SlideShare una empresa de Scribd logo

HIPAA 2023 05.15.2023 (1).pdf

C
cdtvlsadiestramientos

Este documento proporciona definiciones clave relacionadas con HIPAA como privacidad, confidencialidad, entidad cubierta y socio comercial. Explica que HIPAA establece estándares nacionales para proteger cierta información de salud y cubre a proveedores de atención médica, planes de salud y otras entidades. También requiere capacitación para el personal sobre el uso y divulgación de información protegida de salud.

Salud y medicina
1 de 66
❑HIPAA 2023 • Carmen Y Ibarrondo MS RHIA CHPS CCS-P CPMA ICD10CM/PCS AHIMA Trainer 05.16.2023 1
Definiciones ❑ Privacidad – Derecho a que la información de salud no sea divulgada. ❑ Confidencialidad – Es una condición. Certeza de que solo personas de un determinado dominio, rango o nivel, con conocimiento de la persona, con una razón valida tiene acceso a la información. ❑ Entidad cubierta- Aquellas facilidades que transmite, almacena o maneja información protegida de salud (PHI). Se divide en: Planes de salud, Clearinghouse y proveedores de cuidado de salud. ❑ Business associate - Persona u organización que realiza ciertas funciones comerciales en nombre de la entidad cubierta e involucra el uso, mantenimiento o divulgación de PHI. Antes de divulgar la PHI a un socio comercial, las entidades cubiertas son obligados a firmar un acuerdo escrito que impone salvaguardas. ❑ Seguridad – Es una protección. Capacidad de controlar el acceso a la información prevenir alteración, destrucción o pérdida de información. ❑ Uso – Compartir, emplear, aplicar, utilizar, examinar o analizar la información dentro de la entidad que mantiene esa información. ❑ Divulgación – Entrega, transferencia, proveer acceso o divulgar en cualquier forma la información fuera de la entidad que mantiene la información. ❑ Violación o Brechas – Fracaso o fallo en cumplir con las provisiones de las simplificaciones administrativas de la ley HIPAA. 05.16.2023 5
HIPAA Ley Pública Núm. 104-191 de 1996 • Health Insurance Portability and Accountability Act of 1996 (HIPAA). Esta ley es la primera protección federal integral para los privacidad de la información personal de salud (PHI), aprobado por el Congreso en 1996, y implementado en abril de 2003. The Standards for Privacy of Individually Identifiable Health Information ("Privacy Rule") • Establece, por primera vez, un conjunto de estándares nacionales para la protección de cierta información de salud. El Departamento de Salud y Servicios Humanos de EE. UU. ("HHS") emitió la Regla de Privacidad para implementar el requisito de la Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996 ("HIPAA"). • Los estándares de la Regla de Privacidad abordan el uso y la divulgación de información personal información de salud—llamada "información de salud protegida" por organizaciones sujetas a la Regla de Privacidad—llamadas "entidades cubiertas", así como estándares para los derechos de privacidad de las personas para comprender y controlar cómo se usa su información de salud. • Dentro del HHS, la Oficina de Derechos Civiles ("OCR") tiene la responsabilidad de implementar y hacer cumplir la Regla de Privacidad con respecto a las actividades de cumplimiento voluntario y las sanciones monetarias civiles. • Parte de la ley dispone privacidad, confidencialidad y seguridad de información de salud de pacientes. El cumplimiento de esta ley es mandatorio. 05.16.2023 6
HIPAA ▪ Uno de sus objetivos principales de la regla de privacidad es asegurar que la información de salud de las personas esté debidamente protegida mientras se permite el flujo de información de salud necesaria para brindar y promover cuidado medico de alta calidad y proteger la salud y el bienestar del público. ▪ La Regla logra un equilibrio que permite usos importantes de la información, mientras protege la privacidad de las personas que buscan atención y cuidado/tratamiento. La Regla está diseñada para ser flexible y completa para cubrir la variedad de usos y divulgaciones que deben abordarse. ▪ Las entidades reguladas por la Regla están obligadas a cumplir con todos sus requisitos aplicables. 05.16.2023 7
Antecedentes legales y reglamentarios ▪ La ley Pública 104-191, se promulgó el 21 de agosto de 1996. ▪ Las secciones 261 a 264 de HIPAA requieren que el Secretario del HHS publique los estándares para el intercambio electrónico, la privacidad y la seguridad de información de salud. En conjunto, se conocen como las disposiciones de Simplificación Administrativa. ▪ La regulación final, la Regla de Privacidad, se publicó el 28 de diciembre de 2000. ▪ Existe un texto que combina la regulación final y las modificaciones en 45 CFR Parte 160 y Parte 164, Subpartes A y E. 05.16.2023 8
HIPAA Consta de 5 Títulos • Los áreas en el Título II: Sub-título F dentro de lo que simplificación administrativa son: ▪ Privacidad y Confidencialidad de la información de salud que identifica al individuo. ▪ Seguridad electrónica. ▪ Estandarización de transacciones electrónicas y grupo de códigos . ▪ Identificadores únicos. • Mantener la información del paciente, sea escrita, verbal o electrónica de manera privada y segura. • Debes asegurar de la información su: Confidencialidad, Integridad y Disponibilidad /Acceso (CIA siglas en ingles) . • Todo empleado debe poseer el conocimiento sobre el uso e intercambio de información de salud protegida y es por esto que se orienta a todos los empleados de la facilidad. 05.16.2023 10
HIPAA ❑Si ve, usa o comparte la información de salud protegida (PHI) de una persona o trabaja directamente con los pacientes, es su responsabilidad proteger la privacidad del paciente. ❑HIPAA incluye todas las entidades que proporcionan, facturan, pagan el cuidado de salud o procesan información de salud. ❑ Estos incluyen lo siguiente: ❑ Health care providers ❑ Health Plans ❑ Clearinghouses ❑ Business associates ¿Cuál es el propósito de HIPAA? ❑Proteger la privacidad de los datos personales y información de salud. ❑Proporcionar seguridad electrónica y física de información personal y de salud ❑Estandarizar la codificación para simplificar la facturación y otras transacciones 05.16.2023 11
Proveedores de servicios de salud ▪ Cada proveedor de cuidado medico, independientemente de su tamaño, que transmite electrónicamente información de salud en relación con ciertas transacciones, es una entidad cubierta. ▪ Estas transacciones incluyen: ▪ Reclamaciones ▪ Consultas de elegibilidad de beneficios, ▪ Solicitudes de autorización de referidos u otras transacciones para las cuales el HHS ha establecido estándares bajo la Regla de Transacciones de HIPAA. ▪ El uso de tecnología electrónica, como el correo electrónico, no significa que un proveedor de cuidado medico sea una entidad cubierta; la transmisión debe estar relacionada con una transacción estándar. ▪ La regla de privacidad cubre a un proveedor de cuidado médico, ya sea que transmita electrónicamente estas transacciones directamente o utilice un servicio de facturación u otro tercero para hacerlo en su nombre. ▪ Los proveedores de cuidado medico incluyen todos los "proveedores de servicios" (p. ej., proveedores institucionales como hospitales) y "proveedores de servicios médicos o de salud" (p. ej., proveedores no institucionales como médicos, dentistas y otros profesionales) según lo define Medicare, y cualquier otra persona u organización que proporcione, facture o reciba un pago por el cuidado medico. 05.16.2023 12
Qué información está protegida Información de Salud Protegida (siglas en ingles PHI) ❑Información que puede ser utilizada directa o indirectamente para identificar un individuo ❑Incluye Individually Identifiable Health Information (IIHI) como: ❑ Nombre ❑ Dirección ❑ Fechas de nacimiento ❑ Número de seguro social ❑ Direcciones de correo electrónico ❑ Números de cuenta o registro médico ❑ Imágenes fotográficas ❑ Números de registros médicos ❑ Números de certificación/licencia ❑ Números de teléfono o fax ❑ Cualquier “otro” número de identificación, característica o código ❑ Información que médicos, enfermeras y otros proveedores de cuidado medico ingresan en el expediente médico. ❑ Conversaciones que su médico tiene sobre el cuidado medico o tratamiento con enfermeras y otras personas. ❑ Información sobre el sistema informático de transacciones de la aseguradora de salud. ❑ Información de facturación en la clínica. 05.16.2023 13
Lo que requiere la ley sobre los adiestramientos al personal ❑Las leyes federales y regulaciones requieren que las entidades cumplan con la regla de Privacidad, Notificación de Incumplimiento o brecha y Seguridad Electrónica; ❑La ley requiere que el personal este adiestrado con los cambios. ❑Se deberá adiestrar a: Empleados, voluntarios y otras personas están bajo el directo control de la entidad sin importar si esta recibiendo pago por servicios. 05.16.2023 14
Evolución de la Ley HIPAA ❑ Health Insurance Portability and Accountability Act (HIPAA) 1996 ❑ Ley 104-191 ❑ 45 CFR 160 &164 ❑ Privacy Rule 04/2003 ❑ Security Rule 04/2005 ❑ American Recovery and Reinvestment Act (ARRA) ❑ February /2009 ❑ Título XIII: Health Information Technology for Economic and Clinical Health Act (HITECH) ❑ HIPAA Omnibus Rule ❑ September /23/2013 05.16.2023 15
HIPAA y leyes de Puerto Rico ❑ HIPAA aplica a todos los estados, Puerto Rico y territorios por disposición expresa del Congreso. ❑ La ley persigue estandarizar el derecho a la protección de su información de salud de los pacientes. ❑ Ocupa el campo estatal, desplaza, sustituye y prevalece sobre cualquier ley local que sea contraria. ❑ La propia ley establece límites a su ocupación del campo estatal. ❑ Dispone que cualquier legislación local presente o futura que sea más estricta , prevalecerá sobre HIPAA. ❑ Se define más estricta aquella legislación que: ❑ Concede mayor acceso y derechos al paciente en cuanto a su información de salud. 05.16.2023 16
Quién debe seguir estas leyes • Los asociados de negocio de las entidades cubiertas deben seguir partes de las regulaciones de HIPAA.A menudo, los contratistas, subcontratistas y otras personas y empresas externas que no son empleados de una entidad cubierta necesitarán tener acceso a su información médica cuando brinden servicios a la entidad cubierta. • Llamamos a estas entidades " asociados de negocio ". • Ejemplos de asociados de negocio incluyen: Empresas que ayudan a sus médicos a cobrar por brindar servicios médicos , incluidas las empresas de facturación y las empresas que procesan reclamaciones de servicios médicos. • Empresas que ayudan a administrar planes de salud Personas como abogados externos, contables y especialistas en information technology (IT) Empresas que almacenan o destruyen registros médicos • Las entidades cubiertas deben tener contratos vigentes (BAA) con sus asociados de negocio , asegurándose de que utilicen y divulguen su información médica de manera adecuada y la protejan de manera adecuada. • Los asociados de negocio también deben tener contratos similares con subcontratistas. Los asociados de negocio (incluidos los subcontratistas) deben seguir las disposiciones de uso y divulgación de sus contratos y la Regla de privacidad, y los requisitos de protección de la Regla de seguridad. 05.16.2023 17
Como se protege esta información ❑Las entidades cubiertas deben implementar medidas de seguridad para proteger la información médica y asegurarse de que no utilicen o divulguen su información médica de manera inapropiada. ❑Las entidades cubiertas deben limitar razonablemente los usos y divulgaciones al mínimo necesario para lograr su propósito previsto. ❑Las entidades cubiertas deben tener procedimientos establecidos para limitar quién puede ver y acceder a su información médica, así como implementar programas de capacitación para empleados sobre cómo proteger su información médica. ❑Los socios comerciales también deben implementar medidas de seguridad para proteger su información médica y asegurarse de que no utilicen o divulguen su información médica de manera inapropiada. 05.16.2023 18
18 Identificadores de Información de Salud 1. Nombre 2. Ciudad, calle, precinto y código postal 3. Fechas excepto año, directamente relacionadas con el individuo: nacimiento, admisión, alta, muerte, edades mayor de 89 años 4. Numero de fax 5. Numero de teléfono 6. Dirección de correo electrónico 7. Numero de cuenta 8. Numero Seguro Social 9. # de licencias o certificados 10. Numero de tablilla 11. # de serie o identificador de equipo medico 12. Web URL, directorio y/o pagina web 13. Direcciones de Internet Protocol (IP) 14. Identificadores Biométricos 15. #Vehicle Identification Number (VIN) 16. Dominio 17. Directorio, subdirectorio 18. Pagina Web 05.16.2023 19
Estándar Mínimo Necesario Solamente el personal que necesita PHI para ejecutar sus tareas deberán tener acceso al mismo. • Realizar esfuerzos razonables para limitar divulgación y solicitudes de información de salud protegida (PHI) al mínimo necesario. • Los empleados de acuerdo a su rol y funciones deberá utilizar o compartir solamente el mínimo necesario de la información para llevar a cabo su trabajo o funciones. • Pregúntese: • ¿Cuál es la cantidad mínima de información que yo necesito, para realizar mi trabajo? 05.16.2023 20
Oficial de Privacidad / Seguridad ❑Nombrar un Oficial de Privacidad y un oficial de Seguridad y/o Comité. ❑Descripción de puesto donde se indique cuáles son las responsabilidades y funciones. ❑Una o diferentes personas. ❑ Persona contacto en cualquier incidente , recibirá quejas y querellas de pacientes. ❑Responsable de adiestramientos a toda la fuerza trabajadora. ❑ Desarrollara y aplicara políticas de sanciones a la fuerza trabajadora que falle en cumplir con la ley en conjunto con Recursos Humanos. ¿Conoce usted a su oficial de Privacidad? 05.16.2023 21
Derechos de Paciente y Principios Generales de Uso y Divulgacion 05.16.2023 22
Principio Basico de la Regla de Privacidad ▪ Es definir y limitar las circunstancias en las que las entidades cubiertas pueden usar o divulgar la información de salud protegida de un individuo. ▪ Una entidad cubierta no puede utilizar ni divulgar información de salud protegida, excepto: ▪ (1) Según lo permita o exija la Regla de Privacidad; ▪ (2) El individuo que es el sujeto de la información (o el representante personal del individuo) autoriza por escrito 05.16.2023 23
Divulgaciones Requeridas • Una entidad cubierta debe divulgar información de salud protegida en solo dos situaciones: • (a) a individuos (o sus representantes personales) específicamente cuando solicitan acceso a, o un informe de las divulgaciones de su información de salud protegida; • (b) al HHS cuando esté llevando a cabo una investigación o revisión de cumplimiento o una acción de cumplimiento. 05.16.2023 24
Derechos de Pacientes: Notificación de Privacidad (§164.520) ❑ Todo paciente deberá recibir una Notificación de Practica de Privacidad (NPP) ❑ Actualizada ❑ Copia a cada paciente donde se tomara la firma como evidencia de que se le entregó. ❑ Es información escrita relacionada con la privacidad que deben darse a cada paciente. ❑ La notificación deberá incluir la siguiente información: ❑ Como se puede utilizar y divulgar información protegida de salud. ❑ Derechos de pacientes con respecto a la información. ❑ Como puede ejercer sus derechos incluyendo querellarse de la entidad cubierta. ❑ Las responsabilidades legales con respecto a la información incluyendo regla de como se mantiene la privacidad de la información protegida de salud(PHI). ❑ Que personas o individuo puede contactar para mas información sobre las políticas de privacidad de la facilidad. ❑ Componentes: ❑ Header ❑ Usos y divulgaciones ❑ Declaración separada para ciertos usos y divulgaciones ❑ Declaración de los derechos del individuo (como una contabilidad) ❑ Declaración de los deberes de la entidad cubierta ❑ Una declaración de cómo emitir una queja ❑ Información del contacto ❑ Una fecha de vigencia 05.16.2023 25
Acceso del individuo a la PHI 05.16.2023 26 ▪ Inspeccionar y recibir una copia de su información protegida de salud en un set de records designado ▪ Tiene treinta (30) días del recibo de la solicitud. ▪ Sesenta (60) días si no lo estuviera en las facilidades ya que se puede solicitar una extensión de treinta (30) días adicionales. Se enviara carta al paciente notificándole la extensión y cuando sera entregada la misma ▪ Importante que el paciente provea suficiente información para verificar y validar la identidad. ▪ Las personas tienen derecho ha inspeccionar, acceder u obtener copias de su propia PHI. ▪ Se debe obtener una solicitud por escrito para el registro para documentar la divulgación. ▪ Una entidad cubierta puede denegar el acceso a un individuo, sin proporcionar al individuo la oportunidad de revisar, en las siguientes circunstancias: ▪ Notas de psicoterapia ▪ Información compilada en una anticipación razonable de, o para uso en una acción o procedimiento civil, penal o administrativo ▪ El acceso de una persona a la PHI creada u obtenida por un proveedor de atención médica en el curso de una investigación que incluye tratamiento mientras la investigación está en progreso ▪ Si la PHI fue obtenida por alguien que no sea un médico proveedor bajo una promesa de confidencialidad y acceso revelará la fuente de información. ▪ Obtener copia de su información de salud protegida (PHI) (§164.24) ▪ La entidad cubierta proveerá copia al paciente cobrando lo que disponen las leyes de Puerto Rico o federales. ▪ Será un cargo razonable. ▪ Solicitud - En formato electrónico cuando sea requerido por el paciente la copia ▪ De no ser así – estar de acuerdo ambas partes en que método deberán utilizar.
Solicitud de enmiendas al expediente medico ❑Todo paciente tiene el derecho a solicitar enmienda a su información del expediente medico por escrito. ❑Deberá describir la información especifica que el paciente entiende que es inexacta, incompleta, irrelevante, fuera de tiempo y razón por lo que cree esto. ❑Deberá ser manejado por el oficial de privacidad y deberá ser en un periodo de 60 días. 05.16.2023 27
Contabilidad de Divulgación de Información (§164.528) ▪ Todo paciente tiene el derecho a solicitar un listado por escrito de las divulgaciones realizadas de su información protegida de salud. ▪ Proveer divulgaciones de PHI hechas en los seis (6) años previo a la solicitud { A partir del 14 de abril de 2003 ▪ Una contabilidad de divulgación es un listado que posee: ▪ Nombre de la persona o entidad que la información PHI fue divulgada. ▪ Fecha en el cual el PHI fue divulgado ▪ Descripción de la información divulgada ▪ Propósito de la divulgación ▪ La entidad cubierta tiene sesenta (60) días para responder a una solicitud de contabilidad. ▪ Se permite una extensión de treinta (30) días notificando al paciente. 05.16.2023 28
Derechos de Pacientes: Envío de PHI por medios o lugares alternos (§164.522) Solicitar y recibir comunicaciones confidenciales de la entidad cubierta a una dirección alterna. Alterno es que el paciente desee recibir los documentos de manera personal ha otra dirección que no es su dirección permanente. No se deberá permitir múltiples direcciones o sea mas de dos. Correo electrónico (email) no es una alternativa de comunicación confidencial, a menos que la data este encriptada. 05.16.2023 29
Derechos de Pacientes Derecho a Restricción (§164.522) ▪ Restringir su PHI pero deberá cumplir con lo siguiente: ▪ Por escrito ▪ Detallar cual es la restricción solicitada ▪ Especificar a quien desea que se le aplique. ▪ No se puede restringir a Medicare – Le aplica ley del Seguro social. ▪ La facilidad puede denegar la solicitud. ▪ Si acepta está obligada a cumplir; y no hacerlo implica violación de ley y podría exponerse a demanda. 05.16.2023 30
Derecho de Pacientes: Divulgación Incidental • Debido a la naturaleza de los servicios de salud y el tipo de conversaciones existe el potencial de que se divulgue información protegida de manera incidental. • Ejemplo: ❑Un visitante escucha una conversación de un medico con otro; o con un profesional de la salud sobre un paciente. ❑Un paciente ve información limitada dentro de un expediente de pacientes. 05.16.2023 31
Derecho de Pacientes: Querella ▪ Si entiende que se le han violado sus derechos establecidos en la Ley HIPAA ▪ Puede radicar una querella: ✓ Oficial de Privacidad de la entidad cubierta ✓ Oficina del Procurador del Paciente ( Ver mapa) ✓ Oficial de Privacidad de una aseguradora ✓ Depto. Salud Federal con la Oficina de Derechos Civiles (OCR). ▪ Debe ser por escrito ▪ Mencionar de quien y sobre qué es la querella 05.16.2023 32
05.16.2023 33 Uso y Divulgación Permitidas bajo HIPAA
Uso y Divulgación Permitidas 1. Individuo ▪ Una entidad cubierta puede divulgar PHI al paciente ya que es el dueño de su información. ▪ Debe llenar una autorización de divulgación de información. ▪ El formato de Autorizacion posee unos campos requeridos en el mismo que deben ser cumplimentados en todas sus partes. ▪ Debe incluir cuando expira la autorización entre otros elementos requeridos. 05.16.2023 34
Tratamiento, Pago y Operación de Cuidado de Salud • Divulgar o utilizar información protegida de salud para : • Tratamiento: Provision, coordinación o manejo de cuidado de salud y servicios relacionados de un paciente por uno o mas proveedores , incluyendo consultas entre proveedores relacionadas a pacientes y referidos de un paciente de un proveedor a otro. • Referidos a otros proveedores (laboratorios, Rayos X, procedimientos de imágenes) • Anotaciones en el expediente clínico • Recetas para medicamentos u equipos • Pago: Incluye las actividades de un plan de salud para obtener primas, determinar o cumplir con las responsabilidades de cobertura y provisión de beneficios, y brindar u obtener el reembolso por el cuidado médico brindado a un individuo y las actividades de un proveedor para obtener el pago o ser reembolsado por la provisión de cuidado médico a un individuo. • Facturar al asegurador, al plan médico, o a otro proveedor (en caso de un referido) • Pre autorizaciones, coordinación de beneficios, determinación de necesidad médica, etc. • Operación de cuidado de salud: • Evaluación del personal, auditorias, estudios, competencias y evaluaciones de calidad de servicios • Discusión de casos por la facultad y/o con residentes 05.16.2023 35
Tratamiento, Pago y Operación de Cuidado de Salud • Operación de cuidado de salud: (a)Actividades de evaluación y mejoramiento de la calidad, incluyendo el manejo de casos y la coordinación del cuidado; (b)Actividades de estimado de la competencia, incluyendo la evaluación, acreditación y acreditación del desempeño del proveedor o del plan de salud; (c)Realizar o coordinar revisiones médicas, auditorías o servicios legales, incluidos los programas de cumplimiento y detección de fraude y abuso; (d)Funciones específicas de seguros, tales como suscripción, calificación de riesgo y riesgo de reaseguro; (e)Planificación, desarrollo, manejo y administración de negocios; (f) la gestión comercial y las actividades administrativas generales de la entidad, incluyendo entre otras: de identificación de la información de salud protegida, creación de un conjunto de datos limitado y cierta recaudación de fondos ( Fundraising) en beneficio de la entidad cubierta. 05.16.2023 36
Tratamiento, Pago y Operación de Cuidado de Salud ▪ La mayoría de los usos y divulgaciones de notas de psicoterapia con fines de tratamiento, pago y operaciones de cuidado médico requieren una autorización. ▪ Obtener el "consentimiento" (permiso por escrito de las personas para usar y divulgar su información médica protegida para tratamiento, pago y cuidado médico). operaciones) es opcional bajo la Regla de Privacidad para todas las entidades cubiertas. ▪ El contenido de un formulario de consentimiento y el proceso para obtener el consentimiento quedan a discreción de la entidad cubierta que elige buscar el consentimiento. 05.16.2023 37
Uso y Divulgación Permitidas 3) Uso y divulgación con oportunidad de estar de acuerdo u objetar ▪ El permiso informal se puede obtener solicitándolo directamente a la persona o mediante circunstancias que claramente le den a la persona la oportunidad de aceptar, consentir u objetar. ▪ Cuando la persona está incapacitada, en una situación de emergencia o no está disponible, las entidades cubiertas generalmente pueden hacer tales usos y divulgaciones, si en el ejercicio de su juicio profesional, se determina que el uso o la divulgación es en el mejor interés de la persona. 05.16.2023 38
Uso y Divulgación Permitidas ▪ Uso y divulgación incidental – Entidad cubierta establece o lleva a cabo seguridad razonable con la información que fue compartida y fue limitada al mínimo necesario. ▪ La regla de privacidad no requiere que cada riesgo de uso incidental o divulgación de información de salud protegida sea eliminada. ▪ Un uso o divulgación de esta información que ocurra como resultado de, o como "incidente de", un uso o divulgación permitido de otro modo está permitido siempre que la entidad cubierta haya adoptado medidas de seguridad razonables según lo exige la Regla de Privacidad, y la información que se compartido se limitó al "mínimo necesario", según lo exige la Regla de Privacidad. 05.16.2023 39
Uso y Divulgación Permitidas ▪ Set de datos limitados – Se utiliza y divulga para: ▪ Propósitos de salud publica, ▪ Operación de cuidado de salud ▪ Investigación. ▪ Actividades de beneficio e interés publico – Se permite el uso o divulgación de PHI si la autorización del paciente es para alguno de los 12 propósitos de prioridad nacional a continuación… 05.16.2023 40
Autorización Una entidad cubierta debe: ▪ Obtener la autorización por escrito de la persona para cualquier uso o divulgación de información médica protegida que no sea para tratamiento, pago u operaciones de cuidado médico o que la Regla de Privacidad permita o exija de otro modo. ▪ No puede condicionar el tratamiento, pago, inscripción o elegibilidad de beneficios en un individuo que otorga una autorización, excepto en circunstancias limitadas. ▪ Debe estar escrita en términos específicos, la autorización. ▪ Puede permitir el uso y la divulgación de información médica protegida por la entidad cubierta que solicita la autorización o por un tercero. ▪ Los ejemplos de divulgaciones que requerirían la autorización de una persona incluyen: ▪ Divulgaciones a una aseguradora de vida con fines de cobertura, ▪ Divulgaciones a un empleador de los resultados de un examen físico o de laboratorio previo al empleo, ▪ Divulgaciones a una empresa farmacéutica para sus propios fines de mercadeo. ▪ Las autorizaciones deben estar en lenguaje sencillo y contener información específica sobre la información que se divulgará o utilizará, la(s) persona(s) que divulga(n) y recibe(n) la información, el vencimiento, el derecho de revocación por escrito y otros datos. 05.16.2023 41
Notas de Psicoterapia Una entidad cubierta debe obtener la autorización de una persona para usar o divulgar notas de psicoterapia con las siguientes excepciones: ▪ La entidad cubierta que originó las notas podrá utilizarlos para tratamiento. ▪ Una entidad cubierta puede utilizar o divulgar, sin la autorización de una persona, las notas de psicoterapia, para su propia capacitación y para defenderse en procedimientos legales iniciados por la persona, para que el HHS investigue o determine el cumplimiento de las Reglas de privacidad por parte de la entidad cubierta, para evitar una amenaza grave e inminente para la salud o la seguridad pública, a una agencia de supervisión de la salud para la supervisión legal del autor de las notas de psicoterapia, para las actividades legales de un médico forense o examinador médico o según lo exija la ley. 05.16.2023 42
12 propósitos de prioridad nacional 1.Requerido por la ley. 2. Actividades de Salud Publica: • Abuso o negligencia contra niños o envejecientes • Entidades sujetas a regulaciones del FDA • Individuos que pueden haber contraído o estar expuestos a una enfermedad transmisible • Informe de vacunas. 3. Victimas de abuso, negligencia o violencia domestica. 4. Actividades de vigilancia en salud ( oversight) 5. Procedimientos Administrativos y Judiciales • Orden de corte, subpoena o proceso legal 6. Cumplimiento de ley (Law enforcement)- Requerido por ley, identificar sospechosos, fugitivos, ser testigos o una persona perdida, victima o sospecha de crimen 05.16.2023 43
12 propósitos de prioridad nacional 7) Descendientes – Divulgar a directores de funeraria, médicos forenses o examinadores para identificar una persona que ha fallecido, causa de muerte y realizar otras funciones autorizadas por ley. 8) Donación de tejidos, ojos y órganos cadavéricos: Para facilitar la donación o trasplante. 9) Investigación: Para desarrollar o contribuir al conocimiento generalizado. 10) Amenaza seria a la seguridad o salud: Prevenir o reducir una amenaza inminente a una persona o publico. Puede divulgar ha oficiales del orden publico. 11) Funciones gubernamentales esenciales: La ejecución de una misión militar y, conducir actividades de seguridad nacional e inteligencia autorizadas por ley, protección al presidente, entre otros. 12) Worker’s compensation: Utilizar y divulgar PHI para cumplir con leyes y otros programas similares que proveen beneficios al empleado que esta relacionado con la enfermedad o trauma. 05.16.2023 44
Asociado de negocio Persona que a nombre de la Entidad Cubierta •Crea, recibe, mantiene, transmite PHI para una función o actividad regulada. No es un miembro de la fuerza trabajadora de una entidad cubierta. •Puede ser un individuo el cual posee un acuerdo con la entidad cubierta , crea, recibe, mantiene o transmite PHI. •Un subcontratista que crea, recibe, mantiene o transmite PHI de parte de un asociado de negocio. Cuando realiza servicios para entidad cubierta •Envuelve la divulgación de PHI y no es parte de la fuerza trabajadora (empleados) de la facilidad •Facilidad que mantiene información de salud protegida a nombre de una entidad cubierta es un asociado de negocio. Deberás mantener un inventario o registro de Business Associate Agreement (BAA) contratos actualizados . ▪ Contrato por escrito. • Asegura el compromiso de proteger el PHI creado, recibido, mantenido o transmitido. • Define el Plan de Respuesta en caso de incumplimiento brecha de privacidad. • Retención del BAA: 6 años 05.16.2023 46
10 Aspectos mínimos a ser incluidos en BAA (Business Associate Agreement) • 1. Establece el uso y divulgación de PHI permitido . • 2. Asociado de Negocio no podrá autorizar uso o divulgación de PHI que viole la ley. • 3. Asociado de Negocio implementará salvaguardas necesarias • 4. Asociado de Negocio reportará a la entidad cubierta cualquier uso o divulgación no estipulado en el contrato. • 5. Asegurar que el subcontratista del Asociado de Negocio cumpla con las mismas restricciones. • 6. Asociado de Negocio debe satisfacer el derecho al acceso, ha enmendar y a la contabilidad de la divulgación. • 7. Asociado de Negocio cumplirá con los requerimientos de la entidad cubierta relacionados con requisitos organizacionales del uso y divulgación de PHI. • 8. Asociado de Negocio tendrá disponible libros, manuales, registros, expedientes relacionados al uso y divulgación de PHI • 9. Al terminar el contrato se devolverá/destruirá PHI creado, recibido por el Asociado de Negocio . • 10. Autoriza al entidad cubierta a la terminación inmediata del contrato. 05.16.2023 47
• HIPAA Data 05.16.2023 56
Outcome of Complaint Investigations 05.16.2023 57
Outcome of Breach Compliance Review Investigations 05.16.2023 58
05.16.2023 61 HIPAA Data
EJEMPLOS DE LO QUE SI DEBO HACER O NO DEBO HACER PARA CUMPLIR 05.16.2023 62
EJEMPLOS DE LO QUE SI DEBO HACER O NO DEBO HACER PARA CUMPLIR ▪ Eduque a todo el personal sobre políticas de privacidad y seguridad ▪ Nunca llamar a una persona por condición o por procedimiento medico. ▪ Modular tono de voz cuando entreviste a paciente y/o familiar en lugar privado. ▪ No utilizar un alta voz del teléfono si esta hablando o entrevistando a una persona. ▪ No dejar desatendida una computadora que está abierta. ▪ La información que se discute o lo que se ve en el área de trabajo es confidencial y privilegiada. ▪ Requiera a todo el personal el compromiso por escrito de mantener la privacidad y la seguridad de PHI (preferiblemente anualmente firmar el acuerdo de confidencialidad) ▪ Establecer políticas y procedimientos y compartirlas con el personal. ▪ Guardar o asegurar expedientes o documentos , permitiendo el acceso solamente aquellos individuos que necesitan la información para propósitos autorizados. ▪ Nunca compartir códigos de accesos con compañeros, ni el password de la computadora. ▪ Apagar la computadora cuando se encuentre fuera del área de trabajo. ▪ Alejar el monitor de la computadora fuera de la vista del publico o utilizar una pantalla de privacidad para asegurar que la información no esta accesible accidentalmente. ▪ Triture o descarte de forma correcta todo papel que posea información protegida de salud. 05.16.2023 63
Cont…EJEMPLOS DE LO QUE SI DEBO HACER O NO DEBO HACER PARA CUMPLIR ▪ Nunca sacamos información en computadoras, registros o USB sin los debidos controles y permisos. ▪ Nunca compartimos aunque conozcamos el/ la paciente o persona su información clínica. ▪ Nunca debemos dejar documentos, resultados de pruebas, ni cualquier otra información sensitiva desatendida en ningún momento. ▪ Evite discusiones o conversaciones en elevadores, cafeterías, lugares públicos dentro y fuera de la organización. ▪ Regrese cualquier papel con información de pacientes a su lugar apropiado o propiamente destruya cuando finalice su uso. ▪ Este consciente sobre las regulaciones de HIPAA cuando va acompañado de sus hijos u otras visitantes/ personas al área de trabajo . Los visitantes no deben tener acceso a ver PHI. ▪ Entre otros 05.16.2023 64
HIPAA: Penalidades 65 05.16.2023
HIPAA: Penalidades 05.16.2023 66 Razón Penalidad Se repite la violación en el mismo año “No Sabía” $100.00 - $50,000 $1.5 millones Causa Razonable $1,000 - $50,000 $1.5 millones Negligencia intencional (Corregida) $10,000 - $50,000 $1.5 millones Negligencia intencional (No corregida) $50,000 $1.5 millones
67 05.16.2023 Proceso de Notificación Violación de Privacidad
Notificación Violación de Privacidad ▪ HIPAA Breach Notification Rule, 45 CFR §§ 164.400-414, requiere que las entidades cubiertas por HIPAA y sus socios de negocio proporcionen una notificación después de una brecha de la información de salud protegida. ▪ Disposiciones similares de notificación de infracciones aplicadas y ejecutadas por el Federal Trade Commission (FTC), aplican a los proveedores de expediente medicos de salud personales y sus proveedores de servicios externos, de conformidad con la sección 13407 of the HITECH Act. ▪ Una brecha es, generalmente, un uso o divulgación inadmisible bajo la Regla de Privacidad que compromete la seguridad o privacidad de la información de salud protegida. ▪ Se presume que un uso o divulgación inadmisible de información de salud protegida es una brecha a menos que la entidad cubierta o el socio de negocios, según corresponda, demuestre que existe una baja probabilidad de que la información de salud protegida se haya visto comprometida sobre la base de una evaluación de riesgos de al menos los siguientes factores: 05.16.2023 68
Definición de Brecha La naturaleza y el alcance de la información protegida involucrada, incluidos los tipos de identificadores y la probabilidad de reidentificación La persona no autorizada que utilizó la información protegida o a quien se hizo la divulgación Si la información protegida fue realmente adquirida o vista La medida en que se ha mitigado el riesgo para la información protegida 05.16.2023 69
Notificación Violación de Privacidad La regla considerara por lo menos los siguientes cuatro factores: ▪ La naturaleza y extensión del PHI que estuvo expuesto. ▪ Persona no autorizada que pudo utilizar PHI o a quienes el PHI estuvo expuesto. ▪ Donde el PHI fue vista o se tuvo acceso. ▪ Extensión del riesgo del PHI ha sido mitigado. • Aviso individual: • Estas notificaciones individuales deben proporcionarse sin demora irrazonable y en ningún caso más tarde de 60 días después del descubrimiento de una violación y deben incluir, en la medida de lo posible, una breve descripción de la violación, una descripción de los tipos de información que estuvieron involucrados en la violación, las medidas que las personas afectadas deben tomar para protegerse de un daño potencial, una breve descripción de lo que la entidad cubierta está haciendo para investigar la infracción, mitigar el daño y prevenir nuevas infracciones, así como información de contacto de la entidad cubierta (o socio comercial, según corresponda). 05.16.2023 70
HIPAA Breach Notification – Requisitos • Aviso a los medios: • Las entidades cubiertas que experimentan una brecha que afecta a más de 500 residentes de un Estado o jurisdicción están, además de notificar a las personas afectadas, obligadas a notificar a los medios de comunicación prominentes que sirven al Estado o jurisdicción. • Es probable que las entidades cubiertas proporcionen esta notificación en forma de comunicado de prensa a los medios de comunicación apropiados que presten servicios en el área afectada. Al igual que el aviso individual, esta notificación a los medios debe proporcionarse sin demora irrazonable y, en ningún caso, más tarde de 60 días después del descubrimiento de una violación y debe incluir la misma información requerida para el aviso individual. • Después de una brecha de la información protegida de salud, las entidades cubiertas deben notificar la violación a las personas afectadas, al Secretario y, en ciertas circunstancias, a los medios de comunicación. • Aviso individual: • Las entidades cubiertas deben notificar a las personas afectadas después del descubrimiento de una brecha de la información de salud protegida no segura. Las entidades cubiertas deben proporcionar este aviso individual en forma escrita por correo de primera clase, o alternativamente, por correo electrónico si el individuo afectado ha aceptado recibir dichos avisos electrónicamente. • Si la entidad cubierta tiene información de contacto insuficiente o desactualizada para 10 o más personas, la entidad cubierta debe proporcionar un aviso individual sustituto publicando el aviso en la página de inicio de su sitio web durante al menos 90 días o proporcionando el aviso en los principales medios impresos o de radiodifusión donde probablemente residan las personas afectadas. 05.16.2023 71
HIPAA Breach Notification – Requisitos • Después de una brecha de la información protegida de salud, las entidades cubiertas deben notificar la violación a las personas afectadas, al Secretario y, en ciertas circunstancias, a los medios de comunicación. Notificación por parte de un socio de negocios: • Si se produce una brecha de la información en o por un socio de negocio, debe notificar a la entidad cubierta sin demora irrazonable y a más tardar 60 días después del descubrimiento. • El socio debe proporcionar a la entidad cubierta la identificación de cada persona afectada por la brecha, así como cualquier otra información disponible que deba facilitar la entidad cubierta en su notificación a las personas afectadas. • Aviso al Secretario: • Además de notificar a las personas afectadas y a los medios de comunicación (cuando corresponda), las entidades cubiertas deben notificar al Secretary of breaches of unsecured protected health information • Las entidades cubiertas notificarán al Secretario visitando el sitio web del HHS y completando y enviando electrónicamente un formulario de informe de incumplimiento. Si una brecha afecta a 500 o más personas, las entidades cubiertas deben notificar al Secretario sin demora irrazonable y en ningún caso más tarde de 60 días después de una brecha. Sin embargo, si una brecha afecta a menos de 500 personas, la entidad cubierta puede notificar al Secretario de dichas infracciones anualmente. 05.16.2023 72
HIPAA and Telemedicine 05.16.2023 91
05.16.2023 92
HIPAA and Telemedicine • Cada consulta a través de Telemedicina debe tomar en cuenta la privacidad, confidencialidad y continuidad del cuidado de salud. • Salvaguarde la confidencialidad y privacidad del paciente conforme a las disposiciones de HIPAA y cualquier otra ley o reglamento federal pertinente. • Establezca medidas de seguridad para la protección de la información protegida de salud del paciente. • Seguridad - El ambiente físico, tanto de usted como del paciente, debe proveer privacidad, buena recepción de la señal y control de ruido. Informe y documente qué otras personas estarán en la transmisión o llamada, por parte del médico y del paciente. • El paciente debe consentir y el consentimiento debe ser documentado. • Tenga cuidado con utilizar plataformas que graben videos instantáneos. Recuerde que en caso de que sea necesario grabar este encuentro, debe obtener antes el consentimiento del paciente. 05.16.2023 93
HIPAA and Telemedicine 05.16.2023 94 ▪ La Oficina de Derechos Civiles (OCR, por sus siglas en inglés) del Departamento de Salud y Servicios Humanos de EE. UU. anuncia que las Notificaciones de Discreción de Cumplimiento emitidas en virtud de la Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996 (HIPAA, por sus siglas en inglés) y la Tecnología de Información de Salud para la Salud Clínica y Económica ( HITECH) durante la emergencia de salud pública de COVID-19 vencerá a las 11:59 p. m. del 11 de mayo de 2023, debido a la expiración de la emergencia de salud pública de COVID-19. ▪ “OCR ejerció la discreción de cumplimiento de HIPAA durante la emergencia de salud pública de COVID-19 para apoyar al sector de cuidado medico y al público en la respuesta a esta pandemia”, dijo Melanie Fontes Rainer, directora de OCR. “OCR continúa apoyando el uso de telesalud después de la emergencia de salud pública al proporcionar un período de transición para que los proveedores de cuidado medico realicen los cambios necesarios en sus operaciones para brindar telesalud de manera privada y segura de conformidad con las reglas de HIPAA. ” ▪ En 2020 y 2021, la OCR publicó cuatro Notificaciones de discrecionalidad en el cumplimiento en el Registro federal sobre cómo se aplicarían las Reglas de privacidad, seguridad, notificación de incumplimiento y cumplimiento ("Reglas HIPAA") a ciertas infracciones durante la emergencia de salud pública nacional por el COVID-19. .
HIPAA Privacy Rule Checklist • Paso 1. Designe un Oficial de privacidad de HIPAA responsable del desarrollo, implementación y cumplimiento de las políticas que cumplen con HIPAA. • Paso 2. Comprender qué es PHI, cómo se puede usar y divulgar de conformidad con HIPAA y cuándo se requiere la autorización de una persona. • Paso 3. Identificar los riesgos de privacidad de PHI e implementar salvaguardas para minimizar los riesgos a un nivel "razonable y apropiado". • Paso 4. Desarrollar políticas y procedimientos para usar y divulgar PHI de conformidad con HIPAA y para prevenir violaciones de HIPAA. • Paso 5. Desarrollar políticas y procedimientos para obtener autorizaciones y para dar a las personas la oportunidad de estar de acuerdo u objetar cuando sea necesario. • Paso 6. Desarrollar y distribuir un Aviso de prácticas de privacidad que explique cómo la organización usa y divulga la PHI y describe los derechos de las personas. • Paso 7. Desarrollar políticas y procedimientos para administrar las solicitudes de acceso de los pacientes (a su PHI), las solicitudes de enmiendas y las solicitudes de transferencia de datos. • Paso 8. Desarrollar procedimientos para que los miembros de la fuerza laboral reporten violaciones de HIPAA y para que la organización cumpla con sus requisitos de notificación de violacion. • Paso 9. Capacitar a los miembros de la fuerza laboral sobre las políticas y procedimientos relevantes de sus roles y sobre el cumplimiento general de HIPAA. • Paso 10. Desarrollar y distribuir una política de sanciones que describa las sanciones por incumplimiento de las políticas HIPAA de la organización. • Paso 11. Realice la diligencia debida sobre los Socios de negocio, revise los Acuerdos de asociado de negocio existentes y modifique según sea necesario. • Paso 12. Desarrollar y documentar un plan de contingencia para responder a una emergencia que cause algún daño a los sistemas o la ubicación física en la que se mantiene la PHI. 05.16.2023 95
HIPAA Security Rule Checklist • Paso 1. Designe un oficial de seguridad de HIPAA. El rol se puede asignar al Oficial de privacidad de HIPAA; pero en organizaciones más grandes, es mejor designar el rol a un miembro del equipo de TI. • Paso 2. Determine qué sistemas crean, reciben, mantienen o transmiten ePHI y protéjalos del acceso no autorizado desde otras partes de la infraestructura de IT de la organización. • Paso 3. Implemente medidas que mitiguen las amenazas de malware, ransomware y phishing. Por ejemplo, filtros avanzados de correo electrónico e Internet con capacidades de detección de URL maliciosas. • Paso 4. Establezca qué miembros de la fuerza laboral deben tener acceso a ePHI e implemente controles de acceso basados ​​en roles para evitar que los usuarios accedan a más ePHI de lo que se supone que deben. • Paso 5. Implementar un sistema para verificar la identidad de los miembros del personal para cumplir con los requisitos de acceso físico, seguridad de la estación de trabajo y registro de eventos de la regla de seguridad. • Paso 6. Realice un inventario de los dispositivos utilizados para acceder a ePHI y los medios en los que se almacena. Asegúrese de que exista un sistema para registrar cualquier movimiento de dispositivos y medios. • Paso 7. Asegúrese de que todos los dispositivos utilizados para acceder a ePHI, incluidos los dispositivos remotos y personales, estén bloqueados con PIN y tengan activadas las capacidades de cierre de sesión automático para evitar el acceso no autorizado. • Paso 8. Implemente procesos para que los miembros autorizados de la fuerza laboral informen incidentes de seguridad o eleven las inquietudes de seguridad al oficial de seguridad o al centro de operaciones de seguridad. • Paso 9. Implementar un programa de capacitación de concientización sobre seguridad para todos los miembros de la fuerza laboral que incorpore cómo escalar las preocupaciones de seguridad y los procedimientos de informe de incidentes. • Paso 10. Desarrolle una política de sanciones que explique las sanciones por violar las políticas de seguridad de la organización y distribúyala entre todos los miembros de la fuerza laboral (incluso aquellos que no tienen acceso a ePHI). • Paso 11. Desarrolle un plan de contingencia para eventos previsibles que puedan amenazar la confidencialidad, integridad y disponibilidad de ePHI, y pruebe el plan contra cada tipo de evento. • Paso 12. Revise los Acuerdos de socios de negocio existentes relacionados con las divulgaciones de ePHI y reemplace cualquiera que no cumpla con los Requisitos organizacionales de la Regla de seguridad de HIPAA 05.16.2023 96
05.16.2023 97 Regla Propuesta – New
Conclusion 05.16.2023 98 Mantener la información protegida y segura Cumplir con las políticas y los procedimientos de su lugar de trabajo con relación a la Privacidad, Confidencialidad y Seguridad de la Información. No sacar fuera de la facilidad información que posea data con PHI de pacientes sin autorización Cumplir con cada una de las partes de la ley estatales como federales.
Referencias 1. https://www.hhs.gov/hipaa/for-individuals/guidance-materials-for-consumers/index.html 2. https://www.dell.com/support/article/en-pr/sln265920/cu%C3%A1les-son-los-distintos-tipos-de- virus-spyware-y-malware-que-pueden-infectar-mi-computadora?lang=es 3. https://www.hhs.gov/hipaa/for-professionals/index.html 4. https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/examples/by- issue/index.html#impermissible 5. https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/examples/index.html 6. https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/data/top-five-issues- investigated-cases-closed-corrective-action-calendar-year/index.html 7. HHS Office for Civil Rights Announces the Expiration of COVID-19 Public Health Emergency HIPAA Notifications of Enforcement Discretion https://www.hhs.gov/about/news/2023/04/11/hhs-office-for-civil-rights-announces-expiration-covid-19-public-health-emergency- hipaa-notifications-enforcement-discretion.html 05.16.2023 100

Recomendados

LEY HIPAA
LEY HIPAALEY HIPAA
LEY HIPAAGinnette Reyes
 
Hipaa para proveedores rev (final)
Hipaa para proveedores rev (final)Hipaa para proveedores rev (final)
Hipaa para proveedores rev (final)Gregorio Cortes-Maisonet, MD, CHCP
 
EMTALA Ley 35
EMTALA Ley 35EMTALA Ley 35
EMTALA Ley 35cdtvlsadiestramientos
 
Leyes de Estados Unidos y Puerto Rico
Leyes de Estados Unidos y Puerto Rico Leyes de Estados Unidos y Puerto Rico
Leyes de Estados Unidos y Puerto Rico Universidad
 
Codificacion medica cpt-icd-npi
Codificacion medica cpt-icd-npiCodificacion medica cpt-icd-npi
Codificacion medica cpt-icd-npiKarla Rivas
 
Facturadores medicos
Facturadores medicosFacturadores medicos
Facturadores medicosJuliris Navarro
 
Charla HIPAA
Charla HIPAACharla HIPAA
Charla HIPAAMila Carrasquillo
 
Cualidades y Habilidades
Cualidades y Habilidades Cualidades y Habilidades
Cualidades y Habilidades Ginnette Reyes
 

Recomendados

LEY HIPAA
LEY HIPAALEY HIPAA
LEY HIPAAGinnette Reyes
 
Hipaa para proveedores rev (final)
Hipaa para proveedores rev (final)Hipaa para proveedores rev (final)
Hipaa para proveedores rev (final)Gregorio Cortes-Maisonet, MD, CHCP
 
EMTALA Ley 35
EMTALA Ley 35EMTALA Ley 35
EMTALA Ley 35cdtvlsadiestramientos
 
Leyes de Estados Unidos y Puerto Rico
Leyes de Estados Unidos y Puerto Rico Leyes de Estados Unidos y Puerto Rico
Leyes de Estados Unidos y Puerto Rico Universidad
 
Codificacion medica cpt-icd-npi
Codificacion medica cpt-icd-npiCodificacion medica cpt-icd-npi
Codificacion medica cpt-icd-npiKarla Rivas
 
Facturadores medicos
Facturadores medicosFacturadores medicos
Facturadores medicosJuliris Navarro
 
Charla HIPAA
Charla HIPAACharla HIPAA
Charla HIPAAMila Carrasquillo
 
Cualidades y Habilidades
Cualidades y Habilidades Cualidades y Habilidades
Cualidades y Habilidades Ginnette Reyes
 
Presentacion Records Medico Electronico
Presentacion Records Medico ElectronicoPresentacion Records Medico Electronico
Presentacion Records Medico Electronicolunny37
 
Taller de Facturación de Servicios de Salud 2016
Taller de Facturación de Servicios de Salud 2016Taller de Facturación de Servicios de Salud 2016
Taller de Facturación de Servicios de Salud 2016Milca V. Martínez Vázquez
 
Hipaa stage i
Hipaa stage iHipaa stage i
Hipaa stage iVirgen Quinones
 
Introduccion a la Facturación Electrónica
Introduccion a la Facturación ElectrónicaIntroduccion a la Facturación Electrónica
Introduccion a la Facturación ElectrónicaMilca V. Martínez Vázquez
 
Récord médico electrónico
Récord médico electrónicoRécord médico electrónico
Récord médico electrónicoUniversidad
 
Taller Facturación de Servicios Dentales
Taller Facturación de Servicios DentalesTaller Facturación de Servicios Dentales
Taller Facturación de Servicios DentalesMilca V. Martínez Vázquez
 
Ley 254 con correcciones y recomendaciones
Ley 254 con correcciones y recomendacionesLey 254 con correcciones y recomendaciones
Ley 254 con correcciones y recomendacionesJavier Rodriguez
 
Admisión Al Usuario
Admisión Al Usuario Admisión Al Usuario
Admisión Al Usuario Katherine Diaz
 
Taller Tarjetas de Identificacion de Planes Medicos 2023
Taller Tarjetas de Identificacion de Planes Medicos 2023Taller Tarjetas de Identificacion de Planes Medicos 2023
Taller Tarjetas de Identificacion de Planes Medicos 2023Milca V. Martínez Vázquez
 
LEY DE PAGO PUNTUAL
LEY DE PAGO PUNTUALLEY DE PAGO PUNTUAL
LEY DE PAGO PUNTUALGinnette Reyes
 
Auditoría Médica
Auditoría MédicaAuditoría Médica
Auditoría MédicaGinnette Reyes
 
facturacion medica
facturacion medicafacturacion medica
facturacion medicaKarla Rivas
 
Ley hipaa
Ley hipaaLey hipaa
Ley hipaaRosa1956
 
TIPOS DE FACTURAS, PROCEDIMIENTOS Y RESPONSABILIDADES DE UN AUDITOR MÉDICO
TIPOS DE FACTURAS, PROCEDIMIENTOS Y RESPONSABILIDADES DE UN AUDITOR MÉDICOTIPOS DE FACTURAS, PROCEDIMIENTOS Y RESPONSABILIDADES DE UN AUDITOR MÉDICO
TIPOS DE FACTURAS, PROCEDIMIENTOS Y RESPONSABILIDADES DE UN AUDITOR MÉDICOGinnette Reyes
 
Ley 100-de-1993
Ley 100-de-1993Ley 100-de-1993
Ley 100-de-1993Julian Avila
 
Medical Billing RCM Module
Medical Billing RCM Module Medical Billing RCM Module
Medical Billing RCM Module Guru Ragavendran
 
Auditoria Reconciliacion Reclamaciones y Apelaciones 2017
Auditoria Reconciliacion Reclamaciones y Apelaciones 2017Auditoria Reconciliacion Reclamaciones y Apelaciones 2017
Auditoria Reconciliacion Reclamaciones y Apelaciones 2017Milca V. Martínez Vázquez
 
HIPPA Compliance
HIPPA ComplianceHIPPA Compliance
HIPPA Compliancedixibee
 
Forma cms 1500-pasos para completar una factura
Forma cms 1500-pasos para completar una facturaForma cms 1500-pasos para completar una factura
Forma cms 1500-pasos para completar una facturaNancy Ramos
 
Taller desde la Terminología Médica hasta la Codificación Médica 2015
Taller desde la Terminología Médica hasta la Codificación Médica 2015Taller desde la Terminología Médica hasta la Codificación Médica 2015
Taller desde la Terminología Médica hasta la Codificación Médica 2015Milca V. Martínez Vázquez
 
HIPAA
HIPAAHIPAA
HIPAAcdtvlsadiestramientos
 
Ley hipaa 3
Ley hipaa 3Ley hipaa 3
Ley hipaa 3Rosa1956
 

Más contenido relacionado

La actualidad más candente

Presentacion Records Medico Electronico
Presentacion Records Medico ElectronicoPresentacion Records Medico Electronico
Presentacion Records Medico Electronicolunny37
 
Récord médico electrónico
Récord médico electrónicoRécord médico electrónico
Récord médico electrónicoUniversidad
 
Ley 254 con correcciones y recomendaciones
Ley 254 con correcciones y recomendacionesLey 254 con correcciones y recomendaciones
Ley 254 con correcciones y recomendacionesJavier Rodriguez
 
Taller Tarjetas de Identificacion de Planes Medicos 2023
Taller Tarjetas de Identificacion de Planes Medicos 2023Taller Tarjetas de Identificacion de Planes Medicos 2023
Taller Tarjetas de Identificacion de Planes Medicos 2023Milca V. Martínez Vázquez
 
facturacion medica
facturacion medicafacturacion medica
facturacion medicaKarla Rivas
 
TIPOS DE FACTURAS, PROCEDIMIENTOS Y RESPONSABILIDADES DE UN AUDITOR MÉDICO
TIPOS DE FACTURAS, PROCEDIMIENTOS Y RESPONSABILIDADES DE UN AUDITOR MÉDICOTIPOS DE FACTURAS, PROCEDIMIENTOS Y RESPONSABILIDADES DE UN AUDITOR MÉDICO
TIPOS DE FACTURAS, PROCEDIMIENTOS Y RESPONSABILIDADES DE UN AUDITOR MÉDICOGinnette Reyes
 
Medical Billing RCM Module
Medical Billing RCM Module Medical Billing RCM Module
Medical Billing RCM Module Guru Ragavendran
 
Auditoria Reconciliacion Reclamaciones y Apelaciones 2017
Auditoria Reconciliacion Reclamaciones y Apelaciones 2017Auditoria Reconciliacion Reclamaciones y Apelaciones 2017
Auditoria Reconciliacion Reclamaciones y Apelaciones 2017Milca V. Martínez Vázquez
 
HIPPA Compliance
HIPPA ComplianceHIPPA Compliance
HIPPA Compliancedixibee
 
Forma cms 1500-pasos para completar una factura
Forma cms 1500-pasos para completar una facturaForma cms 1500-pasos para completar una factura
Forma cms 1500-pasos para completar una facturaNancy Ramos
 
Taller desde la Terminología Médica hasta la Codificación Médica 2015
Taller desde la Terminología Médica hasta la Codificación Médica 2015Taller desde la Terminología Médica hasta la Codificación Médica 2015
Taller desde la Terminología Médica hasta la Codificación Médica 2015Milca V. Martínez Vázquez
 

La actualidad más candente (20)

Presentacion Records Medico Electronico
Presentacion Records Medico ElectronicoPresentacion Records Medico Electronico
Presentacion Records Medico Electronico
 
Taller de Facturación de Servicios de Salud 2016
Taller de Facturación de Servicios de Salud 2016Taller de Facturación de Servicios de Salud 2016
Taller de Facturación de Servicios de Salud 2016
 
Hipaa stage i
Hipaa stage iHipaa stage i
Hipaa stage i
 
Introduccion a la Facturación Electrónica
Introduccion a la Facturación ElectrónicaIntroduccion a la Facturación Electrónica
Introduccion a la Facturación Electrónica
 
Récord médico electrónico
Récord médico electrónicoRécord médico electrónico
Récord médico electrónico
 
Taller Facturación de Servicios Dentales
Taller Facturación de Servicios DentalesTaller Facturación de Servicios Dentales
Taller Facturación de Servicios Dentales
 
Ley 254 con correcciones y recomendaciones
Ley 254 con correcciones y recomendacionesLey 254 con correcciones y recomendaciones
Ley 254 con correcciones y recomendaciones
 
Admisión Al Usuario
Admisión Al Usuario Admisión Al Usuario
Admisión Al Usuario
 
Taller Tarjetas de Identificacion de Planes Medicos 2023
Taller Tarjetas de Identificacion de Planes Medicos 2023Taller Tarjetas de Identificacion de Planes Medicos 2023
Taller Tarjetas de Identificacion de Planes Medicos 2023
 
LEY DE PAGO PUNTUAL
LEY DE PAGO PUNTUALLEY DE PAGO PUNTUAL
LEY DE PAGO PUNTUAL
 
Auditoría Médica
Auditoría MédicaAuditoría Médica
Auditoría Médica
 
facturacion medica
facturacion medicafacturacion medica
facturacion medica
 
Ley hipaa
Ley hipaaLey hipaa
Ley hipaa
 
TIPOS DE FACTURAS, PROCEDIMIENTOS Y RESPONSABILIDADES DE UN AUDITOR MÉDICO
TIPOS DE FACTURAS, PROCEDIMIENTOS Y RESPONSABILIDADES DE UN AUDITOR MÉDICOTIPOS DE FACTURAS, PROCEDIMIENTOS Y RESPONSABILIDADES DE UN AUDITOR MÉDICO
TIPOS DE FACTURAS, PROCEDIMIENTOS Y RESPONSABILIDADES DE UN AUDITOR MÉDICO
 
Ley 100-de-1993
Ley 100-de-1993Ley 100-de-1993
Ley 100-de-1993
 
Medical Billing RCM Module
Medical Billing RCM Module Medical Billing RCM Module
Medical Billing RCM Module
 
Auditoria Reconciliacion Reclamaciones y Apelaciones 2017
Auditoria Reconciliacion Reclamaciones y Apelaciones 2017Auditoria Reconciliacion Reclamaciones y Apelaciones 2017
Auditoria Reconciliacion Reclamaciones y Apelaciones 2017
 
HIPPA Compliance
HIPPA ComplianceHIPPA Compliance
HIPPA Compliance
 
Forma cms 1500-pasos para completar una factura
Forma cms 1500-pasos para completar una facturaForma cms 1500-pasos para completar una factura
Forma cms 1500-pasos para completar una factura
 
Taller desde la Terminología Médica hasta la Codificación Médica 2015
Taller desde la Terminología Médica hasta la Codificación Médica 2015Taller desde la Terminología Médica hasta la Codificación Médica 2015
Taller desde la Terminología Médica hasta la Codificación Médica 2015
 

Similar a HIPAA 2023 05.15.2023 (1).pdf

Ley hipaa 3
Ley hipaa 3Ley hipaa 3
Ley hipaa 3Rosa1956
 
LEYES RELACIONADAS CON LA SALUD
LEYES RELACIONADAS CON LA SALUDLEYES RELACIONADAS CON LA SALUD
LEYES RELACIONADAS CON LA SALUDGinnette Reyes
 
REVISTA CISALUD seguridad en la salud
REVISTA CISALUD seguridad en la saludREVISTA CISALUD seguridad en la salud
REVISTA CISALUD seguridad en la saludFabián Descalzo
 
Confidencialidad un derecho_en_la_atencion_de_salud
Confidencialidad un derecho_en_la_atencion_de_saludConfidencialidad un derecho_en_la_atencion_de_salud
Confidencialidad un derecho_en_la_atencion_de_saludJaime Zapata Salazar
 
Privacidad y datos personales
Privacidad y datos personalesPrivacidad y datos personales
Privacidad y datos personalesALLNIGHTLONG
 
Segmentación de Datos, seguridad en la privacidad del paciente
Segmentación de Datos, seguridad en la privacidad del pacienteSegmentación de Datos, seguridad en la privacidad del paciente
Segmentación de Datos, seguridad en la privacidad del pacienteFabián Descalzo
 
Global-Privacy-Notice-Latin-American-Spanish.pdf
Global-Privacy-Notice-Latin-American-Spanish.pdfGlobal-Privacy-Notice-Latin-American-Spanish.pdf
Global-Privacy-Notice-Latin-American-Spanish.pdfpanyashish16
 
Records Medicos Electronicos
Records Medicos ElectronicosRecords Medicos Electronicos
Records Medicos ElectronicosVicky Taxi
 
Marco legal vigente del manejo de la información de los pacientes y las ti
Marco legal vigente del manejo de la información de los pacientes y las tiMarco legal vigente del manejo de la información de los pacientes y las ti
Marco legal vigente del manejo de la información de los pacientes y las tiOscar Díaz
 
Jornada LOPD Islas Baleares
Jornada LOPD Islas Baleares Jornada LOPD Islas Baleares
Jornada LOPD Islas Baleares psnsercon
 
Los derechos de privacidad y de información
Los derechos de privacidad y de informaciónLos derechos de privacidad y de información
Los derechos de privacidad y de informaciónAndresamv2015
 
Manual procedimiento politica_y_tratamiento_de_la_informacion
Manual procedimiento politica_y_tratamiento_de_la_informacionManual procedimiento politica_y_tratamiento_de_la_informacion
Manual procedimiento politica_y_tratamiento_de_la_informacionKeinerDuvanMirandaPi
 
HabbeasData_DESCARGAR.pptx
HabbeasData_DESCARGAR.pptxHabbeasData_DESCARGAR.pptx
HabbeasData_DESCARGAR.pptxssuserd375f5
 
HabbeasData_DESCARGAR.pptx
HabbeasData_DESCARGAR.pptxHabbeasData_DESCARGAR.pptx
HabbeasData_DESCARGAR.pptxssuserd375f5
 
Los datos personales y su protección
Los datos personales y su protecciónLos datos personales y su protección
Los datos personales y su protecciónMarcos Berttoni
 
Ensayo "¿Está protegida tu información personal en Internet?"
Ensayo "¿Está protegida tu información personal en Internet?"Ensayo "¿Está protegida tu información personal en Internet?"
Ensayo "¿Está protegida tu información personal en Internet?"Jess Maf
 
Accion de habeas data const
Accion de habeas data constAccion de habeas data const
Accion de habeas data constXYZDIANAMIRAN
 

Similar a HIPAA 2023 05.15.2023 (1).pdf (20)

HIPAA
HIPAAHIPAA
HIPAA
 
Ley hipaa 3
Ley hipaa 3Ley hipaa 3
Ley hipaa 3
 
Hipaa Stage II
Hipaa Stage IIHipaa Stage II
Hipaa Stage II
 
LEYES RELACIONADAS CON LA SALUD
LEYES RELACIONADAS CON LA SALUDLEYES RELACIONADAS CON LA SALUD
LEYES RELACIONADAS CON LA SALUD
 
REVISTA CISALUD seguridad en la salud
REVISTA CISALUD seguridad en la saludREVISTA CISALUD seguridad en la salud
REVISTA CISALUD seguridad en la salud
 
Confidencialidad un derecho_en_la_atencion_de_salud
Confidencialidad un derecho_en_la_atencion_de_saludConfidencialidad un derecho_en_la_atencion_de_salud
Confidencialidad un derecho_en_la_atencion_de_salud
 
Privacidad y datos personales
Privacidad y datos personalesPrivacidad y datos personales
Privacidad y datos personales
 
Segmentación de Datos, seguridad en la privacidad del paciente
Segmentación de Datos, seguridad en la privacidad del pacienteSegmentación de Datos, seguridad en la privacidad del paciente
Segmentación de Datos, seguridad en la privacidad del paciente
 
Global-Privacy-Notice-Latin-American-Spanish.pdf
Global-Privacy-Notice-Latin-American-Spanish.pdfGlobal-Privacy-Notice-Latin-American-Spanish.pdf
Global-Privacy-Notice-Latin-American-Spanish.pdf
 
Records Medicos Electronicos
Records Medicos ElectronicosRecords Medicos Electronicos
Records Medicos Electronicos
 
Slides seguridad en salud
Slides seguridad en saludSlides seguridad en salud
Slides seguridad en salud
 
Marco legal vigente del manejo de la información de los pacientes y las ti
Marco legal vigente del manejo de la información de los pacientes y las tiMarco legal vigente del manejo de la información de los pacientes y las ti
Marco legal vigente del manejo de la información de los pacientes y las ti
 
Jornada LOPD Islas Baleares
Jornada LOPD Islas Baleares Jornada LOPD Islas Baleares
Jornada LOPD Islas Baleares
 
Los derechos de privacidad y de información
Los derechos de privacidad y de informaciónLos derechos de privacidad y de información
Los derechos de privacidad y de información
 
Manual procedimiento politica_y_tratamiento_de_la_informacion
Manual procedimiento politica_y_tratamiento_de_la_informacionManual procedimiento politica_y_tratamiento_de_la_informacion
Manual procedimiento politica_y_tratamiento_de_la_informacion
 
HabbeasData_DESCARGAR.pptx
HabbeasData_DESCARGAR.pptxHabbeasData_DESCARGAR.pptx
HabbeasData_DESCARGAR.pptx
 
HabbeasData_DESCARGAR.pptx
HabbeasData_DESCARGAR.pptxHabbeasData_DESCARGAR.pptx
HabbeasData_DESCARGAR.pptx
 
Los datos personales y su protección
Los datos personales y su protecciónLos datos personales y su protección
Los datos personales y su protección
 
Ensayo "¿Está protegida tu información personal en Internet?"
Ensayo "¿Está protegida tu información personal en Internet?"Ensayo "¿Está protegida tu información personal en Internet?"
Ensayo "¿Está protegida tu información personal en Internet?"
 
Accion de habeas data const
Accion de habeas data constAccion de habeas data const
Accion de habeas data const
 

Más de cdtvlsadiestramientos

Violencia Doméstica en el Lugar de Trabajo.pptx
Violencia Doméstica en el Lugar de Trabajo.pptxViolencia Doméstica en el Lugar de Trabajo.pptx
Violencia Doméstica en el Lugar de Trabajo.pptxcdtvlsadiestramientos
 
Prevencion de Maltrato de Menores en PR
Prevencion de Maltrato de Menores en PRPrevencion de Maltrato de Menores en PR
Prevencion de Maltrato de Menores en PRcdtvlsadiestramientos
 
Prevencion de Fraude,abuso y desperdicio
Prevencion de Fraude,abuso y desperdicio Prevencion de Fraude,abuso y desperdicio
Prevencion de Fraude,abuso y desperdicio cdtvlsadiestramientos
 
Discrimen por orientacion sexual o identidad de genero
Discrimen por orientacion sexual o identidad de generoDiscrimen por orientacion sexual o identidad de genero
Discrimen por orientacion sexual o identidad de generocdtvlsadiestramientos
 
Ambiente de Trabajo Libre de Drogas y Alcohol
Ambiente de Trabajo Libre de Drogas y AlcoholAmbiente de Trabajo Libre de Drogas y Alcohol
Ambiente de Trabajo Libre de Drogas y Alcoholcdtvlsadiestramientos
 

Más de cdtvlsadiestramientos (11)

Violencia Doméstica en el Lugar de Trabajo.pptx
Violencia Doméstica en el Lugar de Trabajo.pptxViolencia Doméstica en el Lugar de Trabajo.pptx
Violencia Doméstica en el Lugar de Trabajo.pptx
 
Política de Acoso Laboral
Política de Acoso LaboralPolítica de Acoso Laboral
Política de Acoso Laboral
 
Prevencion de Maltrato de Menores en PR
Prevencion de Maltrato de Menores en PRPrevencion de Maltrato de Menores en PR
Prevencion de Maltrato de Menores en PR
 
Hostigamiento sexual en el empleo
Hostigamiento sexual en el empleoHostigamiento sexual en el empleo
Hostigamiento sexual en el empleo
 
Prevencion de Fraude,abuso y desperdicio
Prevencion de Fraude,abuso y desperdicio Prevencion de Fraude,abuso y desperdicio
Prevencion de Fraude,abuso y desperdicio
 
Discrimen por orientacion sexual o identidad de genero
Discrimen por orientacion sexual o identidad de generoDiscrimen por orientacion sexual o identidad de genero
Discrimen por orientacion sexual o identidad de genero
 
Cumplimiento Corporativo
Cumplimiento CorporativoCumplimiento Corporativo
Cumplimiento Corporativo
 
Codigo de Etica
Codigo de EticaCodigo de Etica
Codigo de Etica
 
Patógenos Transmitidos por Sangre
Patógenos Transmitidos por SangrePatógenos Transmitidos por Sangre
Patógenos Transmitidos por Sangre
 
Ambiente de Trabajo Libre de Drogas y Alcohol
Ambiente de Trabajo Libre de Drogas y AlcoholAmbiente de Trabajo Libre de Drogas y Alcohol
Ambiente de Trabajo Libre de Drogas y Alcohol
 
Salud y Seguridad Ocupacional OSHA
Salud y Seguridad Ocupacional OSHASalud y Seguridad Ocupacional OSHA
Salud y Seguridad Ocupacional OSHA
 

Último

SEGUNDA Y TERCERA SEMANA DEL DESARROLLO EMBRIONARIO.pptx
SEGUNDA Y TERCERA SEMANA DEL DESARROLLO EMBRIONARIO.pptxSEGUNDA Y TERCERA SEMANA DEL DESARROLLO EMBRIONARIO.pptx
SEGUNDA Y TERCERA SEMANA DEL DESARROLLO EMBRIONARIO.pptxArian753404
 
SISTEMA NERVIOSO ORGANIZADOR GRAFICO.pdf
SISTEMA NERVIOSO ORGANIZADOR GRAFICO.pdfSISTEMA NERVIOSO ORGANIZADOR GRAFICO.pdf
SISTEMA NERVIOSO ORGANIZADOR GRAFICO.pdfFabiTorrico
 
TANATOLOGIA de medicina legal y deontología
TANATOLOGIA de medicina legal y deontologíaTANATOLOGIA de medicina legal y deontología
TANATOLOGIA de medicina legal y deontologíaISAIDJOSUECOLQUELLUS1
 
OFICIAL TABIQUE DESVIADO presentacion de desviacion del tabique por sinusitis
OFICIAL TABIQUE DESVIADO presentacion de desviacion del tabique por sinusitisOFICIAL TABIQUE DESVIADO presentacion de desviacion del tabique por sinusitis
OFICIAL TABIQUE DESVIADO presentacion de desviacion del tabique por sinusitisYeseniaChura1
 
Radiologia_de_Urgencias_y_Emergencias_3deg_Ed.pdf
Radiologia_de_Urgencias_y_Emergencias_3deg_Ed.pdfRadiologia_de_Urgencias_y_Emergencias_3deg_Ed.pdf
Radiologia_de_Urgencias_y_Emergencias_3deg_Ed.pdfAntonioRicardoOrrego
 
Flashcard Anatomía del Craneo: Neurocráneo y Vicerocráneo.
Flashcard Anatomía del Craneo: Neurocráneo y Vicerocráneo.Flashcard Anatomía del Craneo: Neurocráneo y Vicerocráneo.
Flashcard Anatomía del Craneo: Neurocráneo y Vicerocráneo.sczearielalejandroce
 
Clase 15 Artrologia mmii 1 de 3 (Cintura Pelvica y Cadera) 2024.pdf
Clase 15 Artrologia mmii 1 de 3 (Cintura Pelvica y Cadera) 2024.pdfClase 15 Artrologia mmii 1 de 3 (Cintura Pelvica y Cadera) 2024.pdf
Clase 15 Artrologia mmii 1 de 3 (Cintura Pelvica y Cadera) 2024.pdfgarrotamara01
 
Enferemedades reproductivas de Yeguas.pdf
Enferemedades reproductivas de Yeguas.pdfEnferemedades reproductivas de Yeguas.pdf
Enferemedades reproductivas de Yeguas.pdftaniacgcclassroom
 
HEMORROIDES, presentación completa. pptx
HEMORROIDES, presentación completa. pptxHEMORROIDES, presentación completa. pptx
HEMORROIDES, presentación completa. pptxbv3087012023
 
Sangrado Uterino Anormal. Dr Carlos Quiroz_052747.pptx
Sangrado Uterino Anormal. Dr Carlos Quiroz_052747.pptxSangrado Uterino Anormal. Dr Carlos Quiroz_052747.pptx
Sangrado Uterino Anormal. Dr Carlos Quiroz_052747.pptxCarlos Quiroz
 
CLASE DE VIH/ETS - UNAN 2024 PEDIATRIA I
CLASE DE VIH/ETS - UNAN 2024 PEDIATRIA ICLASE DE VIH/ETS - UNAN 2024 PEDIATRIA I
CLASE DE VIH/ETS - UNAN 2024 PEDIATRIA ILucy López
 
TRANSMISION DE LA INFORMACIÓN GENETICA - Clase 1.pptx
TRANSMISION DE LA INFORMACIÓN GENETICA - Clase 1.pptxTRANSMISION DE LA INFORMACIÓN GENETICA - Clase 1.pptx
TRANSMISION DE LA INFORMACIÓN GENETICA - Clase 1.pptxJoshueXavierE
 
Clase 14 Articulacion del Codo y Muñeca 2024.pdf
Clase 14 Articulacion del Codo y Muñeca 2024.pdfClase 14 Articulacion del Codo y Muñeca 2024.pdf
Clase 14 Articulacion del Codo y Muñeca 2024.pdfgarrotamara01
 
WE DO TRANSFORMATIONS DAY presentación .pptx
WE DO TRANSFORMATIONS DAY presentación .pptxWE DO TRANSFORMATIONS DAY presentación .pptx
WE DO TRANSFORMATIONS DAY presentación .pptxr7dzcbmq2w
 
Trombocitopenia Inmune primaria , clínica
Trombocitopenia Inmune primaria , clínicaTrombocitopenia Inmune primaria , clínica
Trombocitopenia Inmune primaria , clínicaVillegasValentnJosAl
 
Sistema Nervioso Periférico (1).pdf
Sistema Nervioso Periférico (1).pdfSistema Nervioso Periférico (1).pdf
Sistema Nervioso Periférico (1).pdfNjeraMatas
 
6.METODOLOGIA ATENEA MICHAEL. ZAPATA.pdf
6.METODOLOGIA ATENEA MICHAEL. ZAPATA.pdf6.METODOLOGIA ATENEA MICHAEL. ZAPATA.pdf
6.METODOLOGIA ATENEA MICHAEL. ZAPATA.pdfbibianavillazoo
 
PRESENTACIÓN SÍNDROME GUILLAIN BARRE.pptx
PRESENTACIÓN SÍNDROME GUILLAIN BARRE.pptxPRESENTACIÓN SÍNDROME GUILLAIN BARRE.pptx
PRESENTACIÓN SÍNDROME GUILLAIN BARRE.pptxCristianOswaldoMunoz
 
patologia de robbins capitulo 4 Lesion celular.pdf
patologia de robbins capitulo 4 Lesion celular.pdfpatologia de robbins capitulo 4 Lesion celular.pdf
patologia de robbins capitulo 4 Lesion celular.pdfVilcheGuevaraKimberl
 

Último (20)

SEGUNDA Y TERCERA SEMANA DEL DESARROLLO EMBRIONARIO.pptx
SEGUNDA Y TERCERA SEMANA DEL DESARROLLO EMBRIONARIO.pptxSEGUNDA Y TERCERA SEMANA DEL DESARROLLO EMBRIONARIO.pptx
SEGUNDA Y TERCERA SEMANA DEL DESARROLLO EMBRIONARIO.pptx
 
SISTEMA NERVIOSO ORGANIZADOR GRAFICO.pdf
SISTEMA NERVIOSO ORGANIZADOR GRAFICO.pdfSISTEMA NERVIOSO ORGANIZADOR GRAFICO.pdf
SISTEMA NERVIOSO ORGANIZADOR GRAFICO.pdf
 
TANATOLOGIA de medicina legal y deontología
TANATOLOGIA de medicina legal y deontologíaTANATOLOGIA de medicina legal y deontología
TANATOLOGIA de medicina legal y deontología
 
Material de apoyo, modulo psicologia de la personalidad
Material de apoyo, modulo psicologia de la personalidadMaterial de apoyo, modulo psicologia de la personalidad
Material de apoyo, modulo psicologia de la personalidad
 
OFICIAL TABIQUE DESVIADO presentacion de desviacion del tabique por sinusitis
OFICIAL TABIQUE DESVIADO presentacion de desviacion del tabique por sinusitisOFICIAL TABIQUE DESVIADO presentacion de desviacion del tabique por sinusitis
OFICIAL TABIQUE DESVIADO presentacion de desviacion del tabique por sinusitis
 
Radiologia_de_Urgencias_y_Emergencias_3deg_Ed.pdf
Radiologia_de_Urgencias_y_Emergencias_3deg_Ed.pdfRadiologia_de_Urgencias_y_Emergencias_3deg_Ed.pdf
Radiologia_de_Urgencias_y_Emergencias_3deg_Ed.pdf
 
Flashcard Anatomía del Craneo: Neurocráneo y Vicerocráneo.
Flashcard Anatomía del Craneo: Neurocráneo y Vicerocráneo.Flashcard Anatomía del Craneo: Neurocráneo y Vicerocráneo.
Flashcard Anatomía del Craneo: Neurocráneo y Vicerocráneo.
 
Clase 15 Artrologia mmii 1 de 3 (Cintura Pelvica y Cadera) 2024.pdf
Clase 15 Artrologia mmii 1 de 3 (Cintura Pelvica y Cadera) 2024.pdfClase 15 Artrologia mmii 1 de 3 (Cintura Pelvica y Cadera) 2024.pdf
Clase 15 Artrologia mmii 1 de 3 (Cintura Pelvica y Cadera) 2024.pdf
 
Enferemedades reproductivas de Yeguas.pdf
Enferemedades reproductivas de Yeguas.pdfEnferemedades reproductivas de Yeguas.pdf
Enferemedades reproductivas de Yeguas.pdf
 
HEMORROIDES, presentación completa. pptx
HEMORROIDES, presentación completa. pptxHEMORROIDES, presentación completa. pptx
HEMORROIDES, presentación completa. pptx
 
Sangrado Uterino Anormal. Dr Carlos Quiroz_052747.pptx
Sangrado Uterino Anormal. Dr Carlos Quiroz_052747.pptxSangrado Uterino Anormal. Dr Carlos Quiroz_052747.pptx
Sangrado Uterino Anormal. Dr Carlos Quiroz_052747.pptx
 
CLASE DE VIH/ETS - UNAN 2024 PEDIATRIA I
CLASE DE VIH/ETS - UNAN 2024 PEDIATRIA ICLASE DE VIH/ETS - UNAN 2024 PEDIATRIA I
CLASE DE VIH/ETS - UNAN 2024 PEDIATRIA I
 
TRANSMISION DE LA INFORMACIÓN GENETICA - Clase 1.pptx
TRANSMISION DE LA INFORMACIÓN GENETICA - Clase 1.pptxTRANSMISION DE LA INFORMACIÓN GENETICA - Clase 1.pptx
TRANSMISION DE LA INFORMACIÓN GENETICA - Clase 1.pptx
 
Clase 14 Articulacion del Codo y Muñeca 2024.pdf
Clase 14 Articulacion del Codo y Muñeca 2024.pdfClase 14 Articulacion del Codo y Muñeca 2024.pdf
Clase 14 Articulacion del Codo y Muñeca 2024.pdf
 
WE DO TRANSFORMATIONS DAY presentación .pptx
WE DO TRANSFORMATIONS DAY presentación .pptxWE DO TRANSFORMATIONS DAY presentación .pptx
WE DO TRANSFORMATIONS DAY presentación .pptx
 
Trombocitopenia Inmune primaria , clínica
Trombocitopenia Inmune primaria , clínicaTrombocitopenia Inmune primaria , clínica
Trombocitopenia Inmune primaria , clínica
 
Sistema Nervioso Periférico (1).pdf
Sistema Nervioso Periférico (1).pdfSistema Nervioso Periférico (1).pdf
Sistema Nervioso Periférico (1).pdf
 
6.METODOLOGIA ATENEA MICHAEL. ZAPATA.pdf
6.METODOLOGIA ATENEA MICHAEL. ZAPATA.pdf6.METODOLOGIA ATENEA MICHAEL. ZAPATA.pdf
6.METODOLOGIA ATENEA MICHAEL. ZAPATA.pdf
 
PRESENTACIÓN SÍNDROME GUILLAIN BARRE.pptx
PRESENTACIÓN SÍNDROME GUILLAIN BARRE.pptxPRESENTACIÓN SÍNDROME GUILLAIN BARRE.pptx
PRESENTACIÓN SÍNDROME GUILLAIN BARRE.pptx
 
patologia de robbins capitulo 4 Lesion celular.pdf
patologia de robbins capitulo 4 Lesion celular.pdfpatologia de robbins capitulo 4 Lesion celular.pdf
patologia de robbins capitulo 4 Lesion celular.pdf
 

HIPAA 2023 05.15.2023 (1).pdf

  • 1. ❑HIPAA 2023 • Carmen Y Ibarrondo MS RHIA CHPS CCS-P CPMA ICD10CM/PCS AHIMA Trainer 05.16.2023 1
  • 2. Definiciones ❑ Privacidad – Derecho a que la información de salud no sea divulgada. ❑ Confidencialidad – Es una condición. Certeza de que solo personas de un determinado dominio, rango o nivel, con conocimiento de la persona, con una razón valida tiene acceso a la información. ❑ Entidad cubierta- Aquellas facilidades que transmite, almacena o maneja información protegida de salud (PHI). Se divide en: Planes de salud, Clearinghouse y proveedores de cuidado de salud. ❑ Business associate - Persona u organización que realiza ciertas funciones comerciales en nombre de la entidad cubierta e involucra el uso, mantenimiento o divulgación de PHI. Antes de divulgar la PHI a un socio comercial, las entidades cubiertas son obligados a firmar un acuerdo escrito que impone salvaguardas. ❑ Seguridad – Es una protección. Capacidad de controlar el acceso a la información prevenir alteración, destrucción o pérdida de información. ❑ Uso – Compartir, emplear, aplicar, utilizar, examinar o analizar la información dentro de la entidad que mantiene esa información. ❑ Divulgación – Entrega, transferencia, proveer acceso o divulgar en cualquier forma la información fuera de la entidad que mantiene la información. ❑ Violación o Brechas – Fracaso o fallo en cumplir con las provisiones de las simplificaciones administrativas de la ley HIPAA. 05.16.2023 5
  • 3. HIPAA Ley Pública Núm. 104-191 de 1996 • Health Insurance Portability and Accountability Act of 1996 (HIPAA). Esta ley es la primera protección federal integral para los privacidad de la información personal de salud (PHI), aprobado por el Congreso en 1996, y implementado en abril de 2003. The Standards for Privacy of Individually Identifiable Health Information ("Privacy Rule") • Establece, por primera vez, un conjunto de estándares nacionales para la protección de cierta información de salud. El Departamento de Salud y Servicios Humanos de EE. UU. ("HHS") emitió la Regla de Privacidad para implementar el requisito de la Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996 ("HIPAA"). • Los estándares de la Regla de Privacidad abordan el uso y la divulgación de información personal información de salud—llamada "información de salud protegida" por organizaciones sujetas a la Regla de Privacidad—llamadas "entidades cubiertas", así como estándares para los derechos de privacidad de las personas para comprender y controlar cómo se usa su información de salud. • Dentro del HHS, la Oficina de Derechos Civiles ("OCR") tiene la responsabilidad de implementar y hacer cumplir la Regla de Privacidad con respecto a las actividades de cumplimiento voluntario y las sanciones monetarias civiles. • Parte de la ley dispone privacidad, confidencialidad y seguridad de información de salud de pacientes. El cumplimiento de esta ley es mandatorio. 05.16.2023 6
  • 4. HIPAA ▪ Uno de sus objetivos principales de la regla de privacidad es asegurar que la información de salud de las personas esté debidamente protegida mientras se permite el flujo de información de salud necesaria para brindar y promover cuidado medico de alta calidad y proteger la salud y el bienestar del público. ▪ La Regla logra un equilibrio que permite usos importantes de la información, mientras protege la privacidad de las personas que buscan atención y cuidado/tratamiento. La Regla está diseñada para ser flexible y completa para cubrir la variedad de usos y divulgaciones que deben abordarse. ▪ Las entidades reguladas por la Regla están obligadas a cumplir con todos sus requisitos aplicables. 05.16.2023 7
  • 5. Antecedentes legales y reglamentarios ▪ La ley Pública 104-191, se promulgó el 21 de agosto de 1996. ▪ Las secciones 261 a 264 de HIPAA requieren que el Secretario del HHS publique los estándares para el intercambio electrónico, la privacidad y la seguridad de información de salud. En conjunto, se conocen como las disposiciones de Simplificación Administrativa. ▪ La regulación final, la Regla de Privacidad, se publicó el 28 de diciembre de 2000. ▪ Existe un texto que combina la regulación final y las modificaciones en 45 CFR Parte 160 y Parte 164, Subpartes A y E. 05.16.2023 8
  • 6. HIPAA Consta de 5 Títulos • Los áreas en el Título II: Sub-título F dentro de lo que simplificación administrativa son: ▪ Privacidad y Confidencialidad de la información de salud que identifica al individuo. ▪ Seguridad electrónica. ▪ Estandarización de transacciones electrónicas y grupo de códigos . ▪ Identificadores únicos. • Mantener la información del paciente, sea escrita, verbal o electrónica de manera privada y segura. • Debes asegurar de la información su: Confidencialidad, Integridad y Disponibilidad /Acceso (CIA siglas en ingles) . • Todo empleado debe poseer el conocimiento sobre el uso e intercambio de información de salud protegida y es por esto que se orienta a todos los empleados de la facilidad. 05.16.2023 10
  • 7. HIPAA ❑Si ve, usa o comparte la información de salud protegida (PHI) de una persona o trabaja directamente con los pacientes, es su responsabilidad proteger la privacidad del paciente. ❑HIPAA incluye todas las entidades que proporcionan, facturan, pagan el cuidado de salud o procesan información de salud. ❑ Estos incluyen lo siguiente: ❑ Health care providers ❑ Health Plans ❑ Clearinghouses ❑ Business associates ¿Cuál es el propósito de HIPAA? ❑Proteger la privacidad de los datos personales y información de salud. ❑Proporcionar seguridad electrónica y física de información personal y de salud ❑Estandarizar la codificación para simplificar la facturación y otras transacciones 05.16.2023 11
  • 8. Proveedores de servicios de salud ▪ Cada proveedor de cuidado medico, independientemente de su tamaño, que transmite electrónicamente información de salud en relación con ciertas transacciones, es una entidad cubierta. ▪ Estas transacciones incluyen: ▪ Reclamaciones ▪ Consultas de elegibilidad de beneficios, ▪ Solicitudes de autorización de referidos u otras transacciones para las cuales el HHS ha establecido estándares bajo la Regla de Transacciones de HIPAA. ▪ El uso de tecnología electrónica, como el correo electrónico, no significa que un proveedor de cuidado medico sea una entidad cubierta; la transmisión debe estar relacionada con una transacción estándar. ▪ La regla de privacidad cubre a un proveedor de cuidado médico, ya sea que transmita electrónicamente estas transacciones directamente o utilice un servicio de facturación u otro tercero para hacerlo en su nombre. ▪ Los proveedores de cuidado medico incluyen todos los "proveedores de servicios" (p. ej., proveedores institucionales como hospitales) y "proveedores de servicios médicos o de salud" (p. ej., proveedores no institucionales como médicos, dentistas y otros profesionales) según lo define Medicare, y cualquier otra persona u organización que proporcione, facture o reciba un pago por el cuidado medico. 05.16.2023 12
  • 9. Qué información está protegida Información de Salud Protegida (siglas en ingles PHI) ❑Información que puede ser utilizada directa o indirectamente para identificar un individuo ❑Incluye Individually Identifiable Health Information (IIHI) como: ❑ Nombre ❑ Dirección ❑ Fechas de nacimiento ❑ Número de seguro social ❑ Direcciones de correo electrónico ❑ Números de cuenta o registro médico ❑ Imágenes fotográficas ❑ Números de registros médicos ❑ Números de certificación/licencia ❑ Números de teléfono o fax ❑ Cualquier “otro” número de identificación, característica o código ❑ Información que médicos, enfermeras y otros proveedores de cuidado medico ingresan en el expediente médico. ❑ Conversaciones que su médico tiene sobre el cuidado medico o tratamiento con enfermeras y otras personas. ❑ Información sobre el sistema informático de transacciones de la aseguradora de salud. ❑ Información de facturación en la clínica. 05.16.2023 13
  • 10. Lo que requiere la ley sobre los adiestramientos al personal ❑Las leyes federales y regulaciones requieren que las entidades cumplan con la regla de Privacidad, Notificación de Incumplimiento o brecha y Seguridad Electrónica; ❑La ley requiere que el personal este adiestrado con los cambios. ❑Se deberá adiestrar a: Empleados, voluntarios y otras personas están bajo el directo control de la entidad sin importar si esta recibiendo pago por servicios. 05.16.2023 14
  • 11. Evolución de la Ley HIPAA ❑ Health Insurance Portability and Accountability Act (HIPAA) 1996 ❑ Ley 104-191 ❑ 45 CFR 160 &164 ❑ Privacy Rule 04/2003 ❑ Security Rule 04/2005 ❑ American Recovery and Reinvestment Act (ARRA) ❑ February /2009 ❑ Título XIII: Health Information Technology for Economic and Clinical Health Act (HITECH) ❑ HIPAA Omnibus Rule ❑ September /23/2013 05.16.2023 15
  • 12. HIPAA y leyes de Puerto Rico ❑ HIPAA aplica a todos los estados, Puerto Rico y territorios por disposición expresa del Congreso. ❑ La ley persigue estandarizar el derecho a la protección de su información de salud de los pacientes. ❑ Ocupa el campo estatal, desplaza, sustituye y prevalece sobre cualquier ley local que sea contraria. ❑ La propia ley establece límites a su ocupación del campo estatal. ❑ Dispone que cualquier legislación local presente o futura que sea más estricta , prevalecerá sobre HIPAA. ❑ Se define más estricta aquella legislación que: ❑ Concede mayor acceso y derechos al paciente en cuanto a su información de salud. 05.16.2023 16
  • 13. Quién debe seguir estas leyes • Los asociados de negocio de las entidades cubiertas deben seguir partes de las regulaciones de HIPAA.A menudo, los contratistas, subcontratistas y otras personas y empresas externas que no son empleados de una entidad cubierta necesitarán tener acceso a su información médica cuando brinden servicios a la entidad cubierta. • Llamamos a estas entidades " asociados de negocio ". • Ejemplos de asociados de negocio incluyen: Empresas que ayudan a sus médicos a cobrar por brindar servicios médicos , incluidas las empresas de facturación y las empresas que procesan reclamaciones de servicios médicos. • Empresas que ayudan a administrar planes de salud Personas como abogados externos, contables y especialistas en information technology (IT) Empresas que almacenan o destruyen registros médicos • Las entidades cubiertas deben tener contratos vigentes (BAA) con sus asociados de negocio , asegurándose de que utilicen y divulguen su información médica de manera adecuada y la protejan de manera adecuada. • Los asociados de negocio también deben tener contratos similares con subcontratistas. Los asociados de negocio (incluidos los subcontratistas) deben seguir las disposiciones de uso y divulgación de sus contratos y la Regla de privacidad, y los requisitos de protección de la Regla de seguridad. 05.16.2023 17
  • 14. Como se protege esta información ❑Las entidades cubiertas deben implementar medidas de seguridad para proteger la información médica y asegurarse de que no utilicen o divulguen su información médica de manera inapropiada. ❑Las entidades cubiertas deben limitar razonablemente los usos y divulgaciones al mínimo necesario para lograr su propósito previsto. ❑Las entidades cubiertas deben tener procedimientos establecidos para limitar quién puede ver y acceder a su información médica, así como implementar programas de capacitación para empleados sobre cómo proteger su información médica. ❑Los socios comerciales también deben implementar medidas de seguridad para proteger su información médica y asegurarse de que no utilicen o divulguen su información médica de manera inapropiada. 05.16.2023 18
  • 15. 18 Identificadores de Información de Salud 1. Nombre 2. Ciudad, calle, precinto y código postal 3. Fechas excepto año, directamente relacionadas con el individuo: nacimiento, admisión, alta, muerte, edades mayor de 89 años 4. Numero de fax 5. Numero de teléfono 6. Dirección de correo electrónico 7. Numero de cuenta 8. Numero Seguro Social 9. # de licencias o certificados 10. Numero de tablilla 11. # de serie o identificador de equipo medico 12. Web URL, directorio y/o pagina web 13. Direcciones de Internet Protocol (IP) 14. Identificadores Biométricos 15. #Vehicle Identification Number (VIN) 16. Dominio 17. Directorio, subdirectorio 18. Pagina Web 05.16.2023 19
  • 16. Estándar Mínimo Necesario Solamente el personal que necesita PHI para ejecutar sus tareas deberán tener acceso al mismo. • Realizar esfuerzos razonables para limitar divulgación y solicitudes de información de salud protegida (PHI) al mínimo necesario. • Los empleados de acuerdo a su rol y funciones deberá utilizar o compartir solamente el mínimo necesario de la información para llevar a cabo su trabajo o funciones. • Pregúntese: • ¿Cuál es la cantidad mínima de información que yo necesito, para realizar mi trabajo? 05.16.2023 20
  • 17. Oficial de Privacidad / Seguridad ❑Nombrar un Oficial de Privacidad y un oficial de Seguridad y/o Comité. ❑Descripción de puesto donde se indique cuáles son las responsabilidades y funciones. ❑Una o diferentes personas. ❑ Persona contacto en cualquier incidente , recibirá quejas y querellas de pacientes. ❑Responsable de adiestramientos a toda la fuerza trabajadora. ❑ Desarrollara y aplicara políticas de sanciones a la fuerza trabajadora que falle en cumplir con la ley en conjunto con Recursos Humanos. ¿Conoce usted a su oficial de Privacidad? 05.16.2023 21
  • 18. Derechos de Paciente y Principios Generales de Uso y Divulgacion 05.16.2023 22
  • 19. Principio Basico de la Regla de Privacidad ▪ Es definir y limitar las circunstancias en las que las entidades cubiertas pueden usar o divulgar la información de salud protegida de un individuo. ▪ Una entidad cubierta no puede utilizar ni divulgar información de salud protegida, excepto: ▪ (1) Según lo permita o exija la Regla de Privacidad; ▪ (2) El individuo que es el sujeto de la información (o el representante personal del individuo) autoriza por escrito 05.16.2023 23
  • 20. Divulgaciones Requeridas • Una entidad cubierta debe divulgar información de salud protegida en solo dos situaciones: • (a) a individuos (o sus representantes personales) específicamente cuando solicitan acceso a, o un informe de las divulgaciones de su información de salud protegida; • (b) al HHS cuando esté llevando a cabo una investigación o revisión de cumplimiento o una acción de cumplimiento. 05.16.2023 24
  • 21. Derechos de Pacientes: Notificación de Privacidad (§164.520) ❑ Todo paciente deberá recibir una Notificación de Practica de Privacidad (NPP) ❑ Actualizada ❑ Copia a cada paciente donde se tomara la firma como evidencia de que se le entregó. ❑ Es información escrita relacionada con la privacidad que deben darse a cada paciente. ❑ La notificación deberá incluir la siguiente información: ❑ Como se puede utilizar y divulgar información protegida de salud. ❑ Derechos de pacientes con respecto a la información. ❑ Como puede ejercer sus derechos incluyendo querellarse de la entidad cubierta. ❑ Las responsabilidades legales con respecto a la información incluyendo regla de como se mantiene la privacidad de la información protegida de salud(PHI). ❑ Que personas o individuo puede contactar para mas información sobre las políticas de privacidad de la facilidad. ❑ Componentes: ❑ Header ❑ Usos y divulgaciones ❑ Declaración separada para ciertos usos y divulgaciones ❑ Declaración de los derechos del individuo (como una contabilidad) ❑ Declaración de los deberes de la entidad cubierta ❑ Una declaración de cómo emitir una queja ❑ Información del contacto ❑ Una fecha de vigencia 05.16.2023 25
  • 22. Acceso del individuo a la PHI 05.16.2023 26 ▪ Inspeccionar y recibir una copia de su información protegida de salud en un set de records designado ▪ Tiene treinta (30) días del recibo de la solicitud. ▪ Sesenta (60) días si no lo estuviera en las facilidades ya que se puede solicitar una extensión de treinta (30) días adicionales. Se enviara carta al paciente notificándole la extensión y cuando sera entregada la misma ▪ Importante que el paciente provea suficiente información para verificar y validar la identidad. ▪ Las personas tienen derecho ha inspeccionar, acceder u obtener copias de su propia PHI. ▪ Se debe obtener una solicitud por escrito para el registro para documentar la divulgación. ▪ Una entidad cubierta puede denegar el acceso a un individuo, sin proporcionar al individuo la oportunidad de revisar, en las siguientes circunstancias: ▪ Notas de psicoterapia ▪ Información compilada en una anticipación razonable de, o para uso en una acción o procedimiento civil, penal o administrativo ▪ El acceso de una persona a la PHI creada u obtenida por un proveedor de atención médica en el curso de una investigación que incluye tratamiento mientras la investigación está en progreso ▪ Si la PHI fue obtenida por alguien que no sea un médico proveedor bajo una promesa de confidencialidad y acceso revelará la fuente de información. ▪ Obtener copia de su información de salud protegida (PHI) (§164.24) ▪ La entidad cubierta proveerá copia al paciente cobrando lo que disponen las leyes de Puerto Rico o federales. ▪ Será un cargo razonable. ▪ Solicitud - En formato electrónico cuando sea requerido por el paciente la copia ▪ De no ser así – estar de acuerdo ambas partes en que método deberán utilizar.
  • 23. Solicitud de enmiendas al expediente medico ❑Todo paciente tiene el derecho a solicitar enmienda a su información del expediente medico por escrito. ❑Deberá describir la información especifica que el paciente entiende que es inexacta, incompleta, irrelevante, fuera de tiempo y razón por lo que cree esto. ❑Deberá ser manejado por el oficial de privacidad y deberá ser en un periodo de 60 días. 05.16.2023 27
  • 24. Contabilidad de Divulgación de Información (§164.528) ▪ Todo paciente tiene el derecho a solicitar un listado por escrito de las divulgaciones realizadas de su información protegida de salud. ▪ Proveer divulgaciones de PHI hechas en los seis (6) años previo a la solicitud { A partir del 14 de abril de 2003 ▪ Una contabilidad de divulgación es un listado que posee: ▪ Nombre de la persona o entidad que la información PHI fue divulgada. ▪ Fecha en el cual el PHI fue divulgado ▪ Descripción de la información divulgada ▪ Propósito de la divulgación ▪ La entidad cubierta tiene sesenta (60) días para responder a una solicitud de contabilidad. ▪ Se permite una extensión de treinta (30) días notificando al paciente. 05.16.2023 28
  • 25. Derechos de Pacientes: Envío de PHI por medios o lugares alternos (§164.522) Solicitar y recibir comunicaciones confidenciales de la entidad cubierta a una dirección alterna. Alterno es que el paciente desee recibir los documentos de manera personal ha otra dirección que no es su dirección permanente. No se deberá permitir múltiples direcciones o sea mas de dos. Correo electrónico (email) no es una alternativa de comunicación confidencial, a menos que la data este encriptada. 05.16.2023 29
  • 26. Derechos de Pacientes Derecho a Restricción (§164.522) ▪ Restringir su PHI pero deberá cumplir con lo siguiente: ▪ Por escrito ▪ Detallar cual es la restricción solicitada ▪ Especificar a quien desea que se le aplique. ▪ No se puede restringir a Medicare – Le aplica ley del Seguro social. ▪ La facilidad puede denegar la solicitud. ▪ Si acepta está obligada a cumplir; y no hacerlo implica violación de ley y podría exponerse a demanda. 05.16.2023 30
  • 27. Derecho de Pacientes: Divulgación Incidental • Debido a la naturaleza de los servicios de salud y el tipo de conversaciones existe el potencial de que se divulgue información protegida de manera incidental. • Ejemplo: ❑Un visitante escucha una conversación de un medico con otro; o con un profesional de la salud sobre un paciente. ❑Un paciente ve información limitada dentro de un expediente de pacientes. 05.16.2023 31
  • 28. Derecho de Pacientes: Querella ▪ Si entiende que se le han violado sus derechos establecidos en la Ley HIPAA ▪ Puede radicar una querella: ✓ Oficial de Privacidad de la entidad cubierta ✓ Oficina del Procurador del Paciente ( Ver mapa) ✓ Oficial de Privacidad de una aseguradora ✓ Depto. Salud Federal con la Oficina de Derechos Civiles (OCR). ▪ Debe ser por escrito ▪ Mencionar de quien y sobre qué es la querella 05.16.2023 32
  • 29. 05.16.2023 33 Uso y Divulgación Permitidas bajo HIPAA
  • 30. Uso y Divulgación Permitidas 1. Individuo ▪ Una entidad cubierta puede divulgar PHI al paciente ya que es el dueño de su información. ▪ Debe llenar una autorización de divulgación de información. ▪ El formato de Autorizacion posee unos campos requeridos en el mismo que deben ser cumplimentados en todas sus partes. ▪ Debe incluir cuando expira la autorización entre otros elementos requeridos. 05.16.2023 34
  • 31. Tratamiento, Pago y Operación de Cuidado de Salud • Divulgar o utilizar información protegida de salud para : • Tratamiento: Provision, coordinación o manejo de cuidado de salud y servicios relacionados de un paciente por uno o mas proveedores , incluyendo consultas entre proveedores relacionadas a pacientes y referidos de un paciente de un proveedor a otro. • Referidos a otros proveedores (laboratorios, Rayos X, procedimientos de imágenes) • Anotaciones en el expediente clínico • Recetas para medicamentos u equipos • Pago: Incluye las actividades de un plan de salud para obtener primas, determinar o cumplir con las responsabilidades de cobertura y provisión de beneficios, y brindar u obtener el reembolso por el cuidado médico brindado a un individuo y las actividades de un proveedor para obtener el pago o ser reembolsado por la provisión de cuidado médico a un individuo. • Facturar al asegurador, al plan médico, o a otro proveedor (en caso de un referido) • Pre autorizaciones, coordinación de beneficios, determinación de necesidad médica, etc. • Operación de cuidado de salud: • Evaluación del personal, auditorias, estudios, competencias y evaluaciones de calidad de servicios • Discusión de casos por la facultad y/o con residentes 05.16.2023 35
  • 32. Tratamiento, Pago y Operación de Cuidado de Salud • Operación de cuidado de salud: (a)Actividades de evaluación y mejoramiento de la calidad, incluyendo el manejo de casos y la coordinación del cuidado; (b)Actividades de estimado de la competencia, incluyendo la evaluación, acreditación y acreditación del desempeño del proveedor o del plan de salud; (c)Realizar o coordinar revisiones médicas, auditorías o servicios legales, incluidos los programas de cumplimiento y detección de fraude y abuso; (d)Funciones específicas de seguros, tales como suscripción, calificación de riesgo y riesgo de reaseguro; (e)Planificación, desarrollo, manejo y administración de negocios; (f) la gestión comercial y las actividades administrativas generales de la entidad, incluyendo entre otras: de identificación de la información de salud protegida, creación de un conjunto de datos limitado y cierta recaudación de fondos ( Fundraising) en beneficio de la entidad cubierta. 05.16.2023 36
  • 33. Tratamiento, Pago y Operación de Cuidado de Salud ▪ La mayoría de los usos y divulgaciones de notas de psicoterapia con fines de tratamiento, pago y operaciones de cuidado médico requieren una autorización. ▪ Obtener el "consentimiento" (permiso por escrito de las personas para usar y divulgar su información médica protegida para tratamiento, pago y cuidado médico). operaciones) es opcional bajo la Regla de Privacidad para todas las entidades cubiertas. ▪ El contenido de un formulario de consentimiento y el proceso para obtener el consentimiento quedan a discreción de la entidad cubierta que elige buscar el consentimiento. 05.16.2023 37
  • 34. Uso y Divulgación Permitidas 3) Uso y divulgación con oportunidad de estar de acuerdo u objetar ▪ El permiso informal se puede obtener solicitándolo directamente a la persona o mediante circunstancias que claramente le den a la persona la oportunidad de aceptar, consentir u objetar. ▪ Cuando la persona está incapacitada, en una situación de emergencia o no está disponible, las entidades cubiertas generalmente pueden hacer tales usos y divulgaciones, si en el ejercicio de su juicio profesional, se determina que el uso o la divulgación es en el mejor interés de la persona. 05.16.2023 38
  • 35. Uso y Divulgación Permitidas ▪ Uso y divulgación incidental – Entidad cubierta establece o lleva a cabo seguridad razonable con la información que fue compartida y fue limitada al mínimo necesario. ▪ La regla de privacidad no requiere que cada riesgo de uso incidental o divulgación de información de salud protegida sea eliminada. ▪ Un uso o divulgación de esta información que ocurra como resultado de, o como "incidente de", un uso o divulgación permitido de otro modo está permitido siempre que la entidad cubierta haya adoptado medidas de seguridad razonables según lo exige la Regla de Privacidad, y la información que se compartido se limitó al "mínimo necesario", según lo exige la Regla de Privacidad. 05.16.2023 39
  • 36. Uso y Divulgación Permitidas ▪ Set de datos limitados – Se utiliza y divulga para: ▪ Propósitos de salud publica, ▪ Operación de cuidado de salud ▪ Investigación. ▪ Actividades de beneficio e interés publico – Se permite el uso o divulgación de PHI si la autorización del paciente es para alguno de los 12 propósitos de prioridad nacional a continuación… 05.16.2023 40
  • 37. Autorización Una entidad cubierta debe: ▪ Obtener la autorización por escrito de la persona para cualquier uso o divulgación de información médica protegida que no sea para tratamiento, pago u operaciones de cuidado médico o que la Regla de Privacidad permita o exija de otro modo. ▪ No puede condicionar el tratamiento, pago, inscripción o elegibilidad de beneficios en un individuo que otorga una autorización, excepto en circunstancias limitadas. ▪ Debe estar escrita en términos específicos, la autorización. ▪ Puede permitir el uso y la divulgación de información médica protegida por la entidad cubierta que solicita la autorización o por un tercero. ▪ Los ejemplos de divulgaciones que requerirían la autorización de una persona incluyen: ▪ Divulgaciones a una aseguradora de vida con fines de cobertura, ▪ Divulgaciones a un empleador de los resultados de un examen físico o de laboratorio previo al empleo, ▪ Divulgaciones a una empresa farmacéutica para sus propios fines de mercadeo. ▪ Las autorizaciones deben estar en lenguaje sencillo y contener información específica sobre la información que se divulgará o utilizará, la(s) persona(s) que divulga(n) y recibe(n) la información, el vencimiento, el derecho de revocación por escrito y otros datos. 05.16.2023 41
  • 38. Notas de Psicoterapia Una entidad cubierta debe obtener la autorización de una persona para usar o divulgar notas de psicoterapia con las siguientes excepciones: ▪ La entidad cubierta que originó las notas podrá utilizarlos para tratamiento. ▪ Una entidad cubierta puede utilizar o divulgar, sin la autorización de una persona, las notas de psicoterapia, para su propia capacitación y para defenderse en procedimientos legales iniciados por la persona, para que el HHS investigue o determine el cumplimiento de las Reglas de privacidad por parte de la entidad cubierta, para evitar una amenaza grave e inminente para la salud o la seguridad pública, a una agencia de supervisión de la salud para la supervisión legal del autor de las notas de psicoterapia, para las actividades legales de un médico forense o examinador médico o según lo exija la ley. 05.16.2023 42
  • 39. 12 propósitos de prioridad nacional 1.Requerido por la ley. 2. Actividades de Salud Publica: • Abuso o negligencia contra niños o envejecientes • Entidades sujetas a regulaciones del FDA • Individuos que pueden haber contraído o estar expuestos a una enfermedad transmisible • Informe de vacunas. 3. Victimas de abuso, negligencia o violencia domestica. 4. Actividades de vigilancia en salud ( oversight) 5. Procedimientos Administrativos y Judiciales • Orden de corte, subpoena o proceso legal 6. Cumplimiento de ley (Law enforcement)- Requerido por ley, identificar sospechosos, fugitivos, ser testigos o una persona perdida, victima o sospecha de crimen 05.16.2023 43
  • 40. 12 propósitos de prioridad nacional 7) Descendientes – Divulgar a directores de funeraria, médicos forenses o examinadores para identificar una persona que ha fallecido, causa de muerte y realizar otras funciones autorizadas por ley. 8) Donación de tejidos, ojos y órganos cadavéricos: Para facilitar la donación o trasplante. 9) Investigación: Para desarrollar o contribuir al conocimiento generalizado. 10) Amenaza seria a la seguridad o salud: Prevenir o reducir una amenaza inminente a una persona o publico. Puede divulgar ha oficiales del orden publico. 11) Funciones gubernamentales esenciales: La ejecución de una misión militar y, conducir actividades de seguridad nacional e inteligencia autorizadas por ley, protección al presidente, entre otros. 12) Worker’s compensation: Utilizar y divulgar PHI para cumplir con leyes y otros programas similares que proveen beneficios al empleado que esta relacionado con la enfermedad o trauma. 05.16.2023 44
  • 41. Asociado de negocio Persona que a nombre de la Entidad Cubierta •Crea, recibe, mantiene, transmite PHI para una función o actividad regulada. No es un miembro de la fuerza trabajadora de una entidad cubierta. •Puede ser un individuo el cual posee un acuerdo con la entidad cubierta , crea, recibe, mantiene o transmite PHI. •Un subcontratista que crea, recibe, mantiene o transmite PHI de parte de un asociado de negocio. Cuando realiza servicios para entidad cubierta •Envuelve la divulgación de PHI y no es parte de la fuerza trabajadora (empleados) de la facilidad •Facilidad que mantiene información de salud protegida a nombre de una entidad cubierta es un asociado de negocio. Deberás mantener un inventario o registro de Business Associate Agreement (BAA) contratos actualizados . ▪ Contrato por escrito. • Asegura el compromiso de proteger el PHI creado, recibido, mantenido o transmitido. • Define el Plan de Respuesta en caso de incumplimiento brecha de privacidad. • Retención del BAA: 6 años 05.16.2023 46
  • 42. 10 Aspectos mínimos a ser incluidos en BAA (Business Associate Agreement) • 1. Establece el uso y divulgación de PHI permitido . • 2. Asociado de Negocio no podrá autorizar uso o divulgación de PHI que viole la ley. • 3. Asociado de Negocio implementará salvaguardas necesarias • 4. Asociado de Negocio reportará a la entidad cubierta cualquier uso o divulgación no estipulado en el contrato. • 5. Asegurar que el subcontratista del Asociado de Negocio cumpla con las mismas restricciones. • 6. Asociado de Negocio debe satisfacer el derecho al acceso, ha enmendar y a la contabilidad de la divulgación. • 7. Asociado de Negocio cumplirá con los requerimientos de la entidad cubierta relacionados con requisitos organizacionales del uso y divulgación de PHI. • 8. Asociado de Negocio tendrá disponible libros, manuales, registros, expedientes relacionados al uso y divulgación de PHI • 9. Al terminar el contrato se devolverá/destruirá PHI creado, recibido por el Asociado de Negocio . • 10. Autoriza al entidad cubierta a la terminación inmediata del contrato. 05.16.2023 47
  • 44. Outcome of Complaint Investigations 05.16.2023 57
  • 45. Outcome of Breach Compliance Review Investigations 05.16.2023 58
  • 47. EJEMPLOS DE LO QUE SI DEBO HACER O NO DEBO HACER PARA CUMPLIR 05.16.2023 62
  • 48. EJEMPLOS DE LO QUE SI DEBO HACER O NO DEBO HACER PARA CUMPLIR ▪ Eduque a todo el personal sobre políticas de privacidad y seguridad ▪ Nunca llamar a una persona por condición o por procedimiento medico. ▪ Modular tono de voz cuando entreviste a paciente y/o familiar en lugar privado. ▪ No utilizar un alta voz del teléfono si esta hablando o entrevistando a una persona. ▪ No dejar desatendida una computadora que está abierta. ▪ La información que se discute o lo que se ve en el área de trabajo es confidencial y privilegiada. ▪ Requiera a todo el personal el compromiso por escrito de mantener la privacidad y la seguridad de PHI (preferiblemente anualmente firmar el acuerdo de confidencialidad) ▪ Establecer políticas y procedimientos y compartirlas con el personal. ▪ Guardar o asegurar expedientes o documentos , permitiendo el acceso solamente aquellos individuos que necesitan la información para propósitos autorizados. ▪ Nunca compartir códigos de accesos con compañeros, ni el password de la computadora. ▪ Apagar la computadora cuando se encuentre fuera del área de trabajo. ▪ Alejar el monitor de la computadora fuera de la vista del publico o utilizar una pantalla de privacidad para asegurar que la información no esta accesible accidentalmente. ▪ Triture o descarte de forma correcta todo papel que posea información protegida de salud. 05.16.2023 63
  • 49. Cont…EJEMPLOS DE LO QUE SI DEBO HACER O NO DEBO HACER PARA CUMPLIR ▪ Nunca sacamos información en computadoras, registros o USB sin los debidos controles y permisos. ▪ Nunca compartimos aunque conozcamos el/ la paciente o persona su información clínica. ▪ Nunca debemos dejar documentos, resultados de pruebas, ni cualquier otra información sensitiva desatendida en ningún momento. ▪ Evite discusiones o conversaciones en elevadores, cafeterías, lugares públicos dentro y fuera de la organización. ▪ Regrese cualquier papel con información de pacientes a su lugar apropiado o propiamente destruya cuando finalice su uso. ▪ Este consciente sobre las regulaciones de HIPAA cuando va acompañado de sus hijos u otras visitantes/ personas al área de trabajo . Los visitantes no deben tener acceso a ver PHI. ▪ Entre otros 05.16.2023 64
  • 51. HIPAA: Penalidades 05.16.2023 66 Razón Penalidad Se repite la violación en el mismo año “No Sabía” $100.00 - $50,000 $1.5 millones Causa Razonable $1,000 - $50,000 $1.5 millones Negligencia intencional (Corregida) $10,000 - $50,000 $1.5 millones Negligencia intencional (No corregida) $50,000 $1.5 millones
  • 52. 67 05.16.2023 Proceso de Notificación Violación de Privacidad
  • 53. Notificación Violación de Privacidad ▪ HIPAA Breach Notification Rule, 45 CFR §§ 164.400-414, requiere que las entidades cubiertas por HIPAA y sus socios de negocio proporcionen una notificación después de una brecha de la información de salud protegida. ▪ Disposiciones similares de notificación de infracciones aplicadas y ejecutadas por el Federal Trade Commission (FTC), aplican a los proveedores de expediente medicos de salud personales y sus proveedores de servicios externos, de conformidad con la sección 13407 of the HITECH Act. ▪ Una brecha es, generalmente, un uso o divulgación inadmisible bajo la Regla de Privacidad que compromete la seguridad o privacidad de la información de salud protegida. ▪ Se presume que un uso o divulgación inadmisible de información de salud protegida es una brecha a menos que la entidad cubierta o el socio de negocios, según corresponda, demuestre que existe una baja probabilidad de que la información de salud protegida se haya visto comprometida sobre la base de una evaluación de riesgos de al menos los siguientes factores: 05.16.2023 68
  • 54. Definición de Brecha La naturaleza y el alcance de la información protegida involucrada, incluidos los tipos de identificadores y la probabilidad de reidentificación La persona no autorizada que utilizó la información protegida o a quien se hizo la divulgación Si la información protegida fue realmente adquirida o vista La medida en que se ha mitigado el riesgo para la información protegida 05.16.2023 69
  • 55. Notificación Violación de Privacidad La regla considerara por lo menos los siguientes cuatro factores: ▪ La naturaleza y extensión del PHI que estuvo expuesto. ▪ Persona no autorizada que pudo utilizar PHI o a quienes el PHI estuvo expuesto. ▪ Donde el PHI fue vista o se tuvo acceso. ▪ Extensión del riesgo del PHI ha sido mitigado. • Aviso individual: • Estas notificaciones individuales deben proporcionarse sin demora irrazonable y en ningún caso más tarde de 60 días después del descubrimiento de una violación y deben incluir, en la medida de lo posible, una breve descripción de la violación, una descripción de los tipos de información que estuvieron involucrados en la violación, las medidas que las personas afectadas deben tomar para protegerse de un daño potencial, una breve descripción de lo que la entidad cubierta está haciendo para investigar la infracción, mitigar el daño y prevenir nuevas infracciones, así como información de contacto de la entidad cubierta (o socio comercial, según corresponda). 05.16.2023 70
  • 56. HIPAA Breach Notification – Requisitos • Aviso a los medios: • Las entidades cubiertas que experimentan una brecha que afecta a más de 500 residentes de un Estado o jurisdicción están, además de notificar a las personas afectadas, obligadas a notificar a los medios de comunicación prominentes que sirven al Estado o jurisdicción. • Es probable que las entidades cubiertas proporcionen esta notificación en forma de comunicado de prensa a los medios de comunicación apropiados que presten servicios en el área afectada. Al igual que el aviso individual, esta notificación a los medios debe proporcionarse sin demora irrazonable y, en ningún caso, más tarde de 60 días después del descubrimiento de una violación y debe incluir la misma información requerida para el aviso individual. • Después de una brecha de la información protegida de salud, las entidades cubiertas deben notificar la violación a las personas afectadas, al Secretario y, en ciertas circunstancias, a los medios de comunicación. • Aviso individual: • Las entidades cubiertas deben notificar a las personas afectadas después del descubrimiento de una brecha de la información de salud protegida no segura. Las entidades cubiertas deben proporcionar este aviso individual en forma escrita por correo de primera clase, o alternativamente, por correo electrónico si el individuo afectado ha aceptado recibir dichos avisos electrónicamente. • Si la entidad cubierta tiene información de contacto insuficiente o desactualizada para 10 o más personas, la entidad cubierta debe proporcionar un aviso individual sustituto publicando el aviso en la página de inicio de su sitio web durante al menos 90 días o proporcionando el aviso en los principales medios impresos o de radiodifusión donde probablemente residan las personas afectadas. 05.16.2023 71
  • 57. HIPAA Breach Notification – Requisitos • Después de una brecha de la información protegida de salud, las entidades cubiertas deben notificar la violación a las personas afectadas, al Secretario y, en ciertas circunstancias, a los medios de comunicación. Notificación por parte de un socio de negocios: • Si se produce una brecha de la información en o por un socio de negocio, debe notificar a la entidad cubierta sin demora irrazonable y a más tardar 60 días después del descubrimiento. • El socio debe proporcionar a la entidad cubierta la identificación de cada persona afectada por la brecha, así como cualquier otra información disponible que deba facilitar la entidad cubierta en su notificación a las personas afectadas. • Aviso al Secretario: • Además de notificar a las personas afectadas y a los medios de comunicación (cuando corresponda), las entidades cubiertas deben notificar al Secretary of breaches of unsecured protected health information • Las entidades cubiertas notificarán al Secretario visitando el sitio web del HHS y completando y enviando electrónicamente un formulario de informe de incumplimiento. Si una brecha afecta a 500 o más personas, las entidades cubiertas deben notificar al Secretario sin demora irrazonable y en ningún caso más tarde de 60 días después de una brecha. Sin embargo, si una brecha afecta a menos de 500 personas, la entidad cubierta puede notificar al Secretario de dichas infracciones anualmente. 05.16.2023 72
  • 60. HIPAA and Telemedicine • Cada consulta a través de Telemedicina debe tomar en cuenta la privacidad, confidencialidad y continuidad del cuidado de salud. • Salvaguarde la confidencialidad y privacidad del paciente conforme a las disposiciones de HIPAA y cualquier otra ley o reglamento federal pertinente. • Establezca medidas de seguridad para la protección de la información protegida de salud del paciente. • Seguridad - El ambiente físico, tanto de usted como del paciente, debe proveer privacidad, buena recepción de la señal y control de ruido. Informe y documente qué otras personas estarán en la transmisión o llamada, por parte del médico y del paciente. • El paciente debe consentir y el consentimiento debe ser documentado. • Tenga cuidado con utilizar plataformas que graben videos instantáneos. Recuerde que en caso de que sea necesario grabar este encuentro, debe obtener antes el consentimiento del paciente. 05.16.2023 93
  • 61. HIPAA and Telemedicine 05.16.2023 94 ▪ La Oficina de Derechos Civiles (OCR, por sus siglas en inglés) del Departamento de Salud y Servicios Humanos de EE. UU. anuncia que las Notificaciones de Discreción de Cumplimiento emitidas en virtud de la Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996 (HIPAA, por sus siglas en inglés) y la Tecnología de Información de Salud para la Salud Clínica y Económica ( HITECH) durante la emergencia de salud pública de COVID-19 vencerá a las 11:59 p. m. del 11 de mayo de 2023, debido a la expiración de la emergencia de salud pública de COVID-19. ▪ “OCR ejerció la discreción de cumplimiento de HIPAA durante la emergencia de salud pública de COVID-19 para apoyar al sector de cuidado medico y al público en la respuesta a esta pandemia”, dijo Melanie Fontes Rainer, directora de OCR. “OCR continúa apoyando el uso de telesalud después de la emergencia de salud pública al proporcionar un período de transición para que los proveedores de cuidado medico realicen los cambios necesarios en sus operaciones para brindar telesalud de manera privada y segura de conformidad con las reglas de HIPAA. ” ▪ En 2020 y 2021, la OCR publicó cuatro Notificaciones de discrecionalidad en el cumplimiento en el Registro federal sobre cómo se aplicarían las Reglas de privacidad, seguridad, notificación de incumplimiento y cumplimiento ("Reglas HIPAA") a ciertas infracciones durante la emergencia de salud pública nacional por el COVID-19. .
  • 62. HIPAA Privacy Rule Checklist • Paso 1. Designe un Oficial de privacidad de HIPAA responsable del desarrollo, implementación y cumplimiento de las políticas que cumplen con HIPAA. • Paso 2. Comprender qué es PHI, cómo se puede usar y divulgar de conformidad con HIPAA y cuándo se requiere la autorización de una persona. • Paso 3. Identificar los riesgos de privacidad de PHI e implementar salvaguardas para minimizar los riesgos a un nivel "razonable y apropiado". • Paso 4. Desarrollar políticas y procedimientos para usar y divulgar PHI de conformidad con HIPAA y para prevenir violaciones de HIPAA. • Paso 5. Desarrollar políticas y procedimientos para obtener autorizaciones y para dar a las personas la oportunidad de estar de acuerdo u objetar cuando sea necesario. • Paso 6. Desarrollar y distribuir un Aviso de prácticas de privacidad que explique cómo la organización usa y divulga la PHI y describe los derechos de las personas. • Paso 7. Desarrollar políticas y procedimientos para administrar las solicitudes de acceso de los pacientes (a su PHI), las solicitudes de enmiendas y las solicitudes de transferencia de datos. • Paso 8. Desarrollar procedimientos para que los miembros de la fuerza laboral reporten violaciones de HIPAA y para que la organización cumpla con sus requisitos de notificación de violacion. • Paso 9. Capacitar a los miembros de la fuerza laboral sobre las políticas y procedimientos relevantes de sus roles y sobre el cumplimiento general de HIPAA. • Paso 10. Desarrollar y distribuir una política de sanciones que describa las sanciones por incumplimiento de las políticas HIPAA de la organización. • Paso 11. Realice la diligencia debida sobre los Socios de negocio, revise los Acuerdos de asociado de negocio existentes y modifique según sea necesario. • Paso 12. Desarrollar y documentar un plan de contingencia para responder a una emergencia que cause algún daño a los sistemas o la ubicación física en la que se mantiene la PHI. 05.16.2023 95
  • 63. HIPAA Security Rule Checklist • Paso 1. Designe un oficial de seguridad de HIPAA. El rol se puede asignar al Oficial de privacidad de HIPAA; pero en organizaciones más grandes, es mejor designar el rol a un miembro del equipo de TI. • Paso 2. Determine qué sistemas crean, reciben, mantienen o transmiten ePHI y protéjalos del acceso no autorizado desde otras partes de la infraestructura de IT de la organización. • Paso 3. Implemente medidas que mitiguen las amenazas de malware, ransomware y phishing. Por ejemplo, filtros avanzados de correo electrónico e Internet con capacidades de detección de URL maliciosas. • Paso 4. Establezca qué miembros de la fuerza laboral deben tener acceso a ePHI e implemente controles de acceso basados ​​en roles para evitar que los usuarios accedan a más ePHI de lo que se supone que deben. • Paso 5. Implementar un sistema para verificar la identidad de los miembros del personal para cumplir con los requisitos de acceso físico, seguridad de la estación de trabajo y registro de eventos de la regla de seguridad. • Paso 6. Realice un inventario de los dispositivos utilizados para acceder a ePHI y los medios en los que se almacena. Asegúrese de que exista un sistema para registrar cualquier movimiento de dispositivos y medios. • Paso 7. Asegúrese de que todos los dispositivos utilizados para acceder a ePHI, incluidos los dispositivos remotos y personales, estén bloqueados con PIN y tengan activadas las capacidades de cierre de sesión automático para evitar el acceso no autorizado. • Paso 8. Implemente procesos para que los miembros autorizados de la fuerza laboral informen incidentes de seguridad o eleven las inquietudes de seguridad al oficial de seguridad o al centro de operaciones de seguridad. • Paso 9. Implementar un programa de capacitación de concientización sobre seguridad para todos los miembros de la fuerza laboral que incorpore cómo escalar las preocupaciones de seguridad y los procedimientos de informe de incidentes. • Paso 10. Desarrolle una política de sanciones que explique las sanciones por violar las políticas de seguridad de la organización y distribúyala entre todos los miembros de la fuerza laboral (incluso aquellos que no tienen acceso a ePHI). • Paso 11. Desarrolle un plan de contingencia para eventos previsibles que puedan amenazar la confidencialidad, integridad y disponibilidad de ePHI, y pruebe el plan contra cada tipo de evento. • Paso 12. Revise los Acuerdos de socios de negocio existentes relacionados con las divulgaciones de ePHI y reemplace cualquiera que no cumpla con los Requisitos organizacionales de la Regla de seguridad de HIPAA 05.16.2023 96
  • 65. Conclusion 05.16.2023 98 Mantener la información protegida y segura Cumplir con las políticas y los procedimientos de su lugar de trabajo con relación a la Privacidad, Confidencialidad y Seguridad de la Información. No sacar fuera de la facilidad información que posea data con PHI de pacientes sin autorización Cumplir con cada una de las partes de la ley estatales como federales.
  • 66. Referencias 1. https://www.hhs.gov/hipaa/for-individuals/guidance-materials-for-consumers/index.html 2. https://www.dell.com/support/article/en-pr/sln265920/cu%C3%A1les-son-los-distintos-tipos-de- virus-spyware-y-malware-que-pueden-infectar-mi-computadora?lang=es 3. https://www.hhs.gov/hipaa/for-professionals/index.html 4. https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/examples/by- issue/index.html#impermissible 5. https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/examples/index.html 6. https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/data/top-five-issues- investigated-cases-closed-corrective-action-calendar-year/index.html 7. HHS Office for Civil Rights Announces the Expiration of COVID-19 Public Health Emergency HIPAA Notifications of Enforcement Discretion https://www.hhs.gov/about/news/2023/04/11/hhs-office-for-civil-rights-announces-expiration-covid-19-public-health-emergency- hipaa-notifications-enforcement-discretion.html 05.16.2023 100