Este documento resume la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y su Regla de Privacidad. HIPAA establece estándares para proteger la privacidad de la información médica de los pacientes y permite el flujo necesario de información para el cuidado de la salud y fines administrativos. Cubre quiénes son las entidades cubiertas por la ley y cómo pueden usar y divulgar información protegida de salud de acuerdo con la ley.

1. Health Insurance Portability Accountability Act
HIPAA
1
Lcda. Carmen Y. Ibarrondo MS RHIA CHPS CCS-P CPMA
ICD10CM/PCS AHIMA TRAINER

2. Regla de Privacidad
Es para asegurar que la información de salud este protegida adecuadamente
mientras se permite el flujo de información necesaria para promover:
• Un cuidado de salud de alta calidad
• Proteger la salud y el bienestar de los pacientes.
Establece un equilibrio que permite usos importantes de la información, mientras
protege la privacidad de las personas que buscan atención y tratamiento.
• Los estándares se refieren al uso y divulgación de la información sobre la salud
"Información médica protegida" así como estándares para las personas entender y controlar cómo se
usa su información de salud.
• Dentro de HHS, la oficina de derechos ("OCR") tiene la responsabilidad de implementar y hacer cumplir
la regla de privacidad con respecto a las actividades de cumplimiento voluntario y sanciones por
penalidades civiles.
2

3. Regla de Privacidad
Ley HIPAA
Tres categorías de Entidades
Cubiertas
• Planes Médicos
• Clearinghouses
• Proveedores de cuidado de salud
que transmiten información
electrónicamente con ciertas
transacciones administrativas y
financieras .
3

4. Asociado de Negocio
• Persona que a nombre de la Entidad Cubierta
– Crea, recibe, mantiene, transmite PHI para una función o actividad regulada.
– No es un miembro de la fuerza trabajadora de una entidad cubierta.
– Puede ser un individuo el cual posee un acuerdo con la entidad cubierta , crea,
recibe, mantiene o transmite PHI.
– Un subcontratista que crea, recibe, mantiene o transmite PHI de parte de un
asociado de negocio.
• Cuando realiza servicios para entidad cubierta
– Envuelve la divulgación de PHI y no es parte de la fuerza trabajadora
(empleados) de la facilidad
– Facilidad que mantiene información de salud protegida a nombre de una
entidad cubierta es un asociado de negocio.
4

5. Quién es una entidad cubierta y
un asociado de negocio?
Asociado de negocios
• Lleva a cabo determinadas funciones o actividades en nombre o prestación de determinados
servicios a la entidad ;que involucra el uso o divulgación de información de salud individualmente
la información.
• Funciones o actividades asociadas de negocios en nombre de una entidad cubierta
Incluyen entre otros:
• Procesamiento de reclamaciones
• Análisis de datos
• Revisión de utilización
• Facturación.
Los servicios de asociados de negocio a una entidad cubierta se limitan a los servicios legales,
actuariales, contables, consultoría, agregación de datos, administración, administración, acreditación o
servicios.
5

6. • Contrato o acuerdo establecido por escrito.
• Asegura el compromiso de proteger PHI creada,
recibida, mantenida o transmitida.
• Define el Plan de Respuesta de Incumplimientos
en Privacidad.
• Retención del BAA: 6 años
Propósito BAA
• La entidad cubierta puede utilizar un asociado de
negocio para realizar transacciones cubiertas.
• La entidad cubierta debe requerir al asociado de
negocio, agente o subcontratista que cumpla con
todos los requerimientos aplicables de esta ley.
Uso de un
BA por la
entidad cubierta
6

7. HIPAA & USTED
Independientemente de su posición en
la organización o lugar de trabajo:
• Tienes constante acceso a la información protegida
de salud
• Mantienes regularmente comunicación con
pacientes, familiares y amigos .
Entidades cubiertas y asociados de negocios :
• Requieren el mantener la información del paciente
ya sea escrita, verbal o electrónica de manera
privada y segura.
7

8. PROPOSITO
ADIESTRAMIENTO
Asegurar Confidencialidad, Integridad y
Disponibilidad (CIA) de la Información.
• Impacta a todos los escenarios de salud donde se maneje, transmita
y/o almacene información protegida de salud (PHI)
• Todo empleado debe poseer el conocimiento sobre el uso e
intercambio de información de salud protegida y se deberá ofrecer
orientación a todos los empleados de la facilidad.
Se pretende siempre el cumplimiento con la ley.
• La fuerza trabajadora deberá estar orientada y aplicar las reglas,
políticas y procedimientos para cumplir con la ley.
• La fuerza trabajadora esta sujeta a: demandas individuales por
violaciones a la privacidad; y estas a su vez pueden ser severas.
8

9. HIPAA – Qué es Información de Salud
Protegida (PHI)?
Información oral, escrita o electrónica (en
cualquier forma) creada o recibida por una
entidad cubierta o un patrono relacionada
con la salud física o mental, pasada,
presente o futura que identifica a la persona.
Incluye: Información de salud (recetas, etc.)
Información financiera (facturas, etc.)
Información demográfica (dirección, etc.)
9

10. HIPAA
Define y limita las razones en las que la
información protegida de una persona pueda ser
utilizada o divulgada por entidades cubiertas.
Una entidad cubierta no podrá utilizar o divulgar
información de salud, excepto:
• Según lo permite o requiere la regla de privacidad;
• Persona que es el dueño de la información (o la persona
representante) autoriza por escrito.
10

11. Identificadores de Información
de Salud
• 1) Nombres
• 2) Ciudad, calle, precinto y código
postal
• 3) Fechas excepto año,
directamente relacionadas con el
individuo: nacimiento, admisión, alta,
muerte, edades mayor de 89 años
• 4) # fax
• 5) # teléfono
• 6) dirección de correo electrónico
• 7) # de cuenta
• 8) # Seguro Social
• 9) # de licencias o certificados
• 10) # de tablilla
• 11) # de serie o identificador de
equipo medico
• 12) Web URL, directorio y/o pagina
web
• 13) Direcciones de Internet
Protocol (IP)
• 14) Identificadores Biométricos
• 15) #VIN
• 16) Dominio
• 17) Directorio, subdirectorio
• 18) Pagina Web
11

12. USO Y DIVULGACION PERMITIDAS Tratamiento, Pago
y Operación de
Cuidado de Salud
12
Tratamiento
•Proveer coordinación o manejo de
cuidado de salud y servicios
relacionados de un individuo;
•Referidos a otros proveedores:
laboratorios, Rayos X, procedimientos de
imágenes, etc.
•Anotaciones en el expediente clínico.
•Recetas para medicamentos u equipos.
Pago
•Actividades alrededor de un plan de
salud
•Facturar al plan médico.
•Facturar a otro proveedor en caso de un
referido.
•Pre autorizaciones, determinación de
necesidad médica, etc.
Operación de Cuidado de Salud,
•Ej. Actividades de mejoramiento de
la calidad incluyendo manejo de
casos y coordinación de cuidado.
•Actividades sobre competencias
incluyendo: proveedores o plan de
salud ejecutando evaluación,
credenciales y acreditaciones
•Conducir y organizar revisión de
expedientes médicos,
•Auditorías o servicios legales
incluyendo: detección de fraude y
abuso y programa de cumplimiento.
•Funciones especificas de
aseguradoras.
•Planificación de negocio,
desarrollo, actividades
administrativas, entre otros.

13. USO Y DIVULGACION PERMITIDA
Uso y divulgación
con oportunidad de
estar de acuerdo u
objetar
13
• Permiso informal obtenido por un
personal de la entidad cubierta de
manera franca y ofrece al individuo
la oportunidad de estar de acuerdo,
ceder u objetar.
• Cuando el individuo esta
incapacitado, una situación de
emergencia, o no esta disponible,
la entidad cubierta puede utilizar y
divulgar, si por su juicio profesional es
en el mejor interés del individuo.
Opciones de opt out:
•Directorio en las facilidades de salud
•Relacionado al cuidado de salud y
propósitos de notificación:
• Divulgar a familiares, amigos u
otras personas, que se divulgue
su PHI si esta envuelto en el
cuidado o pago de los servicios
del paciente.

14. USO Y DIVULGACION PERMITIDA
Uso y
divulgación
incidental
14
• Divulgación incidental es:
• Uso o divulgación de PHI de forma permitida y la
entidad cubierta establece los controles necesarios
para que sea compartida y limitada al mínimo
necesario.
• Ejemplos: Hablar con un paciente en un cuarto semi-privado,
• Hablar con otro proveedor frente a personas que están
pasando cerca y se tomaron todos los debidos
controles de privacidad durante la conversación .
• Hojas para registrarse con información limitada en sala
de espera , entre otros.

15. Uso y Divulgación Permitidas
12 propósitos de prioridad nacional buscando un balance
entre: el interés individual y el publico.
• 1.Requerido por la ley.
• 2. Actividades de Salud Publica:
• Abuso o negligencia contra niños o envejecientes, entidades
sujetas a regulaciones del FDA, Individuos que pueden haber
contraído o estar expuestos a una enfermedad transmisible,
informe de vacunas.
• 3. Victimas de abuso, negligencia o violencia domestica.
• 4. Actividades de vigilancia en salud (oversight)
• 5. Procedimientos Administrativos y Judiciales
• Orden de corte, subpoena o proceso legal
• 6. Cumplimiento de ley (Law enforcement)- Requerido por ley,
identificar sospechosos, fugitivos, ser testigos o una persona
perdida, victima o sospecha de crimen
15
Actividades de
beneficio e
interés público
164.512

16. Uso y divulgación permitidas
12 propósitos de prioridad nacional creando un balance
entre el interés individual y el publico.
• 7) Descendientes – Divulgar a directores de funeraria, médicos forenses o
examinadores para identificar una persona que ha fallecido, causa de muerte
y realizar otras funciones autorizadas por ley.
• 8) Donación de tejidos, ojos y órganos cadavéricos: Pueden utilizar o
divulgar PHI para facilitar la donación o trasplante.
• 9) Investigación: Es cualquier investigación sistemática diseñada para
desarrollar o contribuir al conocimiento generalizado.
• 10) Amenaza seria a la seguridad o salud: Prevenir o reducir una amenaza
inminente a una persona o publico. La entidad cubierta puede divulgar a
oficiales del orden publico.
• 11) Funciones gubernamentales esenciales: La ejecución de una misión
militar y, conducir actividades de seguridad nacional e inteligencia
autorizadas por ley, Protección al presidente entre otros.
• 12) Worker’s compensation: Utilizar y divulgar PHI para cumplir con leyes y
otros programas similares que proveen beneficios al empleado que esta
relacionado con la enfermedad o trauma.
16
Actividades de
beneficio e interés
público 164.512

17. Oficial de Privacidad y Seguridad
Sra. Yolanda Guzmán Medina
 Es requerido nombrar un Oficial de Privacidad y un oficial
de Seguridad.
 Posee una descripción de puesto donde se indica cuáles son
las responsabilidades y funciones en dicho puesto.
 Estos puestos pueden ser una persona o diferentes
personas.
 Sera la persona contacto y recibirá quejas y querellas de
pacientes.
 Proveerá o planificara adiestramiento a todos los miembros
de la fuerza trabajadora.
 Desarrollará y aplicará políticas de sanciones a la fuerza
trabajadora que falle en cumplir con la ley.
17

18. DERECHOS DEL PACIENTE
164.522
RESTRICCION
USO Y
DIVULGACION
DE PHI
164.522
RECIBIR
COMUNICACIÓN
CONFIDENCIAL DE
PHI
164.524
INSPECCION Y
COPIA DE PHI
164.526
ENMENDAR
EL PHI
164.528
CONTABILIDAD DE
DIVULGACIÓN DE
PHI
164.520
ACCESO A SU
INFORMACIÓN
MEDICA
164.520
NOTIFICACIÓN DE
PRACTICAS DE
PRIVACIDAD PARA
PHI
18

19. DERECHOS DEL PACIENTE
§164.522
RESTRICCION USO Y
DIVULGACION
19
SOLICITAR RESTRICCIONES DE USO Y DIVULGACIÓN §164.522 (a)(1)
Restringir su PHI pero deberá cumplir con lo siguiente:
 Por escrito
 Detallar cual es la restricción solicitada
 Especificar a quien desea que se le aplique.
 No se puede restringir a Medicare – Le aplica ley del Seguro social.
 La facilidad puede denegar la solicitud.
 Si acepta está obligada a cumplir; y no hacerlo implica violación de ley y podría
exponerse a demanda.

20. DERECHOS DEL PACIENTE
§164.522
RECIBIR
COMUNICACIÓN
CONFIDENCIAL DE PHI
20
Envío de PHI por medios o lugares alternos §164.522 (b)(1)
•Envío de PHI por medios o lugares alternos
•La solicitud deberá ser por escrito.
•La entidad cubierta y/o asociado de negocio deberá
conceder solicitudes que sean razonables.
• Ej. Puede solicitar que nos comuniquemos con usted de una
manera específica (Ejemplo: Por teléfono particular o laboral) o
que se envíe la correspondencia a una dirección diferente o
alterna.

21. DERECHOS DEL PACIENTE
164.524
INSPECCIÓN Y COPIA
DE SU PHI
21
DERECHO DEL INDIVIDUO A TENER ACCESO A COPIA DEL PHI §164.524
•La entidad proveerá copia al paciente:
• No podrá cobrar por búsqueda de la información pero si podrá cobrar por copias o envío de la información un
cargo razonable.
•Derecho a ver y obtener copia de su información aunque no le pague la visita al proveedor.
La entidad cubierta deberá actuar ante una solicitud de acceso a PHI dentro de:
• 30 días si PHI está disponible en la entidad.
• 60 días si PHI no estuviera en las facilidad.
• 30 días adicionales de solicitar una extensión
•No importa si pertenece a otros proveedores.
•Partes del expediente que no estarán disponibles: notas de psicoterapia.
•Derecho a solicitar copia de la información de salud que se encuentra en el expediente
electrónico.

22. DERECHOS DEL PACIENTE
§164.526
ENMENDAR EL
PHI
22
DERECHO A ENMENDAR SU PHI §164.526
• La solicitud deberá ser por escrito.
• Se enmienda información incompleta o incorrecta.
• Se enmendara información creada por la institución o quien la desarrolló
originalmente no existe.
• Deberá describir la información especifica que el paciente entiende que es
inexacta, incompleta, irrelevante, fuera de tiempo y razón por lo que cree
esto.
• Deberá ser manejado por el oficial de privacidad y deberá ser en un periodo
de 60 días.

23. DERECHOS DEL PACIENTE
164.528
CONTABILIDAD DE
DIVULGACIÓN DE PHI
23
CONTABILIDAD DE LAS DIVULGACIÓNES DE PHI §164.528
•Proveer divulgaciones de PHI hechas en los seis (6) años previo a la
solicitud.
•Deberá incluir:
 Nombre de la persona o entidad que la información PHI fue
divulgada.
 Fecha en el cual el PHI fue divulgado
 Descripción de la información divulgada
 Propósito de la divulgación
La entidad cubierta tiene sesenta (60) días para responder a una solicitud
de contabilidad.
 Se permite una extensión de treinta (30) días notificando al paciente.

24. DERECHOS DEL PACIENTE
§164.520
NOTIFICACION DE
PRACTICAS DE
PRIVACIDAD DE PHI
24
NOTIFICACION DE LAS PRÁCTICAS DE PRIVACIDAD DE PHI (§164.520)
•Proveer una notificación actualizada de usos y divulgaciones del PHI que
puedan ser realizados por la entidad cubierta que posea el deber legal con
respecto a PHI.
•Cuando:
• Toda entidad cubierta y/o asociado de negocio deberá entregar una
copia actualizada de la notificación de practica de privacidad en
su primera visita.
 Copia a cada paciente donde se tomara la firma como evidencia de
que se le entregó.

25. Querella
 Si entiende que se le han violado sus derechos establecidos en la
Ley HIPAA
 Puede radicar una querella:
 Oficial de Privacidad de la entidad cubierta
 Oficina del Procurador del Paciente Oficial de Privacidad de
una aseguradora
 Depto. Salud Federal con la Oficina de Derechos Civiles
(OCR).
 Debe ser por escrito
 Mencionar de quien y sobre qué es la querella
25

26. Intimidación o Represalias de la entidad cubierta o
asociado de negocio §160.316
• NO puede amedrentar, intimidar, coaccionar, hostigar, discriminar o tomar
represalias contra individuos o personas por:
– Someter una queja
– Testificar, asistir o participar en una investigación
– Oponerse a cualquier acto o práctica realizada
ilegalmente.
26

27. Mínimo necesario: lo que necesito saber §164.502
• Solo personal que necesite conocer PHI para ejecutar sus correspondientes
trabajos puede tener acceso a PHI o compartir solamente el mínimo necesario de
la información para ejecutar sus trabajos.
• Antes de ver información de pacientes hágase la siguiente pregunta:
– ¿Necesito esta información para ejecutar mi tarea/trabajo?
– ¿Cual es la cantidad mínima de información que necesito para realizar mi
trabajo?
• Usted es personal secretarial o de registración:
– Usted estará en contacto con PHI de los individuos que registra.
– Posee información relacionada a seguro médico e interactúa con otros
proveedores de cuidado de salud.
– Usted solamente tendrá acceso a la información del expediente medico del
paciente que sea necesaria para llevar a cabo su trabajo.
– Violación de Ley HIPAA:
• Si usted obtiene o tiene acceso de manera no autorizada información
adicional o información de otros pacientes.
27

28. 28
ESTÁNDARES DE
SEGURIDAD
• Part 164 Security & Privacy
Oficial de Seguridad Electrónica, Sr. Benjamín Rodríguez Medina

29. Seguridad
• Establece los estándares electrónicos que garantizan
que solo aquellos que pueden tener acceso a
Electronic PHI (E-PHI)
• Mantener la integridad de la información del paciente
en los sistemas electrónicos.
• Es además ,el proceso de protección de datos de
personas que se encuentran dentro o fuera de la
organización y se utiliza para evitar que no se utilice
de forma accidental o intencional la data y/o
información electrónica no autorizada.
29

30. TERMINOLOGIA §160. 304
1
Controles Administrativos
•Acciones administrativas, análisis
de riesgo políticas,
procedimientos, para administrar
la selección, desarrollo,
implementación y mantenimiento
de medidas de seguridad que
protegen ePHI
•Administrar la conducta de la
fuerza trabajadora de las
entidades cubiertas y asociados
de negocio sobre la protección
de la información
2
Controles Técnicos
•Políticas y procedimientos para
el uso de la tecnología para
proteger ePHI y controlar el
acceso a esta.
3
Controles fisicos
• Medidas físicas, políticas y
procedimientos para proteger los
sistemas de información
electrónica de una entidad cubierta
en facilidades y equipos de
peligros naturales y del ambiente y
de intrusión no autorizada.
• Recibo, disposición de equipos y
medios electrónicos.
• Periodo de retención son (6) seis
años.
• Controles de acceso donde se
requiere limitaciones de acceso físico
a equipos y localizaciones que
contienen o utilizan ePHI.

31. Controles Administrativas §164.308
1. Implementar políticas y
procedimientos para
prevenir, detectar, contener y
corregir violaciones de
seguridad.
2. Análisis de Riesgo
3. Oficial de Seguridad y
Privacidad
4. Acceso apropiado a ePHI
por parte de la fuerza
trabajadora
5. Políticas y Procedimientos
para acceso a ePHI
5. Adiestramientos y
recordatorios de seguridad
6. Procedimientos de
Incidentes de seguridad
7. Planes de contingencia
8. Evaluaciones (auditorías)
periódicas técnicas y no
técnicas.
31

32. Controles Físicos §164.310
Implementación de políticas y procedimientos para limitar acceso al sistema de
información electrónicos y a la facilidad(es).
• Operaciones de contingencia
– Disaster Recovery Plan
– Emergency Mode
Operation
• Control de Acceso y
validación de procedimientos
– Basado en rol o función
– Control visitas
• Uso de Estaciones de trabajo
– Políticas y procedimientos
• Control de equipos
– Políticas y procedimientos
• Disposición de ePHI y/o
hardware
– Políticas y procedimientos
32

33. ¿Qué requieren las Reglas de Privacidad y Seguridad de HIPAA de las
entidades cubiertas cuando disponen de información de salud protegida?
– La Regla de Privacidad de HIPAA requiere que las entidades cubiertas apliquen controles
administrativas, técnicas y físicas apropiadas para proteger la privacidad de la información médica
protegida (PHI), en cualquier forma.
– Véa 45 CFR 164.530 (c).
• Esto significa que las entidades cubiertas deben implementar salvaguardas razonables para limitar incidentes y
evitar los usos y divulgaciones prohibidos de PHI, incluso en relación con la eliminación de dicha información.
• La Regla de Seguridad de la HIPAA requiere que las entidades cubiertas implementen políticas y procedimientos para
realizar la disposición final de la PHI electrónica y / o el hardware o medios electrónicos en los que se almacena, así
como implementar procedimientos para la eliminación de la PHI electrónica de la información electrónica.
• Medios de comunicación antes de que los medios estén disponibles para su reutilización. Véa 45 CFR 164.310 (d) (2)
(i) y (ii). El no implementar salvaguardas razonables para proteger la PHI en relación con la eliminación podría resultar
en divulgaciones no permitidas de PHI.
• Además, las entidades cubiertas deben asegurarse de que sus miembros de la fuerza de trabajo reciben
capacitación y siguen las políticas y procedimientos de eliminación de la entidad cubierta, según sea necesario y
apropiado para cada miembro de la fuerza de trabajo. Véase 45 CFR 164.306 (a) (4), 164.308 (a) (5) y 164.530 (b) e
(i).
• Por lo tanto, cualquier miembro de la fuerza de trabajo involucrado en la eliminación de PHI, o que supervisa a otros
que disponen de PHI, debe recibir capacitación sobre eliminación. Esto incluye a cualquier voluntario. Véase 45 CFR
160.103 (definición de "fuerza de trabajo")
33

34. ¿Puede un hospital u otra entidad cubierta notificar al familiar del paciente o a
otra persona que el paciente está en las facilidades?
• Sí.
• La Regla de Privacidad de HIPAA, al 45 CFR 164.510
• (b), permite a las entidades cubiertas notificar o ayudar a la notificación de miembros de la familia, representantes
personales u otras personas responsables del cuidado del paciente, de la ubicación del paciente, condición general , O la
muerte.
• Si el paciente está presente o está disponible antes de la divulgación, y tiene capacidad para tomar decisiones sobre el
cuidado medico, la entidad cubierta puede notificar a la familia ya estas otras personas si el paciente está de acuerdo o,
cuando se le da la oportunidad, no se opone.
• La entidad cubierta también puede usar o revelar esta información para notificar a la familia ya estas otras personas si
puede razonablemente inferir las circunstancias, basadas en juicio profesional, que el paciente no se opone.
Ej.:
– Un médico puede llamar a la esposa de un paciente para decirle que su esposo estaba en un accidente
automovilístico y está siendo tratado en la sala de emergencias por lesiones leves.
– Un médico puede comunicarse con el marido de una paciente embarazada para informarle que su esposa llegó al
hospital durante el parto y está a punto de dar a luz.
– Una enfermera puede comunicarse con el amigo del paciente para hacerle saber que su compañero de cuarto se
rompió la pierna cayendo por las escaleras, se sometió a cirugía y está en recuperación.
34

35. ¿Cómo se espera que las entidades cubiertas determinen cuál es la
información mínima necesaria que se puede usar, divulgar o solicitar para
un propósito particular?
– La Regla de Privacidad de HIPAA requiere que una entidad cubierta haga esfuerzos razonables para
limitar el uso, divulgación y solicitudes de información de salud protegida al mínimo necesario para
lograr el propósito previsto.
– Para permitir a las entidades cubiertas la flexibilidad de manejar sus circunstancias únicas, la Regla
requiere que las entidades cubiertas hagan su propia evaluación de lo que la información de salud
protegida es razonablemente necesaria para un propósito particular, dadas las características de su
negocio y mano de obra, en consecuencia.
– Esto no es un estándar absoluto y las entidades cubiertas no necesitan limitar los usos o divulgaciones
de información a aquellos que son absolutamente necesarios para servir al propósito. Se requiere un
enfoque consistente con las mejores prácticas y directrices ya utilizadas por muchos proveedores y
planes de hoy para limitar el intercambio innecesario de información médica.
– El estándar mínimo necesario requiere que las entidades cubiertas evalúen sus prácticas y mejoren las
protecciones necesarias para limitar el acceso innecesario o inapropiado a la información médica
protegida.
– Por lo tanto, se espera que las entidades cubiertas utilicen el manejo de profesionales prudentes
involucrados en actividades de cuidado de la salud al desarrollar políticas y procedimientos que
limiten adecuadamente el acceso a la información personal de salud sin sacrificar la calidad del
cuidado.
35

36. Equipos Electrónicos Móviles
• OCR recomienda:
• Tomar todas las medidas y controles necesarios en equipos móviles
tales como iPad, iPhone , Android, Smart phones y tabletas
incluyendo:
– Encryption
– Authentication
– Role-based Access
– Entre otros
• "Implementar medidas técnicas de seguridad para protección contra
el acceso no autorizado a e-PHI que se transmite a través de una
red de comunicaciones electrónicas".
36

37. ¿Cómo se puede proteger una computadora de los
virus?
• Instale un programa antivirus, manténgalo actualizado y ejecute escaneos
regularmente.
• Instale un programa antimalware para evitar la instalación del software sin su
conocimiento.
• Nunca descargue ni instale software de Internet, a menos que esté seguro de
que proviene de una fuente segura.
• No abra los archivos adjuntos de correos electrónicos, a menos que primero los
haya escaneado; incluso una imagen puede transportar un virus.
• No confíe en software agrietado o pirateado, ya que a menudo contienen
malware o troyanos.
37

38. FAX
• Es de alto riesgo.
• HIPAA lo permite protegiendo la información a transmitir.
• La información transmitida puede ser recibida y utilizada por manos equivocadas = brecha de
privacidad.
• Antes de utilizarlo debe conocer la política de uso de fax y sus limitaciones.
Precauciones
• Coversheet
• Verifique el # sea correcto.
• Recipiente posee un fax en un lugar seguro.
• Asegúrese que la persona esta autorizada a recibirlo.
• Confirme que se recibió del fax.
• Antes de recibir un documento vía fax indíquele, al que le va a enviar el fax, que usted va estar
presente para recibir el mismo.
• Recoja inmediatamente.
38

39. Ransomware
• Es un tipo de aplicación maliciosa distinta de otras aplicaciones maliciosas.
• Es característico de que este intenta denegar acceso al usuario de la data ,
usualmente encriptando la data con una llave que solamente el hacker
puede eliminar la aplicación maliciosa, y hasta que se pague la
remuneración económica que solicita.
Puede prevenir un ransomware una entidad cubierta o un asociado de negocio?
Si , implementando medidas y controles de seguridad que ayuden a prevenir la
entradas de malware a los sistemas incluyendo el ransomware.
39

40. Contraseña (Password) del usuario
• La facilidad necesita conocer quien vio que información, es por eso que cada empleado deberá tener su
propio ID de usuario y su contraseña
– Nunca le facilite o preste su ID o contraseña a otra persona ya que esto se considera una violación de seguridad.
– Seleccione una contraseña fuerte/difícil , pero que a la misma vez usted pueda recordar con facilidad pero difícil a otra
persona lograr obtener.
– Cambie su password regularmente. Se recomienda por lo menos cada 90 días o cuando usted sospeche que alguien sabe
su contraseña.
– No repita su password o use uno similar, solamente cuando hayan pasado por lo menos cinco.
• Recuerde que su nombre de usuario y contraseña son su firma:
– No compartir nombres de usuario / contraseñas
– Contraseña segura Utilice una combinación de caracteres alfa / numéricos y caracteres especiales y frases
• No coloque / publique información del paciente en los sitios de equipos móviles o redes sociales
– (Sistemas portátiles, unidades USB, teléfonos celulares, Facebook, Twitter, Instagram)
• Recuerde al enviar información del paciente por correo electrónico:
– Enviar la información de manera encriptada.
– Envía solo la cantidad mínima necesaria de información.
– Asegúrese de tener el nombre de la persona o destinatario correcto.
40

41. Ley HIPAA & COVID-19
• Las entidades cubiertas deben consultar otras leyes vigentes (por ejemplo, los estatutos y las regulaciones
estatales y locales) en su jurisdicción antes de usar o revelar PHI, ya que dichas leyes pueden imponer más
restricciones respecto de los tipos de revelación de información permitidos en función de la ley HIPAA.
• ¿Modifica la emergencia de salud pública del COVID-19 las restricciones de la norma de privacidad de la ley
HIPAA acerca de la divulgación de información de salud protegida a los medios de comunicación?
– Respuesta: No. La emergencia de salud pública del COVID-19 no modifica las restricciones actuales de
la norma de privacidad de la ley HIPAA acerca de la divulgación de información de salud protegida (PHI,
por sus siglas en inglés) a los medios de comunicación.
• ¿Pueden los proveedores de cuidado medico cubiertos por la ley HIPAA permitirles a los medios de
comunicación o a los equipos de filmación que filmen a los pacientes en las instalaciones donde se puede
acceder a la información de salud protegida de los pacientes sin su autorización si se muestran borrosos los
rostros de los pacientes o se protegen sus identidades de otra forma en el video?
– Respuesta : No. No es suficiente que un proveedor de atención médica cubierto les exija a los medios de
comunicación que protejan las identidades de los pacientes a la hora de transmitir los videos grabados
(por ejemplo, mediante difuminación, pixelación o alteración de la voz) después del hecho. Siempre se
requiere autorización previa expresa del paciente.
41

42. . ¿Qué entidades están incluidas y excluidas en virtud de la Notificación
de Discreción de cumplimiento con respecto a COVID-19 y telesalud en
comunicaciones remotas?
La Notificación de discreción de ejecución emitida por la Oficina de Derechos Civiles del HHS.
• Los derechos (OCR) aplican a todos los proveedores de cuidado medico cubiertos por HIPAA y
proporciona servicios de telesalud durante la emergencia.
• Bajo la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), un "Proveedor de cuidado
medico " es un proveedor de servicios médicos o de salud y cualquier otra persona u organización
que proporciona, factura o se le paga por el cuidado médico en el curso normal de los negocios.
• Los proveedores de cuidado medico incluyen, médicos, enfermeras, clínicas, hospitales, asistentes
de salud en el hogar, terapeutas, otros profesionales de la salud mental, dentistas, farmacéuticos,
laboratorios y cualquier otra persona o entidad que brinda cuidado medico.
• Un "proveedor de cuidado medico" es una entidad cubierta por HIPAA si transmite cualquier
información de salud en formulario electrónico en relación con una transacción para la cual el
Secretario ha adoptó un estándar (por ejemplo, facturación electrónica de seguros).
• Ver 45 CFR160.103
42

43. ¿Dónde pueden los proveedores de cuidado
médico realizar telemedicina?
La OCR espera que los proveedores de cuidado medico realicen telesalud en lugares privados, como
un médico en una clínica u oficina que se conecta a un paciente que está en casa o en otra clínica.
Los proveedores siempre deben usar lugares privados y los pacientes no deben recibir servicios de
telesalud en lugares públicos o lugares semipúblicos, ausente del consentimiento del paciente.
Si no se puede proporcionar telesalud en un lugar privado, los proveedores deben continuar
implementando salvaguardas razonables de HIPAA para limitar los usos o divulgaciones incidentales de
información médica protegida (PHI).
Tales precauciones razonables podrían incluir el modular tono de voz, no el uso de alta voz, o
recomendar que el paciente se mueva a un nivel razonable de distancia de otros cuando se habla de
PHI.
43

44. ¿Conoces quienes son tus empleados?
Persona interna maliciosa
CERT División la define
como:
• Empleado o ex-empleado
• Socio de negocio que cumple con las
siguientes características:
• Tiene o ha tenido acceso
autorizado al network,
sistemas o datos de la
organización.
• Ha excedido o utilizado
intencionalmente el acceso
de forma que afecta el CIA de
la información y los sistemas
de la organización.
Crímenes electrónicos mas
comunes de personas internas son:
• Acceso no autorizado para
usar información de la
organización.
• Exposición de datos
privados o sensitivos.
• Instalación de virus, worms,
u otro código malicioso.
• Robo de propiedad
intelectual.
Según una encuesta realizada por US Secret Service, CERT Insider Threat Center, CSO
Magazine, y Deloitte
44

45. Incidente
vs.
Violación
vs.
Incumplimiento (Breach)
45

46. ¿Que es …?
Incidente
Evento reportado al Oficial de
Privacidad y/o Seguridad.
Determinar la posibilidad o intento
de uso o divulgación NO permitido
de PHI.
Propósito:
•Resolver cualquier situación.
•Cumplimiento
Conclusión:
•Se determina si fue violación
•Acciones a tomar
•Sanciones
Violación
Adquisición, uso, divulgación de
PHI no segura de forma no
permitida HIPAA Regla de
Privacidad y Seguridad
Siempre se presume que existe la
violación, a menos que:
•Ocurra 1 de 3 excepciones.
•Se realice RA que demuestre baja
probabilidad de que el PHI estuvo
comprometido.
Incumplimiento
Adquisición, acceso, uso o
divulgación de PHI de forma que
compromete la seguridad y
privacidad de PHI. (§ 164.402) de
forma no permitida por HIPAA
Regla de Privacidad
Pone riesgo significativo en las
finanzas, reputación u otro daño.
OR asume que cualquier uso o
divulgación no permitida de PHI =
breach.

47. Análisis de la entidad
cubierta / asociado de
negocio de un
Incidente, violación o
incumplimiento
1. Investigación y documentación, CE o BA.
2. Reportar del incidente:
a. Completar la Forma
b. Mecanismo administracion
c. Periodo de tiempo
3. Determinar cual fue la violación a HIPAA y el breach.
a. Excepción
b. Realizar RA
4. Notificación del breach por el CE o BA, según BAA.
5. Acciones apropiadas para resolver el incidente:
a. Mitigación
b. Remediación
c. Sanciones
6. Retroalimentación, mitigación, sanciones y acciones
correctivas desarrolladas y registradas por el BA o
subcontratista.
47

48. Violaciones & Incumplimientos - §164.408
Responsabilidad de la
Entidad cubierta
≥ 500 personas debe:
• Notificar:
– A los individuos no más tarde de 60 días
calendarios, del descubrimiento del incumplimiento o
violación .
– A los medios de comunicación.
– Al Secretario de HHS, OCR
• Completar la forma electrónica de breach.
• http://www.hhs.gov/ocr/privacy/hipaa/administrative/brea
chnotificationrule/brinstruction.html
< 500 personas debe
• Llevar una bitácora
• Notificar anualmente a HHS por internet. (HHS
OCR)
• No mas tarde de 60 días calendarios del fin de
año en que ocurrió el incumplimiento o violación.
Responsabilidad del Asociado de Negocio
Notificar a la entidad cubierta sin atraso,
• No mas tarde de 60 días del descubrimiento del
incumplimiento.
Violaciones & Incumplimientos : Atraso de
notificación solicitado por Law Enforcement §164.412
• Razones:
– Puede obstruir investigación criminal.
– Puede causar daño a la seguridad nacional.
• Solicitud de atraso por escrito.
– Cumplir con el tiempo solicitado.
• Solicitud de atraso verbal:
– Válido por 30 días, contados desde la fecha de la
solicitud verbal.
– Puede atrasarse por tiempo adicional solo con
solicitud escrita.
4 de septiembre de 2017 48

49. IMPOSICION DE
PENALIDADES
CIVILES
MONETARIAS
Part 160 General Administrative
Requirements
49

50. HIPAA:
Culpability
Minimum
penalty/violation
Annual limit
No Knowledge $100.00 - $50,000 $1.5 millones
Reasonable Cause $1,000 - $50,000 $1.5 millones
Willful Neglect (Corrected) $10,000 - $50,000 $1.5 millones
Willful Neglect (Not
corrected)
$50,000 $1.5 millones
06/16/2021 50
HIPAA:
Penalidades

51. Definiciones de Penalidades
Diligencia
Razonable
Cuidado del negocio y
prudencia esperada
De una persona en
buscar satisfacer los
requerimientos legales
en circunstancias
similares
Causa
Razonable
Acto u omisión o por el
ejercicio de diligencia
razonable hubiera
conocido que estaba en
violación
No actuó con negligencia
intencional
Negligencia
Intencional
Fallo consiente e
intencional
Indiferencia temeraria a
la obligación de cumplir
con la provisión violada.

52. PENALIDAD CRIMINAL
Penalidad Criminal
a) Hasta 1 año de prisión
b) Hasta 5 años de prisión
c) Hasta 10 años de
prisión
Debido a:
a) Causa razonable o no
conocimiento de violación
b) Obtener PHI bajo falsa
representación
c) Obtener PHI para beneficio
personal, venta o con
intención maliciosa
4 de septiembre de 2017 52
El Departamento de Justicia Federal impone penalidades criminales por el
fallo en el cumplimiento con la regla de privacidad.