Cualquier documento arrojado a…

La Regla de Seguridad de HIPAA establece estándares nacionales para la seguridad de la información de salud electrónica.

• Se requiere por ley proporcionar educación y capacitación HIPAA a las personas que trabajan en la industria de la salud para garantizar la responsabilidad por la privacidad y seguridad de la información de salud protegida. Las entidades cubiertas deben capacitar a todos los miembros de la fuerza de trabajo en las políticas y procedimientos de HIPAA.
• Regla de privacidad de 1HIPAA

Los estándares de privacidad de la información de salud individualmente identificable (la regla de privacidad) se diseñaron para abordar específicamente la protección de la información de salud personal de un individuo. Es importante para la vitalidad de su consultorio médico mantener el cumplimiento de HIPAA.

¿Quién está cubierto por la regla de privacidad?

Planes de salud

Proveedores de atención médica Cle Centros de información médica

• Una entidad cubierta, como se define en HIPAA, puede ser un plan de seguro médico, un centro de atención médica o un proveedor de atención médica que transmite información médica protegida electrónicamente y puede ser organizaciones, instituciones o personas .
• Los médicos y otros profesionales de la salud que trabajan con pacientes y sus registros médicos confidenciales deben cumplir con las políticas, los procedimientos y las leyes diseñados para proteger la privacidad y confidencialidad del paciente. Todos los proveedores de atención médica tienen la responsabilidad de mantener a su personal capacitado e informado con respecto al cumplimiento de HIPAA. Ya sea intencional o accidental, la divulgación no autorizada de PHI se considera una violación de HIPAA.
• Asociados comerciales

Un asociado comercial, según lo define HIPAA, es cualquier persona o entidad que realice negocios que impliquen el uso o la divulgación de información de salud protegida en nombre de una entidad cubierta y no sea un empleado de la entidad cubierta.

¿Qué información está protegida?

• PHI o Información de salud protegida se refiere a cualquier información de identificación individual incluida en la historia clínica de un paciente que se transmite o mantiene en cualquier forma.

Usos y divulgaciones

Una entidad cubierta puede usar o divulgar información de salud protegida (PHI) sin autorización bajo ciertas condiciones.

Al individuo

Tratamiento, pago y operaciones de atención médica

Usos y divulgaciones con la oportunidad de aceptar u objetar

1. Uso y divulgación incidental.
2. Interés público y actividades de beneficios
3. Conjunto de datos limitados para fines de investigación, salud pública u operaciones de atención médica
4. Aviso de prácticas de privacidad
5. Los proveedores de atención médica tienen la obligación de proporcionar a sus pacientes un Aviso de prácticas de privacidad. Este aviso, tal como lo requiere la Regla de Privacidad de HIPAA, otorga a los pacientes el derecho de ser informados sobre sus derechos de privacidad en lo que se refiere a su información de salud protegida (PHI).
6. El aviso debe describir cierta información en términos fáciles de entender:

Cómo el proveedor usará y divulgará su PHI

Los derechos que los pacientes tienen con respecto a su PHI

Una declaración que informa al paciente de las leyes que requieren que el proveedor mantenga la privacidad de su PHI

• Con quién pueden comunicarse los pacientes para obtener más información sobre las políticas de privacidad del proveedor
• Cumplimiento y sanciones por incumplimiento
• Multas por dinero civil

$ 100 por incumplimiento

Máximo de $ 25,000 por año por múltiples violaciones del mismo requisitoPenalidades penales (por obtener o divulgar a sabiendas PHI en violación de HIPAA)

• Multa de $ 50,000 y hasta un año de prisión
• Multa de $ 100,000 y hasta cinco años de prisión (si la violación implica falsas pretensiones)

Multa de $ 250,000 y hasta diez años de prisión ( si la violación implica intención de vender, transferir o usar PHI)

• Regla de seguridad 2HIPAA
• Las normas de seguridad para la protección de la información médica protegida electrónica (la regla de seguridad) security La seguridad HIPAA se refiere al establecimiento de salvaguardas para la PHI en cualquier formato electrónico. Esto incluye cualquier información utilizada, almacenada o transmitida electrónicamente. Cualquier instalación definida por HIPAA como entidad cubierta tiene la responsabilidad de garantizar la privacidad y seguridad de la información de su paciente, así como de mantener la confidencialidad de su PHI.
• ¿Quién está cubierto por la regla de seguridad?

Planes de salud

Proveedores de atención médica Cle Centros de información médica

Una entidad cubierta, como se define en HIPAA, puede ser un plan de seguro médico, un centro de atención médica o un proveedor de atención médica que transmite información médica protegida electrónicamente y puede ser organizaciones, instituciones o personas .

Asociados comerciales

• Un asociado comercial, según lo define HIPAA, es cualquier persona o entidad que realice negocios que impliquen el uso o la divulgación de información de salud protegida en nombre de una entidad cubierta y no sea un empleado de la entidad cubierta.
• ¿Qué información está protegida?
• La PHI electrónica o información de salud protegida se refiere a cualquier información de identificación individual incluida en la historia clínica de un paciente que se transmite o mantiene en cualquier forma. La regla de seguridad excluye la PHI transmitida oralmente o por escrito.

Simplificación administrativa

• Las disposiciones de simplificación administrativa de HIPAA establecen estándares nacionales para la seguridad de la información de salud protegida electrónica. Esto incluye las reglas y estándares para transacciones y conjuntos de códigos e identificadores para empleadores y proveedores.

Transacciones y estándares de conjunto de códigos

Las transacciones estándar para el intercambio electrónico de datos (EDI) de datos de atención médica incluyen información sobre reclamaciones y encuentros, asesoramiento sobre pagos y remesas, estado de reclamaciones, elegibilidad, inscripción y baja, referencias y autorizaciones, coordinación de beneficios y primas pago. Code Los conjuntos de códigos estándar para diagnósticos, procedimientos y códigos de medicamentos incluyen HCPCS (Servicios auxiliares / Procedimientos), CPT-4 (Procedimientos médicos), CDT (Terminología dental), ICD-9 (Diagnóstico y procedimientos hospitalarios para pacientes internados), ICD-10 (A partir del 1 de octubre de 2015) y códigos NDC (National Drug Codes).

Normas de identificación para empleadores y proveedores. Ident Los identificadores estándar incluyen el Número de Identificación del Empleador (EIN) y el Identificador Nacional de Proveedor (NPI). El EIN se usa para identificar a los empleadores en las transacciones estándar. La identificación del proveedor nacional o NPI es un número de identificación único de 10 dígitos que se utiliza para reemplazar los identificadores del proveedor, como el número único de identificación del proveedor (UPIN) en las transacciones estándar de HIPAA. Los proveedores de atención médica son requeridos por la regulación de HIPAA para obtener un NPI.

Las reglas para mantener la seguridad de HIPAA incluyen salvaguardas para tres áreas clave.

Salvaguardas Administrativas

Desarrollar un proceso formal de gestión de seguridad que incluya el desarrollo de políticas y procedimientos, auditorías internas, planes de contingencia y otras medidas de seguridad para garantizar el cumplimiento por parte del personal de la oficina médica.

Asignar la responsabilidad de la seguridad a una persona designada para administrar y supervisar el uso de las medidas de seguridad y la conducta del personal.

Implementar características que aseguren que el personal tenga la capacitación adecuada y la autorización adecuada para acceder a PHI.

Definir niveles de acceso para todo el personal y cómo se otorga

Requerir que todo el personal de la oficina médica, incluida la gerencia, reciba capacitación de seguridad y tenga recordatorios periódicos y educación del usuario.

Salvaguardias físicas

Archive PHI en una ubicación segura y área de trabajo para empleados (esto incluye el uso de cerraduras, llaves y distintivos que desbloqueen puertas) que restrinjan el acceso a personas no autorizadas e intrusos. Desarrollar políticas para verificar autorizaciones de acceso, control de equipos y manejo de visitantes. Desarrollar y proporcionar documentación que incluya instrucciones sobre cómo su consultorio médico puede ayudar a proteger la PHI (por ejemplo, cerrar la computadora antes de dejarla desatendida)

1. Brindar protección contra incendios y otros peligros
2. Protecciones técnicas
3. Establecer una identificación de usuario única que incluya contraseñas y números de pin
4. Adopte un control de cierre de sesión automático
5. Registre y examine la actividad del sistema con fines de auditoría

Utilice controles de encriptación para proteger los datos transmitidos a través de una red

1. Cumplimiento y sanciones por incumplimiento
2. Multas de dinero civil
3. $ 100 por incumplimiento

Máximo de $ 25,000 por año violaciones del mismo requisito

1. Penalidades penales (por obtener o divulgar a sabiendas PHI en violación de HIPAA) fine Multa de $ 50,000 y hasta un año de prisión
2. Multa de $ 100,000 y hasta cinco años de prisión (si la violación implica falsas pretensiones) fine Multa de $ 250,000 y hasta a diez años de prisión (si violación invo lves intento de vender, transferir o usar PHI)
3. 3 consejos para evitar la violación de HIPAA
4. Tome las medidas necesarias para evitar divulgar información a través de una conversación de rutina. Evitar la divulgación de información a través de conversaciones de rutina; discutir la información del paciente en áreas de espera, pasillos o elevadores; eliminación adecuada de PHI; y el acceso a la información se limita estrictamente a los empleados cuyos trabajos requieren esa información. La información básica puede parecer tan insignificante que puede mencionarse fácilmente en una conversación de rutina, pero solo debe compartirse según la necesidad de conocerla.

Evite hablar sobre la información del paciente en áreas de espera, pasillos o ascensores. La información confidencial puede ser escuchada por los visitantes u otros pacientes. También asegúrese de mantener registros de pacientes fuera de las áreas que son accesibles al público. Como los mostradores de facturación y las estaciones de enfermeras están a la vista, haga un esfuerzo adicional para asegurarse de que las computadoras estén seguras en todo momento. Los soportes gráficos deben montarse y cubrirse el panel frontal de acuerdo con los estándares HIPAA.

PHI nunca se debe tirar a la basura. Cualquier documento arrojado a la basura está abierto al público y, por lo tanto, es una violación de la información. Hay muchas maneras de deshacerse de la PHI. La eliminación correcta de PHI en papel incluye la quema o trituración. La PHI electrónica se puede eliminar borrando, eliminando, reformateando, incinerando, derritiendo o triturando.Hay varias tecnologías disponibles diseñadas para proteger los datos del paciente. Sea selectivo en la elección de dispositivos y software que protejan los datos a través de una conexión inalámbrica, que incluye firewalls, antivirus, antispyware y tecnología de detección de intrusos. Tenga extrema precaución al acceder a los datos a través de una conexión remota. Los especialistas en TI sugieren utilizar un sistema de autenticación de dos factores con tokens de seguridad y contraseñas.