Privacidad y Seguridad de la Información de Salud
Presentado por: Niurka Adorno González, Esq., CHC, Directora, CumplimientoMolina Healthcare de Puert Rico
Definir ¿qué es HIPAA? Mencionar los identificadores de HIPAA. Explicar Uso vs. Divulgación. ¿Cuándo puedo usar o divulgar PHI sin autorización? Discutir a que se refiere el concepto de mínimo
necesario. Discutir las penalidades por violar HIPAA. Requisitos de la Regla de Privacidad. Discutir los derechos del paciente. Explicar que es brecha de la información. Explicar que es la regla de seguridad.
Objetivos:
La Ley de Responsabilidad y Portabilidad de Seguros de Salud, HIPAA por sus siglas en inglés, fue aprobada en 1996 por el Congreso de los Estados Unidos.
Provee el marco para el establecimiento de la protección de la confidencialidad de la información del paciente, la seguridad de los sistemas de información electrónica y los estándares y requerimientos de la transmisión electrónica de información de salud.
¿Qué es la Ley de Responsabilidad y Portabilidad de Seguros de Salud?
Objetivo Principal de Ley HIPAA• Proteger la información protegida de salud (PHI):
electrónica, oral o escrita.
• PHI pertenece al individuo/paciente no al proveedor.
• Las Entidades Cubiertas y los Socios de Negocio tienen la obligación fiduciaria de proteger la privacidad y seguridad del PHI de cada individuo.
• Requiere que se tengan políticas y procedimientos escritos para asegurar la privacidad y seguridad del PHI de los individuos.
Información en el record médico, como:◦ Documentación de la visita/encuentro◦ Resultados de Laboratorios◦ Fechas de Citas◦ Facturación◦ Lecturas de radiografías y reportes◦ Historial médico y exámenes físicos◦ Identificadores del Paciente
¿Dónde se encuentra la Información Protegida de Salud?
¿Cuáles son los identificadores del Paciente?A) Nombre, incluyendo iniciales; K) Número de licencia/Certificado;
B) Dirección residencial, #calle, barrio, ciudad, precinto, código postal, y “geo-codes” equivalentes;
L) Identificadores de vehículos y números de serie, incluyendo el número de la tablilla;
C) Todos los elementos de fechas (excepto año)
M) Identificadores de dispositivos y sus números de serie;
D) Números de teléfono; N) Direcciones de Web (URLs);
E) Números de Fax; O) Direcciones de Internet (IP);
F) Direcciones de Correo Electrónico; P) Identificadores Biométricos, incluyendo huellas dactilares y de voz;
G) Número de Seguro Social; Q) Imágenes fotográficas de cara entera y cualquier otra imagen comparable;
H) Números de Expediente Médico; R) Cualquier otro identificador único de número, característica o código.
I) Número de identificación del Plan Médico;
S) Números de cuenta
Uso vs. Divulgación
Uso• El compartir, empleo,
aplicación, examen o análisis de PHI dentro de la entidad cubierta.
Divulgación• La liberación,
transferencia, suministro de acceso a, o divulgar de cualquier otra forma PHI fuera de la entidad cubierta.
Casos de muerte:◦ Patólogos◦ Servicios funerarios
Donación de órganos.
Evitar amenazas serias de salud o seguridad de terceros o público en general.
Compensación por accidentes del trabajo.
Organizaciones gubernamentales de beneficios, servicios o ayudas en casos de desastre.
Funciones especiales gubernamentales:◦ Protección de oficiales y funcionarios públicos;◦ Seguridad Nacional;◦ Autoridades militares (si paciente es miembro).
¿Cuándo puedo usar o divulgar Sin Autorización?
Cumplimiento con leyes estatales:◦ Registros de enfermedades (cáncer, Alzheimer).
Actividades de fiscalización de salud:◦ DHHS◦ Oficina del Procurador del Paciente◦ ASSMCA◦ SARAFS
Cumplimiento con Ley de Salud Mental.
A otras entidades cubiertas.
Asociados de Negocios para TPO
A instituciones correccionales para la salud y seguridad del sistema.
Limitaciones o barreras de comunicación:◦ Utilización de traductores
¿Cuándo puedo usar o divulgar Sin Autorización?
Protección clave de HIPAA.
Se deben realizar esfuerzos razonables para limitar la divulgación de PHI al mínimo necesario para cumplir con su propósito.◦ Persigue mantener la confidencialidad de la información. ◦ Requiere uso de juicio profesional.
Esta regla no aplica en los siguientes casos:◦ Divulgaciones a o requeridas por proveedores de salud para propósitos de
tratamiento.◦ Divulgaciones al individuo que es el sujeto de la información.◦ Usos o divulgaciones hechas debido a la autorización del individuo.◦ Usos o divulgaciones requeridas en cumplimiento con la regla de simplificación
administrativa de HIPAA.◦ Divulgaciones al Departamento de Salud Federal cuando es requerida para
propósitos de aplicación de la regla de privacidad. ◦ Usos o divulgaciones requeridas por alguna otra ley.
Mínimo Necesario
Penalidades civiles:
Penalidades Criminales:
¿Cuáles son las Penalidades por violar HIPAA?
Penalidad Violación Criminal
Hasta $250,000 en multas y hasta 10 años de prisión
Divulgación indebida bajo una identidad falsa para vender, transferir, o el uso indebido de otra manera.
Hasta $100,000 en multas y hasta 5 años de prisión
Divulgación indebida bajo una identidad falsa.
Hasta $50,000 en multas y hasta 1 año en prisión
Divulgación indebida de PHI
Nivel de Intención/ Negligencia
Por Violación
Sin conocimiento $100 $50,000Basado en causa razonable $1,000 $50,000Negligencia intencional corregida en o antes de 30 días
$10,000 $50,000
Negligencia intencional, no corregida
$50,000
Designar a un empleado como el Oficial de Privacidad:◦ Responsabilidades
Desarrollar e implementar las políticas y procedimientos de la entidad Designado para recibir, investigar y contestar las querellas de privacidad Proveer información adicional según le sea requerido sobre la Notificación de Prácticas de
Privacidad
Adiestramiento:◦ Todos los empleados de la oficina médica deben recibir adiestramiento sobre HIPAA
Al momento de ser contratados y anualmente Si hay cambios en las políticas
◦ Documentar
Desarrollar y aplicar sanciones apropiadas para el no cumplimiento con políticas y procedimientos◦ Documentar
Mitigar cualquier efecto dañino del uso o divulgación de PHI en violación con las políticas y procedimientos de la oficina
Requisitos de la Regla de Privacidad
Acceso a inspeccionar y copiar su PHI:◦ Pacientes Plan de Salud del Gobierno (PSG): no se debe cobrar por
las copias.◦ Carta de Derechos del Paciente.◦ Hay situaciones en que se puede denegar o retrasar su acceso:
Notas psicoterapéuticas PHI compilado para acciones o procedimientos civiles, criminales o
administrativos Si su acceso puede poner en peligro la vida o seguridad Acceso protegido para la Ley de Privacidad Federal
Notificación de Prácticas de Privacidad:◦ Resume cómo el proveedor usa y divulga el PHI◦ Informa al Paciente sobre el proceso de querella◦ Describe el derecho del paciente a proteger su información◦ Debe ser entregado al paciente antes del primer encuentro y se
debe obtener acuse de recibo de su entrega.
Derechos del Paciente
Solicitar envío de comunicaciones por medios alternos.
Solicitar enmienda o corrección a su PHI.
Contabilidad de Divulgaciones.
Presentar una Querella de Violación de Privacidad.
Derechos del Paciente
Brecha (“Breach”) – Un uso o divulgación no permisible bajo la Regla de Privacidad que compromete la seguridad o privacidad de PHI.
Un uso o divulgación de PHI no autorizada, se presume es una brecha a menos que la entidad cubierta o socio de negocios, según aplique, demuestre que existe una baja probabilidad que el PHI se ha visto comprometido en base a una evaluación de riesgos de al menos los siguientes factores: La naturaleza del PHI envuelto; La persona no autorizada que usó la información o quien se le hizo la
divulgación; Si el PHI fue adquirido o visto; Hasta qué punto el riesgo al PHI se ha mitigado.
Brecha de Información (“Breach Notification”)
Entidad Cubierta debe notificar a cada persona cuyo PHI no protegido fue divulgado en una brecha – dentro de 60 días.
Si una brecha de datos inadvertida envuelve >500 Beneficiarios, la entidad tiene que notificar a los medios y reportar a HHS.
Si una brecha de datos inadvertida envuelve
<500 Beneficiarios, la entidad tiene que notificar anualmente a HHS.
Notificación de la Brecha (“Breach Notification”)
Reportar por Accesos No Autorizados:◦ A través del sistema o;◦ Por Acceso físico de la data.
Reportar de forma expedita por violaciones al sistema de seguridad:◦ 10 días luego que la violación ha sido detectada;◦ Informar a DACO;◦ Notificación pública por DACO el próximo día laborable.
Se permite sustituir notificación si:◦ Costo excede $100,000 o;◦ Número de personas afectadas excede 100,000;◦ Notificación a través de los medios o “website”.
*Reglamento Núm. 7376 del 26 de junio de 2007
Notificación de la Brecha en Puerto Rico
Teléfonos InteligentesHackers
CDs/DVDsTablets/ IPads
Cámaras DigitalesNube (“ Cloud Storage”)
Vendors
LaptopsUSB
Discos DurosE-mailsChismes
Robo por Empleados/ Mercado Negro
Socios de Negocios
¿Cómo ocurren las violaciones de Privacidad?
Regla de Seguridad: Requiere que las entidades cubiertas y los socios
de negocio mantengan salvaguardas administrativos, técnicos y físicos apropiados para proteger el PHI electrónico.
Específicamente deben: Asegurar la confidencialidad, integridad y
disponibilidad del PHI electrónico que crean, reciben, mantienen o transmiten;
Identificar y proteger de una manera razonable contra amenazas anticipadas a la seguridad o integridad de la información;
Proteger contra los usos o divulgaciones no autorizadas de forma anticipada;
Asegurar el cumplimiento de la fuerza laboral.
Regla de Seguridad Se divide en tres partes:
Salvaguardas Administrativos Incluye el asignar a una persona como
Oficial de Seguridad y proveer adiestramientos.
Salvaguardas Físicos Incluye el equipo, back-ups y restricciones
de accesos. Salvaguardas Técnicos
Incluye los controles de accesos, auditorías, integridad, transmisión de la data, autenticación.
Oficina de Derechos Civiles (OCR)
• Adscrita al Departamento de Salud y Servicios Humanos de los Estados Unidos (DHHS, por sus siglas en inglés).
• Se asegura que los pacientes tengan acceso a su información de salud y protege la privacidad y seguridad de la información de salud.
• Recibe querellas de los pacientes.
• Recibe las notificaciones de las brechas de información.
• Audita a las Entidades Cubiertas y a los Socios de Negocio sobre el cumplimiento con la regla de privacidad y seguridad.
Casos en Puerto Rico
Importante:
La clave es la prevención
Documentar Documentar Documentar
Preguntas
Top Related