Embed Size (px)
Citation preview
Regla final -Cambios Significativos en el 2013
Omnibus Rule – Mega Rule
Por : Carmen Y. Ibarrondo MS RHIA CCS-P
Describir los nuevos requisitos de privacidad y seguridad para las entidades cubiertas y los asociados de negocio tanto en la ley HIPAA (Health InsurancePortability and Accountability Act) y en HITECH (HealthInformation Technology for Economic and Clinical HealthAct).
Reconocer los aspectos que se necesitan implementar para estar en cumplimiento con la Regla final- OmnibusRule durante este año 2013.
Identificar las penalidades a las que nos exponemos si no se esta en cumplimiento con la ley por parte de los asociados de negocio y las entidades cubiertas.
„Privacidad –Derecho a que la información de salud
no sea divulgada „
Confidencialidad –Certeza de que solo personas de
un determinado dominio, rango o nivel, con
conocimiento de la persona, con una razón válida,
tienen acceso a la información „
Seguridad –Capacidad de controlar el acceso a la
información „prevenir alteración, destrucción o
pérdida de información.
„Ley Pública Núm. 104-191 de 1996
Health Insurance Portability and Accountability Act
(HIPAA)
Parte de la ley dispone privacidad, confidencialidad y
seguridad de información de salud de pacientes.
Reglas de Privacidad Promulgadas por el
Departamento de Salud y Recursos Humanos del
Gobierno Federal. (DHHS)
Entraron en vigor el 14 de abril de 2003.
„HIPAA aplica a todos los Estados, Puerto Rico y
territorios por disposición expresa del Congreso.
„La ley persigue estandarizar el derecho aplicable a
los pacientes en cuanto a la protección de su
información de salud. „
Ocupa el campo estatal, desplaza, sustituye y
prevalece sobre cualquier ley local que sea
contraria.
En 1996 el congreso de los E.U. aprobó la ley HIPAA con el propósito
de mejorar la eficiencia y la efectividad de los sistemas de cuidado de
salud.
Esta favoreció el desarrollo del sistema de información de salud a
través de establecimientos de estándares y requisitos para la
transmisión electrónica de información de salud.
En el 2009 el Presidente Obama atraves de la ley ARRA modifico la
ley HIPAA haciendo esta mas restrictiva y solicitando a las
facilidades mayores controles de privacidad y seguridad.
Ahora en el 2013 la ley HIPAA se publica la regla final conocida como
el Mega Rule donde trae nuevas exigencias que requiere estar
preparados para septiembre 23 del 2013. “ The time is running”
Los áreas para la cual hay que estar preparados en el Título II: Sub-título F
dentro de lo que simplificación administrativa son:
1) Privacidad y Confidencialidad de la información de salud
que identifica al individuo.
2) Seguridad electrónica.
3) Estandarización de transacciones electrónicas y grupo de
códigos .
4) Identificadores únicos.
Independientemente de tu posición en la organización o lugar
de trabajo , usted tiene constante acceso a la información
protegida de salud y mantienes regularmente comunicación con
pacientes y familiares y amigos.
No importa donde trabajes, ya sea en servicios de cuidado de
salud tales como hospitales, laboratorios, centros de radiología,
Nursing home u oficina; usted debe entender que HIPAA
requiere de usted el mantener la información de paciente en
cualquier forma (escrita, verbal o electrónica) privada y segura.
HIPAA OMNIBUS RULE- MEGA/FINAL RULE
publicada en Enero 25 del 2013.
Fecha de cumplimiento- Septiembre 23, 2013 Primer cambio- Asociado de Negocio
Un año de extensión para actualizar el Business Associate Agreement(BAA).
Un Asociado de Negocio se define como una persona en el cual representa una entidad cubierta o posee un acuerdo con una facilidad de servicios de salud en el cual la entidad cubierta participa. Que no es un miembro de la fuerza trabajadora de una entidad cubierta.
Puede ser también un individuo en el cual posee un acuerdo con la entidad cubierta , crea, recibe, mantiene o transmite PHI.
Puede ser un subcontratista que crea, recibe, mantiene o transmite PHI de parte de un asociado de Negocio.
La nueva regla te dice que los Asociados de Negocio deberán tener un
acuerdo de asociado de negocio con todos los subcontratistas que manejen
PHI.
Los asociados de negocio también se hacen responsables de ciertas
disposiciones de HIPAA y responsable por su cumplimiento incluyendo las
sanciones y deberá asegurarse que maneja apropiadamente la Información
Protegida de Salud( PHI).
El contrato del asociado de negocio servirá además para clarificar y limitar
el uso permisible y divulgación del PHI basado en la relación entre las
partes; y las actividades o servicios ejecutados por el asociado de negocio.
Un asociado de negocio es directamente demandable bajo las reglas de la
ley HIPAA y sujeta a penalidades civiles, criminales por usar o divulgar PHI
que no esta autorizada o requerida por la ley y además a todo lo
relacionado a seguridad electrónica
El contrato deberá contener lo siguiente:
1. Establecer el uso y divulgación permitida de PHI por el Asociado de
Negocio
2. Indicar que el asociado de negocio no podrá utilizar o divulgar aquella
información que no sea permitida o indicada en el contrato o requerida
por la ley.
3. Requerir que el asociado de negocio implemente los controles de
seguridad necesario para prevenir uso no autorizado o divulgación de la
información ,incluyendo la implementación de los requerimientos de la
regla de seguridad con relación a PHI electrónico.
4. El asociado de negocio deberá reportar cualquier uso o divulgación no
estipulado en el contrato o violación por información no segura.
Cont ...
5. Requiere que el asociado de negocio divulgue PHI según se
especifica en el contrato para satisfacer la obligación de la entidad
cubierta con respecto a solicitud de copias de su PHI, incorporar
enmiendas y llevar la contabilidad de divulgación.
6 El asociado de negocio llevara a cabo su obligación de cumplir con los
requerimientos con la entidad cubierta con relación a la regla de
Privacidad.
7. Se requiere que el asociado de negocio tenga disponible cualquier
manual, practicas, libros, expedientes relacionados con el uso y
divulgación de información protegida de salud recibidos, creados para
determinar si la entidad cubierta cumple con las reglas de Privacidad.
Cont…
8. Al terminar el contrato se requiere que el asociado de negocio
regrese o destruya toda PHI recibida por la entidad cubierta.
9. Requiere que el asociado de negocio se asegure que cualquier
compañía subcontratada que tenga acceso a información protegida
posea las mismas restricciones y condiciones que el asociado de
negocio.
10. Autoriza la terminación del contrato si el asociado de negocio
viola los términos del contrato
Otros estándares en la mega rule HIPAA
Derecho y acceso al paciente
Las entidades cubiertas deberán proveer PHI de cualquier expediente electrónico designado cuando sea requerido; y realizar cualquier cargo por estos servicios. El periodo de respuesta se mantiene el mismo.
Prontitud en el acceso
Derecho para solicitar restricción del uso y divulgacion de PHI- Las entidades cubiertas estarán de acuerdo cuando recibe una solicitud del paciente a restringir cierta información a su plan medico si el individuo paga los servicios de su bolsillo .
Los planes médicos tendrán ciertas restricciones al uso y divulgación de información genética.
Notificación de Practicas de Privacidad – Se preparara una nueva notificación con todos los cambios y se redistribuirá a todo el que solicite servicios en la entidad cubierta.
Mercadeo y venta de PHI – La definición del termino mercadeo ha cambiado significativamente.
Requiere autorización para tratamiento y operaciones donde el producto sea mercadeado y la entidad reciba una remuneración. Existe un numero de excepciones enlistadas en la regla como es los recordatorios de farmacia.
Venta de Informacion Protegida de Salud (PHI) -La regla describe con mas detalles la prohibición de practicas asociadas con la venta de PHI por entidades cubiertas o asociados de negocio.
Informe de Vacunas a las escuelas – Se podrá entregar un informe de vacunas a las escuelas por medio de un acuerdo entre los padres y el proveedor. La ley te indica que puede ser oral o escrita
Estudios de Investigación ( research)
Bajo ciertas condiciones autorizaciones compuestas son permitidas para
propósitos de investigaciones.
Notificación de Violación a la privacidad – Tanto para Asociados de
Negocio como para las Entidades Cubiertas ,la Oficina de Derechos
Civiles removió el estándar de amenaza y modifico el análisis de riesgo
para enfocarse mas objetivamente en el riesgo de que si el PHI ha sido
comprometido o no.
Prontitud en la notificación – 60 días es el máximo. Además del
contenido ,el método de la notificación existen una especificaciones
presentadas en la ley y la notificación a los medios, Secretarios del
departamento de Salud y los Asociados de Negocio.
„Información oral, escrita o electrónica (en cualquier
forma) creada o recibida por una entidad cubierta o
un patrono relacionada con la salud física o mental,
pasada, presente o futura que identifica o puede
identificar a la persona.
„Incluye:
información de salud (recetas, etc.)
financiera (facturas, etc.)
demográfica (dirección, etc.)
Puede ser usada o divulgada sin autorización para:
Tratamiento
Pago
Operaciones para el cuidado de la salud
Usos o divulgaciones autorizados por ley
„Cualquier otro uso o divulgación requiere la
autorización del paciente.
„Tratamiento es entre otras cosas: Referidos a otros proveedores (laboratorios, Rayos X,
procedimientos de imágenes)
Anotaciones en el expediente clínico
Recetas para medicamentos u equipos
„Pago es entre otras cosas: Facturar al plan médico, o a otro proveedor (en caso de un
referido)
Pre autorizaciones, coordinación de beneficios, determinación de necesidad médica, etc.
„Operaciones es entre otras cosas: Evaluación del personal, auditorias, estudios y evaluaciones de
calidad de servicios.
Discusión de casos por los proveedores.
Uno de los aspectos centrales es la obligación legal de crear un
puesto de Oficial de Privacidad/ Seguridad.
El oficial de Privacidad y Seguridad deberá poseer una
descripción de puesto donde se le indique cuales son sus
responsabilidades en dicho puesto.
El paciente que recibe cuidado medico espera privacidad en
cualquier escenario de servicio de salud.
Ellos esperan que sus proveedores de salud no compartan su
información protegida de salud con personas que no necesitan
saberlo.
Derecho a ser Notificado con el Aviso de Prácticas de Privacidad (§164.520) Proveer una notificación adecuada de las prácticas de la Entidad
Cubierta. „ Paciente nuevo - en la primera visita o durante admisión. „Paciente seguimiento - en la próxima visita a la entidad cubierta. „En caso de emergencia - cuando sea apropiado. Toda entidad deberá entregar una copia de las notificaciones de
practica de privacidad en su primera visita y deberán estar actualizadas
Derecho a tener Acceso a su PHI (§164.524) Entidad Cubierta deberá actuar ante una solicitud de acceso
dentro de los treinta (30) días si PHI está disponible en la entidad. Sesenta (60) días si no lo estuviera en las facilidades. „Se
puede solicitar una extensión de treinta (30) días.
Derecho a Enmendar su PHI (§164.526) „La solicitud debe ser por escrito.
„Se enmienda Información incompleta o incorrecta.
Creada por la institución o cuyo creador original no existe.
Derecho a Contabilidad de Divulgaciones de PHI (§164.528)
Proveer divulgaciones de PHI hechas en los seis (6) años previo a la solicitud.
A partir del 14 de abril de 2003 „
Derecho a Pedir Restricciones en cuanto a divulgación de PHI (§164.522) Debe ser por escrito Detallar restricción solicitada Especificar a quien aplica. „Entidad Cubierta puede denegar la solicitud. Si acepta está obligada a cumplir y no hacerlo implica
violación de la ley y exponerse a demanda.
Derecho a solicitar envío de PHI por medios o lugares Alternos (§164.522)
Si la entidad cubierta es proveedor debe conceder requerimientos razonables.
Derecho a Obtener Copia de su PHI (§164.24)
Entidad Cubierta proveerá copia al paciente cobrando lo que disponen las leyes de Puerto Rico o federales que más beneficie al paciente. Paciente tiene derecho a ver y obtener una copia de su expediente medico generalmente dentro de un periodo no mayor de treinta (30) días.
Ciertas partes del expediente no estarán disponibles como lo es las notas de psicoterapia.
Actualmente con la nueva regulación el paciente tiene derecho a solicitar una copia de su información de salud que se encuentra en el expediente electrónico.
Derecho a Autorizar uso y Divulgación de su PHI cuando no es para TPO o dispuesto por ley (§164.508) Solicitar autorización del paciente previo al uso o divulgación „utilizar formulario de
autorización válido. Paciente puede revocar la autorización
Excepto en cuanto al PHI ya se ha divulgado.
Derecho a Radicar una Querella ((§160.306)
Establecer procedimiento de querellas „No tomar represalias
„Se debe radicar antes de 180 días.
„Se puede radicar a la Entidad Cubierta o al DHHS.
Toda entidad deberá tener el mecanismo para los pacientes para
registrar sus querellas sobre sus practicas de privacidad y que
las mismas sean manejadas evitando el que se tome alguna
represalias.
„Debe ser escrita
Mencionar de quien y sobre qué se querella
El Departamento de salud Federal (HHS) actualizo los estándares de transacciones electrónicas.
Esta modificó los estándares de HIPAA de 4010/4010A a 5010, el cual acomoda nueva tecnología y desarrollo incluyendo el ICD-10 ,debido a que los códigos del ICD-10 poseen mayor cantida
d de caracteres que el ICD-9CM.
Se utilizaran los siguientes sistemas:
ICD 9 CM será sustituido por el ICD-10CM (10/01/2014) (Solo faltan 12 meses)
CPT – 4 – (329 cambios para el 2014) HCPCS CDT- (Dental) DSM V NDC – Códigos Nacionales de Drogas
CMS (Center of Medicare and Medicaid Services) es responsable
del desarrollo y el cumplimiento de simplificación administrativa.
La oficina de derechos civiles (OCR) es responsable del
cumplimiento de Privacidad por parte de todas las entidades.
Cuando CMS recibe una querella acerca de una entidad cubierta, se
le notificara a la misma por escrito de que existe una querella
contra esta. La entidad tiene la oportunidad de demostrar
cumplimiento o someter un plan de acción correctiva.
Organizaciones que demuestran “diligencia razonable” no estarán
sujeta a penalidades civiles ni criminales.
Se repite la violación en el mismo año
Desconocimiento $100.00 - $50,000 $1.5 M
Causa Razonable $1,000 - $50,000 $1.5 M
Negligencia intencional $10,000 - $50,000 $1.5 M
(Corregida)
Negligencia intencional (No corregida) $50,000 $1.5 M
Oficina de Derechos CivilesSr. León Rodríguez es el Director de la Oficina de Derechos Civiles del
Departamento de Salud Federal.
Caso #1
Centro Médico Regional Shasta (SRMC) ha acordado un plan de acción correctivo integral para resolver una investigación realizada por el Departamento de Salud y Servicios Humanos de EE.UU. (HHS) acerca de posibles violaciones de la ley HIPAA Regla de Privacidad y pagará un acuerdo monetario $ 275.000.
El HHS Oficina de Derechos Civiles (OCR) hizo una revisión de cumplimiento de SRMC siguiendo un artículo de Los Angeles Times que indicaba que dos altos dirigentes se reunieron con los medios de comunicación para hablar de los servicios médicos prestados a un paciente. La investigación de OCR indicó que SRMC fallo en proteger la información de salud protegida del paciente (PHI) de la divulgación ilícita mediante la divulgación intencional PHI a varios medios de comunicación en al menos tres ocasiones, sin una autorización escrita válida.
La opinión de OCR indica que la alta dirección en la SRMC inadmisible compartió detalles sobre la condición médica, diagnóstico y tratamiento en un correo electrónico a todo el personal envuelto con el del paciente. Además, SRMC fallo en sancionar a sus miembros de la fuerza de trabajo de manera inadmisible la divulgación de los registros del paciente en virtud de su política de sanciones internas.
Además del acuerdo monetario $ 275.000, un plan de acción correctiva (CAP) requiere SRMC para actualizar sus políticas y procedimientos sobre como salvaguardar el PHI de los usos no permitidos y divulgaciones y capacitar a sus miembros de la fuerza trabajadora.
Caso#2
Massachusetts Eye and Ear Infirmary y Massachussets Eye and Ear Associates Inc. (colectivamente denominados "MEEI") ha acordado pagar al Departamento de Salud y Servicios Humanos de EE.UU. (HHS) de $ 1.5 millones para resolver posibles violaciónes de la Ley de 1996 (HIPAA) Regla de Seguridad. MEEI también estuvo de acuerdo para tomar medidas correctivas para mejorar las políticas y procedimientos para salvaguardar la privacidad y seguridad de la información protegida de la salud de sus pacientes.
La investigación realizada por la Oficina de HHS para los Derechos Civiles (OCR), seguido de un informe presentado por incumplimiento MEEI, como lo exige (HITECH), la denuncia del robo de una computadora portátil personal cifrada que contiene el información protegida de salud electrónico (IMPe) de los pacientes MEEI y sujetos de investigación. La información contenida en la computadora portátil incluía recetas de pacientes e información clínica.
La investigación de OCR indicó que MEEI no tomó las medidas necesarias para cumplir con ciertos requisitos de la regla de seguridad, tales como la realización de un análisis exhaustivo del riesgo (risk analysis) para la confidencialidad de ePHI mantenido en equipos portátiles, las medidas de seguridad es implementar suficientes para garantizar la confidencialidad de ePHI que MEEI ha creado, mantenido y transmitido en el uso de equipos portátiles, adopta y aplicación de políticas y procedimientos para restringir el acceso a ePHI a los usuarios autorizados de los dispositivos portátiles, y la adopción y aplicación de políticas y procedimientos para abordar la identificación de incidentes de seguridad, información y respuesta.
La investigación de OCR indicó que estas fallas continuaron durante un período prolongado de tiempo, lo que demuestra un desconocimiento de organización a largo plazo para los requisitos de la Regla de Seguridad.
Entidad rescinde cobros indebidos de los expedientes médicos para reflejar los honorarios razonables, basados en los costosEntidad Cubierta: Practica PrivadaTema: El acceso
Un paciente alegó que una entidad cubierta no le dio acceso a sus expedientes médicos. Después de OCR notificar a la entidad de la denuncia, la entidad le dio acceso a los expedientes médicos del demandante, pero también le facturo $ 100.00 por la revisión de los expedientes como un cargo administrativo.
La Regla de Privacidad permite la imposición de una cuota razonable basada en el costo que incluye solamente el costo de las copias y el franqueo y la preparación de una explicación o resumen, aceptado por el individuo. Para resolver esta cuestión, se devolvió la "tarifa de revisión de los expedientes médicos por la entidad cubierta de los
$ 100.00.
Practica Privada implementa medidas para salas de esperaEntidad Cubierta: Practica PrivadaTema: Salvaguardias; Usos inadmisibles y divulgaciones
Un miembro del personal de una práctica médica discute procedimientos de pruebas del VIH con un paciente en la sala de espera, brindando divulgación de PHI a otras personas. Además, las pantallas de la computadora que muestra información de los pacientes eran fácilmente visibles para los pacientes.
Entre otras acciones correctivas para resolver los problemas específicos en el caso, OCR requirio que el proveedor desarrolle e implemente políticas y procedimientos relativos a las garantías administrativas y físicas apropiadas relacionadas con la comunicación de PHI.
La entidad capacito a todo el personal sobre las políticas y procedimientos desarrollados recientemente. Además, OCR requirió la práctica de cambiar la posición de sus monitores de las computadoras para evitar que los pacientes puedan ver información en las pantallas, y además en la práctica instalar pantallas de privacidad a los monitores del equipo para evitar la divulgación no permitidas.
A Marion County jury Friday awarded a woman $1.44 million after finding
Walgreens and a pharmacist violated her privacy when the pharmacist looked
up and shared the woman’s prescription history.
The lawsuit filed in Marion Superior Court spun out of a tangled relationship
between the pharmacist, her husband and the man’s ex-girlfriend.
Bajo un acuerdo con el Departamento de Salud y Servicios Humanos de EE.UU. (HHS), AffinityHealth Plan, Inc. resolverá posibles violaciónes de la Portabilidad del Seguro de Salud y la Ley de Responsabilidad de 1996 (HIPAA) Privacidad y normas de seguridad para $ 1,215,780.
Affinity Health Plan es un plan de atención administrada sin fines de lucro que sirve a la zona metropolitana de Nueva York.Affinity presentó un informe de violación con el HHS Oficina de Derechos Civiles (OCR), el 15 de abril de 2010, tal como exige la Tecnología de la Información de la Salud para la Salud Económica y Clínica (HITECH).
La regla de notificación de violación de HIPAA HiTech requiere que las entidades cubiertas a notificar HHS de incumplimiento de la información de salud protegida sin garantía. Affinity indicó que fue informado por un representante de CBS Evening News que, como parte de un informe de investigación, CBS había comprado una fotocopiadora previamente arrendadas. CBS informó que la fotocopiadora de Affinity que había utilizado contenía información médica confidencial en el disco duro.Affinity estima que hasta 344,579 personas pueden haber sido afectados por este incumplimiento.
La investigación de OCR indicó que Affinity inadmisible reveló la información de salud de estas personas afectadas cuando volvió varias fotocopiadoras para los agentes de arrendamiento sin borrar los datos contenidos en los discos duros de la copiadora.
Además, la investigación reveló que Affinity no incorporó la información protegida de la salud electrónica (IMPe) almacenados en los discos duros de fotocopiadoras en su análisis de riesgos y vulnerabilidades como lo exige la regla de seguridad, y no pudo poner en práctica políticas y procedimientos cuando se entreguen las fotocopiadoras de sus agentes de arrendamiento.
Además del pago de $ 1,215,780, el acuerdo incluye un plan de acción correctiva requiere Affinityutilizar sus mejores esfuerzos para recuperar todos los discos duros que estaban contenidos en fotocopiadoras previamente arrendadas por el plan que permanecen en poder del agente de arrendamiento, y de adoptar determinadas medidas para salvaguardar todos IMPe.
HIPAA requiere seguridad en todas las formas de PHI, no
solamente electrónica.
Fecha de cumplimiento: Abril 20, 2005
Estándares de Seguridad
Tres categorías principales:
Garantías administrativas- Manejo de selección y ejecución de
las medidas de seguridad.
Garantías físicas- Protección para los sistemas electrónicos,
edificios y equipos relacionados en riesgo ambiental e intrusión
no autorizada.
Garantías de seguridad técnica- Proceso automático de
protección de datos y control de acceso a estos.
Por lo menos actualmente 10,000 aplicaciones relacionadas al campo de la
salud han sido bajadas a equipos electrónicos como el iPad, iPhone y
Android—smart phones y tabletas han aumentado en su uso por
consumidores y proveedores de cuidado de salud.
OCR recomienda tomar todas las medidas y controles necesarios
incluyendo el encryption—OCR ademas recomienda otras estrategias de
seguridad de data como la authentication and role-based access.
La facilidad se asegurara de:
Monitorear los intentos de entrada al sistema
Respondiendo a los incidentes de seguridad de información
Tomando medidas apropiadas para proteger las computadoras de
virus y programas maliciosos.
Protegiendo la información de los pacientes que es removida de
la facilidad o accesada desde la casa.
Educando a todo el personal acerca de las practicas de seguridad
Conduciendo auditorias al azar para asegurarse que solamente
miembros que necesitan conocer y estén autorizados están
accesando PHI y solamente están accesando lo mínimo
necesario para realizar su trabajo.
Utilizan medidas de seguridad físicas apropiadas como por
ejemplo puertas de seguridad, con cerradura
Un virus en la computadora u otro programa malicioso puede destruir la información almacenada en su computadora. Este puede copiar su contraseña o PHI que almacenas o envías. Virus son en la mayoría transmitido adjunto vía e-mail o si visitas ciertos web sites.
Nunca abras un e-mail sospechoso.
Nunca desactives una aplicación de antivirus instalado en su computadora.
No accese e-mail personales no aprobados en tu trabajo.
Programas de música y acceso remotos, juegos y otros programas que usted desee instalar puede afectar su computadora , amenazar su facilidad y si contiene un programa malicioso que puede permitir el acceso a otra persona que desee entrar en su computadora.
Equipos no autorizados
Tome precauciones similares cuando instale equipos. Cualquier equipo puesto en el network o a su computadora deberá ser instalado con las precauciones de seguridad apropiados en mente. Usted solo conecte equipo solo con la debida autorización.
Adiestramientos
Designación del Oficial de Privacidad
Análisis de riesgo
Notificación de prácticas de privacidad
Autorizaciones, consentimientos, formas
Manual Políticas y procedimientos de Privacidad y Seguridad
Auditorías y reportes
Planes de contingencia
Inventarios
Manuales de proceso / planes correctivos
*****Todo esto va atado a lo que es el Programa de Cumplimiento
para evitar el fraude y Abuso.
