Este documento proporciona definiciones clave relacionadas con HIPAA como privacidad, confidencialidad, entidad cubierta y socio comercial. Explica que HIPAA establece estándares nacionales para proteger cierta información de salud y cubre a proveedores de atención médica, planes de salud y otras entidades. También requiere capacitación para el personal sobre el uso y divulgación de información protegida de salud.
patologia de robbins capitulo 4 Lesion celular.pdf
HIPAA 2023 05.15.2023 (1).pdf
1. ❑HIPAA
2023
• Carmen Y Ibarrondo MS RHIA
CHPS CCS-P CPMA
ICD10CM/PCS AHIMA Trainer
05.16.2023 1
2. Definiciones
❑ Privacidad – Derecho a que la información de salud no sea divulgada.
❑ Confidencialidad – Es una condición. Certeza de que solo personas de un determinado dominio, rango o nivel, con
conocimiento de la persona, con una razón valida tiene acceso a la información.
❑ Entidad cubierta- Aquellas facilidades que transmite, almacena o maneja información protegida de salud (PHI). Se
divide en: Planes de salud, Clearinghouse y proveedores de cuidado de salud.
❑ Business associate - Persona u organización que realiza ciertas funciones comerciales en nombre de la entidad
cubierta e involucra el uso, mantenimiento o divulgación de PHI. Antes de divulgar la PHI a un socio comercial,
las entidades cubiertas son obligados a firmar un acuerdo escrito que impone salvaguardas.
❑ Seguridad – Es una protección. Capacidad de controlar el acceso a la información prevenir alteración, destrucción o
pérdida de información.
❑ Uso – Compartir, emplear, aplicar, utilizar, examinar o analizar la información dentro de la entidad que mantiene esa
información.
❑ Divulgación – Entrega, transferencia, proveer acceso o divulgar en cualquier forma la información fuera de la entidad
que mantiene la información.
❑ Violación o Brechas – Fracaso o fallo en cumplir con las provisiones de las simplificaciones administrativas de la ley
HIPAA.
05.16.2023 5
3. HIPAA
Ley Pública Núm. 104-191 de 1996
• Health Insurance Portability and Accountability Act of 1996 (HIPAA). Esta ley es la primera protección federal integral para los
privacidad de la información personal de salud (PHI), aprobado por el Congreso en 1996, y implementado en abril de 2003.
The Standards for Privacy of Individually Identifiable Health Information ("Privacy Rule")
• Establece, por primera vez, un conjunto de estándares nacionales para la protección de cierta información de salud. El Departamento de
Salud y Servicios Humanos de EE. UU. ("HHS") emitió la Regla de Privacidad para implementar el requisito de la Ley de Portabilidad y
Responsabilidad de Seguros Médicos de 1996 ("HIPAA").
• Los estándares de la Regla de Privacidad abordan el uso y la divulgación de información personal información de salud—llamada
"información de salud protegida" por organizaciones sujetas a la Regla de Privacidad—llamadas "entidades cubiertas", así como
estándares para los derechos de privacidad de las personas para comprender y controlar cómo se usa su información de salud.
• Dentro del HHS, la Oficina de Derechos Civiles ("OCR") tiene la responsabilidad de implementar y hacer cumplir la Regla de Privacidad
con respecto a las actividades de cumplimiento voluntario y las sanciones monetarias civiles.
• Parte de la ley dispone privacidad, confidencialidad y seguridad de información de salud de pacientes. El cumplimiento de esta ley es
mandatorio.
05.16.2023 6
4. HIPAA
▪ Uno de sus objetivos principales de la regla de privacidad es asegurar que la información de salud de
las personas esté debidamente protegida mientras se permite el flujo de información de salud
necesaria para brindar y promover cuidado medico de alta calidad y proteger la salud y el bienestar
del público.
▪ La Regla logra un equilibrio que permite usos importantes de la información, mientras protege la
privacidad de las personas que buscan atención y cuidado/tratamiento. La Regla está diseñada para
ser flexible y completa para cubrir la variedad de usos y divulgaciones que deben abordarse.
▪ Las entidades reguladas por la Regla están obligadas a cumplir con todos sus requisitos aplicables.
05.16.2023 7
5. Antecedentes legales y reglamentarios
▪ La ley Pública 104-191, se promulgó el 21 de agosto de 1996.
▪ Las secciones 261 a 264 de HIPAA requieren que el Secretario del HHS
publique los estándares para el intercambio electrónico, la privacidad y la
seguridad de información de salud. En conjunto, se conocen como las
disposiciones de Simplificación Administrativa.
▪ La regulación final, la Regla de Privacidad, se publicó el 28 de diciembre
de 2000.
▪ Existe un texto que combina la regulación final y las modificaciones en 45
CFR Parte 160 y Parte 164, Subpartes A y E.
05.16.2023 8
6. HIPAA Consta de 5 Títulos
• Los áreas en el Título II: Sub-título F dentro
de lo que simplificación administrativa son:
▪ Privacidad y Confidencialidad de
la información de salud que
identifica al individuo.
▪ Seguridad electrónica.
▪ Estandarización de transacciones
electrónicas y grupo de códigos .
▪ Identificadores únicos.
• Mantener la información del paciente, sea
escrita, verbal o electrónica de manera
privada y segura.
• Debes asegurar de la información su:
Confidencialidad, Integridad y Disponibilidad
/Acceso (CIA siglas en ingles) .
• Todo empleado debe poseer el
conocimiento sobre el uso e intercambio
de información de salud protegida y es por
esto que se orienta a todos los empleados
de la facilidad.
05.16.2023 10
7. HIPAA
❑Si ve, usa o comparte la información de salud
protegida (PHI) de una persona o trabaja
directamente con los pacientes, es su
responsabilidad proteger la privacidad del
paciente.
❑HIPAA incluye todas las entidades que
proporcionan, facturan, pagan el cuidado de
salud o procesan información de salud.
❑ Estos incluyen lo siguiente:
❑ Health care providers
❑ Health Plans
❑ Clearinghouses
❑ Business associates
¿Cuál es el propósito de HIPAA?
❑Proteger la privacidad de los datos
personales y información de salud.
❑Proporcionar seguridad electrónica y
física de información personal y de salud
❑Estandarizar la codificación para
simplificar la facturación y otras
transacciones
05.16.2023 11
8. Proveedores de servicios de salud
▪ Cada proveedor de cuidado medico, independientemente de su tamaño, que transmite
electrónicamente información de salud en relación con ciertas transacciones, es una entidad
cubierta.
▪ Estas transacciones incluyen:
▪ Reclamaciones
▪ Consultas de elegibilidad de beneficios,
▪ Solicitudes de autorización de referidos u otras transacciones para las cuales el HHS ha establecido estándares
bajo la Regla de Transacciones de HIPAA.
▪ El uso de tecnología electrónica, como el correo electrónico, no significa que un proveedor de
cuidado medico sea una entidad cubierta; la transmisión debe estar relacionada con una transacción
estándar.
▪ La regla de privacidad cubre a un proveedor de cuidado médico, ya sea que transmita
electrónicamente estas transacciones directamente o utilice un servicio de facturación u otro tercero
para hacerlo en su nombre.
▪ Los proveedores de cuidado medico incluyen todos los "proveedores de servicios" (p. ej.,
proveedores institucionales como hospitales) y "proveedores de servicios médicos o de salud" (p.
ej., proveedores no institucionales como médicos, dentistas y otros profesionales) según lo define
Medicare, y cualquier otra persona u organización que proporcione, facture o reciba un pago por el
cuidado medico.
05.16.2023 12
9. Qué información está protegida Información
de Salud Protegida (siglas en ingles PHI)
❑Información que puede ser utilizada directa o indirectamente para identificar un individuo
❑Incluye Individually Identifiable Health Information (IIHI) como:
❑ Nombre
❑ Dirección
❑ Fechas de nacimiento
❑ Número de seguro social
❑ Direcciones de correo electrónico
❑ Números de cuenta o registro médico
❑ Imágenes fotográficas
❑ Números de registros médicos
❑ Números de certificación/licencia
❑ Números de teléfono o fax
❑ Cualquier “otro” número de identificación, característica o código
❑ Información que médicos, enfermeras y otros proveedores de cuidado medico ingresan en el expediente médico.
❑ Conversaciones que su médico tiene sobre el cuidado medico o tratamiento con enfermeras y otras personas.
❑ Información sobre el sistema informático de transacciones de la aseguradora de salud.
❑ Información de facturación en la clínica.
05.16.2023 13
10. Lo que requiere la ley sobre los
adiestramientos al personal
❑Las leyes federales y regulaciones requieren que las entidades
cumplan con la regla de Privacidad, Notificación de
Incumplimiento o brecha y Seguridad Electrónica;
❑La ley requiere que el personal este adiestrado con los cambios.
❑Se deberá adiestrar a: Empleados, voluntarios y otras personas
están bajo el directo control de la entidad sin importar si esta
recibiendo pago por servicios.
05.16.2023 14
11. Evolución de la Ley HIPAA
❑ Health Insurance Portability and Accountability Act (HIPAA) 1996
❑ Ley 104-191
❑ 45 CFR 160 &164
❑ Privacy Rule 04/2003
❑ Security Rule 04/2005
❑ American Recovery and Reinvestment Act (ARRA)
❑ February /2009
❑ Título XIII: Health Information Technology for Economic and Clinical
Health Act (HITECH)
❑ HIPAA Omnibus Rule
❑ September /23/2013
05.16.2023 15
12. HIPAA y leyes de Puerto Rico
❑ HIPAA aplica a todos los estados, Puerto Rico y territorios por disposición
expresa del Congreso.
❑ La ley persigue estandarizar el derecho a la protección de su información
de salud de los pacientes.
❑ Ocupa el campo estatal, desplaza, sustituye y prevalece sobre cualquier ley
local que sea contraria.
❑ La propia ley establece límites a su ocupación del campo estatal.
❑ Dispone que cualquier legislación local presente o futura que sea más
estricta , prevalecerá sobre HIPAA.
❑ Se define más estricta aquella legislación que:
❑ Concede mayor acceso y derechos al paciente en cuanto a su
información de salud.
05.16.2023 16
13. Quién debe seguir estas leyes
• Los asociados de negocio de las entidades cubiertas deben seguir partes de las regulaciones de
HIPAA.A menudo, los contratistas, subcontratistas y otras personas y empresas externas que no son
empleados de una entidad cubierta necesitarán tener acceso a su información médica cuando brinden
servicios a la entidad cubierta.
• Llamamos a estas entidades " asociados de negocio ".
• Ejemplos de asociados de negocio incluyen: Empresas que ayudan a sus médicos a cobrar por
brindar servicios médicos , incluidas las empresas de facturación y las empresas que procesan
reclamaciones de servicios médicos.
• Empresas que ayudan a administrar planes de salud Personas como abogados externos, contables y
especialistas en information technology (IT) Empresas que almacenan o destruyen registros médicos
• Las entidades cubiertas deben tener contratos vigentes (BAA) con sus
asociados de negocio , asegurándose de que utilicen y divulguen su información
médica de manera adecuada y la protejan de manera adecuada.
• Los asociados de negocio también deben tener contratos similares con subcontratistas. Los asociados de
negocio (incluidos los subcontratistas) deben seguir las disposiciones de uso y divulgación de sus
contratos y la Regla de privacidad, y los requisitos de protección de la Regla de seguridad.
05.16.2023 17
14. Como se protege esta información
❑Las entidades cubiertas deben implementar medidas de seguridad
para proteger la información médica y asegurarse de que no utilicen o
divulguen su información médica de manera inapropiada.
❑Las entidades cubiertas deben limitar razonablemente los usos y
divulgaciones al mínimo necesario para lograr su propósito previsto.
❑Las entidades cubiertas deben tener procedimientos establecidos
para limitar quién puede ver y acceder a su información médica, así
como implementar programas de capacitación para empleados sobre
cómo proteger su información médica.
❑Los socios comerciales también deben implementar medidas de
seguridad para proteger su información médica y asegurarse de que
no utilicen o divulguen su información médica de manera inapropiada.
05.16.2023 18
15. 18 Identificadores de Información de Salud
1. Nombre
2. Ciudad, calle, precinto y código postal
3. Fechas excepto año, directamente
relacionadas con el individuo: nacimiento,
admisión, alta, muerte, edades mayor de 89
años
4. Numero de fax
5. Numero de teléfono
6. Dirección de correo electrónico
7. Numero de cuenta
8. Numero Seguro Social
9. # de licencias o certificados
10. Numero de tablilla
11. # de serie o identificador de equipo medico
12. Web URL, directorio y/o pagina web
13. Direcciones de Internet Protocol (IP)
14. Identificadores Biométricos
15. #Vehicle Identification Number (VIN)
16. Dominio
17. Directorio, subdirectorio
18. Pagina Web
05.16.2023 19
16. Estándar Mínimo Necesario
Solamente el personal que necesita PHI para ejecutar sus tareas deberán tener acceso al mismo.
• Realizar esfuerzos razonables para limitar divulgación y solicitudes de información de salud protegida
(PHI) al mínimo necesario.
• Los empleados de acuerdo a su rol y funciones deberá utilizar o compartir solamente el mínimo
necesario de la información para llevar a cabo su trabajo o funciones.
• Pregúntese:
• ¿Cuál es la cantidad mínima de información que yo necesito, para realizar mi trabajo?
05.16.2023 20
17. Oficial de Privacidad / Seguridad
❑Nombrar un Oficial de Privacidad y un oficial de Seguridad y/o
Comité.
❑Descripción de puesto donde se indique cuáles son las
responsabilidades y funciones.
❑Una o diferentes personas.
❑ Persona contacto en cualquier incidente , recibirá quejas y
querellas de pacientes.
❑Responsable de adiestramientos a toda la fuerza trabajadora.
❑ Desarrollara y aplicara políticas de sanciones a la fuerza
trabajadora que falle en cumplir con la ley en conjunto con
Recursos Humanos.
¿Conoce usted a su oficial de Privacidad?
05.16.2023 21
19. Principio Basico de la Regla de Privacidad
▪ Es definir y limitar las circunstancias en las que las entidades
cubiertas pueden usar o divulgar la información de salud
protegida de un individuo.
▪ Una entidad cubierta no puede utilizar ni divulgar información
de salud protegida, excepto:
▪ (1) Según lo permita o exija la Regla de Privacidad;
▪ (2) El individuo que es el sujeto de la información (o el representante
personal del individuo) autoriza por escrito
05.16.2023 23
20. Divulgaciones Requeridas
• Una entidad cubierta debe divulgar información de salud protegida
en solo dos situaciones:
• (a) a individuos (o sus representantes personales) específicamente cuando
solicitan acceso a, o un informe de las divulgaciones de su información de
salud protegida;
• (b) al HHS cuando esté llevando a cabo una investigación o revisión de
cumplimiento o una acción de cumplimiento.
05.16.2023 24
21. Derechos de Pacientes: Notificación de Privacidad (§164.520)
❑ Todo paciente deberá recibir una Notificación de Practica de Privacidad (NPP)
❑ Actualizada
❑ Copia a cada paciente donde se tomara la firma como evidencia de que se le entregó.
❑ Es información escrita relacionada con la privacidad que deben darse a cada paciente.
❑ La notificación deberá incluir la siguiente información:
❑ Como se puede utilizar y divulgar información protegida de salud.
❑ Derechos de pacientes con respecto a la información.
❑ Como puede ejercer sus derechos incluyendo querellarse de la entidad cubierta.
❑ Las responsabilidades legales con respecto a la información incluyendo regla de como se mantiene la privacidad
de la información protegida de salud(PHI).
❑ Que personas o individuo puede contactar para mas información sobre las políticas de privacidad de la facilidad.
❑ Componentes:
❑ Header
❑ Usos y divulgaciones
❑ Declaración separada para ciertos usos y divulgaciones
❑ Declaración de los derechos del individuo (como una contabilidad)
❑ Declaración de los deberes de la entidad cubierta
❑ Una declaración de cómo emitir una queja
❑ Información del contacto
❑ Una fecha de vigencia
05.16.2023 25
22. Acceso del individuo a la PHI
05.16.2023 26
▪ Inspeccionar y recibir una copia de su información protegida de salud en un set de records designado
▪ Tiene treinta (30) días del recibo de la solicitud.
▪ Sesenta (60) días si no lo estuviera en las facilidades ya que se puede solicitar una extensión de treinta (30) días
adicionales. Se enviara carta al paciente notificándole la extensión y cuando sera entregada la misma
▪ Importante que el paciente provea suficiente información para verificar y validar la identidad.
▪ Las personas tienen derecho ha inspeccionar, acceder u obtener copias de su propia PHI.
▪ Se debe obtener una solicitud por escrito para el registro para documentar la divulgación.
▪ Una entidad cubierta puede denegar el acceso a un individuo, sin proporcionar al individuo la oportunidad de revisar, en las
siguientes circunstancias:
▪ Notas de psicoterapia
▪ Información compilada en una anticipación razonable de, o para uso en una acción o procedimiento civil, penal o
administrativo
▪ El acceso de una persona a la PHI creada u obtenida por un proveedor de atención médica en el curso de una
investigación que incluye tratamiento mientras la investigación está en progreso
▪ Si la PHI fue obtenida por alguien que no sea un médico proveedor bajo una promesa de confidencialidad y acceso
revelará la fuente de información.
▪ Obtener copia de su información de salud protegida (PHI) (§164.24)
▪ La entidad cubierta proveerá copia al paciente cobrando lo que disponen las leyes de Puerto Rico o federales.
▪ Será un cargo razonable.
▪ Solicitud - En formato electrónico cuando sea requerido por el paciente la copia
▪ De no ser así – estar de acuerdo ambas partes en que método deberán utilizar.
23. Solicitud de enmiendas al expediente medico
❑Todo paciente tiene el derecho a solicitar enmienda a su información del
expediente medico por escrito.
❑Deberá describir la información especifica que el paciente entiende que es
inexacta, incompleta, irrelevante, fuera de tiempo y razón por lo que cree
esto.
❑Deberá ser manejado por el oficial de privacidad y deberá ser en un periodo
de 60 días.
05.16.2023 27
24. Contabilidad de Divulgación de Información (§164.528)
▪ Todo paciente tiene el derecho a solicitar un listado por escrito de las divulgaciones realizadas de su
información protegida de salud.
▪ Proveer divulgaciones de PHI hechas en los seis (6) años previo a la solicitud { A partir del 14 de abril de
2003
▪ Una contabilidad de divulgación es un listado que posee:
▪ Nombre de la persona o entidad que la información PHI fue divulgada.
▪ Fecha en el cual el PHI fue divulgado
▪ Descripción de la información divulgada
▪ Propósito de la divulgación
▪ La entidad cubierta tiene sesenta (60) días para responder a una solicitud de contabilidad.
▪ Se permite una extensión de treinta (30) días notificando al paciente.
05.16.2023 28
25. Derechos de Pacientes: Envío de PHI por medios o lugares
alternos (§164.522)
Solicitar y recibir
comunicaciones
confidenciales de la entidad
cubierta a una dirección
alterna.
Alterno es que el paciente
desee recibir los documentos
de manera personal ha otra
dirección que no es su
dirección permanente.
No se deberá permitir
múltiples direcciones o sea
mas de dos.
Correo electrónico (email) no
es una alternativa de
comunicación confidencial, a
menos que la data este
encriptada.
05.16.2023 29
26. Derechos de Pacientes Derecho a Restricción (§164.522)
▪ Restringir su PHI pero deberá cumplir con lo siguiente:
▪ Por escrito
▪ Detallar cual es la restricción solicitada
▪ Especificar a quien desea que se le aplique.
▪ No se puede restringir a Medicare – Le aplica ley del Seguro
social.
▪ La facilidad puede denegar la solicitud.
▪ Si acepta está obligada a cumplir; y no hacerlo implica
violación de ley y podría exponerse a demanda.
05.16.2023 30
27. Derecho de Pacientes: Divulgación Incidental
• Debido a la naturaleza de los servicios de salud y el tipo de conversaciones existe
el potencial de que se divulgue información protegida de manera incidental.
• Ejemplo:
❑Un visitante escucha una conversación de un medico con otro; o con un
profesional de la salud sobre un paciente.
❑Un paciente ve información limitada dentro de un expediente de pacientes.
05.16.2023 31
28. Derecho de Pacientes: Querella
▪ Si entiende que se le han violado sus derechos
establecidos en la Ley HIPAA
▪ Puede radicar una querella:
✓ Oficial de Privacidad de la entidad cubierta
✓ Oficina del Procurador del Paciente ( Ver
mapa)
✓ Oficial de Privacidad de una aseguradora
✓ Depto. Salud Federal con la Oficina de
Derechos Civiles (OCR).
▪ Debe ser por escrito
▪ Mencionar de quien y sobre qué es la
querella
05.16.2023 32
30. Uso y Divulgación Permitidas
1. Individuo
▪ Una entidad cubierta puede divulgar PHI al paciente ya que es el
dueño de su información.
▪ Debe llenar una autorización de divulgación de información.
▪ El formato de Autorizacion posee unos campos requeridos en el
mismo que deben ser cumplimentados en todas sus partes.
▪ Debe incluir cuando expira la autorización entre otros elementos
requeridos.
05.16.2023 34
31. Tratamiento, Pago y Operación de Cuidado
de Salud
• Divulgar o utilizar información protegida de salud para :
• Tratamiento: Provision, coordinación o manejo de cuidado de salud y servicios relacionados de un paciente
por uno o mas proveedores , incluyendo consultas entre proveedores relacionadas a pacientes y referidos de
un paciente de un proveedor a otro.
• Referidos a otros proveedores (laboratorios, Rayos X, procedimientos de imágenes)
• Anotaciones en el expediente clínico
• Recetas para medicamentos u equipos
• Pago: Incluye las actividades de un plan de salud para obtener primas, determinar o cumplir con las
responsabilidades de cobertura y provisión de beneficios, y brindar u obtener el reembolso por el cuidado médico
brindado a un individuo y las actividades de un proveedor para obtener el pago o ser reembolsado por la provisión de
cuidado médico a un individuo.
• Facturar al asegurador, al plan médico, o a otro proveedor (en caso de un referido)
• Pre autorizaciones, coordinación de beneficios, determinación de necesidad médica, etc.
• Operación de cuidado de salud:
• Evaluación del personal, auditorias, estudios, competencias y evaluaciones de calidad de servicios
• Discusión de casos por la facultad y/o con residentes
05.16.2023 35
32. Tratamiento, Pago y Operación de Cuidado
de Salud
• Operación de cuidado de salud:
(a)Actividades de evaluación y mejoramiento de la calidad, incluyendo el manejo de casos y la coordinación del
cuidado;
(b)Actividades de estimado de la competencia, incluyendo la evaluación, acreditación y acreditación del desempeño
del proveedor o del plan de salud;
(c)Realizar o coordinar revisiones médicas, auditorías o servicios legales, incluidos los programas de cumplimiento
y detección de fraude y abuso;
(d)Funciones específicas de seguros, tales como suscripción, calificación de riesgo y riesgo de reaseguro;
(e)Planificación, desarrollo, manejo y administración de negocios;
(f) la gestión comercial y las actividades administrativas generales de la entidad, incluyendo entre otras: de
identificación de la información de salud protegida, creación de un conjunto de datos limitado y cierta
recaudación de fondos ( Fundraising) en beneficio de la entidad cubierta.
05.16.2023 36
33. Tratamiento, Pago y Operación de Cuidado
de Salud
▪ La mayoría de los usos y divulgaciones de notas de psicoterapia con
fines de tratamiento, pago y operaciones de cuidado médico requieren
una autorización.
▪ Obtener el "consentimiento" (permiso por escrito de las personas para
usar y divulgar su información médica protegida para tratamiento, pago
y cuidado médico). operaciones) es opcional bajo la Regla de
Privacidad para todas las entidades cubiertas.
▪ El contenido de un formulario de consentimiento y el proceso para
obtener el consentimiento quedan a discreción de la entidad cubierta
que elige buscar el consentimiento.
05.16.2023 37
34. Uso y Divulgación Permitidas
3) Uso y divulgación con oportunidad de estar de acuerdo u objetar
▪ El permiso informal se puede obtener solicitándolo directamente a la persona o mediante
circunstancias que claramente le den a la persona la oportunidad de aceptar, consentir u
objetar.
▪ Cuando la persona está incapacitada, en una situación de emergencia o no está
disponible, las entidades cubiertas generalmente pueden hacer tales usos y
divulgaciones, si en el ejercicio de su juicio profesional, se determina que el uso o la
divulgación es en el mejor interés de la persona.
05.16.2023 38
35. Uso y Divulgación Permitidas
▪ Uso y divulgación incidental – Entidad cubierta establece o lleva a cabo seguridad
razonable con la información que fue compartida y fue limitada al mínimo necesario.
▪ La regla de privacidad no requiere que cada riesgo de uso incidental o divulgación
de información de salud protegida sea eliminada.
▪ Un uso o divulgación de esta información que ocurra como resultado de, o como
"incidente de", un uso o divulgación permitido de otro modo está permitido siempre
que la entidad cubierta haya adoptado medidas de seguridad razonables según lo
exige la Regla de Privacidad, y la información que se compartido se limitó al
"mínimo necesario", según lo exige la Regla de Privacidad.
05.16.2023 39
36. Uso y Divulgación Permitidas
▪ Set de datos limitados – Se utiliza y divulga para:
▪ Propósitos de salud publica,
▪ Operación de cuidado de salud
▪ Investigación.
▪ Actividades de beneficio e interés publico – Se permite el uso o divulgación de
PHI si la autorización del paciente es para alguno de los 12 propósitos de
prioridad nacional a continuación…
05.16.2023 40
37. Autorización
Una entidad cubierta debe:
▪ Obtener la autorización por escrito de la persona para cualquier uso o divulgación de información
médica protegida que no sea para tratamiento, pago u operaciones de cuidado médico o que la
Regla de Privacidad permita o exija de otro modo.
▪ No puede condicionar el tratamiento, pago, inscripción o elegibilidad de beneficios en un individuo
que otorga una autorización, excepto en circunstancias limitadas.
▪ Debe estar escrita en términos específicos, la autorización.
▪ Puede permitir el uso y la divulgación de información médica protegida por la entidad cubierta que
solicita la autorización o por un tercero.
▪ Los ejemplos de divulgaciones que requerirían la autorización de una persona incluyen:
▪ Divulgaciones a una aseguradora de vida con fines de cobertura,
▪ Divulgaciones a un empleador de los resultados de un examen físico o de laboratorio previo al
empleo,
▪ Divulgaciones a una empresa farmacéutica para sus propios fines de mercadeo.
▪ Las autorizaciones deben estar en lenguaje sencillo y contener información específica
sobre la información que se divulgará o utilizará, la(s) persona(s) que divulga(n) y
recibe(n) la información, el vencimiento, el derecho de revocación por escrito y otros
datos.
05.16.2023 41
38. Notas de Psicoterapia
Una entidad cubierta debe obtener la autorización de una persona
para usar o divulgar notas de psicoterapia con las siguientes
excepciones:
▪ La entidad cubierta que originó las notas podrá utilizarlos para
tratamiento.
▪ Una entidad cubierta puede utilizar o divulgar, sin la autorización de una
persona, las notas de psicoterapia, para su propia capacitación y para
defenderse en procedimientos legales iniciados por la persona, para que
el HHS investigue o determine el cumplimiento de las Reglas de
privacidad por parte de la entidad cubierta, para evitar una amenaza
grave e inminente para la salud o la seguridad pública, a una agencia de
supervisión de la salud para la supervisión legal del autor de las notas de
psicoterapia, para las actividades legales de un médico forense o
examinador médico o según lo exija la ley.
05.16.2023 42
39. 12 propósitos de prioridad nacional
1.Requerido por la ley.
2. Actividades de Salud Publica:
• Abuso o negligencia contra niños o envejecientes
• Entidades sujetas a regulaciones del FDA
• Individuos que pueden haber contraído o estar expuestos a una enfermedad transmisible
• Informe de vacunas.
3. Victimas de abuso, negligencia o violencia domestica.
4. Actividades de vigilancia en salud ( oversight)
5. Procedimientos Administrativos y Judiciales
• Orden de corte, subpoena o proceso legal
6. Cumplimiento de ley (Law enforcement)- Requerido por ley, identificar sospechosos, fugitivos, ser testigos o una persona
perdida, victima o sospecha de crimen
05.16.2023 43
40. 12 propósitos de prioridad nacional
7) Descendientes – Divulgar a directores de funeraria, médicos forenses o examinadores para identificar una
persona que ha fallecido, causa de muerte y realizar otras funciones autorizadas por ley.
8) Donación de tejidos, ojos y órganos cadavéricos: Para facilitar la donación o trasplante.
9) Investigación: Para desarrollar o contribuir al conocimiento generalizado.
10) Amenaza seria a la seguridad o salud: Prevenir o reducir una amenaza inminente a una persona o publico.
Puede divulgar ha oficiales del orden publico.
11) Funciones gubernamentales esenciales: La ejecución de una misión militar y, conducir actividades de
seguridad nacional e inteligencia autorizadas por ley, protección al presidente, entre otros.
12) Worker’s compensation: Utilizar y divulgar PHI para cumplir con leyes y otros programas similares que
proveen beneficios al empleado que esta relacionado con la enfermedad o trauma.
05.16.2023 44
41. Asociado de negocio
Persona que a nombre de la Entidad Cubierta
•Crea, recibe, mantiene, transmite PHI para una función o actividad regulada. No es un miembro de la fuerza trabajadora de una entidad
cubierta.
•Puede ser un individuo el cual posee un acuerdo con la entidad cubierta , crea, recibe, mantiene o transmite PHI.
•Un subcontratista que crea, recibe, mantiene o transmite PHI de parte de un asociado de negocio.
Cuando realiza servicios para entidad cubierta
•Envuelve la divulgación de PHI y no es parte de la fuerza trabajadora (empleados) de la facilidad
•Facilidad que mantiene información de salud protegida a nombre de una entidad cubierta es un asociado de negocio.
Deberás mantener un inventario o registro de Business Associate Agreement (BAA) contratos actualizados .
▪ Contrato por escrito.
• Asegura el compromiso de proteger el PHI creado, recibido, mantenido o transmitido.
• Define el Plan de Respuesta en caso de incumplimiento brecha de privacidad.
• Retención del BAA: 6 años
05.16.2023 46
42. 10 Aspectos mínimos a ser incluidos en
BAA (Business Associate Agreement)
• 1. Establece el uso y divulgación de PHI permitido .
• 2. Asociado de Negocio no podrá autorizar uso o divulgación de PHI que viole la ley.
• 3. Asociado de Negocio implementará salvaguardas necesarias
• 4. Asociado de Negocio reportará a la entidad cubierta cualquier uso o divulgación no estipulado en el
contrato.
• 5. Asegurar que el subcontratista del Asociado de Negocio cumpla con las mismas restricciones.
• 6. Asociado de Negocio debe satisfacer el derecho al acceso, ha enmendar y a la contabilidad de la
divulgación.
• 7. Asociado de Negocio cumplirá con los requerimientos de la entidad cubierta relacionados con
requisitos organizacionales del uso y divulgación de PHI.
• 8. Asociado de Negocio tendrá disponible libros, manuales, registros, expedientes relacionados al uso y
divulgación de PHI
• 9. Al terminar el contrato se devolverá/destruirá PHI creado, recibido por el Asociado de Negocio .
• 10. Autoriza al entidad cubierta a la terminación inmediata del contrato.
05.16.2023 47
47. EJEMPLOS DE LO QUE SI DEBO HACER
O NO DEBO HACER PARA CUMPLIR
05.16.2023 62
48. EJEMPLOS DE LO QUE SI DEBO HACER O NO DEBO
HACER PARA CUMPLIR
▪ Eduque a todo el personal sobre políticas de privacidad y seguridad
▪ Nunca llamar a una persona por condición o por procedimiento medico.
▪ Modular tono de voz cuando entreviste a paciente y/o familiar en lugar privado.
▪ No utilizar un alta voz del teléfono si esta hablando o entrevistando a una persona.
▪ No dejar desatendida una computadora que está abierta.
▪ La información que se discute o lo que se ve en el área de trabajo es confidencial y privilegiada.
▪ Requiera a todo el personal el compromiso por escrito de mantener la privacidad y la seguridad de PHI
(preferiblemente anualmente firmar el acuerdo de confidencialidad)
▪ Establecer políticas y procedimientos y compartirlas con el personal.
▪ Guardar o asegurar expedientes o documentos , permitiendo el acceso solamente aquellos individuos
que necesitan la información para propósitos autorizados.
▪ Nunca compartir códigos de accesos con compañeros, ni el password de la computadora.
▪ Apagar la computadora cuando se encuentre fuera del área de trabajo.
▪ Alejar el monitor de la computadora fuera de la vista del publico o utilizar una pantalla de privacidad para
asegurar que la información no esta accesible accidentalmente.
▪ Triture o descarte de forma correcta todo papel que posea información protegida de salud.
05.16.2023 63
49. Cont…EJEMPLOS DE LO QUE SI DEBO HACER O NO DEBO HACER PARA CUMPLIR
▪ Nunca sacamos información en computadoras, registros o USB sin los debidos controles y
permisos.
▪ Nunca compartimos aunque conozcamos el/ la paciente o persona su información clínica.
▪ Nunca debemos dejar documentos, resultados de pruebas, ni cualquier otra información
sensitiva desatendida en ningún momento.
▪ Evite discusiones o conversaciones en elevadores, cafeterías, lugares públicos dentro y fuera
de la organización.
▪ Regrese cualquier papel con información de pacientes a su lugar apropiado o propiamente
destruya cuando finalice su uso.
▪ Este consciente sobre las regulaciones de HIPAA cuando va acompañado de sus hijos u
otras visitantes/ personas al área de trabajo . Los visitantes no deben tener acceso a ver PHI.
▪ Entre otros
05.16.2023 64
51. HIPAA:
Penalidades
05.16.2023 66
Razón Penalidad
Se repite la
violación en el
mismo año
“No Sabía” $100.00 - $50,000 $1.5 millones
Causa Razonable $1,000 - $50,000 $1.5 millones
Negligencia
intencional
(Corregida)
$10,000 - $50,000 $1.5 millones
Negligencia
intencional (No
corregida)
$50,000 $1.5 millones
53. Notificación Violación de Privacidad
▪ HIPAA Breach Notification Rule, 45 CFR §§ 164.400-414, requiere que las entidades
cubiertas por HIPAA y sus socios de negocio proporcionen una notificación después de una
brecha de la información de salud protegida.
▪ Disposiciones similares de notificación de infracciones aplicadas y ejecutadas por el Federal
Trade Commission (FTC), aplican a los proveedores de expediente medicos de salud
personales y sus proveedores de servicios externos, de conformidad con la sección 13407 of
the HITECH Act.
▪ Una brecha es, generalmente, un uso o divulgación inadmisible bajo la Regla de Privacidad que
compromete la seguridad o privacidad de la información de salud protegida.
▪ Se presume que un uso o divulgación inadmisible de información de salud protegida es una brecha
a menos que la entidad cubierta o el socio de negocios, según corresponda, demuestre que existe
una baja probabilidad de que la información de salud protegida se haya visto comprometida sobre
la base de una evaluación de riesgos de al menos los siguientes factores:
05.16.2023 68
54. Definición de
Brecha
La naturaleza y el alcance de la información
protegida involucrada, incluidos los tipos de
identificadores y la probabilidad de reidentificación
La persona no autorizada que utilizó la información
protegida o a quien se hizo la divulgación
Si la información protegida fue realmente adquirida o
vista
La medida en que se ha mitigado el riesgo para la
información protegida
05.16.2023 69
55. Notificación Violación de Privacidad
La regla considerara por lo menos los
siguientes cuatro factores:
▪ La naturaleza y extensión del PHI que
estuvo expuesto.
▪ Persona no autorizada que pudo utilizar
PHI o a quienes el PHI estuvo expuesto.
▪ Donde el PHI fue vista o se tuvo acceso.
▪ Extensión del riesgo del PHI ha sido
mitigado.
• Aviso individual:
• Estas notificaciones individuales deben
proporcionarse sin demora irrazonable y en
ningún caso más tarde de 60 días después del
descubrimiento de una violación y deben
incluir, en la medida de lo posible, una breve
descripción de la violación, una descripción de
los tipos de información que estuvieron
involucrados en la violación, las medidas que
las personas afectadas deben tomar para
protegerse de un daño potencial, una breve
descripción de lo que la entidad cubierta está
haciendo para investigar la infracción, mitigar
el daño y prevenir nuevas infracciones, así
como información de contacto de la entidad
cubierta (o socio comercial, según
corresponda).
05.16.2023 70
56. HIPAA Breach Notification – Requisitos
• Aviso a los medios:
• Las entidades cubiertas que experimentan una brecha
que afecta a más de 500 residentes de un Estado o
jurisdicción están, además de notificar a las personas
afectadas, obligadas a notificar a los medios de
comunicación prominentes que sirven al Estado o
jurisdicción.
• Es probable que las entidades cubiertas proporcionen
esta notificación en forma de comunicado de prensa a los
medios de comunicación apropiados que presten servicios
en el área afectada. Al igual que el aviso individual, esta
notificación a los medios debe proporcionarse sin demora
irrazonable y, en ningún caso, más tarde de 60 días
después del descubrimiento de una violación y debe
incluir la misma información requerida para el aviso
individual.
• Después de una brecha de la información protegida de
salud, las entidades cubiertas deben notificar la violación a
las personas afectadas, al Secretario y, en ciertas
circunstancias, a los medios de comunicación.
• Aviso individual:
• Las entidades cubiertas deben notificar a las personas
afectadas después del descubrimiento de una brecha de
la información de salud protegida no segura. Las
entidades cubiertas deben proporcionar este aviso
individual en forma escrita por correo de primera clase, o
alternativamente, por correo electrónico si el individuo
afectado ha aceptado recibir dichos avisos
electrónicamente.
• Si la entidad cubierta tiene información de contacto
insuficiente o desactualizada para 10 o más personas, la
entidad cubierta debe proporcionar un aviso individual
sustituto publicando el aviso en la página de inicio de su
sitio web durante al menos 90 días o proporcionando el
aviso en los principales medios impresos o de
radiodifusión donde probablemente residan las personas
afectadas.
05.16.2023 71
57. HIPAA Breach Notification – Requisitos
• Después de una brecha de la información
protegida de salud, las entidades cubiertas
deben notificar la violación a las personas
afectadas, al Secretario y, en ciertas
circunstancias, a los medios de
comunicación.
Notificación por parte de un socio de
negocios:
• Si se produce una brecha de la información
en o por un socio de negocio, debe notificar
a la entidad cubierta sin demora irrazonable
y a más tardar 60 días después del
descubrimiento.
• El socio debe proporcionar a la entidad
cubierta la identificación de cada persona
afectada por la brecha, así como cualquier
otra información disponible que deba facilitar
la entidad cubierta en su notificación a las
personas afectadas.
• Aviso al Secretario:
• Además de notificar a las personas
afectadas y a los medios de comunicación
(cuando corresponda), las entidades
cubiertas deben notificar al Secretary of
breaches of unsecured protected health
information
• Las entidades cubiertas notificarán al
Secretario visitando el sitio web del HHS y
completando y enviando electrónicamente
un formulario de informe de incumplimiento.
Si una brecha afecta a 500 o más personas,
las entidades cubiertas deben notificar al
Secretario sin demora irrazonable y en
ningún caso más tarde de 60 días después
de una brecha. Sin embargo, si una brecha
afecta a menos de 500 personas, la entidad
cubierta puede notificar al Secretario de
dichas infracciones anualmente.
05.16.2023 72
60. HIPAA and Telemedicine
• Cada consulta a través de Telemedicina debe tomar en cuenta la privacidad,
confidencialidad y continuidad del cuidado de salud.
• Salvaguarde la confidencialidad y privacidad del paciente conforme a las
disposiciones de HIPAA y cualquier otra ley o reglamento federal pertinente.
• Establezca medidas de seguridad para la protección de la información
protegida de salud del paciente.
• Seguridad - El ambiente físico, tanto de usted como del paciente, debe
proveer privacidad, buena recepción de la señal y control de ruido. Informe y
documente qué otras personas estarán en la transmisión o llamada, por parte
del médico y del paciente.
• El paciente debe consentir y el consentimiento debe ser documentado.
• Tenga cuidado con utilizar plataformas que graben videos instantáneos.
Recuerde que en caso de que sea necesario grabar este encuentro, debe
obtener antes el consentimiento del paciente.
05.16.2023 93
61. HIPAA and Telemedicine
05.16.2023 94
▪ La Oficina de Derechos Civiles (OCR, por sus siglas en inglés) del Departamento de Salud y Servicios Humanos de EE.
UU. anuncia que las Notificaciones de Discreción de Cumplimiento emitidas en virtud de la Ley de Portabilidad y
Responsabilidad de Seguros Médicos de 1996 (HIPAA, por sus siglas en inglés) y la Tecnología de Información de Salud
para la Salud Clínica y Económica ( HITECH) durante la emergencia de salud pública de COVID-19 vencerá a las 11:59
p. m. del 11 de mayo de 2023, debido a la expiración de la emergencia de salud pública de COVID-19.
▪ “OCR ejerció la discreción de cumplimiento de HIPAA durante la emergencia de salud pública de COVID-19 para apoyar
al sector de cuidado medico y al público en la respuesta a esta pandemia”, dijo Melanie Fontes Rainer, directora de OCR.
“OCR continúa apoyando el uso de telesalud después de la emergencia de salud pública al proporcionar un período de
transición para que los proveedores de cuidado medico realicen los cambios necesarios en sus operaciones para
brindar telesalud de manera privada y segura de conformidad con las reglas de HIPAA. ”
▪ En 2020 y 2021, la OCR publicó cuatro Notificaciones de discrecionalidad en el cumplimiento en el Registro federal
sobre cómo se aplicarían las Reglas de privacidad, seguridad, notificación de incumplimiento y cumplimiento ("Reglas
HIPAA") a ciertas infracciones durante la emergencia de salud pública nacional por el COVID-19. .
62. HIPAA Privacy Rule Checklist
• Paso 1. Designe un Oficial de privacidad de HIPAA responsable del
desarrollo, implementación y cumplimiento de las políticas que cumplen con
HIPAA.
• Paso 2. Comprender qué es PHI, cómo se puede usar y divulgar de
conformidad con HIPAA y cuándo se requiere la autorización de una persona.
• Paso 3. Identificar los riesgos de privacidad de PHI e implementar
salvaguardas para minimizar los riesgos a un nivel "razonable y apropiado".
• Paso 4. Desarrollar políticas y procedimientos para usar y divulgar PHI de
conformidad con HIPAA y para prevenir violaciones de HIPAA.
• Paso 5. Desarrollar políticas y procedimientos para obtener autorizaciones y
para dar a las personas la oportunidad de estar de acuerdo u objetar cuando
sea necesario.
• Paso 6. Desarrollar y distribuir un Aviso de prácticas de privacidad que
explique cómo la organización usa y divulga la PHI y describe los derechos de
las personas.
• Paso 7. Desarrollar políticas y procedimientos para administrar las
solicitudes de acceso de los pacientes (a su PHI), las solicitudes de
enmiendas y las solicitudes de transferencia de datos.
• Paso 8. Desarrollar procedimientos para que los miembros de la
fuerza laboral reporten violaciones de HIPAA y para que la
organización cumpla con sus requisitos de notificación de violacion.
• Paso 9. Capacitar a los miembros de la fuerza laboral sobre las
políticas y procedimientos relevantes de sus roles y sobre el
cumplimiento general de HIPAA.
• Paso 10. Desarrollar y distribuir una política de sanciones que
describa las sanciones por incumplimiento de las políticas HIPAA de la
organización.
• Paso 11. Realice la diligencia debida sobre los Socios de negocio,
revise los Acuerdos de asociado de negocio existentes y modifique
según sea necesario.
• Paso 12. Desarrollar y documentar un plan de contingencia para
responder a una emergencia que cause algún daño a los sistemas o
la ubicación física en la que se mantiene la PHI.
05.16.2023 95
63. HIPAA Security Rule Checklist
• Paso 1. Designe un oficial de seguridad de HIPAA. El rol se puede
asignar al Oficial de privacidad de HIPAA; pero en organizaciones más
grandes, es mejor designar el rol a un miembro del equipo de TI.
• Paso 2. Determine qué sistemas crean, reciben, mantienen o
transmiten ePHI y protéjalos del acceso no autorizado desde otras
partes de la infraestructura de IT de la organización.
• Paso 3. Implemente medidas que mitiguen las amenazas de malware,
ransomware y phishing. Por ejemplo, filtros avanzados de correo
electrónico e Internet con capacidades de detección de URL maliciosas.
• Paso 4. Establezca qué miembros de la fuerza laboral deben tener
acceso a ePHI e implemente controles de acceso basados en roles
para evitar que los usuarios accedan a más ePHI de lo que se
supone que deben.
• Paso 5. Implementar un sistema para verificar la identidad de los
miembros del personal para cumplir con los requisitos de acceso
físico, seguridad de la estación de trabajo y registro de eventos de
la regla de seguridad.
• Paso 6. Realice un inventario de los dispositivos utilizados para
acceder a ePHI y los medios en los que se almacena. Asegúrese
de que exista un sistema para registrar cualquier movimiento de
dispositivos y medios.
• Paso 7. Asegúrese de que todos los dispositivos utilizados para
acceder a ePHI, incluidos los dispositivos remotos y personales, estén
bloqueados con PIN y tengan activadas las capacidades de cierre de
sesión automático para evitar el acceso no autorizado.
• Paso 8. Implemente procesos para que los miembros autorizados de
la fuerza laboral informen incidentes de seguridad o eleven las
inquietudes de seguridad al oficial de seguridad o al centro de
operaciones de seguridad.
• Paso 9. Implementar un programa de capacitación de concientización
sobre seguridad para todos los miembros de la fuerza laboral que
incorpore cómo escalar las preocupaciones de seguridad y los
procedimientos de informe de incidentes.
• Paso 10. Desarrolle una política de sanciones que explique las
sanciones por violar las políticas de seguridad de la organización y
distribúyala entre todos los miembros de la fuerza laboral (incluso
aquellos que no tienen acceso a ePHI).
• Paso 11. Desarrolle un plan de contingencia para eventos previsibles
que puedan amenazar la confidencialidad, integridad y disponibilidad
de ePHI, y pruebe el plan contra cada tipo de evento.
• Paso 12. Revise los Acuerdos de socios de negocio existentes
relacionados con las divulgaciones de ePHI y reemplace cualquiera
que no cumpla con los Requisitos organizacionales de la Regla de
seguridad de HIPAA
05.16.2023 96
65. Conclusion
05.16.2023 98
Mantener la información protegida y segura
Cumplir con las políticas y los procedimientos de su lugar de trabajo con relación
a la Privacidad, Confidencialidad y Seguridad de la Información.
No sacar fuera de la facilidad información que posea data con PHI de pacientes
sin autorización
Cumplir con cada una de las partes de la ley estatales como federales.