Comunicado De Salud De Ley Hipaa
Upcoming SlideShare
Loading in...5
×
 

Comunicado De Salud De Ley Hipaa

on

  • 20,067 views

Comunicado De Salud De Ley Hipaa

Comunicado De Salud De Ley Hipaa

Statistics

Views

Total Views
20,067
Views on SlideShare
19,484
Embed Views
583

Actions

Likes
4
Downloads
373
Comments
2

5 Embeds 583

http://profmmartinez.wordpress.com 564
http://hccfacturacion.blogspot.com 9
http://www.slideshare.net 8
url_unknown 1
http://www.google.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel

12 of 2

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
  • Es obligatorio que mi medico escriba en mi certificado medico el diagnostico para que me puedan pagar los dias por enfermedad
    Are you sure you want to
    Your message goes here
    Processing…
  • Es obligatorio que el medico escriba en mi csertificado de salud mi diagnostico para poder cobrar mis dias por enfermedad
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Comunicado De Salud De Ley Hipaa Comunicado De Salud De Ley Hipaa Document Transcript

    • First Point Healthcare Group Inc. Oficina de Privacidad y Seguridad HIPAA Departamento de Salud Volumen 1 Núm. 1 Septiembre-Octubre 2002 Autorizado por la Comisión Estatal de Elecciones Análisis y Asesoramiento sobre Privacidad, Confidencialidad, Códigos y Transacciones ADENTRO MENSAJE DEL SECRETARIO DE SALUD Privacidad y Hon. Johnny Rullán M.D. FAC PM Confidencialidad…….. 1y2 LA PRIVACIDAD Y SEGURIDAD DE LA INFORMACIÓN DE SALUD Oficina de Privacidad.... 3 Las sanciones por En el campo de la salud el asunto de la violaciones a la Ley privacidad, confidencialidad y seguridad de la HIPAA……………….. 3 información de salud del paciente es, junto a la Carta de Derechos y calidad del tratamiento, el asunto principal a Obligaciones del considerar en la prestación de servicios. Esto Paciente……………… 4 incluye a todo proveedor de servicios de salud, Sobre el uso del médicos, farmacias, laboratorios, terapistas, facsímil………………. 5 hospitales, aseguradoras, “nursing homes”, Sobre los Derechos del “clearinghouses”, gobierno federal, gobierno Paciente……………… 6 estatal, municipal, etc., etc., etc. Cuando el Congreso de los Estados Unidos aprobó el ¿Sabía que…?……….. 6 Health Insurance Portability and Accountability Sobre los Asociados de Act del 1996, conocida como la ley HIPAA, se Negocios……………... 7 pusieron en marcha cambios significativos en la prestación de los servicios de salud que a la y en las finanzas de la industria de la salud en Noti HIPAA………….. 7 larga tendrán un impacto enorme en la práctica su totalidad. Mitos y Realidades ….. 8 de la medicina, en la relación médico-paciente Continúa en la página 2 ALERTA!!! ALERTA!!! ALERTA!!! ♦ El martes 15 de octubre de 2002 , es la fecha límite para someter la solicitud de prórroga al Departamento de Salud Federal para cumplir con las disposiciones sobre códigos y transacciones uniformes de la ley HIPAA. ♦ La solicitud debe incluir el plan de la entidad para el cumplimiento al 16 de octubre de 2003. No obstante, se requiere que las pruebas de cumplimiento se realizen para el 16 de abril de 2003. ♦ El lunes 14 de abril de 2003, entran en vigor las reglas sobre privacidad y confidencialidad de la Información de Salud del Paciente de HIPAA. A esa fecha las entidades cubiertas deberán haber establecido los nuevos formularios, notificaciones, procesos, y procedimientos que requiere la ley. ♦ No olvide que los nuevos formularios, notificaciones, procesos y procedimientos deberán incluir lo dispuesto por las leyes de Puerto Rico aplicables junto a HIPAA (Ej. Carta de Derechos y Obligaciones del Paciente, Salud Mental). ♦ Para el 14 de abril de 2003 todo el personal, incluyendo voluntarios, médicos, profesionales de la salud, administradores, empleados a tiempo parcial, etc. deberán haber sido debidamente adiestrados sobre HIPAA y las leyes de Puerto Rico que protegen la privacidad y confidencialidad de la información de salud del paciente. ♦ El cumplimiento con las reglas de Asociados de Negocio se extendió al 14 de abril de 2004 para aquellos contratos que venzan luego de esa fecha. Los que venzan después del 14 de abril de 2003 deberán renovarse cumpliendo con las reglas. ♦ El 31 de diciembre de 2003 Medicare dejará de recibir facturación en forma manual.▲ 1
    • LA PRIVACIDAD Y SEGURIDAD DE LA INFORMACIÓN DE SALUD Estos cambios tienen que ver con tres 9. Primer informe sobre un accidente o asociado de negocio de otra entidad grandes áreas: condición médica. cubierta. 1. La uniformidad de las transacciones 10. Los documentos que acompañan a Un contratista independiente con el electrónicas y códigos en la industria. una reclamación de servicios de salud. que no exista un contrato como asociado 2. La privacidad y confidencialidad de la 11. Cualquier otra transacción que el de negocio podría ser tratado como empleado de la entidad cubierta. Los información de salud del paciente. Departamento de Salud Federal disponga empleados o la fuerza trabajadora 3. La seguridad de la información de por reglamentación. pueden estar expuestos a sanciones bajo salud, tanto almacenada como transmitida Las reglas de privacidad sólo aplican HIPAA, no así los asociados de negocio. electrónicamente, en papel, u oral, ya sea a información de salud protegida (PHI) Por fuerza trabajadora se entiende pasada, presente y/o futura. que se define como cualquier información empleados, voluntarios, personas bajo Para efectos de las reglas de de salud que identifique a la persona a la adiestramientos y cualquier otro que esté privacidad de HIPAA, un proveedor de que se refiere y que sea transmitida y trabaje bajo el control de la entidad. servicios de salud está cubierto por las electrónicamente o mantenida en papel Los contratos con los asociados de mismas, y será considerado como una por una entidad cubierta por la ley. negocio requieren, entre otras cosas: (a) entidad cubierta, si en algún momento Las últimas enmiendas a las reglas de disposiciones sobre el uso permitido y la divulgación de la información a terceros ese proveedor de servicios transmite privacidad de HIPAA eliminaron el por parte del asociado, (b) la protección información de salud por medios consentimiento para tratamiento, pago o de la información por parte del asociado, electrónicos relacionada con una de cualquier otra operación para el cuidado (c) hacer disponible sus libros, récords y cualquiera de las transacciones cubiertas de la salud (TPO), sustituyéndolo por el prácticas internas al Departamento de por la ley. Además, el proveedor de evidenciar la notificación al paciente de la Salud de los Estados Unidos para servicios de salud también estará sujeto a política de privacidad y confidencialidad determinar si está cumpliendo con la regla las reglas sobre privacidad a través de las de la entidad. No obstante, la Carta de de privacidad, (d) devolver o destruir la disposiciones que tienen que ver con lo Derechos y Obligaciones del Paciente de información protegida (PHI) al finalizar que la ley llama asociados de negocio. Puerto Rico, Ley Número 194 del 25 de sus servicios, y (e) si el asociado contrató HIPAA no incluye a aquellos proveedores a go s to d e 2000, requiere el a terceros que recibirán la información, estos últimos deberán proteger la misma de servicios de salud que no usen consentimiento para tratamiento, pago y igual que el asociado. transmisión electrónica en ninguna de las otras operaciones de salud, prevaleciendo Por otro lado, las reglas de privacidad transacciones cubiertas por la ley. Aquel en este aspecto sobre HIPAA. de HIPAA modifican el concepto de que lo haga todo en papel no estará sujeto Por otro lado, para divulgar autorización. Esto significa que la a las reglas de HIPAA. No obstante, información la entidad cubierta debe entidad cubierta tiene que obtener una aquel que use medios electrónicos para hacer todo esfuerzo razonable para autorización explícita del paciente antes transmitir información de salud, aunque limitarla al mínimo necesario para que de divulgar información de salud sea en una sola ocasión, estará sujeto a las la información sirva el propósito para lo protegida (PHI) para otros propósitos que reglas de privacidad de HIPAA que que se solicita. El riesgo de equivocarse no sean tratamiento, pago u otras aplicarán, no sólo a la información al divulgar información demás lo asume la operaciones de salud (TPO). Por tanto, la transmitida electrónicamente, sino a la entidad. autorización se utiliza para divulgación que no tiene que ver con tratamientos, que mantiene en papel o comunica No existe el requerimiento de pagos u otras operaciones de salud, verbalmente. mínimo necesario cuando se trata de mientras que el consentimiento se limita Las transacciones electrónicas requerimientos o solicitud de información precisamente a estas tres. Las cubiertas por las reglas de privacidad y relacionada con el tratamiento del paciente o cuando sea al propio paciente. condiciones de cada autorización podrían seguridad son las siguientes: variar dependiendo de la situación y los Otro requerimiento de HIPAA es que 1. Información sobre cualquier pacientes tienen el derecho de revocar una la entidad cubierta entre en contratos reclamación de servicios de cuidado de autorización ya dada o limitarla a escritos con sus asociados de negocio salud o cualquier encuentro equivalente. determinado período de tiempo o antes de que pueda compartir 2. Pago de servicios de salud o solicitud propósito. No obstante es importante información de salud protegida (PHI) de envío del pago. notar que la Carta de Derechos y con ellos. La definición de asociados de Obligaciones del Paciente de Puerto Rico 3. Coordinación de beneficios. negocio podría incluir consultores, solo permite la divulgación de la 4. Informes sobre el estatus de a b o gados, actuarios, contables, administradores, compañías o información de salud para otros reclamación de servicios de cuidado de propósitos que no sean tratamiento, pago salud. asociaciones de acreditación, de servicios financieros, de administración o de u otras operaciones de salud mediante 5. Registro o dado de baja de registro en orden judicial. En eso, también difiere y facturación. Lo importante no es el título cualquier plan de salud. es más estricta que HIPAA. Por tanto en sino el que la persona u organización 6. Elegibilidad del plan de salud. contratada tenga acceso a información de Puerto Rico es necesario considerar la 7. Pago de primas del plan de salud. salud protegida del paciente (PHI). Una Carta de Derechos y Obligaciones del 8. Certificación y autorización de entidad cubierta, podría a su vez ser Paciente al implantar HIPAA.▲ referido. 2
    • Sobre la Oficina de Privacidad y Seguridad HIPAA El Secretario de Salud, mediante sus funciones a través de la Oficina estado de desarrollo de la la Orden Administrativa Número de Privacidad y Seguridad HIPAA implantación de la ley HIPAA en 170, adoptó como política pública (OPSH) que estará dirigida por el cada una de sus Agencias. Deberá del Departamento de Salud y todas Oficial Principal de Privacidad y informar asimismo de su las agencias y entidades de la Seguridad que nombre el Secretario cumplimiento posterior. Para Sombrilla, el propósito, de Salud. Entre sus funciones realizar sus funciones se le ha requerimientos y metas de la ley principales podemos mencionar: 1) otorgado a este Comité: Poder de H IP A A. Para asegurar la Ayudar a la directiva de cada Convocación y Poder para Solicitar implantación y el cumplimiento “entidad cubierta” al establecimiento Producción de Documentos sobre subsiguiente con la referida ley, esta del Comité Coordinador en cada una todos y cada uno de los organismos Orden crea un Comité Timón. Este de las Agencias de la Sombrilla, 2) bajo la sombrilla. En este momento Comité estará compuesto por los Servir como organismo consultor en estamos trabajando, por Oficiales de Privacidad y Seguridad materia de privacidad y seguridad de designaciones administrativas, con que sean nombrados por las la información para todos los excelentes funcionarios que están entidades cubiertas parte de la departamentos y entidades dando de su tiempo por el bien del sombrilla. Su función principal será apropiadas, 3) Velar para que todas Departamento. Pronto se estará facilitar y fiscalizar la implantación, las instituciones, públicas o privadas implantando formalmente la administración y el cumplimiento de que están cobijadas por el estructura de trabajo que toda la reglamentación de la Ley Departamento de Salud cumplan al dedicará todos sus esfuerzos HIPAA aplicable a las entidades día con los estándares establecidos a la implantación y cubiertas en la sombrilla de salud. por la Ley HIPAA y su cumplimiento de la ley para En términos de operación y reglamentación, y 4) Mantener el beneficio de todos funcionalidad este Comité ejercitará informado al Secretario de Salud del nuestros pacientes.▲ Las sanciones por violaciones a la Ley HIPAA Las sanciones por violaciones a esta cometida bajo fraude o engaño la las leyes de Puerto Rico el paciente ley son de tres tipos, civiles, penales y penalidad sería de $100,000 de multa podría considerarse un tercero administrativas. El Departamento de y hasta cinco (5) años de cárcel. beneficiario o tener una causa de Salud de los Estados Unidos delegó en 4. Si la violación es con el acción bajo las leyes de protección del su Oficina de Derechos Civiles lo propósito o intención de vender, consumidor o de privacidad estatales, relativo a la imposición de sanciones. transferir, o usar información de utilizando las normas y estándares de Además, las entidades cubiertas por la salud protegida identificable con el HIPAA. En el caso de Puerto Rico la ley deberán desarrollar su propio propósito de obtener ventajas situación es aún más clara en términos sistema de sanciones administrativas comerciales o de negocio, ganancias d el d erecho a demandar por internas para “su fuerza violaciones a la privacidad, ya que la trabajadora” y sus “asociados de protección de la dignidad, del ser negocio” que violen la ley, sanciones humano y su derecho a la privacidad que podrían llegar hasta despido o la está consignado en la Constitución. cancelación del contrato, según sea el Carta de Derechos, Art. II, Sec.1. caso. Las penalidades civiles y Por otro lado, HIPAA requiere que criminales son las siguientes: las entidades cubiertas por la ley 1. No cumplir con los estándares establezcan sanciones disciplinarias desde $100 por persona por contra aquellos empleados que la violación hasta $25,000 por persona violen. Estas sanciones pueden llegar por violación de un sólo estándar en hasta el despido. Esto requiere que la un año calendario. Oficina de Recursos Humanos se 2. Por el uso y divulgación personales o causar daño malicioso, envuelva en el proceso de indebida de información de salud la pena podría ser de hasta $250,000 protegida o por la obtención de esa implantación de la ley. dólares de multa o 10 años de cárcel. Además, se le requiere a la entidad información, hasta $50,000 de multa Además, hay que dejar claro que y un año de prisión. cubierta tomar aquellas medidas HIPAA no crea una acción legal por disciplinarias contra los asociados de 3. Si la violación anterior es daños a favor del paciente. Pero bajo negocio que violen la ley.▲ 3
    • LA CARTA DE DERECHOS Y OBLIGACIONES DEL PACIENTE todos los usuarios y consumidores de tales adecuada y suficiente para garantizar servicios y facilidades, irrespectivamente servicios de alta calidad; que los servicios de la naturaleza pública o privada del cubiertos por el plan estarán accesibles, sin proveedor o de cualquier otra condición o demoras irrazonables y en razonable consideración. proximidad geográfica; acceso a emergencias 24 horas al día, 7 días a la Los derechos que la ley concede a los semana y acceso a especialistas según los usuarios son los siguientes: procedimientos de referido conforme al 1. Recibir servicios de salud de la plan. Si se requiere autorización especial más alta calidad consistente con los bajo el plan para el acceso a especialistas principios generalmente aceptados en la el plan garantizará un número adecuado de práctica de la medicina. visitas. 6. Continuidad de los servicios si se 2. Recibir información cierta, cancela o termina un plan o se cancela un c o n f i a b l e, oportuna, de fácil En el año 2000 Puerto Rico legisló proveedor (notificación con 30 días de comprensión y adecuada a sus anticipación) y la continuación del plan por para crear la Carta de Derechos y necesidades con relación a su (a) plan de 90 días sujeto al pago. Responsabilidades del Paciente, Ley Núm. seguro de salud; (b) facilidades y 7. Participación en la toma de 194 del 25 de agosto de 2000. En el año profesionales de la salud; (c) beneficios decisiones sobre el tratamiento. 2001 se amplió esta legislación con la cubiertos por el plan; (d) costo de las 8. Respeto y trato igual. creación del cargo del Procurador del primas y deducibles; (e) mecanismos y La ley regula además, el uso y Paciente para los pacientes beneficiarios procedimientos de recobro de costos y divulgación de la información de salud del de la Reforma de Salud, Ley Núm. 11 del solución de disputas; (f) localización de paciente, garantizándole libre acceso, copia 11 de abril de 2001. La propia ley dispone facilidades y profesionales; (g) del mismo, comunicación, que en cinco años se extenderá la mecanismos y procedimientos de control confidencialidad y estricta privacidad. Su legislación a todos los pacientes de salud. de calidad y garantías de satisfacción; (h) información no puede ser divulgada sin La Ley 194 establece en su exposición procedimientos de acceso a especialistas y su autorización escrita y sólo para fines de motivos los asuntos que quiere servicios de emergencia e (i) las reglas y de tratamiento, prevención, control de reglamentar y los derechos que quiere procedimientos para el manejo o calidad o pago de servicios. La proteger. Se pueden resumir en los administración del cuidado de la salud. divulgación no autorizada sólo se hará siguientes: 3. Recibir información adecuada y por orden judicial previa o por 1. Acceso adecuado a servicios de suficiente sobre (a) educación, (b) disposición de ley. Por último, la ley salud de calidad como un derecho licenciamiento, (c) certificación, (d) re- establece un procedimiento de quejas y fundamental. certificación y (e) experiencia del agravios.▲ 2. Acceso y libre flujo de información profesional de la salud; (f) su experiencia completa, fidedigna y veraz a los en el procedimiento a llevar a cabo; (g) Concluye el análisis de usuarios y consumidores de servicios de alternativas razonables de tratamiento, (h) deficiencias del salud. costo de los mismos y sus probabilidades Departamento de Salud 3. Penalizar a aquéllos proveedores y de éxito; (i) e información sobre los First Point Healthcare Group terminó el aseguradores de servicios de salud que mecanismos y procedimientos de control análisis de deficiencia para cumplimiento violen la ley al no divulgar la totalidad de de calidad. con HIPAA del Departamento de Salud y la información que se le requiere divulgar, 4. Recibir información adecuada y las agencias de su sombrilla. Como parte o intencionalmente o a sabiendas, divulgar suficiente relativa (a) al personal y los del análisis se adiestró a sobre información falsa. recursos técnicos disponibles para llevar a ochocientos empleados de nivel Esta ley incluye a todas las facilidades cabo los procedimientos y (b) la educación, intermedio. Como parte de esta fase se radicaron las solicitudes de prórroga para y servicios de salud médico-hospitalarios, preparación y experiencia del personal que cumplir con la parte de códigos y profesionales de la salud, aseguradoras y los realizará. transacciones. Próximamente comenzará planes de cuidado de salud. Protege a 5. Selección de planes y proveedores la implantación.▲ 4
    • El uso del facsímil y la protección de la información de salud del paciente bajo HIPAA Salud”. Inmediatamente debajo del de que cuenta con una autorización de título anterior sugerimos el siguiente éste en su expediente para transmitirla texto: utilizando ese medio. “La información transmitida es 2. Limite el uso del facsímil a para el uso exclusivo de la persona o situaciones urgentes o no rutinarias entidad a la que va dirigida. Incluye cuando el envío por correo o mensajero información de salud que es personal y no es aconsejable o posible. sensitiva. Esta información es una de 3. Evite transmitir información sensitiva naturaleza privilegiada y confidencial. sobre la salud del paciente utilizando el Ha sido transmitida luego de haberse facsímil. Por ejemplo, información sobre Aunque el facsímil no está incluido recibido la autorización del paciente o dependencia a las drogas, enfermedades entre aquellos instrumentos de bajo circunstancias que no requieren transmitidas sexualmente, HIV, o transmisión de información electrónica su autorización. cualquier otra información de carácter reglamentados bajo la ley HIPAA, su La persona a quien va dirigida la muy personal. mal uso o su inadecuada reglamentación información tiene la obligación de 4. Recuerde que bajo la Ley de Salud puede dar lugar a que información de mantenerla segura, protegida y Mental de Puerto Rico, Ley Número 408 salud del paciente protegida sea confidencial. El divulgar esta del 2 de octubre de 2000, no se puede divulgada inadecuadamente en violación información a terceros sin autorización transmitir información de salud mental adicional del paciente o de acuerdo a lo del paciente usando el facsímil sin su a la misma. autorización expresa (Artículo 2.14). Su entidad puede transmitir que permite la ley está totalmente prohibido. El hacerlo puede traer Evite utilizar el facsímil hasta donde sea información de salud protegida del ello posible para enviar dicha como consecuencias penalidades paciente utilizando el facsímil. Dicho información. Para prever, en caso de que severas de tipo civil y/o criminal bajo en una emergencia tenga que utilizar el envío no está prohibido ni reglamentado las leyes federales y estatales. facsímil para enviar dicha información, por HIPAA. Lo que su entidad, o usted Si la persona que recibe o lee esta prepare y obtenga una autorización no puede hacer es permitir o actuar en tal información no es la persona a la que expresa del paciente para la transmisión forma que la información transmitida está dirigida la misma, o el empleado o de información sobre su salud mental vía usando el facsímil sea divulgada de forma agente responsable de hacer llegar la facsímil. inadecuada y en violación a la ley. misma a esa persona, se le notifica y 5. Cuando esté esperando un facsímil A continuación sugerimos algunas advierte que cualquier divulgación, con información de salud de un paciente, normas y procedimientos que la entidad coordine con la persona que lo enviará diseminación, distribución o fotocopia para evitar que el mismo permanezca cubierta podría utilizar para reglamentar de la misma está total y estrictamente mucho tiempo en la máquina sin ser la transmisión de información de salud prohibida, tanto por la ley federal recogido. del paciente usando este instrumento. como la estatal. 6. En caso de que vaya a recibir un En cuanto a la máquina de facsímil: S i u s t e d h a r e c i bi do e sta volumen grande de facsímiles 1. Separe las máquinas de facsímiles información por error, favor de conteniendo información de salud para uso regular de la oficina de aquellas notificarnos y destruir la misma lo más protegida del paciente (PHI), designe pronto posible”. empleados autorizados para recibir y que se utilizan para transmitir y/o recibir distribuir los mismos. información de salud protegida del 2. Incluya además, en la hoja de transmisión del facsímil, la siguiente 7. Al igual que con cualquier otra paciente. Así se evita que información información de salud protegida, no información: importa cómo la haya recibido, asegúrese de salud protegida sea, por inadvertencia, • Fecha y hora de envío de que los facsímiles sean colocados en recogida y circulada junto a información • Nombre, dirección, número de un lugar seguro y confidencial cuando rutinaria de la oficina. teléfono y facsímil de quien lo envía son entregados. En cuanto a la transmisión de la • Nombre, dirección, teléfono y facsímil 8. Confirme siempre que los números información de salud: de facsímil a donde enviará la de la persona a quien está dirigida la 1. Desarrolle una hoja para la información sean los correctos. información transmisión de los facsímiles que Asegúrese además de la seguridad de la • Número de páginas transmitidas específicamente haga referencia a la máquina de facsímil de la persona a quien • Información para verificar el recibo información de salud transmitida y su va dirigido. Llámelo y notifíquele que del facsímil. protección bajo la ley. El título de la hoja En cuanto a la información de salud estará enviando un facsímil. Requiérale de envío debe leer en letras grandes de la a ser transmitida: que le verifique el recibo del mismo. No siguiente forma: “Esta Transmisión 1. Antes de transmitir información de confíe ni dependa de números de facsímil Incluye Información Confidencial de salud del paciente vía facsímil, asegúrese listados en guías. ▲ 5
    • Sobre los derechos del paciente bajo HIPAA número de veces que su información de ser complemento del programa de salud ha sido divulgada. cumplimiento con la ley. Esto incluye * El derecho a requerir cambios en su tanto el personal existente como nuevo información de salud si ésta no es personal al ser reclutado. Por último, precisa, cierta o no está completa. para cumplir con las reglas de ♦ La regla también provee para que privacidad, el proveedor o entidad familiares y amigos del paciente, bajo cubierta debe poner en vigor aquellas determinadas circunstancias, tengan salvaguardas de seguridad física, acceso a información protegida de éste. administrativas y técnicas relacionadas Hay que señalar que la información de al almacenaje, acceso y transmisión de salud protegida del paciente continúa la información que sean necesarias siendo protegida aún después de la para protegerla. Las reglas finales de muerte del paciente y estos derechos son seguridad de HIPAA complementarán ♦ Los derechos básicos relacionados con heredados por su sucesión. las de privacidad. la información de salud del paciente que ♦ Para proteger la información de salud ♦ Por último, las reglas de privacidad de la ley federal protege y que deben ser del paciente que cae bajo la protección HIPAA establecen un proceso para informados a éste en forma simple y de la Ley HIPAA, se requiere que los hacer no identificable la información de sencilla son: proveedores establezcan nuevas salud protegida (PHI). Esto se hace * El derecho a ser notificado con la políticas y procedimientos y que eliminando de la información ciertos Poítica de Privacidad y Confidencialidad designen un oficial de privacidad identificadores del paciente. La de la entidad. responsable de recibir todas las información sin identificación puede * El derecho a tener acceso a su querellas. También se requiere el ser divulgada, pero aún así sujeta a información de salud protegida. adiestramiento de todo el personal de la ciertas condiciones.▲ * El derecho a ser notificado del entidad sobre la Ley HIPAA que debe ¿Sabía usted que …??? ∗ Al desarrollar e implantar un nuevos empleados deben ser adiestrados ∗ No basta con desarrollar un acuerdo programa para el adiestramiento del como parte de su orientación. Además, especial para sus asociados de negocios. El personal de su empresa debe hacerlo en cada vez que cambie su política o que se Departamento de Salud Federal no se ha forma amplia, de forma tal que cubra no hagan cambios en la ley o en las reglas de expresado con claridad sobre hasta que sólo lo que dispone HIPAA, sino además, privacidad, deberá adiestrar aquellos punto se extenderá su supervisión de la las leyes de Puerto Rico que protegen la empleados cuyas funciones, deberes y relación entidad cubierta–asociado de privacidad y confidencialidad de la obligaciones se afecten. negocios. Por ello es necesario comenzar a información de salud del paciente. Su ∗ Debe documentar los adiestramientos establecer mecanismos para evaluar al organización tiene que cumplir tanto con que realiza y mantener récord de ellos al asociado de negocio. Una especie de “due HIPAA como con las leyes de Puerto Rico menos por seis (6) años. Su oficina o diligence” de su operación. Por ejemplo, aplicables. En algunos casos, tiene que oficial de privacidad deberá conservar es importante saber si el asociado: cumplir con algunas disposiciones de estos récords, además de guardar copia en ♦ Tiene una póliza de seguro que cubra HIPAA y con otras disposiciones de las el expediente de personal de cada errores y omisiones, responsabilidad leyes de Puerto Rico a la misma vez. Esto empleado. general o que cubra las facilidades de la es, la propia ley HIPAA lo obliga a tener ∗ Al adiestrar a un proveedor, enfoque empresa. que cumplir, no sólo con ella, sino con la el adiestramiento en los derechos del ♦ Ha firmado acuerdos de asociados de legislación local en aquellas disposiciones paciente y en la obligación de respetar los negocio con otras entidades. o normas donde ésta es más estricta. mismos y no en las reglas. Explíqueles las ♦ Tiene un oficial de seguridad o ∗ El adiestramiento de su fuerza consecuencias que les traerá el no cumplir privacidad. trabajadora que requiere HIPAA incluye a con estas obligaciones. Prepare un listado ♦ Tiene procedimientos establecidos sobre todo el personal, tanto a tiempo completo con aquellos puntos principales que debe divulgaciones, acceso o enmiendas a la como a tiempo parcial, incluyendo recordar al manejar la información de información de salud. empleados temporeros y voluntarios. El salud protegida. Deje el adiestramiento ♦ Divulga información de salud a terceros. mismo debe cubrir la política de privacidad detallado para el administrador de la ♦ Tiene un programa de adiestramiento y confidencialidad de su empresa y sus oficina, quién es el responsable de lograr sobre privacidad y/o seguridad. consecuencias en términos de las los cambios de conducta necesarios en la ♦ Tiene procedimientos para devolver o responsabilidades de cada posición. Los entidad. destruir la información.▲ 6
    • Sobre los Asociados de Negocios La mayoría de las organizaciones violando las disposiciones de HIPAA dicho grupo médico. requieren la asistencia de contratistas, sobre privacidad si no protege la • Una entidad que provee servicios de consultores, vendedores, proveedores de misma. En esta situación la entidad codificación, facturación y/o cobro a servicio u otro personal externo a la cubierta debe considerar al servicio de un laboratorio, un grupo de terapistas misma para poder llevar a cabo sus limpieza un asociado de negocio y físicos o a un grupo de médicos actividades regulares. Estos “asociados firmar con ellos un contrato de cubierto es su Asociado de Negocio. de negocios”, como los denomina la ley asociado de negocios siguiendo lo • Algunos de los servicios o entidades HIPAA en sus reglas de privacidad, son dispuesto por HIPAA. No obstante, que podrían ser consideradas como aquellas personas o entidades que por lo regular no se considera un asociados de negocios son: llevan a cabo funciones, actividades o Asociado. ∗ Agencias de facturación y cobro servicios para la organización y que el • Un abogado que rinde sus servicios a ∗ Servicios de seguridad bajo proceso envuelve en alguna forma el una entidad cubierta podría ser o no determinadas circunstancias uso o divulgación de información de un asociado de negocios. Por ∗ Agencias de cobro salud protegida de los pacientes. ejemplo, un abogado asesor en asuntos ∗ Abogados Determinar quién es un “asociado de laborales que no tiene acceso a ∗ Contables negocios” bajo HIPAA puede ser difícil. información de salud de los pacientes ∗ Auditores El criterio para determinar si lo es o no de la entidad cubierta no es un ∗ Servicios de transcripción es si dicha persona o entidad tiene acceso asociado de negocios. No obstante los ∗ Vendedores de “software” a información de salud protegida del servicios legales que provee el ∗ Vendedores de “hardware” paciente (PHI). abogado que representa a la entidad ∗ Servicios de almacenamiento de Veamos varios casos o situaciones cubierta en casos por mala práctica documentos particulares: médica lo coloca en situación de tener ∗ Servicios de disposición de • Un servicio de limpieza no tiene por que accesar información de salud documentos qué accesar o divulgar información de protegida de pacientes lo que lo ∗ Servicios de administración salud protegida de pacientes de la convierte en un asociado de negocios ∗ Servicios clínicos entidad cubierta. No obstante, si de ésta. ∗ Servicios de reparación de durante el trabajo día a día de dicho • Un hospital que le provee los fotocopiadoras, equipo de rayos X, servicio de limpieza en forma regular servicios de facturación y cobro a un equipo de laboratorio, etc. y contínua la información de salud de grupo de práctica médica es, además ∗ Servicios de mensajería bajo los pacientes está accesible a dicho de una entidad cubierta, también un determinadas circunstancias y servicio, la entidad cubierta estaría asociado de negocios en cuanto a condiciones.▲ Noti-HIPAA ♦ Se espera que durante este mes de horas cada uno serán para personal de octubre el Departamento de Salud informática uno y para proveedores el Federal publique las reglas finales de otro. Estos se ofrecerán utilizando las seguridad de HIPAA. técnicas de teleconferencia en ocho ♦ La Universidad Interamericana y First recintos a través de toda la Isla. Point han preparado un programa de ♦ La implantación de la Ley HIPAA educación continuada con créditos requiere el incorporar en dicho para los profesionales de salud sobre proceso las leyes de Puerto Rico que la ley HIPAA y otras leyes de Puerto son más estrictas (“stringent”) que ♦ Las propuestas enmiendas de las Rico que protegen los derechos del continúan aplicando en forma Reglas de Privacidad y paciente. El mismo consta de un curso complementaria o que continúan Confidencialidad, anunciadas el de treinta (30) horas y dos (2) cursos aplicando porque HIPAA las incluye pasado mes de marzo, eliminan la especializados de veinte (20) horas en aquellas estatales que continuarán necesidad de obtener el cada uno. Los participantes se vigentes. consentimiento del paciente antes de tratarlo. convertirán a su vez en adiestradores ♦ El Departamento de Salud como del personal de sus empresas y podrán agencia licenciadora y evaluadora de ♦ First Point llevará a cabo la desempeñar en algunos casos el puesto facilidades de salud, laboratorios, implantación de HIPPA para la de Oficial de Privacidad de la farmacias, profesionales de la salud y Sociedad de Educación y empresa. El curso de treinta (30) médicos será responsable de velar Rehabilitación de Puerto Rico (SER horas es para todo el personal. Los porque se implante adecuadamente la de Puerto Rico), una afiliada de Easter cursos especializados de veinte (20) ley HIPAA en esas instituciones.▲ Seals de los Estados Unidos. 7
    • Mitos y Realidades sobre HIPAA MITO: Hay que guardar los cumplir con las reglas y adiestrar imponer las sanciones. récords de los pacientes bajo llave. todo el pesonal de la entidad. HIPAA: Sólo asegurar los REALIDAD: Se puede cumplir MITO: El Departamento de Salud récords. completamente con HIPAA sin Federal y/o Medicare certifican comprar nada nuevo. REALIDAD: Esto no quiere decir personas, programas de bajo llave. Existen alternativas computadoras y/o sistemas como razonables. MITO: Existen programas de especialialistas o como que logran computadoras certificados y/o que el cumplimiento con HIPAA. llevan a cumplir con HIPAA HIPAA: Falso, ni Medicare ni el MITO: Hay que hablar en un automáticamente. Departamento de Salud Federal lugar donde otros no puedan escuchar la conversación entre el HIPAA: Falso, los únicos que certifican personas, ni programas, profesional y el paciente. pueden cumplir con HIPAA son ni sistemas como especialistas que planes, proveedores y logran cumplimiento con HIPAA MITO: Hay que construir lugares “clearinghouses”. a prueba de sonido. REALIDAD: No existe programa MITO: Tengo que construir e MITO: No se pueden llamar los en el universo que esté certificado instalar barreras de sonido en mis por o para HIPAA, ni que lo haga pacientes por nombre. topes o “counters“. cumplir con HIPAA HIPAA: F a l s o , s ó l o t o m a r HIPAA: Falso, se puede seguir automáticamente. Lo más que medidas razonables para mantener pudieran es ser “conformes” con llamando pacientes por su nombre. la privacidad de la información de HIPAA. (Ver situaciones discutidas en el salud del paciente. Federal Register). REALIDAD: Esto quiere decir, REALIDAD: Esta medida bajar el volumen, ir a una esquina a MITO: Puedes ir a la cárcel si no cumples con HIPAA númerica es práctica para algunos conversar si hay otras personas en el lugar, pedir a los visitantes que le HIPAA: Se establecen multas y escenarios, pero no es requerida. permitan hablar en privado, atender cárcel como sanciones por la a una persona a la vez, hablar en violación de la ley. MITO: Los expedientes no se otro tono de voz, etc. pueden guardar por número de REALIDAD: El que cometa actos delictivos en violación de una ley seguro social o por orden MITO: Tienes que comprar un alfabético. se arriesga a ser sancionado. El programa de computadoras. DHHS dará todas las oportunidades HIPAA: Sólo se requiere asegurar HIPAA: Falso, entre otras cosas, hay que elaborar una política de de cumplir con la ley y llevará a la confidencialidad de los récords. privacidad, la documentación y cabo todas las orientaciones REALIDAD: Falso, quisiéramos procedimientos necesarios para necesarias antes de proceder a saber de dónde sale ésta premisa. Junta Editorial Lcdo. Rafael Santos Del Valle Dr. José E. Piovannetti Pérez Sr. Jorge Laguna Sra. Vilma López Meléndez Director y Editor: Lcdo. Rafael Santos Del Valle Editor Asociado: Sra. Yvonne Hernández Lozada Colaboradores: Lcda. Grisselle Bermúdez Rodríguez Ing. Juan C. Chipi Rodríguez Sra. Sonia Flores “Todo sobre HIPAA” es publicado por First Point Healthcare Group Inc. Copyright y Derechos reservados. Impreso en San Juan, Puerto Rico. Para comunicarse con nosotros favor de llamar al teléfono 787-774-0400 o enviar un facsímil al 787-774-1564. La dirección de Internet de First Point Healthcare Group Inc es http://www.hippaahelppr.com y puede enviar correo electrónico a info@firstpointpr.com. “Todo sobre HIPAA” se publica con el entendido de que el editor no está ofreciendo asesoramiento legal, de contabilidad o de otra naturaleza profesional. Si necesita asesoramiento legal u de otra naturaleza favor consultar un profesional. Ninguna parte de esta publicación puede ser reproducida ni transmitida por cualquier medio electrónico o mecánico, incluyendo fax o divulgación electrónica sin la autorización expresa del editor. Aprobado por la Comisión Estatal de Elecciones. 8