2. Definir ¿qué es HIPAA?
Mencionar los identificadores de HIPAA.
Explicar Uso vs. Divulgación.
¿Cuándo puedo usar o divulgar PHI sin
autorización?
Discutir a que se refiere el concepto de mínimo
necesario.
Discutir las penalidades por violar HIPAA.
Requisitos de la Regla de Privacidad.
Discutir los derechos del paciente.
Explicar que es brecha de la información.
Explicar que es la regla de seguridad.
3. La Ley de Responsabilidad y Portabilidad de
Seguros de Salud, HIPAA por sus siglas en inglés,
fue aprobada en 1996 por el Congreso de los
Estados Unidos.
Provee el marco para el establecimiento de la
protección de la confidencialidad de la información
del paciente, la seguridad de los sistemas de
información electrónica y los estándares y
requerimientos de la transmisión electrónica de
información de salud.
4. • Proteger la información protegida de salud (PHI):
electrónica, oral o escrita.
• PHI pertenece al individuo/paciente no al proveedor.
• Las Entidades Cubiertas y los Socios de Negocio tienen
la obligación fiduciaria de proteger la privacidad y
seguridad del PHI de cada individuo.
• Requiere que se tengan políticas y procedimientos
escritos para asegurar la privacidad y seguridad del PHI
de los individuos.
5. Información en el record médico, como:
◦ Documentación de la visita/encuentro
◦ Resultados de Laboratorios
◦ Fechas de Citas
◦ Facturación
◦ Lecturas de radiografías y reportes
◦ Historial médico y exámenes físicos
◦ Identificadores del Paciente
6. A) Nombre, incluyendo iniciales; K) Número de licencia/Certificado;
B) Dirección residencial, #calle, barrio,
ciudad, precinto, código postal, y “geo-
codes” equivalentes;
L) Identificadores de vehículos y números de
serie, incluyendo el número de la tablilla;
C) Todos los elementos de fechas (excepto
año)
M) Identificadores de dispositivos y sus
números de serie;
D) Números de teléfono; N) Direcciones de Web (URLs);
E) Números de Fax; O) Direcciones de Internet (IP);
F) Direcciones de Correo Electrónico; P) Identificadores Biométricos, incluyendo
huellas dactilares y de voz;
G) Número de Seguro Social; Q) Imágenes fotográficas de cara entera y
cualquier otra imagen comparable;
H) Números de Expediente Médico; R) Cualquier otro identificador único de
número, característica o código.
I) Número de identificación del Plan Médico; S) Números de cuenta
7. Uso
• El compartir, empleo,
aplicación, examen o
análisis de PHI dentro
de la entidad cubierta.
Divulgación
• La liberación,
transferencia,
suministro de acceso
a, o divulgar de
cualquier otra forma
PHI fuera de la
entidad cubierta.
8. Casos de muerte:
◦ Patólogos
◦ Servicios funerarios
Donación de órganos.
Evitar amenazas serias de salud o seguridad de terceros o
público en general.
Compensación por accidentes del trabajo.
Organizaciones gubernamentales de beneficios, servicios o
ayudas en casos de desastre.
Funciones especiales gubernamentales:
◦ Protección de oficiales y funcionarios públicos;
◦ Seguridad Nacional;
◦ Autoridades militares (si paciente es miembro).
9. Cumplimiento con leyes estatales:
◦ Registros de enfermedades (cáncer, Alzheimer).
Actividades de fiscalización de salud:
◦ DHHS
◦ Oficina del Procurador del Paciente
◦ ASSMCA
◦ SARAFS
Cumplimiento con Ley de Salud Mental.
A otras entidades cubiertas.
Asociados de Negocios para TPO
A instituciones correccionales para la salud y seguridad del sistema.
Limitaciones o barreras de comunicación:
◦ Utilización de traductores
10. Protección clave de HIPAA.
Se deben realizar esfuerzos razonables para limitar la divulgación de PHI al
mínimo necesario para cumplir con su propósito.
◦ Persigue mantener la confidencialidad de la información.
◦ Requiere uso de juicio profesional.
Esta regla no aplica en los siguientes casos:
◦ Divulgaciones a o requeridas por proveedores de salud para propósitos de
tratamiento.
◦ Divulgaciones al individuo que es el sujeto de la información.
◦ Usos o divulgaciones hechas debido a la autorización del individuo.
◦ Usos o divulgaciones requeridas en cumplimiento con la regla de
simplificación administrativa de HIPAA.
◦ Divulgaciones al Departamento de Salud Federal cuando es requerida para
propósitos de aplicación de la regla de privacidad.
◦ Usos o divulgaciones requeridas por alguna otra ley.
11. Penalidades civiles:
Penalidades Criminales:
Penalidad Violación Criminal
Hasta $250,000 en multas y
hasta 10 años de prisión
Divulgación indebida bajo una
identidad falsa para vender,
transferir, o el uso indebido de
otra manera.
Hasta $100,000 en multas y
hasta 5 años de prisión
Divulgación indebida bajo una
identidad falsa.
Hasta $50,000 en multas y hasta
1 año en prisión
Divulgación indebida de PHI
Nivel de Intención/ Negligencia Por Violación
Sin conocimiento $100 $50,000
Basado en causa razonable $1,000 $50,000
Negligencia intencional
corregida en o antes de 30 días
$10,000 $50,000
Negligencia intencional, no
corregida
$50,000
12. Designar a un empleado como el Oficial de Privacidad:
◦ Responsabilidades
Desarrollar e implementar las políticas y procedimientos de la entidad
Designado para recibir, investigar y contestar las querellas de privacidad
Proveer información adicional según le sea requerido sobre la Notificación de
Prácticas de Privacidad
Adiestramiento:
◦ Todos los empleados de la oficina médica deben recibir adiestramiento
sobre HIPAA
Al momento de ser contratados y anualmente
Si hay cambios en las políticas
◦ Documentar
Desarrollar y aplicar sanciones apropiadas para el no
cumplimiento con políticas y procedimientos
◦ Documentar
Mitigar cualquier efecto dañino del uso o divulgación de PHI en
violación con las políticas y procedimientos de la oficina
13. Acceso a inspeccionar y copiar su PHI:
◦ Pacientes Plan de Salud del Gobierno (PSG): no se debe
cobrar por las copias.
◦ Carta de Derechos del Paciente.
◦ Hay situaciones en que se puede denegar o retrasar su
acceso:
Notas psicoterapéuticas
PHI compilado para acciones o procedimientos civiles, criminales
o administrativos
Si su acceso puede poner en peligro la vida o seguridad
Acceso protegido para la Ley de Privacidad Federal
Notificación de Prácticas de Privacidad:
◦ Resume cómo el proveedor usa y divulga el PHI
◦ Informa al Paciente sobre el proceso de querella
◦ Describe el derecho del paciente a proteger su información
◦ Debe ser entregado al paciente antes del primer encuentro y
se debe obtener acuse de recibo de su entrega.
14. Solicitar envío de comunicaciones por medios
alternos.
Solicitar enmienda o corrección a su PHI.
Contabilidad de Divulgaciones.
Presentar una Querella de Violación de
Privacidad.
15. Brecha (“Breach”) – Un uso o divulgación no
permisible bajo la Regla de Privacidad que
compromete la seguridad o privacidad de PHI.
Un uso o divulgación de PHI no autorizada, se
presume es una brecha a menos que la entidad
cubierta o socio de negocios, según aplique,
demuestre que existe una baja probabilidad que el
PHI se ha visto comprometido en base a una
evaluación de riesgos de al menos los siguientes
factores:
La naturaleza del PHI envuelto;
La persona no autorizada que usó la información o quien se le
hizo la divulgación;
Si el PHI fue adquirido o visto;
Hasta qué punto el riesgo al PHI se ha mitigado.
16. Entidad Cubierta debe notificar a cada
persona cuyo PHI no protegido fue divulgado
en una brecha – dentro de 60 días.
Si una brecha de datos inadvertida envuelve
>500 Beneficiarios, la entidad tiene que
notificar a los medios y reportar a HHS.
Si una brecha de datos inadvertida envuelve
<500 Beneficiarios, la entidad tiene que
notificar anualmente a HHS.
17. Reportar por Accesos No Autorizados:
◦ A través del sistema o;
◦ Por Acceso físico de la data.
Reportar de forma expedita por violaciones al sistema
de seguridad:
◦ 10 días luego que la violación ha sido detectada;
◦ Informar a DACO;
◦ Notificación pública por DACO el próximo día laborable.
Se permite sustituir notificación si:
◦ Costo excede $100,000 o;
◦ Número de personas afectadas excede 100,000;
◦ Notificación a través de los medios o “website”.
*Reglamento Núm. 7376 del 26 de junio de 2007
19. Requiere que las entidades cubiertas y los socios de
negocio mantengan salvaguardas administrativos,
técnicos y físicos apropiados para proteger el PHI
electrónico.
Específicamente deben:
Asegurar la confidencialidad, integridad y
disponibilidad del PHI electrónico que crean, reciben,
mantienen o transmiten;
Identificar y proteger de una manera razonable contra
amenazas anticipadas a la seguridad o integridad de
la información;
Proteger contra los usos o divulgaciones no
autorizadas de forma anticipada;
Asegurar el cumplimiento de la fuerza laboral.
20. Se divide en tres partes:
Salvaguardas Administrativos
Incluye el asignar a una persona como Oficial de
Seguridad y proveer adiestramientos.
Salvaguardas Físicos
Incluye el equipo, back-ups y restricciones de
accesos.
Salvaguardas Técnicos
Incluye los controles de accesos, auditorías,
integridad, transmisión de la data, autenticación.
21. • Adscrita al Departamento de Salud y Servicios Humanos de los
Estados Unidos (DHHS, por sus siglas en inglés).
• Se asegura que los pacientes tengan acceso a su información de
salud y protege la privacidad y seguridad de la información de
salud.
• Recibe querellas de los pacientes.
• Recibe las notificaciones de las brechas de información.
• Audita a las Entidades Cubiertas y a los Socios de Negocio sobre
el cumplimiento con la regla de privacidad y seguridad.