¿Qué es la HIPAA? O es HIPPA?
Si usted está remotamente relacionado con la industria de la salud, entonces es probable que haya oído hablar de algo llamado HIPAA (a veces incorrectamente referido como HIPPA).
Pero aparte de ser una consideración fundamental para los proveedores de atención médica, ¿qué es HIPAA?
¿Qué significa HIPAA?
Ese acrónimo confuso, HIPAA, significa Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996, que es una legislación de Estados Unidos que establece disposiciones de privacidad y seguridad de datos para salvaguardar la información médica, como los registros médicos y otra información de salud identificable.
La ley contiene cinco secciones, denominadas títulos:
- El Título I protege la cobertura del seguro médico de las personas que pierden o cambian de trabajo y también impide que los planes de salud de grupo denieguen o limiten ciertas coberturas.
- El Título II otorga al Departamento de Salud y Servicios Humanos de EE.UU. la facultad de establecer normas nacionales para el sector de la atención sanitaria a la hora de procesar transacciones electrónicas. También exige a las organizaciones sanitarias que aseguren el acceso electrónico a los datos sanitarios para seguir cumpliendo con la normativa.
- El Título III incluye disposiciones relacionadas con los impuestos y directrices para la atención médica.
- El Título IV define con más detalle la reforma de los seguros sanitarios, incluyendo disposiciones para las personas con enfermedades preexistentes y las que buscan una cobertura continuada.
- El Título V incluye disposiciones sobre los seguros de vida propiedad de la empresa y el tratamiento de quienes pierden su ciudadanía estadounidense a efectos del impuesto sobre la renta.
- Regla de privacidad de la HIPAA. La Regla de Privacidad cubre el uso y la divulgación de la información sanitaria protegida (PHI) y los estándares que deben mantenerse para que los individuos entiendan y controlen cómo su información sanitaria individualmente identificable es utilizada por una organización.
- Regla de Seguridad de la HIPAA. La Regla de Seguridad establece las normas de seguridad que deben aplicarse para proteger la información sanitaria electrónica protegida (ePHI), que es la información sanitaria o los registros sanitarios que se conservan o transfieren en formato electrónico. Esto incluye la definición de salvaguardas técnicas, salvaguardas físicas y salvaguardas administrativas.
- Regla de Aplicación de la HIPAA. La Regla de Aplicación establece cómo se hará cumplir la HIPAA y qué ocurrirá si se descubre un incumplimiento.
- Un proveedor de atención médica como médicos, clínicas o farmacias
- Un plan de salud como las compañías de seguros médicos, las HMO y los planes de salud de las empresas
- Un centro de intercambio de información de atención médica que procesa la información de salud no estándar que recibe de otra entidad en un estándar
- Un administrador de terceros que asiste a una aseguradora de salud con el procesamiento de reclamaciones
- Un abogado cuyos servicios implican el acceso a la PHI
- Un proveedor de encriptación de correo electrónico como Paubox
La mayor parte de la cobertura informativa sobre las infracciones de la HIPAA se refiere al Título II de la HIPAA, en particular a las secciones que contienen los requisitos para el cumplimiento de la HIPAA y la seguridad de los datos sanitarios de los pacientes:
Sin embargo, una pieza infravalorada del Título II de la HIPAA son las disposiciones adicionales añadidas en 2010 a partir de la Ley de Asistencia Asequible (ACA) que cubrían las transacciones de la HIPAA.
Conocida como Simplificación Administrativa de la HIPAA, el propósito era simplificar la parte comercial de la asistencia sanitaria. Esto es clave para ayudar a la interoperabilidad y asegurarse de que las organizaciones de todos los tamaños dentro del sistema de salud puedan trabajar a partir de los mismos estándares.
VEA RELACIONADO: Guía completa sobre el cumplimiento de la HIPAA para profesionales ocupados
VEA RELACIONADO: ¿Qué significa para mí una transacción de la HIPAA?
¿A quién se aplica la HIPAA?
Las normas de la HIPAA se aplican a las entidades cubiertas y a sus asociados comerciales. Una entidad cubierta se define como:
Los asociados comerciales, como los socios, son terceros que una entidad cubierta puede designar para realizar ciertas funciones o actividades que implican el uso de la PHI en su nombre. Algunos ejemplos incluyen:
En cada caso, es importante tener un acuerdo de socio comercial (BAA) firmado para asegurar que el tercero está tomando las medidas correctas para cumplir con los requisitos de la HIPAA.
La Ley HITECH y la Regla Omnibus
En 2009, la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (HITECH) se convirtió en ley para promover la adopción y el uso significativo de la tecnología en la atención sanitaria.
Los incentivos, requisitos y reglamentos relacionados han tenido un gran impacto, y la atención sanitaria sigue intentando seguir el ritmo. Dentro de la Ley HITECH se estipula que las tecnologías no violen las normas de la HIPAA.
La Regla Omnibus de la HIPAA fue puesta en marcha por el HHS en 2013 para modificar la HIPAA de acuerdo con las directrices establecidas por la Ley HITECH en relación con las responsabilidades de los asociados comerciales de las entidades cubiertas. También aumentó las sanciones por violaciones del cumplimiento de la HIPAA hasta un máximo de 1,5 millones de dólares por incidente.
Hemos elaborado esta guía rápida y gratuita sobre el cumplimiento de la HIPAA por parte del correo electrónico.
DESCARGAR AHORA
Evitar las infracciones de la HIPAA
Las infracciones de la HIPAA pueden resultar bastante costosas para las organizaciones sanitarias.
En su forma más sencilla, una infracción de la HIPAA se produce cuando una entidad cubierta no mantiene las salvaguardias adecuadas para evitar el uso o la divulgación intencionada o no de la información médica protegida, de acuerdo con las directrices de la Regla de Privacidad de la HIPAA.
Los costes pueden incluir la notificación a los pacientes de las entidades cubiertas y de cualquier asociado comercial afectado tras una violación de datos. Además de los costes de notificación, están las posibles multas impuestas por la Oficina de Derechos Civiles (OCR) tras la revisión de las infracciones de la HIPAA.
Las propias multas por infracción de la HIPAA pueden alcanzar el millón y medio de dólares e incluir penas de cárcel si hay cargos penales relacionados con las infracciones.
Evitar las infracciones requiere planificación. Las entidades cubiertas y los asociados comerciales pueden mitigar los riesgos asegurándose de que el personal pase por los programas de formación sobre el cumplimiento de la HIPAA. Los consultores también pueden incorporarse para asegurarse de que existen los procesos correctos para evitar y hacer frente a cualquier infracción.
VEA RELACIONADO: La guía completa de las violaciones de la HIPAA
Conclusión
Aunque no hay un sello de aprobación oficial o un programa de certificación para el cumplimiento de la HIPAA, hay muchas empresas que ofrecen credenciales que demuestran que una organización ha tomado las medidas adecuadas para cumplir con los requisitos de la HIPAA.
A medida que la tecnología sigue formando parte de la atención médica, siempre habrá nuevos lugares potenciales para que se produzca una violación. Pero teniendo en cuenta las normas de la HIPAA, todas las organizaciones pueden estar seguras de que están haciendo todo lo posible para proteger la PHI.