¿Busca un resumen de HIPAA o una guía de HIPAA 101? comience aquí.
Cuando se trata de entender los básicos de HIPAA, la tarea puede parecer desalentadora. La lectura de la normativa implica la clasificación a través de la compleja jerga legal, y confiar en los rumores puede conducir a más malentendidos que aclaraciones.
Por eso hemos elaborado esta guía HIPAA 101 The Basics. Obtendrá todo lo que necesita para comprender con seguridad la ley, en una guía de fácil lectura que le ayudará a entender el cumplimiento de la HIPAA.
¿Qué es la HIPAA?
La Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA) es una serie de normas nacionales que las organizaciones de atención médica deben tener para salvaguardar la privacidad y seguridad de la información médica protegida (PHI). La PHI es cualquier información demográfica individualmente identificable que pueda utilizarse para identificar a un paciente. Ejemplos comunes de PHI incluyen nombres, direcciones, correos electrónicos, números de teléfono, fotos faciales completas,
Antes de comenzar, veamos algunas definiciones clave que se relacionan con los fundamentos de la HIPAA.
Hay dos tipos de organizaciones esbozadas en la regulación de la HIPAA, incluyendo:
- Entidades Cubiertas (CE): Proveedores de atención médica, planes de seguro médico y centros de intercambio de información de atención médica. Las EC participan en la creación directa de PHI y deben cumplir con todo el alcance de la normativa HIPAA.
- Asociados comerciales (BA): Cualquier organización contratada por un CE (u otro BA) que necesariamente se encontrará con la PHI en el curso del trabajo para el que han sido contratados. Ejemplos comunes de BAs incluyen proveedores de TI, empresas de gestión de la práctica, proveedores de almacenamiento físico, proveedores de almacenamiento en la nube, cifrado de correo electrónico, copia de seguridad de datos y muchos otros. Los BA no están obligados a cumplir con la Regla de Privacidad de la HIPAA en su totalidad, pero deben cumplir con el resto de las normas reglamentarias que se aplican.
Desde que se promulgó por primera vez en 1996, la HIPAA ha sufrido muchos cambios, revisiones y adiciones. En conjunto, se conocen como las normas de la HIPAA. Las reglas de la HIPAA incluyen:
- Regla de privacidad de la HIPAA: La Regla de Privacidad establece normas nacionales para la privacidad, integridad y disponibilidad de la PHI. La Regla describe las salvaguardias que deben existir para garantizar que la PHI se mantenga privada. La Regla también establece directrices para los derechos de los pacientes a acceder a sus registros médicos, además de los usos, divulgaciones y autorizaciones que deben tener los CE.
- Regla de Seguridad de la HIPAA: La Regla de Seguridad establece normas nacionales para mantener la seguridad de la PHI a través de una serie de salvaguardias técnicas, físicas y administrativas que los CE y BA deben implementar.
- Regla de Notificación de Incumplimiento de la HIPAA: La Regla de Notificación de Incumplimiento describe los procesos que deben seguir las entidades sujetas a la HIPAA en caso de incumplimiento de los datos. Dependiendo del número de individuos afectados por una determinada violación, existen diferentes plazos y normas de notificación que exige la Regla.
- Regla Omnibus de la HIPAA: La Regla Omnibus introdujo varios cambios importantes en la regulación de la HIPAA, específicamente en lo que respecta al papel de los BA. Desde que la Regla entró en vigor por primera vez en 2013, los BAs han estado bajo la obligación reglamentaria de cumplir con la HIPAA. Además, la Regla Omnibus estableció reglas más estrictas para la ejecución de los Acuerdos de Asociados de Negocios, que se discutirán más adelante en esta pieza.
Ahora que usted tiene una idea de los fundamentos del cumplimiento de la HIPAA, vamos a tomar una inmersión en lo que es necesario para su práctica para cumplir efectivamente con la ley.
Cómo cumplir con la HIPAA
Auditorías de la HIPAA
El primer paso en cualquier programa de cumplimiento efectivo es ejecutar una serie de auditorías. Estas auditorías le darán una línea de base de dónde se encuentra su práctica con respecto a la ley HIPAA.
No hay una lista predefinida de auditorías que deben realizarse, sin embargo, estas auditorías deben ejecutarse en todos los elementos de su negocio para medir el cumplimiento de las normas HIPAA. Cada regla de la HIPAA se compone de muchas normas de la HIPAA, cada una con sus propias especificaciones de aplicación. Para auditar eficazmente su empresa, debe utilizar estas normas HIPAA como base para sus auditorías. Al auditar su empresa con respecto a las normas de la HIPAA, obtendrá una idea de dónde se encuentran sus lagunas en el cumplimiento, de manera que pueda ir solucionándolas más adelante.
Planes de recuperación
Una vez que haya completado sus auditorías y desarrollado sus lagunas en el cumplimiento actual de la HIPAA, entonces puede comenzar a solucionar esas lagunas.
Los planes de recuperación deben abrirse para cada laguna que sus auditorías hayan descubierto. Estos deben estar completamente documentados en un repositorio central, con acceso limitado basado en roles dependiendo de las partes involucradas en el proceso de remediación. Cada plan de remediación debe asignar la responsabilidad a alguien de su personal para arreglar la brecha, junto con los elementos de acción y un cronograma para su finalización.
A medida que su organización cierra cada brecha, debe documentar el proceso hasta que todas las brechas estén cerradas.
Políticas, procedimientos y formación de los empleados
Las políticas y procedimientos son la piedra angular de un programa eficaz de cumplimiento de la HIPAA.
Las organizaciones que cumplen con la HIPAA deben tener políticas y procedimientos que aborden cada norma de la HIPAA. Su objetivo es crear procesos uniformes en todas las partes de su organización para el manejo de la PHI y todas las demás especificaciones de implementación exigidas por la HIPAA.
Aunque los estándares que cada política y procedimiento debe abordar serán los mismos para cada entidad que cumpla con la HIPAA, el lenguaje real de las políticas y procedimientos debe adaptarse a las necesidades de su organización. Por eso, encontrar una solución como una carpeta de políticas no se considera una solución eficaz para el cumplimiento de la HIPAA. Si las políticas que su organización implementa no se aplican al ámbito de su negocio, no podrán protegerle en caso de una violación de la HIPAA.
Una vez que su organización haya implementado las políticas y procedimientos de la HIPAA, debe asegurarse de que todos los empleados hayan recibido formación sobre su contenido. Y para documentar adecuadamente que esta formación ha tenido lugar, su organización debe hacer que todos los empleados firmen un certificado diciendo que han leído y entendido el contenido de cada política. Estos certificados deben existir para proteger a su organización de la responsabilidad en caso de que un empleado cause una violación de la HIPAA en conflicto con una de sus políticas.
La formación de los empleados debe realizarse anualmente. Cualquier empleado nuevo que se incorpore a su organización debe recibir formación sobre las políticas y los procedimientos como parte de su proceso de incorporación.
Gestión de los BA/proveedores
Otro componente esencial del cumplimiento de la HIPAA es comprender cómo proteger la PHI a la que acceden los proveedores. Como se ha comentado anteriormente, un BA es un proveedor que usted contrata y cuyo trabajo implica necesariamente un encuentro con la PHI de cualquier tipo.
La HIPAA ordena que antes de que se pueda compartir cualquier PHI, su organización debe ejecutar un Acuerdo de Asociado de Negocios (BAA) con este proveedor. Esto se aplica a las relaciones entre los CE y los BA, además de las relaciones entre un BA y otro (un BA de un BA se denomina «subcontratista» en virtud de la HIPAA).
Los BAAs DEBEN ejecutarse antes de que se pueda compartir cualquier PHI. Un BAA eficaz debe establecer que:
- La organización 1 reconoce que está en deuda con la HIPAA.
- El BA de la organización 1 reconoce que está en deuda con la HIPAA.
- La responsabilidad en caso de violación de datos corresponde a la parte responsable de la violación.