Ley de responsabilidad y portabilidad del seguro de salud (HIPAA)

¿Qué es HIPAA?

HIPAA -> La Ley de Portabilidad y Responsabilidad del Seguro Médico (Health Insurance Portability and Accountability Act) de 1996, es una ley pública para mejorar la eficiencia y efectividad de los sistemas de salud. Dado que se percibía el riesgo de que los avances de la tecnología electrónica pudieran erosionar la privacidad de la información médica, se incorporó a la ley la adopción de protecciones federales de privacidad para la información médica identificable.

¿Quién debe cumplir con HIPAA?

Planes de salud, centro de intercambio de información sobre atención médica y proveedores de atención médica. Cualquiera está proporcionando tratamiento, pago u operaciones en la atención médica y socios comerciales. Básicamente, cualquier persona que procese información médica protegida/protected health information (PHI).

¿Qué dice la HIPAA sobre la clasificación de datos?

Nada, no es necesario realizar una clasificación de datos en sus documentos. Pero existen otros requisitos en los que haber logrado una clasificación de datos en sus trabajos será de gran ayuda. A continuación se muestran algunos de ellos:

• 164.306 Normas de seguridad: reglas generales. (1) Asegurar la confidencialidad, integridad y disponibilidad de toda la información médica protegida electrónicamente que la entidad cubierta o el socio comercial crea, recibe, mantiene o transmite. Para garantizar la confidencialidad, es necesario conocer qué documentos son confidenciales; de lo contrario, debe proteger todos los documentos como si fueran secretos.

Implementar salvaguardias administrativas, físicas y técnicas que protejan de manera razonable y adecuada la confidencialidad, integridad y disponibilidad de la información médica protegida electrónicamente.

• 164.504 Usos y divulgaciones: requisitos organizativos

1. Para que dos partes compartan o den acceso a la PHI, la entidad cubierta debe firmar un Acuerdo de socio comercial o Business Associate Agreement (BAA) con el socio comercial. Si el asociado tiene subcontratistas que tienen acceso a los documentos de PHI, tendrá que firmar el BAA para así mantener la cobertura ante terceros. Suponga que no tiene control sobre qué documentos son confidenciales y contienen PHI. En ese caso, corre el riesgo de dar acceso al subcontratista y, por lo tanto, incurrir en una violación al no tener el BAA en su lugar.
2. Debe informar a la entidad cubierta cualquier uso o divulgación de la información no proporcionada por la BAA. Sin saber qué documentos contienen datos sanitarios y su nivel de confidencialidad, ¿cómo se puede controlar el uso indebido o la divulgación de los datos?
3. En la terminación de BAA, el socio debe devolver o destruir toda la información médica protegida recibida de una entidad cubierta o un socio en nombre de la entidad cubierta.

• 164.524 Acceso de personas a información médica protegida. Una persona tiene derecho a inspeccionar y obtener una copia de la información médica protegida sobre la persona.

Subparte D — Notificación en caso de incumplimiento de información médica protegida no garantizada La notificación de incumplimientos es obligatoria. Si una computadora portátil robada contenía PHI no segura, debe informarlo. Saber si aquella computadora portátil tenía documentos confidenciales con PHI, puede ahorrarle muchos problemas.

Resumen: HIPAA es una ley increíblemente compleja con muchas trampas. Si está procesando información médica protegida, asegúrese de saber dónde está, su cantidad y quién tiene acceso a ella.

‍