Historia de la HIPAA: 8 cosas que debe saber

La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) fue promulgada en 1996 para proteger a las familias estadounidenses de los peligros de perder la cobertura del seguro médico. Principalmente se diseñó para proporcionar a los trabajadores la portabilidad del seguro durante un cambio o pérdida de empleo. Su objetivo secundario es garantizar la seguridad y privacidad de la información sanitaria individual. La HIPAA cumplió 20 años el año pasado, pero el sistema sanitario todavía está muy lejos de su pleno cumplimiento.

La información sanitaria cubre mucho terreno.

Ha habido varias enmiendas a la HIPAA desde que se promulgó. La primera en 2003, conocida como la Regla de Privacidad, definió la Información Sanitaria Protegida (PHI) como cualquier información relacionada con la salud que pueda ser utilizada para identificar a un individuo en particular. Puede tratarse de información relacionada con la salud o el estado físico o mental pasado, presente o futuro de un individuo, cualquier prestación de asistencia sanitaria a un individuo y cualquier pago pasado, presente o futuro por la prestación de asistencia sanitaria a un individuo.

Las organizaciones pueden ser lentas en su adopción.

La Regla de Seguridad se promulgó en 2005 para estandarizar el manejo de la PHI electrónica proporcionando directrices específicas para las salvaguardias físicas, técnicas y administrativas. Lamentablemente, la encuesta del año pasado sobre el cumplimiento de la HIPAA realizada por NueMD reveló que sólo el 70% de las organizaciones sanitarias tenía previsto esforzarse por cumplirla. Esta cifra es ciertamente decepcionante cuando la tasa de adopción es menor entre los grupos de empleadores que ofrecen planes de salud grupales, asociados comerciales y agencias de seguros de salud. Esto se basa en la evaluación de Total HIPAA de estos otros grupos.

La OCR del HHS hace cumplir la normativa.

En virtud de la Regla de Aplicación de 2006, la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos (OCR del HHS) recibió la responsabilidad de supervisar a las organizaciones que deberían cumplir la normativa de la HIPAA. La OCR del HHS está facultada para investigar las quejas relacionadas con las normas de privacidad y seguridad, y para multar a quienes no cumplan la normativa de la HIPAA. Las sanciones oscilan entre 100 dólares y 1,5 millones de dólares por infracción, pero las resoluciones con la OCR del HHS han sido de cientos de miles de dólares hasta llegar a millones, con múltiples acuerdos que superan los 5 millones de dólares.

Todas las empresas relacionadas con la salud cuentan.

Se espera que todas las empresas que vean información relacionada con la salud de un individuo cumplan con la HIPAA. La Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (HITECH) exige a las organizaciones sanitarias que notifiquen a sus asociados comerciales y subcontratistas que se espera legalmente que trabajen de acuerdo con la HIPAA. La encuesta de NueMD de 2016 indicó que sólo el 60 por ciento de las organizaciones sanitarias encuestadas eran conscientes de esta expectativa.

Su organización puede estar sujeta a una auditoría.

Desde hace más de seis años, la OCR del HHS ha realizado auditorías de cumplimiento con la esperanza de aumentar el cumplimiento de la HIPAA. En 2011, la OCR implementó un programa piloto de auditoría (Fase Uno) para evaluar los controles y procesos implementados por 115 entidades cubiertas para cumplir con los requisitos de la HIPAA. La fase dos del programa de auditoría de la HIPAA de la OCR comenzó el año pasado con la selección de más de 200 entidades cubiertas y asociados comerciales, enviando cartas de notificación en el verano y el otoño para informarles de que habían sido seleccionados para una auditoría de escritorio. Según la encuesta de NueMD, el año pasado sólo el 40% de las organizaciones sanitarias sabían que se estaban realizando estas auditorías. Actualmente, las auditorías in situ de la OCR se han retrasado hasta finales de 2017 o principios de 2018.

La PHI debe almacenarse durante al menos 6 años.

La HIPAA exige a las Entidades Cubiertas y a los Asociados Comerciales que mantengan la documentación de la PHI que han recopilado durante un mínimo de seis (6) años a partir de la fecha de su creación, o de la fecha en que estuvo vigente por última vez, lo que sea posterior. Las organizaciones que mantienen la PHI necesitan revisar los requisitos de retención de su estado antes de deshacerse adecuadamente de la PHI para asegurar el cumplimiento del estado.

El cumplimiento de la HIPAA disminuye.

Las encuestas de NueMD también mostraron que de 2014 a 2016 el número de oficiales de seguridad y privacidad empleados había bajado del 56 y 55 por ciento al 53 y 54 por ciento, respectivamente. También hay menos organizaciones sanitarias que imparten formación sobre el cumplimiento de la HIPAA, del 62 al 58 por ciento.

El amanecer de la comunicación electrónica.

Más proveedores sanitarios utilizan aplicaciones telefónicas, correo electrónico y redes sociales para ponerse en contacto con los pacientes. A medida que más organizaciones pasan a comunicarse electrónicamente, es importante vigilar la seguridad de estos procesos. Total HIPAA ha revisado el software que cumple con la HIPAA para la comunicación electrónica, como el cifrado del correo electrónico y la mensajería de texto, para ayudar a las organizaciones a encontrar la solución más adecuada.

¿A dónde vamos a partir de aquí?

En resumen, la adopción del cumplimiento de la HIPAA está todavía en su infancia. La OSHA tardó más de 20 años en ser adoptada de forma generalizada por las empresas estadounidenses. Aunque la primera parte de la HIPAA entró en vigor hace 20 años, las partes clave de la ley sólo han estado en vigor desde 2009.

El HHS todavía no ha dictaminado si los pacientes, empleados o clientes pueden participar en las multas que ahora impone el HHS cuando la PHI de estos individuos ha sido violada. Si el HHS dictamina que los individuos pueden ser reembolsados cuando su PHI es violada, las puertas de la inundación se abrirán. Los grupos que necesitan cumplir con la HIPAA se apresurarán a completar el proceso y pueden verse atrapados jugando a ponerse al día. No se pierda en las prisas. Actúe ahora y cumpla con la HIPAA.

Además, cuatro tribunales supremos estatales han ratificado la HIPAA como norma de cuidado (Missouri, Carolina del Norte, Connecticut y Virginia Occidental). Esto significa que las Entidades Cubiertas que no protejan adecuadamente la PHI podrían enfrentarse a acciones legales por parte de ciudadanos particulares, no sólo del HHS.

Las personas son más conscientes de sus derechos bajo la HIPAA de lo que usted cree. No cumplir con la HIPAA expone a su consulta o empresa a toda una serie de problemas normativos que es mejor mitigar antes de que haya un problema. La realidad es que el cumplimiento es mucho más asequible que nunca, y el incumplimiento es mucho más costoso que nunca.

¿Cumple usted con la HIPAA?

Por: Total HIPAA Guest Bloggers

¡Compartir es cuidar!