica, y eso incluye individuos, empleadores, planes de salud y proveedores de atención médica, debe contar con un número de identificación de proveedor único nacional o NPI de 10 dígitos.
  • Estándar de Transacciones y Conjuntos de Códigos. Las organizaciones de atención médica deben seguir un mecanismo estandarizado de intercambio electrónico de datos (EDI: electronic data exchange) para enviar y procesar reclamos de seguros.
  • Política de privacidad de HIPAA. Conocido oficialmente como el Estándar de Privacidad de la Información de Salud Individualmente Identificable, esta regla establece estándares nacionales con el fin de proteger la información de salud del paciente.
  • Regla de seguridad HIPAA. Los Estándares de Seguridad para la Protección de la Información de Salud Protegida Electrónicamente, establece normas que aseguran la seguridad de los datos de los pacientes.
  • Regla de cumplimiento de HIPAA. Esta regla establece las pautas para las investigaciones de violaciones de cumplimiento de HIPAA.

¿Cuál es el propósito de HIPAA?

HIPAA, también conocida como Ley Pública 104-191, tiene dos objetivos principales: brindar cobertura de seguro médico a los trabajadores que han perdido o cambiado de trabajo, y reducir las molestias administrativas y el costo de la atención médica al estandarizar los intercambios administrativos y financieros por medios electrónicos. Otras misiones incluyen combatir el abuso, el fraude y el despilfarro en el seguro de salud y mejorar el acceso a los servicios de atención a largo plazo y al seguro de salud.

El HHS amplió la ley cuando implementó la regla ómnibus de HIPAA en 2013 para implementar modificaciones a HIPAA de acuerdo con las pautas establecidas en 2009 por la Ley de tecnología de la información de salud para la salud económica y clínica (HITECH). Estas pautas se refieren a las responsabilidades de los socios comerciales de las entidades cubiertas. La regla ómnibus también aumentó las sanciones por violaciones de cumplimiento de HIPAA a un máximo de $1.5 millones por incidente.

La Oficina de Derechos Civiles (OCR) del HHS, que hace cumplir la HIPAA, emitió una guía en 2016 que aclara que los proveedores de servicios en la nube y otros socios comerciales de las organizaciones de atención médica están cubiertos por las reglas de notificación de incumplimiento, seguridad y privacidad de la HIPAA. Las violaciones de HIPAA pueden resultar bastante costosas para las organizaciones de atención médica.

La regla de notificación de incumplimiento de HIPAA dentro del conjunto general de regulaciones requiere que las entidades cubiertas y los socios comerciales afectados notifiquen a los pacientes después de una violación de datos.

Además de los costos de notificación, las organizaciones de atención médica pueden enfrentar multas después de las auditorías HIPAA ordenadas por la Ley HITECH y realizadas por la Oficina de Derechos Civiles. Los proveedores también podrían enfrentar sanciones penales derivadas de violaciones de las reglas de privacidad y seguridad de HIPAA.

En 2010, la Comisión Federal de Comercio amplió la regla de notificación de infracciones y su cumplimiento a las organizaciones de atención médica que no están cubiertas por HIPAA, incluidos los proveedores de registros de salud electrónicos (EHR) y sistemas relacionados con EHR.

La Oficina de Derechos Civiles OCR (Office for Civil Rights) por sus siglas en Inglés, realizó su primer ciclo de auditorías HIPAA de organizaciones de atención médica en 2012 y 2013. Estas auditorías piloto no generaron multas ni sanciones.

En el 2016 comenzó un ciclo muy amplio de auditorías presenciales y de escritorio de aproximadamente unas 200 entidades de atención médica y socios comerciales que continuó hasta el 2017. De estas auditorias se esperarían multas o planes correctivos.

La Oficina de Derechos Civiles OCR (Office for Civil Rights) por sus siglas en Inglés, fortaleció aún más la regla de seguridad de HIPAA en 2016 al publicar un cruce entre los aspectos del marco de seguridad cibernética del Instituto Nacional de Estándares y Tecnología para identificar deficiencias de seguridad cibernética y alinear HIPAA con los estándares nacionales de seguridad cibernética.

Las organizaciones pueden reducir el riesgo de acciones regulatorias a través de programas de capacitación en cumplimiento de HIPAA. La Oficina de Derechos Civiles tiene seis programas educativos para el cumplimiento de la seguridad y la privacidad. Un gran número de consultores y organizaciones de capacitación también ofrecen programas. Los proveedores de atención médica también pueden optar por crear sus propios programas de capacitación, que a menudo incluyen las propias políticas de seguridad y privacidad de las organizaciones, la Ley HITECH, los procedimientos de administración de dispositivos móviles y otras pautas aplicables.

Aunque no existe un programa de certificación formal para el cumplimiento de HIPAA, las empresas de capacitación brindan credenciales de certificación que indican la comprensión de las pautas y regulaciones especificadas por la ley.

Regla de privacidad de HIPAA

Los Estándares para la Privacidad de la Información de Salud Individualmente Identificable, comúnmente conocida como la Regla de Privacidad de HIPAA, establece los primeros estándares en los Estados Unidos para proteger la información personal de los pacientes o la información de salud confidencial (Información de Salud Protegida: PHI).

La Oficina de Derechos Civiles del HHS ha hecho cumplir la regla para limitar el uso y la divulgación de información médica protegida (PHI), con la cual busca proteger la privacidad del paciente al exigir a los médicos que proporcionen a sus pacientes pruebas de cada entidad a la que divulgan Información de salud confidencial con fines administrativos y contables, al tiempo que permite el intercambio de información relevante a través de canales legítimos.

La regla de privacidad también garantiza que los pacientes, si lo solicitan, puedan obtener su información médica confidencial PHI(Protected Health Information) por sus siglas en inglés, de proveedores de atención médica cubiertos por HIPAA.

¿Quién está cubierto y debe seguir HIPAA?

La regla de privacidad de HIPAA se aplica a las organizaciones que se consideran entidades cubiertas por HIPAA, incluidos los planes de salud, las cámaras de compensación de atención médica y los proveedores de atención médica. Además, la regla de privacidad de HIPAA requiere que las entidades cubiertas que trabajan con un socio comercial de HIPAA elaboren un contrato que imponga salvaguardas específicas sobre la PHI que el socio comercial usa o divulga.

¿Qué información está protegida?

La regla de privacidad bajo HIPAA protege cualquier información de salud identificable individualmente que sea retenida o transmitida por una entidad en cuestión o un tercero asociado. Esta información se puede mantener en cualquier formato, incluido el formato digital, en papel u oral. Esta información de salud identificable individualmente también se conoce como PHI (Información de salud protegida) según la Política de privacidad.

¿Qué se considera información de salud protegida bajo HIPAA?

La información de salud protegida (PHI, por sus siglas en inglés) incluye:

  • Nombre, dirección, fecha de nacimiento y número de seguro social del paciente;
  • La condición de salud física o mental de un individuo;
  • cualquier cuidado dado a un individuo; dónde la información relacionada con el pago de la atención brindada a la persona que identifica al paciente, o información sobre la cual existe una base razonable para creer que podría usarse para identificar al paciente.

La regla de privacidad de HIPAA no considera los registros de empleo, incluida la información sobre educación, así como otros registros sujetos o definidos en la Ley de Privacidad y Derechos Educativos de la Familia, como PHI.

Sin embargo, para los datos anonimizados, no existen restricciones sobre su uso o divulgación. Los datos anonimizados no identifican ni proporcionan información que pueda identificar a una persona.

Requisitos Adminitrativos

La Regla de Privacidad establece ciertos requisitos administrativos que deben tener las entidades obligadas.

Estos requisitos incluyen lo siguiente:

  • Se debe designar un oficial de privacidad que sea responsable de desarrollar e implementar políticas y procedimientos en una entidad obligada.
  • Los empleados, incluidos los voluntarios y los aprendices, deben recibir capacitación sobre políticas y procedimientos.
  • Se deben mantener medidas de seguridad administrativas, técnicas y físicas adecuadas para proteger la confidencialidad de la información de salud protegida (PHI, por sus siglas en inglés) dentro del marco de una entidad obligada.
  • Se debe implementar un procedimiento para las personas que deseen presentar quejas sobre transacciones y liquidaciones en una entidad obligada.
  • En caso de que se divulgue información de salud protegida (PHI), una Entidad cubierta tiene el deber de mitigar cualquier efecto adverso en la medida de sus posibilidades.

Sanciones de HIPAA

Según la norma de confidencialidad de HIPAA, ser víctima de una violación de la información de salud, así como no brindarles a los pacientes acceso a su (PHI), podría resultar en una multa de OCR (Office for Civil Rights) por sus siglas en Inglés.

La penalización mínima para:

  • Una violación de la legislación HIPAA sin inteción o conocimiento resulta en una multa de $100 por infracción, con un tope anual de $25,000 por infracciones repetidas.
  • Una violación a la legislación HIPAA for justa causa es de $1,000 por infracción, con un tope anual de $100,000 por infracciones repetidas.
  • El incumplimiento deliberado de la legislación HIPAA, pero la infracción se corrige dentro de un período de tiempo determinado, resulta en una multa de $10,000 por infracción, con un tope anual de $250,000 por infracciones repetidas.
  • El incumplimiento deliberado de la legislación HIPAA, y la infracción permanece sin corregir, da como resultado una multa de $50,000 por infracción, con un límite anual de $1,5 millones por infracciones repetidas.

La sanción máxima por todas estas infracciones es de $50,000 por infracción, con un tope anual de $1,5 millones por infracciones repetidas.

Las entidades obligadas y las personas que intencionalmente obtengan o divulguen información de salud protegida (PHI) en violación de la regla de privacidad de HIPAA pueden recibir una multa de hasta $ 50,000 y encarcelamiento por hasta un año. En caso de que se viole la Regla de Privacidad de HIPAA con base en motivos falsos, las sanciones pueden incrementarse con una multa de $100,000 y prisión de hasta 10 años.

Ley de Seguridad de HIPAA

Los Estándares de seguridad para la protección de la información de salud electrónica protegida, comúnmente conocida como la Ley de seguridad de HIPAA, establece estándares nacionales para proteger los datos de los pacientes que se almacenan o transfieren electrónicamente.

La ley requiere la implementación de medidas de seguridad, tanto físicas como electrónicas, para garantizar la circulación, el mantenimiento y la recepción segura de la información protegida de salud (PHI). Al abordar los riesgos y vulnerabilidades asociados con la misma (PHI) y la información médica electrónica protegida (ePHI), las organizaciones de atención médica deben formular tres preguntas clave.

  • ¿Puede identificar todas las fuentes de información de salud protegida (PHI) y las de información médica electrónica protegida (ePHI) en su organización que se crean, reciben, conservan o transmiten?
  • ¿De qué fuentes externas proviene la información de salud protegida (PHI)?
  • ¿Cuáles son las amenazas humanas, naturales y ambientales a los sistemas de información que contienen información de salud protegida (PHI) e información de salud electrónica (ePHI)?

La Oficina de Derechos Civiles (OCR por sus siglas en Inglés) hace cumplir la ley de seguridad de HIPAA, cuyo objetivo es proteger la seguridad del paciente y, al mismo tiempo, permitir que la industria de la salud avance tecnológiamente.

Como parte de la ejecución exitosa del Programa de Certificación de Tecnología de la Información de la Salud del HHS (Health and Human Services), las organizaciones de atención médica que reciben fondos de incentivos federales deben demostrar los siguientes procedimientos basados ​​en la seguridad y la privacidad: en HIPAA.

La ley ómnibus de HIPAA

La ley Ómnibus bajo HIPAA, tomada en el contexto de la tecnología de información de salud, es una regla adoptada por la Oficina de Derechos Civiles (OCR) para modificar las leyes de Privacidad y Seguridad de HIPAA, con e fin de implementar cambios legales bajo la Ley HITECH (Health Information Technology for Economic and Clinical Health). .

Explicación de OCR sobre HIPAA

La regla ómnibus

La Regla Ómnibus de HIPAA marcó los cambios más significativos a las Reglas de Privacidad y Seguridad de HIPAA desde su implementación original. Los cambios incluyen lo siguiente:

  • Fortalecimiento de la protección de la privacidad y seguridad de la Información de Salud Protegida (PHI) de las personas.
  • La modificación de la Regla de Notificación de Violación de Seguridad para Información de Salud Protegida (PHI) no segura, y establecer estándares más objetivos para evaluar la responsabilidad de un proveedor de atención médica luego de una filtración de datos.
  • Modificación de la regla de privacidad de HIPAA para fortalecer la protección de la información genética.
  • Descripción de las políticas de cumplimiento de seguridad de datos y privacidad de OCR (Office for Civil Rights), actualizadas en la era EHR (Electronic Health Record) y según lo dispuesto por la Ley HITECH (Health Information Technology for Economic and Clinical Health).
  • Hacer que los socios comerciales de HIPAA cumplan con los mismos estándares para proteger la PHI que las entidades cubiertas, incluidos los subcontratistas de los socios comerciales, en el sentido de cumplimiento.
  • Estipular que, cuando los pacientes pagan en efectivo, pueden indicar a su proveedor que no comparta información sobre su tratamiento con su plan de salud.
  • Establecer nuevos límites sobre el uso y divulgación de la información para mercadeo y recaudación de fondos.
  • Prohibir la comercialización de la información de salud de un individuo sin su autorización.
  • Facilitar que los padres y/o tutores con la patria potestad den consentimiento para compartir pruebas de vacunación de un niño con su institución educativa.
  • Simplificar el proceso que un individuo pueda autorizar el uso de su información médica con fines de investigación.
  • Aumento de las sanciones por incumplimiento en función del nivel de negligencia, con una sanción máxima de $1.5 millones por infracción.
  • Garantizar que las organizaciones puedan operar con la confianza de que sus políticas de seguridad y privacidad cumplen con todas las reglamentaciones aplicables.

La norma, tomada de la página 563 y publicada el 17 de enero de 2013, entró en vigencia el 26 de marzo de 2013.

Los socios comerciales bajo HIPAA

HIPAA define a un socio comercial como cualquier organización o persona que trabaje en asociación o brinde servicios a entidades obligadas que administren o divulguen PHI o registros de salud personal (PHR).

Ejemplos de socios comerciales incluyen empresas de contabilidad o consultoría que trabajan con entidades obligadas, como hospitales o médicos, o cualquier otra entidad que pueda o haya tenido acceso a PHI o PHR.

Actualizaciones de la regulación de HIPAA por la Ley HITECH que requiere que los socios comerciales cumplan con los mandatos de HIPAA con respecto al procesamiento y uso de PHI.

Desde el 28 de febrero de 2010, el Departamento de Salud y Servicios Humanos puede auditar a los socios comerciales en su cumplimiento de HIPAA.

Ejemplos de socios comerciales bajo HIPAA

Según el HHS, los ejemplos de socios comerciales bajo HIPAA incluyen:

  • Cuando un plan de salud utiliza un administrador externo para ayudar con el procesamiento de reclamos.
  • Si una firma de contadores públicos brinda servicios de contabilidad a un proveedor de atención médica y tiene acceso a información médica confidencial.
  • Cuando un hospital tiene un consultor que realiza revisiones de utilización.
  • Cuando una cámara de compensación de atención médica convierte un reclamo realizado en un formato no estándar a un formato estándar para un proveedor de atención médica y luego envía la transacción del proceso a un pagador.
  • Cuando un médico utiliza los servicios de un transcriptor médico.
  • Cuando un administrador de beneficios farmacéuticos, administra la red farmacéutica de un plan de salud.

Los desarrolladores de aplicaciones móviles también podrían considerarse socios comerciales según HIPAA porque muchas aplicaciones móviles de atención médica manejan PHI.

El HHS proporcionó un escenario en el que un desarrollador de aplicaciones sería considerado un socio comercial de HIPAA: su proveedor le dice a un paciente que descargue una aplicación de salud en su teléfono inteligente. El desarrollador de la aplicación y el proveedor tienen un contrato de servicios de gestión de pacientes que incluye asesoramiento remoto sobre la salud del paciente, mensajes para el paciente, control de la alimentación y el ejercicio del paciente, e interfaces de programas de aplicaciones e integración de EHR. Además, la información que ingresa el paciente en la aplicación se incorpora automáticamente en el EHR.

Socios comerciales bajo HIPAA y Acuerdo 101

Bajo HIPAA, un Acuerdo de Asociado Comercial (BAA business associate agreement) es un contrato entre una Entidad Obligada por HIPAA y un Asociado Comercial (BA business associate) de HIPAA. El contrato protege la PHI de acuerdo con las pautas de HIPAA.

A partir del 18 de febrero de 2010 y de acuerdo con la Ley HITECH, la divulgación, el procesamiento y el uso de PHI por parte de un proveedor comercial (BA) debe cumplir con los mandatos de la Regla de seguridad de HIPAA, así como con la Regla de privacidad de HIPAA. Según la Ley HITECH, cualquier socio comercial de HIPAA que preste servicios a un proveedor o institución de atención médica está sujeto a auditorías por parte de la OCR dentro del HHS, y puede ser considerado responsable de una violación de datos y sancionado por incumplimiento.

Requisitos del acuerdo de socios comerciales según HIPAA

Según el HHS, los contratos de socios comerciales de HIPAA u otros acuerdos escritos deben:

  • Describir cómo se permite y se requiere que el socio comercial use la PHI.
  • Requerir que el socio comercial use o divulgue la PHI de forma distinta a la especificada en el contrato o según lo exija la ley.
  • Exigir que el socio comercial use las funciones de seguridad adecuadas para garantizar que la PHI se use como se detalla en el contrato.
  • Requerir que la Entidad Obligada tome medidas razonables para remediar cualquier violación de HIPAA por parte de un Socio Comercial, siempre y cuando se dé cuenta de ello. En caso de que esto no prospere, la entidad obligada debe rescindir el contrato con el socio comercial.
  • Reportar como incidente a la OCR si resulta imposible rescindir el contrato con el socio comercial.
  • Informar a la OCR del HHS si hay un problema para rescindir el contrato con el socio comercial.

Con estas nuevas regulaciones en mente, un acuerdo de proveedor comercial bajo HIPAA debe especificar explícitamente cómo un BA debe informar y responder a una violación de datos, incluidas las causadas por el subcontratista de un proveedor comercial. Además, los acuerdos de socios comerciales bajo HIPAA deben demostrar cómo responder a una consulta de OCR.

Entidades obligadas bajo HIPAA

Una entidad sujeta bajo HIPAA es cualquier organización o corporación que administra directamente PHI o PHR. Los ejemplos más comunes de entidades obligadas incluyen hospitales, consultorios médicos y proveedores de seguros de salud.

«Las entidades obligadas deben cumplir con los mandatos de HIPAA y HITECH para la protección de PHI y PHR”.