Tutorial de Ley HIPAA y HITECH: Parte I

Tutorial de Ley HIPAA y HITECH: Parte I

Muchas personas me preguntan sobre la Ley HIPAA y el HITECH Act. Así que escribí este tutorial para orientarlos. En esta primera parte cubriremos un resumen de lo básico, qué requiere cada ley, incentivos, “uso significativo”, multas, auditorías y radicación de quejas. En una segunda parte discutiremos en más detalle.

¿Qué es la Ley HIPAA?

HIPAA es la Ley de “Portabilidad” y Responsabilidad del Seguro Médico (Health Insurance Portability and Accountability Act of 1996). Los objetivos fundamentales de la ley:

  • facilitar a las personas el obtener y mantener un seguro médico
  • proteger la confidencialidad y la seguridad de la información del cuidado médico
  • ayudar a la industria de la salud a controlar costos administrativos

HIPAA se divide en cinco títulos. Cada título trata un aspecto único de la reforma del seguro de salud:

Título I – Portabilidad. Portabilidad se refiere a que las personas puedan llevar su seguro médico de un trabajo a otro sin que lapse su cobertura. Restringe a los planes médicos sobre el tema de condiciones preexistentes cuando se cambia de un plan a otro.

Título II – Simplificación Administrativa. Tendrá un impacto mayor para los proveedores. Se diseñó para:

  • combatir el fraude y abuso en el cuidado de la salud
  • garantizar la seguridad y la privacidad de la información médica
  • establecer estándares para la información y transacciones médicas
  • reducir el costo del cuidado médico mediante la estandarización de la manera en que la industria comunica la información

Título III – Disposiciones de Salud Relacionadas a Impuestos

Título IV – Aplicación y Cumplimiento de los Requisitos de Planes Grupales de Salud

Título V – Retenciones de Ingresos

¿Qué es la ley HITECH?

HIPAA fue actualizado con el Health Information Technology for Economic and Clinical Health Act of 2009, el cual crea una serie de reglas definiendo los datos de información personal protegida, partes afectadas, notificación de liqueos, penalidades contra entidades y asociados de negocio.

¿Qué requiere la Ley a los proveedores?

A los proveedores se les requiere que:

  1. garanticen los derechos a la privacidad del paciente
  2. entreguen a los pacientes explicaciones claras, por escrito de cómo el proveedor podría utilizar y revelar su información de salud
  3. aseguren que los pacientes puedan ver y obtener copias de sus expedientes y solicitar correcciones
  4. hagan un historial de revelaciones no rutinarias accesible a los pacientes
  5. obtengan el consentimiento del paciente antes de compartir su información para tratamiento, pago y actividades del cuidado médico
  6. obtengan la autorización del paciente para las revelaciones no rutinarias y la mayoría de los propósitos no relacionados al cuidado médico
  7. permitan a los pacientes solicitar restricciones en los usos y revelaciones de su información
  8. adopten procedimientos de privacidad por escrito que incluyan:
  • ¿Quién tiene acceso a la información protegida?
  • ¿Cómo se utilizará dentro de la agencia?
  • ¿Cuándo la información se revelará?
  1. se aseguren que los asociados del negocio protejan la privacidad de la información de salud
  2. enseñen a los empleados los procedimientos de privacidad del proveedor
  3. designen un oficial de privacidad que es responsable de asegurarse que los procedimientos de seguridad se cumplen

Incentivos

Para beneficiarse de los incentivos disponibles, y evitar multas por incumplimiento, las organizaciones deben moverse diligentemente a cumplir las disposiciones del HITECH Act. Los médicos pueden recibir de $40,000 a $60,000 en un período de 5 años si implementan las tecnologías de acuerdo a las regulaciones. Los hospitales, pueden recibir incentivos de $2 millones anuales. Incentivos adicionales pueden aplicar, dependiendo el volumen de pacientes de Medicare.

Los incentivos están condicionados en demostrar Uso Significativo o “Meaningful Use”.

¿Qué es Uso Significativo (“Meaningful use”)?

Uso Significativo se refiere a unos criterios establecidos sobre en el uso de sistemas informáticos que manejan información médica personal. Este concepto fue desarrollado por el National Quality Forum (NQF); sus ideas van dirigidas a mejorar el la salud de la población, la coordinación de los servicios médicos, mejor seguridad, e interacción con el paciente. El U.S. Healthcare Information Technology for Economic and Clinical Health Act (HITECH) establece incentivos basados en el Uso Significativo desde 2012, con la posibilidad de multas por incumplimiento a partir del año 2015. En agosto de 2012, Centers for Medicare and Medicaid Services (CMS) publicó las reglas finales de Uso Significativo Nivel 2.

Multas

Con la regulación más estricta, las penalidades son más serias. HIPAA ahora impone multas por exponer información sensitiva, y más estados y territorios han implementado leyes estrictas para proteger la privacidad de sus ciudadanos. Ya desde el año 2014, 47 estados, el Distrito de Columbia, Guam, Puerto Rico y las Islas Vírgenes todos tienen leyes de protección de datos y privacidad en sus códigos.

Si el impacto negativo en relaciones públicas, posible pérdida de negocios, y daños a la reputación resultantes de exponer datos sensitivos no es suficiente incentivo para cumplir con HIPAA, los aumentos significativos en las multas son muy persuasivos:

  • Penalidades desde $250,000, hasta un máximo de $1.5 millones por violaciones repetidas o sin corregir.

  • Organizaciones pueden ser penalizadas hasta $1.5 millones por año por cada violación

  • Individuos afectados pueden recibir indemnizaciones monetarias por acciones de litigio civil, penalidades u otros acuerdos

Auditorías

El HITECH Act requiere auditorías periódicas que garanticen que las entidades afectadas y asociados de negocio estén en cumplimiento con los requisitos de la ley. Si la tecnología requerida no está implementada para el año 2015, los incentivos se convierten en penalidades y recortes en los pagos.

Radicación de Quejas

Cualquier persona que sospeche que ha ocurrido alguna violación a su privacidad o la de otras personas puede radicar una queja. El departamento de salud y recursos humanos federal, tiene una oficina de Derechos Civiles que facilita el proceso de radicación.

HHS Office for Civil Rights (OCR):

https://ocrportal.hhs.gov/ocr/cp/complaint_frontpage.jsf

Referencias:

Nota: Si necesita ayuda con el inglés sugerimos usar el traductor Google Translate

The HITECH Act: Raising the compliance bar for HIPAAhttp://i.dell.com/sites/doccontent/shared-content/data-sheets/en/Documents/HIPAA_HITECH.pdf

Healthcare IT News: Meaningful use

http://www.healthcareitnews.com/directory/meaningful-use

Centers for Medicare and Medicaid Services: Meaningful Use

http://www.cms.gov/Regulations-and-Guidance/Legislation/EHRIncentivePrograms/Meaningful_Use.html

Sophos: Is Your Organization HIPAA Healthy?

http://www.sophos.com/en-us/security-news-trends/security-trends/hipaa.aspx

9 comentarios en «Tutorial de Ley HIPAA y HITECH: Parte I»

  1. Puede una institución educativa negarse a entregar récord académicos y de salud debido a una deuda del solicitante de los pagos de la mensualidad

    • Esta pregunta es compuesta y complicada.

      En cuanto a los récords académicos la respuesta puede variar dependiendo si la institución es pública o privada, si tiene por escrito sus políticas, términos y condiciones, si estos fueron aceptados explícitamente (mediante firma) por el estudiante y si la institución está obligada a cumplir ciertas reglas para ser elegible para becas y ayudas económicas las cuales modifiquen o sustituyan las políticas normales de la institución. Esto está fuera del alcance la Ley HIPAA.

      En cuanto a los récords médicos, asegúrese que tiene derecho a acceder esos récords. Pregunte y siga los procedimientos correctos para hacer la solicitud por escrito, haga la solicitud a la entidad que prestó los servicios médicos. Espere 60 días. Usted tiene 180 días a partir de la notificación negando acceso a los récords o tras no recibir respuesta en 60 días para someter una queja ante la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Recursos Humanos de EEUU (HHS).

      https://www.hhs.gov/hipaa/filing-a-complaint/complaint-process/index.html

  2. Quisiera saber si subió la segunda parte. Ya que estoy haciendo un trabajado de la universidad y este me resultó bastante completo, pero me falta información. Y no entiendo mucho el inglés.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*