Download QUÉ ES LA HIPAA

¿QUÉ ES LA HIPAA?
La Ley de responsabilidad y transferibilidad de los seguros médicos (Health Insurance Portability &
Accountability Act) de 1996 (21 de agosto 21), ley pública 104-191
OBJETIVOS
1. Mayor eficiencia en la asistencia médica por medio de la estandarización del intercambio
electrónico de datos, y
2. La protección de la confidencialidad y seguridad de los datos médicos, a través del
establecimiento y cumplimiento de estándares.
Más específicamente, la HIPAA pide:
1. La estandarización de los datos electrónicos administrativos, financieros y de salud de los
pacientes
2. Identificadores médicos únicos para personas, empleados, planes de salud y proveedores de
cuidados médicos
3. Normas de seguridad que protejan la confidencialidad y la integridad de la "información médica
identificable a nivel personal" pasada, presente o futura.
En resumen: cambios radicales en la mayoría de los sistemas de información administrativos y de
transacciones médicas.
¿A QUIÉN AFECTA?
A todas las organizaciones de salud. Esto incluye a todos los proveedores de asistencia médica,
contando a los consultorios de un solo médico, a los planes de salud, empresas, autoridades de
salud, compañías de seguros, cámaras de compensación, agencias de facturación, proveedores
de sistemas de información, organizaciones de servicios y universidades.
Procedimientos seguros de la Ley HIPAA
 Tener consentimiento para la divulgación de la información
 Tener la descripción de las tareas de cada uno de los empleados(as) que trabajan en la
oficina para justificar el acceso que tienen a la información
 Sistemas de seguridad rígidos para el acceso a las computadoras
 Tener planes de contingencia en caso de emergencia
 Sistemas antivirus actualizados
 Localización del equipo que se utiliza apropiada para evitar la accesibilidad de personas
ajenas a la información que se procesa (monitores, fax, copiadoras, impresoras)
 Evitar comentar información de pacientes a compañeros de trabajo que no necesiten saber
la información
 No discutir información confidencial en áreas públicas
 Proteger la información escrita, evitando que ajenos puedan leerla
 Asegurarme qué tipo de información puedo compartir sin el consentimiento del paciente
¿CÓMO SE APLICARÁ?
De manera amplia y profunda. Las respuestas de cumplimiento exigidas no son estándar, ya que
las organizaciones tampoco lo son. Por ejemplo, una organización con una red de cómputo deberá
poner en funcionamiento uno o más mecanismos de acceso con autenticación de seguridad,
basados en los usuarios, las funciones o el contexto, dependiendo del entorno de red.
Un cumplimiento efectivo requerirá de una aplicación en toda la organización. Los pasos incluirán:
Fomentar el conocimiento inicial de la HIPAA en toda la organización.
Evaluar de forma completa los sistemas de seguridad de la información, los reglamentos y los
procedimientos de la organización.
Desarrollar una infraestructura técnica y de administración para poner el plan en funcionamiento.
Poner en marcha un plan de acción completo que incluya
el desarrollo de nuevos reglamentos, procesos y procedimientos
Crear acuerdos de "cadena de confianza" con la organización de servicios.
Rediseñar una infraestructura de información técnica que cumpla los requisitos.
Adaptar o adquirir nuevos sistemas de información
Desarrollar nuevas comunicaciones internas
Capacitación y aplicación
Las cuatro partes de la simplificación administrativa son:
I.
ESTÁNDARES PARA TRANSACCIONES ELECTRÓNICAS RELACIONADAS CON
LA SALUD
En la actualidad, los proveedores de cuidados y los planes de salud usan un gran
número de formatos electrónicos distintos. La aplicación de un estándar nacional
significa que todos usaremos un solo formato, lo que "simplificará" y mejorará la
eficiencia de las transacciones en todo el país. La regla propuesta exige el uso de
formatos electrónicos específicos desarrollados por el ANSI (American National
Standards Institute) para la mayoría de las transacciones, con excepción de las
reclamaciones y los primeros informes de lesión. La reglamentación propuesta para
estas excepciones aún no se conoce.
Prácticamente todos los planes de salud tendrán que adoptar estos estándares,
aunque la transacción se realice en papel, por teléfono o por fax. Los proveedores que
usan transacciones no electrónicas no tendrán que adoptar los estándares, pero si no
lo hacen, deberán contratar a un centro de cambio y compensación que proporcione
los servicios de conversión.
Las organizaciones de salud también deben adoptar CONJUNTOS DE CÓDIGOS
ESTÁNDAR para utilizarlos en todas las transacciones médicas. Por ejemplo, los
sistemas de codificación que describen las enfermedades, las lesiones y otros
problemas de salud, así como sus causas, síntomas y medidas adoptadas deberán ser
uniformes. Todas las partes de una transacción deberán usar y aceptar los mismos
códigos. Una vez más, esto tiene como fin reducir, a la larga, los errores, la duplicación
de esfuerzos y los costos. Afortunadamente, muchos planes de salud, centros de
compensación y proveedores de cuidados de la salud ya utilizan los conjuntos de
códigos que se proponen como estándares de la HIPAA, lo que facilitará la transición.
II. IDENTIFICADORES ÚNICOS PARA PROVEEDORES, EMPRESARIOS, PLANES DE
SALUD y PACIENTES
El sistema actual nos permite tener varios números de Id. para distintas relaciones entre
nosotros; la HIPAA considera que esto es confuso, caro e induce a errores. Se espera que los
identificadores estándar reduzcan estos problemas.
III. ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN MÉDICA Y FIRMA
ELECTRÓNICA
El nuevo estándar de seguridad proporcionará un nivel de protección uniforme a toda la
información médica que se
aloje o se transmita electrónicamente, y
pertenezca a una persona.
Además, las organizaciones que usen firmas electrónicas deberán cumplir con un estándar que
garantice la integridad del mensaje, la autenticación del usuario y la ausencia de rechazo.
El estándar de seguridad obliga a tener sistemas de protección para el almacenamiento y
mantenimiento físicos, para la transmisión y el acceso a la información de salud de una
persona. Esto es válido no sólo para las transacciones que se lleven a cabo después de la
entrada en vigor de la HIPAA, sino para toda la información de salud de una persona que se
conserve o se transmita. El estándar de firma electrónica, sin embargo, sólo se aplica a las
transacciones realizadas después de la entrada en vigor de la HIPAA.
El estándar de seguridad no exige el uso de tecnologías específicas; las soluciones variarán de
una organización a otra, dependiendo de las necesidades y la tecnología de cada lugar.
Asimismo, no se exige actualmente la firma electrónica para ninguna de las transacciones
realizadas según la HIPAA.
IV. PRIVACIDAD Y CONFIDENCIALIDAD
En general, la privacidad se refiere a quién puede tener acceso a la información de salud que
permite identificar a una persona. La regla abarca toda la información de salud con datos de
identificación personal en manos de las entidades afectadas, independientemente de si dicha
información está o estuvo en formato electrónico.
Los estándares de confidencialidad:
limitan el uso no consensuado y la divulgación de la información de salud privada;
dan a los pacientes derecho de acceso a sus registros médicos y a saber quién más ha tenido
acceso a ellos;
restringen la divulgación de la información médica a lo mínimo necesario para los fines
deseados;
establecen nuevas sanciones civiles y penales por el uso o divulgación indebidos;
establecen nuevos requisitos para el acceso a los registros por parte de los investigadores y
otras personas.
La nueva regla refleja los cinco principios básicos planteados en ese momento: