Una pregunta general que muchos ciudadanos tienen se refiere al cumplimiento de HIPAA. Para responder a esta pregunta, primero debemos entender qué es HIPAA, quién garantiza el cumplimiento y quién debe cumplir. Una vez que aprendemos esto, podemos entender si está cumpliendo con HIPAA. Entonces, sin más preámbulos, comencemos.
La Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) es una ley federal que establece estándares para proteger la privacidad y seguridad de la información médica personal. El cumplimiento de HIPAA se refiere a cumplir con los requisitos establecidos por HIPAA y garantizar que la información de salud protegida (PHI, por sus siglas en inglés) se maneje y divulgue correctamente.
Esto incluye tomar las medidas adecuadas para salvaguardar su PHI, como implementar controles de seguridad físicos y técnicos y garantizar que solo las personas autorizadas tengan acceso a su PHI.
¿Qué son la PHI y la HIPAA?
PHI significa Información de Salud Protegida. Esta es cualquier información sobre la salud o el historial médico de una persona que es creada, recopilada, utilizada o divulgada por un proveedor de atención médica, un plan de salud u otra entidad cubierta en el curso de la prestación de servicios de atención médica.
La PHI está protegida a continuación HIPAA, que establece normas de gestión y divulgación. Los ejemplos de PHI incluyen los registros médicos de una persona, la información del seguro médico y los resultados de las pruebas.
Si te has dado cuenta, se sigue una práctica común en todas las instituciones de salud: proteger la información del paciente. Cualquier información que pueda usarse para identificar a un paciente o ciudadano se llama Información de Salud Protegida o PHI. Esto incluye el nombre de la persona, números de contacto, direcciones, número de seguro social, información financiera, fotos e información médica.
Según HIPAA o la Ley de Portabilidad y Responsabilidad de Seguros Médicos (1996), debe seguir varias normas y reglamentos estándar con respecto a la PHI. Por ejemplo, describe las circunstancias en las que la PHI puede o no ser divulgada o utilizada. Autoridades como la Oficina de Derechos Civiles y el Departamento de Salud y Servicios Humanos aseguran el cumplimiento de HIPAA.
HIPAA cubre una amplia gama de reglas y regulaciones que son obligatorias para las entidades afectadas, algunas de las cuales se enumeran a continuación:
- regla de privacidad
- regla de seguridad
- regla ómnibus
- Regla de notificación de incumplimiento
¿A quién se aplica HIPAA?
HIPAA se aplica a varias entidades, conocidas como «entidades cubiertas» y «socios comerciales». Las entidades cubiertas incluyen proveedores de atención médica (como hospitales, médicos y clínicas), planes de salud (como compañías de seguros y planes de salud patrocinados por empleadores) y cámaras de compensación de atención médica (como compañías de facturación y otras organizaciones que procesan información de salud). .
Los socios comerciales son personas o entidades que trabajan con entidades cubiertas y tienen acceso a la PHI, como subcontratistas y proveedores externos. HIPAA también se aplica a cualquier individuo o entidad que reciba PHI de una entidad cubierta o socio comercial, como un investigador o una empresa de almacenamiento de datos.
Ahora que sabe qué es HIPAA y qué protege, entenderemos quién debe seguir las normas y reglamentos de HIPAA. Las reglas de HIPAA se aplican principalmente a estas dos categorías: entidades cubiertas y empresas asociadas. Tratemos de comprender mejor su alcance:
Entidades cubiertas
HIPAA establece que cualquier organización o entidad que crea, transmite o recopila PHI electrónicamente está cubierta. Las organizaciones como las cámaras de compensación de atención médica, los proveedores de atención y los proveedores de seguros son entidades cubiertas.
Compañías asociadas
Por otro lado, los socios comerciales cubren un amplio espectro de empresas y organizaciones. Bajo HIPAA, cualquier organización asociada con entidades cubiertas que se encuentra o trata con PHI en el curso de su trabajo es un socio comercial. Por ejemplo, empresas de gestión de prácticas, empresas de facturación, consultores externos, MSP, empresas de fax, proveedores de TI, etc.
¿Cómo se puede cumplir con HIPAA?
Para cumplir con HIPAA, debe tomar varios pasos para proteger la privacidad y seguridad de su PHI. Algunos de los requisitos críticos para el cumplimiento de HIPAA incluyen los siguientes:
- Realice una evaluación de riesgos exhaustiva para identificar posibles vulnerabilidades y amenazas a la PHI.
- Implementación de medidas de seguridad físicas, técnicas y administrativas adecuadas para proteger su PHI del acceso, uso, divulgación y destrucción no autorizados.
- Desarrollar e implementar políticas y procedimientos para manejar y divulgar PHI de acuerdo con los requisitos de HIPAA.
- Brindar educación y capacitación continuas a los empleados y otras personas que tengan acceso a la PHI.
- Establezca procesos para monitorear y hacer cumplir los requisitos de HIPAA.
Llevar a cabo auditorías y revisiones periódicas para garantizar que la PHI se maneje y divulgue de manera adecuada. - Establecer procedimientos para responder a incidentes relacionados con el acceso, uso, divulgación o destrucción no autorizados de PHI.
Realizar auto-auditorias
HIPAA está pidiendo a las partes interesadas que lo hagan realizar auto-auditorias para cumplir con las reglas de HIPAA. Simplemente realizar una evaluación de riesgos de seguridad no es suficiente, así que asegúrese de cumplir con la cuota de auditoría obligatoria de HIPAA.
Implementar planes de remediación
Una de las principales razones por las que se implementan las autoauditorías es para que las empresas reconozcan la brecha en el cumplimiento de HIPAA. Una vez que se reconocen las brechas, las empresas deben implementar un plan de redención para cerrar esas brechas.
Las acciones correctivas deben implicar la revisión de procedimientos y políticas durante la capacitación de los empleados para garantizar que la organización pueda cumplir con éxito con las reglas de HIPAA. Estas acciones deben quedar bien registradas para futuras referencias y verificación.
Planes de manejo de emergencias
Si desafortunadamente, una entidad cubierta o un socio comercial tiene una violación de su PHI, debe tener un plan efectivo para su aplicación inmediata. Deben existir planes para recuperar datos, informar a los pacientes y garantizar que el incidente se registre adecuadamente.
Terminando
Al seguir estos pasos y seguir los requisitos establecidos por HIPAA, las entidades afectadas y los socios comerciales pueden asegurarse de cumplir con la ley y proteger la privacidad y seguridad de su PHI.