Story Transcript
ACTUALIZACIÓN DE LA LEY HIPAA
Lcda. Irland Ruiz
MODULO I INTRODUCCION HIPAA Objetivos Generales Definir que es HIPAA Identificar el propósito de la regla de privacidad Enumerar las legislaciones que inciden en la información medica Describir la definición de incumplimiento Enumerar las conductas que ponen en riesgo la información de salud Demostrar las violaciones administrativas Ilustrar una serie de recomendaciones para el manejo y seguridad de expedientes con información médica. Objetivos específicos Ilustrar los puntos sobresalientes sobre HIPAA Reconocer quién viene Obligado a cumplir con HIPAA Identificar conceptos claves bajo HIPAA Identificar que son récords médicos electrónicos conforme a HIPAA Definir la norma de seguridad y ciberseguridad de HIPAA. Identificar el propósito de la regla de privacidad Resumir lo que constituye Protected Health Information Reconocer lo que constituye una Divulgación bajo HIPAA y sus implicaciones Describir una Autorización Demostrar en que consiste la Política de Divulgación Enumerar los derechos de los pacientes Reconocer las siguientes legislaciones ▪ Health Information Technology for Economic and Clinical Health Act (HITECH) 2009 ▪ Carta de Derechos del Paciente, ley Núm. 194 del año 2000 ▪ Ley de Salud Mental de Puerto Rico de 2000 Ley Núm. 408 Del 2 De Octubre De 2000 ▪ Ley Núm. 203 de 23 de agosto de 2012, para añadir nueve (9) capítulos a la Ley 1942011, Código de Seguros de Salud de Puerto Rico, para el manejo, utilización y divulgación de la información de Salud de las personas cubiertas o asegurados. ▪ Ley Núm. 207 de 27 de septiembre de 2006 ▪ Art. 151 Revelación de secreto profesional. (33 L.P.R.A. Sec. 4192) ▪ Art. 143 Violación de comunicación privada escrita. (33 L.P.R.A. Sec. 4184) ▪ Art. 147 Públicación de comunicación privada. (33 L.P.R.A. Sec. 4188)
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
RECURSO ¿QUIÉN ES LA LICENCIADA IRLANDA RUIZ AGUIRRE? Es Abogada- Notario, y Arbitro de FINRA. Está admitida al Primer Circuito de Apelaciones de Boston, a la Corte de Distrito Federal de Puerto Rico y a las Cortes Estatales del país. Posee una maestría en Educación. Su práctica cubre el derecho civil en particular, derecho laboral, recursos humanos, educación especial, entre otros. Ha fungido como Consultora, Asesora Legal, Juez Administrativo, Gerente de Proyectos, Supervisora, Instructora y Profesora Universitaria. Es recurso para varias organizaciones.
TABLA DE CONTENIDO Modulo I – Introducción Módulo II- ¿Qué es HIPAA? • • • • • • • •
Propósito Títulos Puntos sobresalientes sobre HIPAA ¿Quién viene obligado a cumplir con HIPAA? Conceptos claves bajo HIPAA HIPAA y los récords electrónicos La norma de seguridad y ciberseguridad de HIPAA Garantías bajo HIPAA
MODULO III La norma de privacidad bajo HIPAA Propósito regla de privacidad • Protected Health Information • Divulgación • Otras Divulgaciones • Autorización • Política de Divulgación • Derechos de los pacientes
Modulo IV – Legislaciones Relacionadas al uso de La Información Médica
• • • • • •
Health Information Technology for Economic and Clinical Health Act (HITECH) 2009 Carta de Derechos del Paciente, ley Núm. 194 del año 2000 Ley de Salud Mental de Puerto Rico de 2000 Ley Núm. 408 Del 2 De Octubre De 2000 Ley Núm. 203 de 23 de agosto de 2012, para añadir nueve (9) capítulos a la Ley 1942011, Código de Seguros de Salud de Puerto Rico, para el manejo, utilización y divulgación de la información de Salud de las personas cubiertas o asegurados. Ley Núm. 207 de 27 de septiembre de 2006 Art. 151 Revelación de secreto profesional. (33 L.P.R.A. Sec. 4192)
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
• •
Art. 143 Violación de comunicación privada escrita. (33 L.P.R.A. Sec. 4184) Art. 147 Públicación de comunicación privada. (33 L.P.R.A. Sec. 4188)
MODULO V Violación de Datos (DATA BREACH) • Definición de incumplimiento • Conductas que ponen en riesgo la información de salud Modulo VI PENALIDADES POR VIOLACIONES A HIPAA •
Violaciones administrativas
MODULO VII RECOMENDACIONES PARA EL MANEJO Y SEGURIDAD DE EXPEDIENTES CON INFORMACION MEDICA MODULO VIII CONCLUSION MODULO IX REFERENCIAS
MODULO II - ¿QUE ES HIPAA? HEALTH INSURANCE PORTABILITY ACCOUNTABILITY ACT Ley de “Portabilidad” y Responsabilidad del Seguro Médico, ley Pública Núm. 104-191 de 1996. Convertida en ley el 21 de agosto 1996. HIPAA fue promulgada en parte para mantener la privacidad de la información médica y personal de los pacientes creando estándares nacionales para proteger los expedientes médicos y otra información médica personal de los individuos. Propósito: Regular la información identificable de los pacientes. Proporcionar protección y carácter de confidencialidad a los datos personales y expediente médico de los pacientes. industria del cuidado de la salud en el control de costos administrativos. HIPPA se divide en 5 títulos
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
Ayudar a la
Portabilidad
Simplificación Administrativa
Aplicación y Cumplimiento de los Requisitos de Planes Grupales de Salud
Disposiciones de Salud Relacionadas a Impuestos
Retención de Ingresos
Título I – Portabilidad. Portabilidad se refiere a que las personas puedan llevar su seguro médico de un trabajo a otro sin que se afecte su cobertura. Restringe a los planes médicos sobre el tema de condiciones preexistentes cuando se cambia de un plan a otro. Título II – Simplificación Administrativa. Propósito: •
combatir el fraude y abuso en el cuidado de la salud
•
garantizar la seguridad y la privacidad de la información médica
•
establecer estándares para la información y transacciones médicas
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
•
reducir el costo del cuidado médico mediante la estandarización en la manera en que la industria transmite la información
•
Asigna códigos para las diferentes condiciones y tratamientos médicos.
•
Asigna códigos a las transacciones de cobro y transacciones interplanes.
•
Garantiza los derechos del paciente sobre su expediente médico: puede solicitar copia, restricciones, lista de divulgaciones de información de su expediente y enmiendas a la información.
•
Informa al paciente sobre cómo su información de salud protegida va a ser utilizada.
Título III – Disposiciones de Salud Relacionadas a Impuestos
Título IV – Aplicación y Cumplimiento de los Requisitos de Planes Grupales de Salud
Título V – Retención de Ingresos
PUNTOS SOBRESALIENTES SOBRE HIPAA •
Establece estándares nacionales para
proteger a los expedientes médicos de los pacientes, así como la información privilegiada de salud. •
Le da al paciente control de su información de salud y establece límites para la divulgación de los expedientes de salud.
•
Establece salvaguardas a los proveedores de servicios de salud para proteger la privacidad de la información de salud del paciente.
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
Impone responsabilidades a los que incumplan con las disposiciones de la ley con
•
penalidades administrativas, civiles y criminales para aquellos que violenten los derechos de la privacidad de la información del paciente.
¿QUIEN VIENE OBLIGADO A CUMPLIR CON HIPAA?
1.
PLANES DE SALUD O PLANES MÉDICOS
2.
PROFESIONALES DE LA SALUD Y
PROVEEDORES DE SERVICIOS : ✓
médicos,
✓
enfermeros,
✓ farmacias, ✓ hospitales, ✓ clínicas, ✓ hogares de
ancianos,
✓ y otros profesionales de la salud debidamente certificados. 3. HEALTH CARE CLEARING HOUSES (Centro de intercambio de información sanitaria) Usualmente es una organización que estandariza la información de salud. Agencias o compañías de facturación que usan los proveedores para procesar o facilitar servicios de Salud. 4.
ASOCIADOS DE NEGOCIOS
Organización o individuo que representa una entidad cubierta o
posee un acuerdo con una
facilidad de servicios de salud en el cual la entidad cubierta participa. Asociados de Negocio incluye sin limitarse a: ▪
Administrador Externo
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
•
Un Administrador Externo (Third Party Administrator) es una organización o individuo que procesa reclamos de seguros o ciertos aspectos de planes de beneficios de empleados para una entidad separada
▪
Administrador de beneficios de farmacia.
▪
Administradores de beneficios de Salud.
▪
Suplidores de servicios de informática.
▪
Consultores.
▪
Abogados.
CONCEPTOS CLAVES BAJO HIPAA PHI: Protected Health Information, Información Médica Protegida Creada o recibida por una entidad
cubierta y transmitida
por cualquier medio, incluso oral.
•
•
TPO: Tratamiento, Pago o Cuidado Médico
•
DHHS: Department of Health and Human Services
Autorización: •
documento mediante el cual el individuo accede a que la entidad cubierta use o divulgue su PHI para asuntos no relacionados a pago, tratamiento u operaciones de cuidado de salud.
•
Tratamiento: •
servicio de cuidado de salud o la coordinación del mismo por manejo individual o un referido de un proveedor a otro, o la coordinación del cuidado de salud entre
proveedores y terceros autorizados por el plan de salud. Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
Pago: actividades efectuadas por el plan o su socio de negocios para determinar sus responsabilidades de cubierta bajo la póliza o, las actividades que efectúa el proveedor para obtener reembolso Operaciones de cuidado de salud: Actividades de administración tales como: •
evaluaciones de calidad,
•
manejo de enfermedades,
•
manejo de querellas,
•
acreditaciones,
•
evaluación de riesgo (sólo cuando el individuo está suscrito al plan), mercadeo,
•
creación y renovación de contratos y auditorías.
HIPAA Y LOS RECORDS MEDICOS ELECTRONICOS Los Récords Médicos Electrónicos
son versiones
electrónicas del expediente clínico que se mantienen en el consultorio médico o en el de otros proveedores de salud. Los Récords Médicos Electrónicos pueden contener antecedentes médicos, notas y demás información acerca de la salud de un paciente, lo que incluye síntomas, diagnósticos, medicinas, resultados de análisis de laboratorio, Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
signos vitales, vacunas e informes de pruebas diagnósticas, como, por ejemplo, radiografías. Los proveedores de salud colaboran con otros médicos, hospitales y planes de salud para encontrar formas de compartir esa información. La información contenida en los RME puede compartirse con otras organizaciones que participan en la atención que usted recibe si los sistemas informáticos están configurados de manera de comunicarse entre sí. La información contenida en estos registros sólo puede compartirse para los propósitos autorizados por la ley o por el paciente. El paciente tiene derechos de confidencialidad independientemente de que los registros de información se guarden en formato impreso o electrónico.
La norma de SEGURIDAD Y CIBERSEGURIDAD de HIPAA Establece unos estándares nacionales para proteger la información de salud electrónica de individuos creada, recibida, utilizada o guardada por una entidad cubierta. Aplica a los expedientes electrónicos y la ciberseguridad. Las guías de la regla de seguridad deben ser implementadas cada vez que la información electrónica está en tránsito o guardada en los sistemas. Hay una serie de salvaguardas requeridas de manera que la información de salud quede protegida. El incumplimiento de estas salvaguardas puede ocasionar que la información de salud sea divulgada sin consentimiento, o hurtada para fines ilegítimos en detrimento de los pacientes. Las siguientes son algunas medidas que pueden incorporarse a los sistemas de registros electrónicos o
Herramientas de “control de acceso”, como por ejemplo: ▪
contraseñas y números de identificación personal (conocidos por sus siglas en inglés como números PIN) que ayuden a limitar el acceso a su información a las personas autorizadas.
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
o
“Codificación criptográfica” de la información
almacenada del paciente Esto significa que la información sobre su salud no pueda ser leída ni compartida, excepto por quienes utilicen un sistema que sea capaz de “decodificarla” con una “clave”. Una función de “seguimiento retrospectivo” que deje registrado quiénes han tenido acceso a su información, qué cambios se han hecho y en qué momento. •
HIPPA exige que tanto médicos, hospitales y otros proveedores de salud notifiquen al paciente acerca de cualquier “violación ”.
•
La ley también exige que el proveedor de salud notifique al Secretario de Salud y Servicios Humanos de Estados Unidos
•
Si una violación afecta a más de 500 residentes de una jurisdicción, el proveedor de servicios de salud tiene que además notificar a los medios de comunicación más importantes de dicha jurisdicción.
•
Este requisito ayuda a los pacientes a saber si la protección de su información se ha visto afectada adversamente, y contribuye a responsabilizar a los proveedores por la protección de los récords médicos electrónicos.
GARANTIAS BAJO HIPAA Garantías Administrativas Constituyen políticas y procedimientos para demostrar como la entidad cumple con la regulación requerida por HIPAA. Esto incluye lo siguiente sin limitarse a: •
Evidencia del procedimiento establecido que los profesionales cumplan con HIPPA.
•
Responsabilidad Gerencial debidamente definida y establecida
•
Auditorías
• Análisis de riesgo en la entidad cubierta Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
•
Manejo de riesgo
•
Política de acciones disciplinarias y sanciones ante violaciones a HIPAA
•
Monitoreo constante de la actividad de los sistemas de información
•
Nombrar o contratar los servicios de un Oficial de Seguridad de Información
•
Acceso de información por los empleados
•
Supervisión adecuada
•
Autorizaciones para acceso a la información
•
Medidas a tomar en caso de terminación de empleo
•
Políticas Manejo de Información
•
Adiestramiento al personal
•
Acceso de información por los empleados
•
Recordatorios al personal sobre el manejo de la información de salud
•
Protección en contra de viruses
•
Manejo de clave de acceso
•
Manejo de incidentes
•
Respuesta e informe en caso de violaciones a HIPAA Garantías físicas •
Controlar el acceso físico par a proteger la
información de salud protegida del paciente de acceso inapropiados: •
Control de acceso a las instalaciones
•
Uso apropiado de estaciones de trabajo
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
•
Seguridad de la estación de trabajo
•
Control del uso de equipos y medios
Garantías Técnicas •
Instaurar controles al acceso de sistemas computarizados.
•
Establecer protección a la información de paciente que se transmite electrónicamente para que personas no autorizadas no tengan acceso.
MODULO III LA NORMA DE PRIVACIDAD BAJO HIPAA El gobierno federal dictó la norma de confidencialidad de la Health Insurance Portability and Accountability Act Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
of 1996 (HIPAA) con el fin de asegurar que usted tenga derechos con respecto a la información sobre su propia salud, sin importar en qué formato se encuentre. El gobierno también dictó la norma de seguridad de la ley HIPAA con el fin de exigir protecciones específicas para salvaguardar la información sobre su salud que se encuentre en formato electrónico. Los estándares de privacidad y seguridad pueden promover la calidad del cuidado de salud, asegurando a los consumidores
que su información de salud personal estará
protegida contra usos y divulgaciones inapropiados. La norma de privacidad protege el uso y divulgación de la información de salud mantenida electrónicamente, en papel o cualquier otra forma por una entidad cubierta. Cualquier uso o divulgación de información de salud protegida por una entidad cubierta, incluyendo el uso para el tratamiento de los participantes, mercadeo, investigación médica, y la mayoría de otras actividades, son prohibidas a menos que el uso y divulgación cumpla con los requisitos de HIPAA PROPOSITO NORMA DE PRIVACIDAD La Norma de Privacidad establece estándares federales mínimos para proteger la privacidad de la información de salud identificable individualmente. La Regla confiere ciertos derechos a las personas, incluidos los derechos para acceder y modificar su información de salud y para obtener un registro de cuándo y por qué su PHI se ha compartido con otros para ciertos fines. La Norma de Privacidad establece las condiciones bajo las cuales las entidades cubiertas pueden proporcionar a los investigadores acceso y uso de la PHI cuando sea necesario para realizar investigaciones. La regla no pretende obstaculizar la investigación. El cumplimiento de la Norma de Privacidad se requiere a partir del 14 de abril de 2003 para la mayoría de las entidades cubiertas. (Los planes de salud pequeños tienen un año adicional para cumplir). Entre los objetivos se destacan, además: ▪
Limitan el uso no consensuado y la divulgación de la información de salud privada.
▪
Dan a los pacientes derecho de acceso a sus expedientes médicos y a saber quién más ha tenido acceso a ellos.
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
▪
Restringen la divulgación de la información médica a lo mínimo necesario para los fines deseados.
▪
Establecen nuevas sanciones civiles y penales por el uso o divulgación indebidos.
▪
Establecen
requisitos nuevos para el acceso a los expedientes por parte de los
investigadores y otras personas.
PROTECTED HEALTH INFORMATION (INFORMACION DE SALUD PROTEGIDA ) Cualquier información que posea una entidad cubierta concerniente al estatus de salud, la provisión de servicios de salud o el pago de servicios que pueda ser atada a un individuo. Esto incluye sin limitarse a:
•
Nombre
•
Datos geográficos
•
Fechas relacionadas a un individuo
•
Números de teléfono
•
Números de Fax
•
Correos electrónicos
•
Número de Seguro Social
•
Número del expediente médico
•
Número del expediente médico
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
•
Número de cuenta
•
Tablilla de auto
•
Identificadores de aparatos y números de serie
•
Web URL
•
Dirección del Protocolo de Internet (IP)
•
Identificadores biométricos
•
Fotografías e imágenes comparables
•
Datos ingresados en el historial clínico del paciente.
•
Conversaciones con los profesionales de la salud acerca de tratamiento o cuidado médico.
•
Los datos que figuran en el sistema informático del plan de salud.
•
Facturas médicas
Divulgación Según la ley HIPAA, su proveedor de atención médica puede divulgar su información personalmente, por teléfono o por escrito. Un proveedor de atención médica o plan de seguro médico puede divulgar información relevante si: •
El paciente le da permiso a su proveedor de salud o a un plan de seguro médico para divulgar la información.
•
El paciente está presente y no se opone a divulgar la información. Ejemplos: •
El médico de sala de emergencia puede discutir el tratamiento de un paciente en presencia de un amigo cuando el paciente consiente que ese amigo permanezca con él.
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
•
El hospital puede discutir la factura de un paciente con su hijo, si el hijo tiene preguntas y el paciente no se opone.
•
El médico puede discutir las medicinas que el paciente debe tomar con su esposo o esposa que ha venido con éste a la cita médica.
•
El paciente no está presente, y el proveedor determina basándose en su criterio profesional que la divulgación es para su bien.
•
Ejemplo: El paciente fue sometido a una cirugía de urgencia y aún está inconsciente. El cirujano puede hablar sobre su estado con su cónyuge, ya sea en persona o por teléfono, mientras el paciente está inconsciente. El médico puede discutir las medicinas con el proveedor que llama al médico para preguntarle sobre la dosis correcta.
HIPAA también permite lo siguiente: •
Proveer a los proveedores de salud entregar medicinas recetadas, suministros médicos, radiografías y otros artículos medicinales a un familiar, amigo u otra persona que usted haya enviado para que los recoja.
•
Compartir información médica con familiares y amigos si usted no está presente o no puede dar permiso cuando el representante de un proveedor de salud considera, según su criterio profesional, que la divulgación de la información es para su bien. •
Facilitar tratamiento
•
Facilitar pagos
•
Facilitar las operaciones del servicio médico
•
Asuntos de naturaleza legal
•
Orden del Tribunal •
Abuso de menores
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
•
Identificar o localizar:
•
Fugitivos •
Sospechosos
•
Personas Perdidas
•
Testigos
OTRAS DIVULGACIONES •
Recordatorios de citas médicas
•
Encuestas de satisfacción
•
Alternativas de tratamiento
•
Información sobre beneficios o servicios relacionados con su salud.
•
Notificación a los directivos de funerarias conforme a la normativa aplicable
AUTORIZACION Con el fin de cumplir con HIPAA, una autorización debe ser firmada y fechada por el paciente o representante personal del paciente (incluyendo una declaración de la autoridad del representante personal) y debe incluir lo siguiente: •
Una descripción de la información a ser utilizada o revelada que identifique la información de una manera específica.
•
El nombre u otra identificación específica de la persona(s), o clase de personas, autorizados para el uso o divulgación no solicitado;
•
El nombre u otra identificación específica de la persona(s) o clase de personas, a las que la entidad cubierta puede hacer que el uso o divulgación no solicitado;
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
•
Una descripción de cada propósito para el uso o divulgación solicitada; y
•
Fecha de vencimiento o expiración que se relaciona con el individuo o el propósito del uso o de la divulgación. POLÍTICA DE DIVULGACIÓN Se conoce como: Aviso de Prácticas de Privacidad Notice of Privacy Practices (NPP) El aviso debe incluir una serie de afirmaciones específicas para el uso de la divulgación de la información de salud protegida. El aviso debe contener una declaración similar a esta:
ESTE AVISO DESCRIBE CÓMO LA INFORMACIÓN MÉDICA SOBRE USTED PUEDE SER UTILIZADA Y DIVULGADA Y DE QUE MANERA USTED PUEDE TENER ACCESO A ESTA INFORMACIÓN . FAVOR DE LEERLO CUIDADOSAMENTE Toda política de divulgación debe contener al menos lo siguiente: ✓ Derechos Individuales ✓ Deberes del Profesional de la Salud ✓ Quejas ✓ Contactos ✓ Fecha de vigencia
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
DERECHOS DE LOS PACIENTES Examinar su expediente y obtener una copia del mismo. Que se corrijan los datos sobre su salud. Recibir una notificación sobre cómo se puede usar y divulgar la información privada de salud. Decidir si autoriza a que la información sobre su salud se utilice o divulgue para ciertos fines tales como promoción, investigación, etc. Recibir un informe sobre cuándo y por qué se difundió la información sobre su salud con ciertos fines. Si un paciente considera que no se están respetando sus derechos o que no se está protegiendo la información sobre su salud puede: Presentar una queja ante su proveedor o asegurador de salud. Presentar una queja ante el gobierno de EE.UU.
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
MODULO IV – Legislaciones relacionadas al uso de la información medica Health Information Technology for Economic and Clinical Health Act (HITECH) 2009 Ley de Tecnología de la Información de la Salud para la Economía y Ley de Salud Clínica. Requiere que cualquier entidad que maneje la información de salud protegida [PHI] informe de cualquier infracción , ya sea en papel o en formato electrónico dentro del marco de tiempo que la ley establece.
Carta de Derechos del Paciente, ley Núm. 194 del año 2000 Para establecer la "Carta de Derechos y Responsabilidades del Paciente“: disponer los derechos y responsabilidades de los pacientes y usuarios de servicios de salud médico-hospitalarios en Puerto Rico, así como de los proveedores de tales servicios y sus aseguradores; definir términos; fijar procedimientos de solución de querellas; imponer penalidades; y para otros fines relacionados. La ley regula, además: •
el uso y divulgación de la información de salud del paciente, garantizándole libre acceso, copia del mismo, comunicación, confidencialidad y estricta privacidad.
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
•
La información no puede ser divulgada sin su autorización escrita y solo para fines de tratamiento, prevención, control de calidad o pago de servicios.
•
La divulgación no autorizada solo se hará por orden judicial previa o por disposición de ley.
•
Por último, la ley establece un procedimiento de quejas y agravios.
Ley de Salud Mental de Puerto Rico de 2000 Ley Núm. 408 Del 2 De Octubre De 2000 Para establecer las necesidades de prevención, tratamiento, recuperación y rehabilitación en salud mental; crear las "Cartas de Derecho” para adultos y menores que reciben servicios de salud mental; uniformar lo relativo a los procedimientos relacionados con estos derechos; establecer los principios básicos de los niveles de cuidado en el ofrecimiento de servicios de salud mental; derogar la Ley Núm. 116 de 12 de junio de 1980, conocida como "Código de Salud Mental de Puerto Rico" y establecer penalidades.
Artículo 3.02. – Conservación de Derechos Constitucionales Todo adulto que recibe servicios de salud mental continuará disfrutando de sus derechos, beneficios y de los privilegios garantizados por la Constitución de los Estados Unidos de América y la Constitución de Puerto Rico y las Leyes estatales y federales, mientras esté recibiendo servicios de evaluación o tratamiento y rehabilitación, así como durante el proceso de ingreso, traslado o alta en cualquier institución proveedora. Artículo 3.06. - Derechos Específicos b) Derecho a no ser Identificado como Paciente de Salud Mental: Todo adulto que recibe los servicios de salud mental tiene derecho a no ser identificado como paciente, ni como ex-paciente, excepto cuando la persona así lo solicite bajo el procedimiento establecido para ello en esta Ley.
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
Ley Núm. 203 de 23 de agosto de 2012, para añadir nueve (9) capítulos a la Ley 1942011, Código de Seguros de Salud de Puerto Rico, para el manejo, utilización y divulgación de la información de Salud de las personas cubiertas o asegurados.
Ley Núm. 207 de 27 de septiembre de 2006 Para prohibir, a todo patrono de empresa privada y de las corporaciones públicas del Estado Libre Asociado de Puerto Rico, el uso del Número de Seguro Social, de un empleado en las tarjetas de identificación o en cualquier documento de circulación general o rutinaria; establecer restricciones y requisitos e identificar excepciones, imponer sanciones, facultar al Departamento del Trabajo y Recursos Humanos a fiscalizar la implantación de esta Ley; definir plazos de implementación; y para otros fines. DISPOSICIONES PENALES Art. 151 Revelación de secreto profesional. (33 L.P.R.A. Sec. 4192)
Toda persona que sin justa causa, en perjuicio de otra, revelare secretos que hubieren llegado a su conocimiento en virtud de su profesión, o ministerio religioso, cargo u oficio, será sancionada con pena de reclusión que no excederá de seis (6) meses o multa que no excederá de quinientos dólares, o ambas penas a discreción del tribunal.
Art. 143 Violación de comunicación privada escrita. (33 L.P.R.A. Sec. 4184)
Toda persona que se apodere de una comunicación privada escrita, que no le esté dirigida, o que la abriere, o destruyere o suprimiere, sin estar debidamente autorizada para ello, en todo o en parte, será sancionada con pena de reclusión que no excederá de seis meses o multa que no excederá de quinientos dólares o ambas penas a discreción del tribunal.
Art. 147 Públicación de comunicación privada. (33 L.P.R.A. Sec. 4188)
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
Toda persona que teniendo conocimiento de que una comunicación privada personal, verbal o escrita ha sido violada, interceptada o grabada ilegalmente, públicare o hiciere públicar, o permitiere públicar total o parcialmente, dicha comunicación o su sustancia, propósito, efecto o alcance, será sancionada con pena de reclusión por un término fijo de dos (2) años. De mediar circunstancias agravantes, la pena fija establecida podrá ser aumentada hasta un máximo de tres (3) años; de mediar circunstancias atenuantes, podrá ser reducida hasta un mínimo de un (1) año.
El tribunal, a su discreción, podrá imponer la pena fija de reclusión establecida o multa que no excederá de cinco mil (5,000) dólares, o ambas penas. (Enmendado en el 1980, ley 101; 1995, ley 203)
MODULO V Violación de Datos (DATA BREACH) La Norma de Notificación de Incumplimiento de HIPAA, 45 CFR §§ 164.400-414, requiere que las entidades cubiertas por HIPAA y sus socios comerciales proporcionen una notificación después de una violación Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
de información de salud protegida. Disposiciones similares de notificación de incumplimiento implementadas y aplicadas por la Comisión Federal de Comercio (FTC, por sus siglas en inglés) se aplican a los vendedores de registros de salud personales y sus proveedores de servicios externos, de conformidad con la sección 13407 de la Ley HITECH Definición de incumplimiento Una violación es, generalmente, un uso o divulgación no permitidos bajo la Regla de Privacidad que compromete la seguridad o privacidad de la información de salud protegida. Se presume que un uso o divulgación inadmisible de información de salud protegida constituye una infracción a menos que la entidad cubierta o el socio comercial, según corresponda, demuestren que existe una baja probabilidad de que la información de salud protegida haya sido comprometida en base a una evaluación de riesgo de al menos siguientes factores: 1) La naturaleza y el alcance de la información de salud protegida involucrada, incluidos los tipos de identificadores y la probabilidad de Re identificación; 2) La persona no autorizada que utilizó la información de salud protegida o a quien se hizo la divulgación; 3) Si la información de salud protegida fue realmente adquirida o vista; y 4) La medida en que se ha mitigado el riesgo para la información de salud protegida. Las entidades cubiertas y los asociados de negocios, según corresponda, tienen la discreción de proporcionar las notificaciones de incumplimiento requeridas después de un uso o divulgación no permitidos sin realizar una evaluación de riesgos para determinar la probabilidad de que la información de salud protegida se haya visto comprometida. Aquí hay tres excepciones a la definición de “incumplimiento”. 1) La primera excepción se aplica a la adquisición, acceso o uso no intencional de información médica protegida por parte de un miembro de la fuerza laboral o persona que actúe bajo la autoridad de una entidad cubierta o socio comercial, si dicha adquisición, el acceso o el uso se hicieron de buena fe y dentro del alcance de la autoridad. 2) La segunda excepción se aplica a la divulgación involuntaria de información de salud protegida por parte de una persona autorizada para acceder a información de salud Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
protegida en una entidad o socio comercial cubierto a otra persona autorizada a acceder a información de salud protegida en la entidad o socio comercial cubierto, o un acuerdo de atención médica organizado en el que participa la entidad cubierta. En ambos casos, la información no puede ser utilizada o divulgada de una manera no permitida por la Regla de Privacidad. 3) La excepción final se aplica si la entidad cubierta o el socio comercial cree de buena fe que la persona no autorizada a la que se realizó la divulgación no permitida no habría podido retener la información. CONDUCTAS QUE PONEN EN RIESGO LA INFORMACIÓN DE SALUD 1. DATOS sin encriptar Primero es importante entender que significa encriptar. Ocultar datos mediante una clave para que no puedan ser interpretados por los que no la tienen.
Es peligroso dejar los datos del PHI sin encriptar. Si un dispositivo que contiene PHI se pierde o es robado, el cifrado ofrece una garantía adicional de seguridad si alguien trata de acceder de alguna manera a un dispositivo protegido con contraseña. 2. Expedientes no asegurados Los documentos con PHI tienen que estar en un lugar seguro en todo momento. Los archivos físicos que contienen PHI deben estar guardados bajo llave. Los archivos digitales deben requerir contraseñas seguras para acceder a ellos, además de estar encriptados siempre que sea posible. 3. Dispositivos perdidos o robados Una violación muy común a HIPAA es el robo de PHI a través de computadoras portátiles, computadoras de escritorio, teléfonos inteligentes y otros dispositivos perdidos o robados que contienen información del paciente. Los dispositivos móviles son más vulnerables al robo debido a su tamaño; por lo tanto, deben establecerse las medidas de seguridad necesarias para acceder a la información específica del paciente 4. Empleados que acceden ilegalmente a archivos de pacientes Los empleados que acceden información de pacientes a los cuales no están autorizados es otra infracción muy común de HIPAA. Independientemente de las
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
razones para acceder información de los pacientes, este acto es uno ilegal castigable con multas y hasta cárcel. 5. Falta de adiestramiento Una de las causas más comunes para una violación a HIPAA es que los empleados no están familiarizados con las regulaciones HIPAA. A menudo, sólo los gerentes, la administración y las enfermeras reciben capacitación en HIPAA, a pesar de que la ley exige que todos los empleados, voluntarios, practicantes y cualquier persona que tenga acceso a la información del paciente sean capacitados. El adiestramiento sobre cumplimiento es una de las formas más proactivas y más fáciles de evitar una violación. 6. Destrucción inadecuada del PHI La información de salud personal siempre se debe triturar o destruir. Por otro lado hay que asegurarse que la información en los equipos sea totalmente borrada. Si algún equipo donde puede haber PHI , es devuelto, se vende o se descarta, sin limpiarse adecuadamente, puede dar lugar a una violación de HIPAA. 7. Divulgación de información del paciente Cuando se trata de discutir el PHI, sólo debe discutirse con las personas que necesitan saber, como el paciente, el médico o la (s) persona (s) que facturan el procedimiento, farmacia u otro servicio relacionado. Si usted tiene acceso a la PHI y lo discute con quienes no tienen el acceso correcto a esta información, es una violación directa de HIPAA. El comentar acerca de los pacientes con sus amigos o compañeros de trabajo puede significar una multa significativa. Hay que ser conscientes de su entorno, restringir las conversaciones con los pacientes a lugares privados y evitar compartir cualquier información del paciente con amigos y familiares.
Otro ejemplo de divulgación es si un miembro del personal divulgara la
información del paciente equivocado debido a un error humano. En este caso, el acto puede ser un accidente, pero las consecuencias serían similares a las de una violación deliberada. Requisitos de autorización •
Se requiere una autorización por escrito para el uso o la divulgación de la información de salud personal de cualquier persona que no se utilice para el tratamiento, el pago, las operaciones de atención médica o lo permitido por la Regla de Privacidad.
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
•
Si un empleado no está seguro, siempre es mejor obtener una autorización previa antes de divulgar cualquier información.
Otras conductas •
Tomar fotografías de pacientes sin su consentimiento y no relacionada a fines médicos.
•
Publicar fotos o videos de pacientes intoxicados, dormidos, inconscientes en cualquier medio.
•
Publicar cualquier comentario, fotografía, imagen, video, texto que pueda identificar a un paciente.
MODULO VI PENALIDADES POR VIOLACIONES A HIPAA Violaciones administrativas El Departamento de federal de Salud, delegó en la Oficina de Derechos Civiles lo relativo a la imposición de sanciones bajo HIPAA. Las entidades cubiertas por la ley vienen obligadas a crear sus reglamentos internos que incluyan sanciones relacionados a violaciones administrativas de HIPAA dirigido a sus empleados y asociados de negocios que violen la ley. Dichas sanciones pueden incluir el despido o la cancelación del contrato, según sea el caso o la falta cometida.
No cumplir con los estándares de confidencialidad •
Multa desde cien dólares ($100.00) por persona por violación; hasta veinticinco mil dólares ($25,000.00) por persona por violación de un sólo estándar en un año calendario.
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
Uso de divulgación indebida de información de salud protegida o por la abstención de esa información Multa de hasta cincuenta mil dólares ($50,000) y un (1) año de cárcel. Si la violación anterior es cometida bajo fraude o engaño la pena podría ser hasta de cien mil dólares ($100,000.00) de multa y hasta cinco (5) años de cárcel.
Uso de divulgación indebida de información de salud protegida o por la abstención de esa información •
Si la violación es con el propósito o intención de vender, transferir o usar información de salud protegida identificable con el propósito de obtener ventajas comerciales o de negocios, ganancias personales o causar daño malicioso, la pena podría ser hasta veinticinco mil dólares ($25,000.00) de multa o diez (10) años de cárcel.
RESUMEN CONSECUENCIAS POR VIOLAR HIPAA
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
Civiles
Criminales
• Multa máxima de $25,000 por violación.
• Máximo de 10 años de cárcel y /o $250,00 en multas por ofensas graves.
disciplinarias que pueden Administrativas • Acciones incluir el despido inmediato.
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
MODULO VII RECOMENDACIONES PARA EL MANEJO Y SEGURIDAD DE EXPEDIENTES CON INFORMACION MEDICA
AUTORIZACIONES/Acuerdos El paciente es el dueño de la información, por lo que puede consentir a que su información de salud protegida sea divulgada para diversos fines más allá de los dispuestos por HIPAA. Para ello, no obstante se requiere que el paciente voluntariamente consienta. Este consentimiento tiene que constar por escrito. Asegúrese que el paciente haya firmado las autorizaciones, acuerdos y relevos pertinentes. Entrega de expedientes/documentos Preparar hoja de trámite que incluya:
•
•
Nombre
•
Puesto
•
Fecha
•
Hora
•
Firma
•
Asunto
•
Recibo de documentos
Firmar hoja de tramite
• Verificar documento entregado Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
•
Clasificarlo adecuadamente
•
Archivarlo adecuadamente
Manejo adecuado •
No usar el seguro social como identificador
•
Archivo apropiado de documentos en lugar seguro, bajo llave y a prueba de fuego.
•
Tener clave de acceso para el uso de la computadora.
•
Encriptar la información
•
No dejar documentos al alcance de cualquier persona que pueda entrar a la oficina.
•
Acceso limitado sólo a las personas autorizadas. •
Esto incluye hoja de registro de personas que acceden a ver los documentos y o expedientes.
•
Conservar los documentos conforme a las legislaciones vigentes.
Adiestramientos •
Es importante que las entidades cubiertas provean adiestramiento continuo a sus empleados. Si usted trabaja por cuenta propia es su obligación mantenerse al día sobre aquellos aspectos que inciden en su profesión.
•
El refrescar o adquirir nuevos conocimientos relacionados a HIPAA, la información de salud del paciente,
•
No estar al día e incumplir con HIPAA puede costarle caro.
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
MODULO VIII CONCLUSION El cumplimiento de HIPAA no es tan simple.
Los proveedores de salud tienen que tener la
tecnología adecuada para cumplir con las garantías administrativas, físicas y técnicas requeridas por la regla de seguridad de HIPAA y a su vez deben invertir en políticas, capacitación, procesos de notificación de incumplimiento, apoyo legal para acuerdos de asociados de negocios y seguro de incumplimiento de HIPAA. Además, la organización debe comprometerse a: •
Conocer la ley.
•
Proveer seguridad a la información.
•
Proveer espacio necesario para proteger al paciente cuando se esté llenando sus papeles de admisión y consultando.
•
Tener precaución de a quién le divulgamos la información solicitada por teléfono, fax o recibo y entrega de muestras.
•
No compartir claves de acceso
•
No identificar pacientes
•
No retratarse con pacientes
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
•
No publicar información , fotos o videos de pacientes en redes sociales o en la oficina médica u otros medios
•
Reportar cualquier violación a las reglas
•
Usar el sentido común
Referencias Artículos Don’t forget that small HIPAA violations can cause big problems for hospitals. (2016). Hospital Access Management, 35(5)
Retrieved
from
http://nclive.org/cgi-
bin/nclsm?url=http://search.proquest.com/docview/1986103110?accountid=1321 Dvorak, K. (2015). Hospital to pay $218,400 for HIPAA violations. FierceHealthIT, Retrieved from http://nclive.org/cgibin/nclsm?url=http://search.proquest.com/docview/1696141322?accountid=13217
OCR may alter HIPAA rules to ease compliance, care coordination. (2019). Healthcare Risk
Management, 41(3) Retrieved from http://nclive.org/cgibin/nclsm?url=http://search.proquest.com/docview/2185499420?accountid=13217 Marting, Richelle, JD, MHSA,R.H.I.A., C.P.C., & DeMasters, Dana, MN,R.N., C.H.P.S. (2017). Navigating the waters of HIPAA regulations and resources: The basics. Journal of AHIMA, 88(1),
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
28-31. Retrieved from http://nclive.org/cgibin/nclsm?url=http://search.proquest.com/docview/1856577221?accountid=13217 Mir, S. S. (2011). HIPAA privacy rule: Maintaining the confidentiality of medical records, part I. Journal of Health Care Compliance, 13(2), 5-14. Retrieved from http://nclive.org/cgibin/nclsm?url=http://search.proquest.com/docview/864101801?accountid=13217 Sterling, Ron,C.P.A., M.B.A. (2015). Defend your practice against HIPAA violations.Medical
Economics, 92(5), 52-57. Retrieved from http://nclive.org/cgibin/nclsm?url=http://search.proquest.com/docview/1669918383?accountid=13217 Wiedemann, Lou Ann, MS, RHIA, CHDA, CDIP,C.P.E.H.R., F.A.H.I.M.A. (2017). Are you ready for a HIPAA audit? Journal of AHIMA, 88(4), 26-27. Retrieved from http://nclive.org/cgibin/nclsm?url=http://search.proquest.com/docview/1894925793?accountid=13217 Withrow, S. C. (2010). How to avoid a HIPAA horror story. Healthcare Financial
Management, 64(8), 82-8. Retrieved from http://nclive.org/cgibin/nclsm?url=http://search.proquest.com/docview/746578856?accountid=13217
LEYES Ley de “Portabilidad” y Responsabilidad del Seguro Médico, ley Pública Núm. 104-191 de 1996. Ley de Tecnología de la Información de la Salud para la Economía y Ley de Salud Clínica, HITECH ACT Sección I, carta de Derechos Derecho a la Intimidad , Constitución de Puerto Rico (1952) Arts. 1802 , Código Civil de Puerto Rico Artículos 176 , Código Penal de Puerto Rico (2014) Ley del Derecho sobre la Propia Imagen, ley núm. 139 de 13 de julio de 2011 Carta de Derechos y Responsabilidades del Paciente, ley núm.194 de 25 de agosto de 2000 Ley Núm. 203 de 23 de agosto de 2012, para añadir nueve (9) capítulos a la Ley 194-2011, Código de Seguros de Salud de Puerto Rico Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright
Ley de Salud Mental de Puerto Rico de 2000, Ley Núm. 408 Del 2 De Octubre De 2000 Art. 143 Violación de comunicación privada escrita. (33 L.P.R.A. Sec. 4184) Art. 147 Publicación de comunicación privada (33 L.P.R.A. Sec. 4188)
Referencias electrónicas http://www.grouponehealthsource.com/blog/top-10-most-common-hipaa-violations https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html www.hhs.gov/ocr/privacy/hipaa/.../derechoconfidencialidid.pdf http://whatishipaa.org/hipaa-compliance.php https://www.medsafe.com/blog/hipaa-compliance/7-most-common-hipaa-violationsthat-can-cost-your-practice
Derechos reservados de Educatevirtual Learning Centers Inc. – LC-code 2020 law copyright