HIPAA: PRIVACIDAD Y SEGURIDAD DE LA INFORMACIÓN MÉDICA PROTEGIDA (PHI)

Nuestro equipo Legal de HIPAA asesora a los clientes sobre las necesidades de confidencialidad, privacidad y seguridad de la ley federal y estatal. Nuestros servicios legales incluyen:

  • Personalizar las Políticas y Procedimientos de la HIPAA Para Su Práctica o Empresa
  • Determinar Si la HIPAA Se Aplica a Su Práctica
  • Desarrollar Políticas y Procedimientos de la HIPAA para Aplicaciones Móviles o Telemedicina
  • Redactar Acuerdos de Socios Comerciales
  • Responder a Quejas de la HIPAA
  • Revisar los Arreglos para Violaciones de la HIPAA

Póngase en contacto con nuestros abogados de la HIPAA para de una violación de la HIPAA que podría resultar en la aplicación de la ley a nivel federal y estatal y sanciones importantes. O obtenga más información sobre la capacitación en cumplimiento de HIPAA en línea.

Nuestros abogados de HIPAA tienen experiencia asesorando a los clientes para actualizar sus esfuerzos de cumplimiento de HIPAA, incluida la actualización e implementación de políticas, procedimientos y formularios de privacidad y seguridad, tanto en capacidad preventiva como para mitigar después de una violación de datos imprevista.

Recientemente, nuestros abogados asesoraron a dos clientes, cada uno de los cuales está desarrollando una aplicación médica móvil, sobre temas de privacidad y seguridad HIPAA. Representar a estos clientes implicó desarrollar soluciones personalizadas para garantizar que el cliente estuviera protegido de responsabilidad injustificada en su posición como portal Web para un profesional de la salud. En cada caso, diseñamos los Términos de Uso y la Política de Privacidad de la compañía, así como su contrato con profesionales, para cumplir con la HIPAA, así como las normas de privacidad y confidencialidad de la ley estatal, y las leyes relacionadas que rigen las prácticas de telemedicina.

Háganos saber cada vez que surjan problemas con la HIPAA, ya sea que sea una tecnología emergente (y posiblemente un socio comercial bajo la HIPAA), un grupo o práctica médica establecida, o un consultor o proveedor involucrado en telemedicina o una aplicación móvil a través de la cual se transmite información médica protegida (PHI).

HIPPA y HITECH

Bajo la ley federal, la Ley de Portabilidad y Responsabilidad de Seguros de Salud («HIPAA») regula el intercambio electrónico de datos de información de atención médica. El Título I de la HIPAA protege la cobertura de seguro médico para los trabajadores y sus familias cuando cambian o pierden sus empleos. El Título II de la HIPAA, conocido como disposiciones de Simplificación Administrativa, requiere el establecimiento de normas nacionales para transacciones electrónicas de atención médica e identificadores nacionales para proveedores, planes de seguro médico y empleadores. Las disposiciones de simplificación administrativa también abordan la seguridad y la privacidad de los datos sanitarios.

Bajo el Título II de la HIPAA, el HHS ha promulgado cinco conjuntos de reglamentos de implementación, que se conocen de diversas maneras como la Regla de Privacidad; la Regla de Seguridad; la Regla de Identificadores Únicos (Identificación Nacional del Proveedor («NPI»)); la Regla de Conjuntos de Códigos y Transacciones; y la Regla de Cumplimiento. Pero nuestros clientes se preocupan principalmente por la Regla de Privacidad y la Regla de Seguridad, que abordan la protección de la confidencialidad y la privacidad de la información de atención médica de los pacientes.

Partes de HIPAA han sido enmendadas por un estatuto federal posterior, la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica («HITECH»), promulgada como parte de la Ley de Recuperación y Reinversión Estadounidense de 2009.

La HIPAA establece sanciones pecuniarias civiles y sanciones penales por violaciones. HHS impone la sanción civil de prestación, mientras que el Departamento de Justicia ESTADOUNIDENSE impone las sanciones penales. La disposición de multa civil de HIPPA autoriza una multa civil de hasta 1 100 por violación, hasta 2 25,000 por año. HIPAA autoriza sanciones penales de acuerdo con el nivel de culpabilidad, hasta 1 1.5 millones.

Leyes estatales de Privacidad y Confidencialidad

Los Estados también tienen sus propias leyes de privacidad y confidencialidad, partes de las cuales se aplican a pesar de las disposiciones de preferencia de HIPAA. Además, los proveedores que no estén sujetos a la HIPAA estarán sujetos a las leyes y regulaciones estatales.

Por ejemplo, en California:

Las normas de privacidad de California están contenidas en la Ley de Confidencialidad de la Información Médica («CMIA»).

  • El Código de seguridad Health & (secciones 123100 y siguientes.) regirá el acceso de los pacientes a los registros de salud. (Entre otras cosas, se aplican consideraciones especiales a las notas de psicoterapia y los registros de salud mental).
  • La ley de California también establece una Oficina Estatal de Integridad de la Información de Salud, dedicada a informar sobre los derechos y responsabilidades relevantes para la información de salud, así como el papel de los intercambios electrónicos de información de salud («HIEs») en la transmisión de la información de salud de los pacientes.
  • El Departamento de Servicios de Atención Médica de California también tiene una Oficina de Privacidad, que se encuentra dentro de la Oficina de Cumplimiento de HIPAA del Departamento, y trabaja para proteger la PHI, incluida la investigación de violaciones de privacidad y quejas relacionadas con el acceso o divulgación no autorizados de la PHI.
  • Además, California tiene una Oficina de Protección de la Privacidad que proporciona información sobre temas de privacidad para individuos y consumidores.

Requisitos de la HIPAA

La HIPAA se aplica a las «Entidades Cubiertas» y a sus «Socios Comerciales».»

las entidades Cubiertas incluyen:

(1) Planes de salud, incluidas las compañías de seguro médico, las HMO, los planes de salud de la compañía y ciertos programas gubernamentales que pagan por la atención médica, como Medicare y Medicaid.

(2) La mayoría de los proveedores de atención médica, que transmiten cualquier información de atención médica en forma electrónica a las compañías de seguros médicos. Dichos proveedores de atención médica pueden incluir médicos, clínicas, hospitales, psicólogos, quiroprácticos, hogares de ancianos, farmacias y dentistas, o cualquier otra persona u organización que proporcione, pague o pague por atención médica en el curso normal de los negocios.

(3) Centros de intercambio de información sobre atención médica: entidades que procesan información de salud no estándar que reciben de otra entidad en un estándar (es decir, formato electrónico estándar o contenido de datos), o viceversa.

Un Socio de Negocios es una persona que no forma parte de la fuerza laboral de una Entidad Cubierta, que utiliza el procesamiento o administración de reclamaciones de información médica identificable individualmente; análisis, procesamiento o administración de datos.

El Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS, por sus siglas en inglés) resume los principales procedimientos administrativos que una Entidad Cubierta debe tener bajo la HIPAA, de la siguiente manera:

  • Políticas y Procedimientos de privacidad. Una Entidad Cubierta debe desarrollar e implementar políticas y procedimientos de privacidad por escrito que sean consistentes con HIPAA.
  • Personal de privacidad. Una Entidad Cubierta debe designar a un funcionario de privacidad responsable de desarrollar e implementar sus políticas y procedimientos de privacidad, y a una persona de contacto u oficina de contacto responsable de recibir quejas y proporcionar a las personas información sobre las prácticas de privacidad de la Entidad Cubierta.
  • Formación y Gestión de la Fuerza de trabajo. Los miembros de la fuerza de trabajo incluyen empleados, voluntarios, aprendices y también pueden incluir otras personas cuya conducta está bajo el control directo de la entidad (independientemente de que la entidad les pague o no). Una Entidad Cubierta debe capacitar a todos los miembros de la fuerza laboral en sus políticas y procedimientos de privacidad, según sea necesario y apropiado para que lleven a cabo sus funciones; y debe tener y aplicar sanciones apropiadas contra los miembros de la fuerza laboral que violen sus políticas y procedimientos de privacidad o HIPAA.
  • Mitigación. Una Entidad Cubierta debe mitigar, en la medida de lo posible, cualquier efecto dañino que sepa que fue causado por el uso o la divulgación de información médica protegida por parte de su fuerza laboral o sus socios comerciales en violación de sus políticas y procedimientos de privacidad o HIPAA.
  • Protección de datos. Una Entidad Cubierta debe mantener salvaguardas administrativas, técnicas y físicas razonables y apropiadas para evitar el uso intencional o no intencional o la divulgación de información médica protegida en violación de la Regla de Privacidad y para limitar su uso y divulgación incidentales de conformidad con el uso o divulgación permitido o requerido de otra manera. Por ejemplo, tales salvaguardias podrían incluir la trituración de documentos que contengan información sanitaria protegida antes de descartarlos, la protección de los registros médicos con candado y llave o código de acceso, y la limitación del acceso a las llaves o códigos de acceso.
  • Denuncias. Una Entidad Cubierta debe tener procedimientos para que los individuos se quejen de su cumplimiento con sus políticas y procedimientos de privacidad y la Regla de Privacidad. La Entidad Cubierta debe explicar esos procedimientos en su aviso de prácticas de privacidad. Entre otras cosas, la Entidad Cubierta debe identificar a quién las personas pueden presentar quejas en la Entidad Cubierta y notificar que las quejas también se pueden presentar al Secretario del HHS.
  • Sin represalias y Renuncia. Una Entidad Cubierta no puede tomar represalias contra una persona por ejercer los derechos previstos en la Regla de Privacidad, por ayudar en una investigación del HHS u otra autoridad apropiada, o por oponerse a un acto o práctica que la persona crea de buena fe que viola la Regla de Privacidad. Una Entidad Cubierta no puede exigir a una persona que renuncie a ningún derecho bajo la Regla de Privacidad como condición para obtener tratamiento, pago y elegibilidad de inscripción o beneficios.
  • Retención de Documentación y registros. Una Entidad Cubierta debe mantener, hasta seis años después de la fecha de su creación o última fecha de entrada en vigor, sus políticas y procedimientos de privacidad, sus avisos de prácticas de privacidad, disposición de quejas y otras acciones, actividades y designaciones que la Norma de Privacidad requiere que se documenten.

Póngase en contacto con nuestro equipo Legal de HIPAA para obtener asesoramiento legal relacionado con la privacidad, confidencialidad y seguridad de los datos del paciente.

California law has HIPAA-like privacy provisions for personal information

HIPAA Privacy Compliance and Enforcement website

Physician obligation regarding medical records

See also our full series of articles:

HIPAA Omnibus Rule: Part 1 (Overview)

HIPAA Omnibus Rule: Part 2 (Business Associates & Subcontractors)

HIPAA Omnibus Rule: Part 3 (Enforcement & Penalties)

HIPAA Omnibus Rule: Part 4 (Security Rule Changes)

HIPAA Omnibus Rule: Part 5 (Privacy Rule Changes)

HIPAA Omnibus Rule: Part 6 (Business Associate Agreements)

HIPAA Omnibus Rule: Part 7 (Notice of Privacy Practices & Other Provisions)

HIPAA Omnibus Rule: Part 8 (Breach Analysis)

Or find out more about online HIPAA compliance training.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *