Download QUÉ ES LA HIPAA
Document related concepts
no text concepts found
Transcript
¿QUÉ ES LA HIPAA? La Ley de responsabilidad y transferibilidad de los seguros médicos (Health Insurance Portability & Accountability Act) de 1996 (21 de agosto 21), ley pública 104-191 OBJETIVOS 1. Mayor eficiencia en la asistencia médica por medio de la estandarización del intercambio electrónico de datos, y 2. La protección de la confidencialidad y seguridad de los datos médicos, a través del establecimiento y cumplimiento de estándares. Más específicamente, la HIPAA pide: 1. La estandarización de los datos electrónicos administrativos, financieros y de salud de los pacientes 2. Identificadores médicos únicos para personas, empleados, planes de salud y proveedores de cuidados médicos 3. Normas de seguridad que protejan la confidencialidad y la integridad de la "información médica identificable a nivel personal" pasada, presente o futura. En resumen: cambios radicales en la mayoría de los sistemas de información administrativos y de transacciones médicas. ¿A QUIÉN AFECTA? A todas las organizaciones de salud. Esto incluye a todos los proveedores de asistencia médica, contando a los consultorios de un solo médico, a los planes de salud, empresas, autoridades de salud, compañías de seguros, cámaras de compensación, agencias de facturación, proveedores de sistemas de información, organizaciones de servicios y universidades. Procedimientos seguros de la Ley HIPAA Tener consentimiento para la divulgación de la información Tener la descripción de las tareas de cada uno de los empleados(as) que trabajan en la oficina para justificar el acceso que tienen a la información Sistemas de seguridad rígidos para el acceso a las computadoras Tener planes de contingencia en caso de emergencia Sistemas antivirus actualizados Localización del equipo que se utiliza apropiada para evitar la accesibilidad de personas ajenas a la información que se procesa (monitores, fax, copiadoras, impresoras) Evitar comentar información de pacientes a compañeros de trabajo que no necesiten saber la información No discutir información confidencial en áreas públicas Proteger la información escrita, evitando que ajenos puedan leerla Asegurarme qué tipo de información puedo compartir sin el consentimiento del paciente ¿CÓMO SE APLICARÁ? De manera amplia y profunda. Las respuestas de cumplimiento exigidas no son estándar, ya que las organizaciones tampoco lo son. Por ejemplo, una organización con una red de cómputo deberá poner en funcionamiento uno o más mecanismos de acceso con autenticación de seguridad, basados en los usuarios, las funciones o el contexto, dependiendo del entorno de red. Un cumplimiento efectivo requerirá de una aplicación en toda la organización. Los pasos incluirán: Fomentar el conocimiento inicial de la HIPAA en toda la organización. Evaluar de forma completa los sistemas de seguridad de la información, los reglamentos y los procedimientos de la organización. Desarrollar una infraestructura técnica y de administración para poner el plan en funcionamiento. Poner en marcha un plan de acción completo que incluya el desarrollo de nuevos reglamentos, procesos y procedimientos Crear acuerdos de "cadena de confianza" con la organización de servicios. Rediseñar una infraestructura de información técnica que cumpla los requisitos. Adaptar o adquirir nuevos sistemas de información Desarrollar nuevas comunicaciones internas Capacitación y aplicación Las cuatro partes de la simplificación administrativa son: I. ESTÁNDARES PARA TRANSACCIONES ELECTRÓNICAS RELACIONADAS CON LA SALUD En la actualidad, los proveedores de cuidados y los planes de salud usan un gran número de formatos electrónicos distintos. La aplicación de un estándar nacional significa que todos usaremos un solo formato, lo que "simplificará" y mejorará la eficiencia de las transacciones en todo el país. La regla propuesta exige el uso de formatos electrónicos específicos desarrollados por el ANSI (American National Standards Institute) para la mayoría de las transacciones, con excepción de las reclamaciones y los primeros informes de lesión. La reglamentación propuesta para estas excepciones aún no se conoce. Prácticamente todos los planes de salud tendrán que adoptar estos estándares, aunque la transacción se realice en papel, por teléfono o por fax. Los proveedores que usan transacciones no electrónicas no tendrán que adoptar los estándares, pero si no lo hacen, deberán contratar a un centro de cambio y compensación que proporcione los servicios de conversión. Las organizaciones de salud también deben adoptar CONJUNTOS DE CÓDIGOS ESTÁNDAR para utilizarlos en todas las transacciones médicas. Por ejemplo, los sistemas de codificación que describen las enfermedades, las lesiones y otros problemas de salud, así como sus causas, síntomas y medidas adoptadas deberán ser uniformes. Todas las partes de una transacción deberán usar y aceptar los mismos códigos. Una vez más, esto tiene como fin reducir, a la larga, los errores, la duplicación de esfuerzos y los costos. Afortunadamente, muchos planes de salud, centros de compensación y proveedores de cuidados de la salud ya utilizan los conjuntos de códigos que se proponen como estándares de la HIPAA, lo que facilitará la transición. II. IDENTIFICADORES ÚNICOS PARA PROVEEDORES, EMPRESARIOS, PLANES DE SALUD y PACIENTES El sistema actual nos permite tener varios números de Id. para distintas relaciones entre nosotros; la HIPAA considera que esto es confuso, caro e induce a errores. Se espera que los identificadores estándar reduzcan estos problemas. III. ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN MÉDICA Y FIRMA ELECTRÓNICA El nuevo estándar de seguridad proporcionará un nivel de protección uniforme a toda la información médica que se aloje o se transmita electrónicamente, y pertenezca a una persona. Además, las organizaciones que usen firmas electrónicas deberán cumplir con un estándar que garantice la integridad del mensaje, la autenticación del usuario y la ausencia de rechazo. El estándar de seguridad obliga a tener sistemas de protección para el almacenamiento y mantenimiento físicos, para la transmisión y el acceso a la información de salud de una persona. Esto es válido no sólo para las transacciones que se lleven a cabo después de la entrada en vigor de la HIPAA, sino para toda la información de salud de una persona que se conserve o se transmita. El estándar de firma electrónica, sin embargo, sólo se aplica a las transacciones realizadas después de la entrada en vigor de la HIPAA. El estándar de seguridad no exige el uso de tecnologías específicas; las soluciones variarán de una organización a otra, dependiendo de las necesidades y la tecnología de cada lugar. Asimismo, no se exige actualmente la firma electrónica para ninguna de las transacciones realizadas según la HIPAA. IV. PRIVACIDAD Y CONFIDENCIALIDAD En general, la privacidad se refiere a quién puede tener acceso a la información de salud que permite identificar a una persona. La regla abarca toda la información de salud con datos de identificación personal en manos de las entidades afectadas, independientemente de si dicha información está o estuvo en formato electrónico. Los estándares de confidencialidad: limitan el uso no consensuado y la divulgación de la información de salud privada; dan a los pacientes derecho de acceso a sus registros médicos y a saber quién más ha tenido acceso a ellos; restringen la divulgación de la información médica a lo mínimo necesario para los fines deseados; establecen nuevas sanciones civiles y penales por el uso o divulgación indebidos; establecen nuevos requisitos para el acceso a los registros por parte de los investigadores y otras personas. La nueva regla refleja los cinco principios básicos planteados en ese momento: