Tutorial de Ley HIPAA y HITECH: Parte I

hipaa_complianceMuchas personas me preguntan sobre la Ley HIPAA y el HITECH Act. Así que escribí este tutorial para orientarles. En esta primera parte cubriré lo básico. En una segunda parte discutiré en más detalle las posibles acciones que se pueden tomar para estar en cumplimiento.

¿Qué es la Ley HIPAA?

HIPAA es la Ley de “Portabilidad” y Responsabilidad del Seguro Médico (Health Insurance Portability and Accountability Act of 1996). Los objetivos fundamentales de la ley:

  • facilitar a las personas el obtener y mantener un seguro médico
  • proteger la confidencialidad y la seguridad de la información del cuidado médico
  • ayudar a la industria de la salud a controlar costos administrativos

HIPAA se divide en cinco títulos. Cada título trata un aspecto único de la reforma del seguro de salud:

Título I – Portabilidad. Portabilidad se refiere a que las personas puedan llevar su seguro médico de un trabajo a otro sin que lapse su cobertura. Restringe a los planes médicos sobre el tema de condiciones preexistentes cuando se cambia de un plan a otro.

Título II – Simplificación Administrativa. Tendrá un impacto mayor para los proveedores. Se diseñó para:

  • combatir el fraude y abuso en el cuidado de la saludgarantizar la seguridad y la privacidad de la información médica
  • establecer estándares para la información y transacciones médicas
  • reducir el costo del cuidado médico mediante la estandardización de la manera en que la industria comunica la información

Título III – Disposiciones de Salud Relacionadas a Impuestos

Título IV – Aplicación y Cumplimiento de los Requisitos de Planes Grupales de Salud

Título V – Retenciones de Ingresos

¿Qué es la ley HITECH?

HIPAA fue actualizado con el Health Information Technology for Economic and Clinical Health Act of 2009, el cual crea una serie de reglas definiendo los datos de información personal protegida, partes afectadas, notificación de liqueos, penalidades contra entidades y asociados de negocio.

¿Qué requiere la Ley a los proveedores?

A los proveedores se les requiere que:

  1. garanticen los derechos a la privacidad del paciente
  2. entreguen a los pacientes explicaciones claras, por escrito de cómo el proveedor podría utilizar y revelar su información de salud
  3. aseguren que los pacientes puedan ver y obtener copias de sus expedientes y solicitar correcciones
  4. hagan un historial de revelaciones no rutinarias accesible a los pacientes
  5. obtengan el consentimiento del paciente antes de compartir su información para tratamiento, pago y actividades del cuidado médico
  6. obtengan la autorización del paciente para las revelaciones no rutinarias y la mayoría de los propósitos no relacionados al cuidado médico
  7. permitan a los pacientes solicitar restricciones en los usos y revelaciones de su información
  8. adopten procedimientos de privacidad por escrito que incluyan:
  • ¿Quién tiene acceso a la información protegida?
  • ¿Cómo se utilizará dentro de la agencia?
  • ¿Cuándo la información se revelará?
  1. se aseguren que los asociados del negocio protejan la privacidad de la información de salud
  2. enseñen a los empleados los procedimientos de privacidad del proveedor
  3. designen un oficial de privacidad que es responsable de asegurarse que los procedimientos de seguridad se cumplen

Incentivos

Para beneficiarse de los incentivos disponibles, y evitar multas por incumplimiento, las organizaciones deben moverse diligentemente a cumplir las dispocisiones del HITECH Act. Los médicos pueden recibir de $40,000 a $60,000 en un período de 5 años si implementan las tecnologías de acuerdo a las regulaciones. Los hospitales, pueden recibir incentivos de $2 millones anuales. Incentivos adicionales pueden aplicar, dependiendo el volumen de pacientes de Medicare.

Los incentivos están condicionados en demostrar Uso Significativo o “Meaninful Use”.

¿Qué es Uso Significativo (“Meaningful use”)?

Uso Significativo se refiere a unos criterios establecidos sobre en el uso de sistemas informáticos que manejan información médica personal. Este concepto fue desarrollado por el National Quality Forum (NQF); sus ideas van dirigidas a mejorar el la salud de la población, la coordinación de los servicios médicos, mejor seguridad, e interacción con el paciente. El U.S. Healthcare Information Technology for Economic and Clinical Health Act (HITECH) establece incentivos basados en el Uso Significativo desde 2012, con la posibilidad de multas por incumplimiento a partir del año 2015. En agosto de 2012, Centers for Medicare and Medicaid Services (CMS) publicó las reglas finales de Uso Significativo Nivel 2.

Multas

Con la regulación más estricta, las penalidades son más serias. HIPAA ahora impone multas por exponer información sensitiva, y más estados y terrirorios han implementados leyes estrictas para proteger la privacidad de sus ciudadanos. Ya desde el año 2014, 47 estados, el Distrito de Columbia, Guam, Puerto Rico y las Islas Vírgenes todos tienen leyes de protección de datos y privacidad en sus códigos.

Si el impacto negativo en relacciones públicas, posible pérdida de negocios, y daños a la reputación resultantes de exponer datos sensitivos no es suficiente incentivo para cumplir con HIPAA, los aumentos significativos en las multas son muy persuasivos:

  • Penalidades desde $250,000, hasta un máximo de $1.5 millones por violaciones repetidas o sin corregir.

  • Organizaciones pueden ser penalizadas hasta $1.5 millones por año por cada violación

  • Individuos afectados pueden recibir indemnizaciones monetarias por acciones de litigio civil, penalidades u otros acuerdos

Auditorías

El HITECH Act requiere auditorías periódicas que garantizen que las entidades afectadas y asociados de negocio estén en cumplimiento con los requisitos de la ley. Si la tecnología requerida no está implementada para el año 2015, los incentivos se convierten en penalidades y recortes en los pagos.

Radicación de Quejas

Cualquier persona que sospeche que ha ocurrido alguna violación a su privacidad o la de otras personas puede radicar una queja. El departamento de salud y recursos humanos federal, tiene una oficina de Derechos Civiles que facilita el proceso de radicación.

HHS Office for Civil Rights (OCR):

https://ocrportal.hhs.gov/ocr/cp/complaint_frontpage.jsf

En la segunda parte del tutorial discutiremos qué hacer para estar en cumplimiento, y evitar quejas que puedan resultar en problemas.

 

Referencias:

The HITECH Act: Raising the compliance bar for HIPAAhttp://i.dell.com/sites/doccontent/shared-content/data-sheets/en/Documents/HIPAA_HITECH.pdf

Healthcare IT News: Meaningful use

http://www.healthcareitnews.com/directory/meaningful-use

Centers for Medicare and Medicaid Services: Meaningful Use

http://www.cms.gov/Regulations-and-Guidance/Legislation/EHRIncentivePrograms/Meaningful_Use.html

Sophos: Is Your Organization HIPAA Healthy?

http://www.sophos.com/en-us/security-news-trends/security-trends/hipaa.aspx

4 comments on “Tutorial de Ley HIPAA y HITECH: Parte I
  1. alberto dice:

    Te felicito por tu gran trabajo,,y por poner tus talentos y habilidades
    a disposición de la gente.. Mucho éxito hermano!!! Eres un fajón.

  2. Rubén dice:

    Estelar…gracias por compartir

  3. Rubén dice:

    Ha sido un resumen escueto y contundente, ayuda a entender mucho el tema de la privacidad

  4. Sany dice:

    Gracias buen resumen sobre estas leyes, exito.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

 

A %d blogueros les gusta esto: