Patient Name_____________________ Patient File_____________________ Date_____________________ ¿QUÉ ES LA Ley HIPAA? La Ley de responsabilidad y transferibilidad de los seguros médicos (Health Insurance Portability & Accountability Act) de 1996 (21 de agosto 21), ley pública 104-191, que modifica el código del Internal Revenue Service de 1986. También conocida como la Ley de Kennedy-Kassebaum. El Título II incluye una sección, Simplificación administrativa, que exige: 1. Mayor eficiencia en la asistencia médica por medio de la estandarización del intercambio electrónico de datos, y 2. La protección de la confidencialidad y seguridad de los datos médicos, a través del establecimiento y cumplimiento de estándares. Más específicamente, la HIPAA pide: 1. La estandarización de los datos electrónicos administrativos, financieros y de salud de los pacientes 2. Identificadores médicos únicos para personas, empleados, planes de salud y proveedores de cuidados médicos 3. Normas de seguridad que protejan la confidencialidad y la integridad de la "información médica identificable a nivel personal" pasada, presente o futura. En resumen: cambios radicales en la mayoría de los sistemas de información administrativos y de transacciones médicas. ¿A QUIÉN AFECTA? A todas las organizaciones de salud. Esto incluye a todos los proveedores de asistencia médica, contando a los consultorios de un solo médico, a los planes de salud, empresas, autoridades de salud, compañías de seguros, cámaras de compensación, agencias de facturación, proveedores de sistemas de información, organizaciones de servicios y universidades. ¿HAY SANCIONES? La HIPAA pide sanciones civiles y penales graves en caso de incumplimiento, como multas de hasta 25,000 dólares por violaciones reiteradas del mismo estándar en un solo año, multas de hasta 250,000 dólares o hasta 10 años de prisión por el mal uso consciente de la información de salud identificable a nivel personal. PLAZOS DE APLICACIÓN La mayoría de las entidades disponen de 24 meses desde la fecha de entrada en vigor de la regla final, para cumplirla en su totalidad. Normalmente, la fecha de entrada en vigor es 60 días después de la publicación de una regla. La Regla sobre transacciones se publicó el 17 de agosto de 2000. Por lo tanto, la fecha de cumplimiento de esa regla es el 16 de octubre de 2002. La Regla sobre confidencialidad se publicó el 28 de diciembre de 2000, pero debido a pequeños problemas técnicos, no entró en vigor hasta el 14 de abril de 2001. El cumplimiento de la regla sobre confidencialidad se exige a partir del 14 de abril de 2003. ¿CÓMO SE APLICARÁ? De manera amplia y profunda. Las respuestas de cumplimiento exigidas no son estándar, ya que las organizaciones tampoco lo son. Por ejemplo, una organización con una red de cómputo deberá poner en funcionamiento uno o más mecanismos Firma y Fecha____________________________________________________________ Patient Name_____________________ Patient File_____________________ Date_____________________ de acceso con autenticación de seguridad, basados en los usuarios, las funciones o el contexto, dependiendo del entorno de red. Un cumplimiento efectivo requerirá de una aplicación en toda la organización. Los pasos incluirán: Fomentar el conocimiento inicial de la HIPAA en toda la organización. Evaluar de forma completa los sistemas de seguridad de la información, los reglamentos y los procedimientos de la organización. Desarrollar un plan de acción con plazos y fechas límite. Desarrollar una infraestructura técnica y de administración para poner el plan en funcionamiento. Poner en marcha un plan de acción completo que incluya el desarrollo de nuevos reglamentos, procesos y procedimientos Crear acuerdos de "cadena de confianza" con la organización de servicios. Rediseñar una infraestructura de información técnica que cumpla los requisitos. Adaptar o adquirir nuevos sistemas de información Desarrollar nuevas comunicaciones internas Capacitación y aplicación Ahora, exploraremos el siguiente nivel de particularidades de la HIPAA que, para muchos de nosotros, son más fuente de confusión que de entendimiento. Intentemos simplificar la "Simplificación administrativa". La disposición sobre "Simplificación administrativa" de la HIPAA consta de cuatro partes, cada una de las cuáles genera varias "reglas" y "estándares". Muchas de las reglas y estándares están aún en la fase de "propuesta" (por el DHHS); sin embargo, está previsto que la mayoría de ellas se conviertan en reglas "finales" en el año 2000. Para complicar el asunto aún más, cuando las reglas sean finales, la mayoría de ellas tendrá diferentes fechas de aplicación. Las cuatro partes de la simplificación administrativa son: ESTÁNDARES PARA TRANSACCIONES ELECTRÓNICAS RELACIONADAS CON LA SALUD IDENTIFICADORES ÚNICOS ESTÁNDARES DE SEGURIDAD Y FIRMAS ELECTRÓNICAS ESTÁNDARES DE PRIVACIDAD Y CONFIDENCIALIDAD I. ESTÁNDARES PARA TRANSACCIONES ELECTRÓNICAS RELACIONADAS CON LA SALUD El término "transacciones electrónicas relacionadas con la salud" incluye las reivindicaciones médicas, la elegibilidad para los planes de salud, la inclusión y exclusión, los pagos de primas de los planes de salud y asistencia, el estado de las reclamaciones, los primeros informes de lesiones, la coordinación de prestaciones y las transacciones relacionadas. En la actualidad, los proveedores de cuidados y los planes de salud usan un gran número de formatos electrónicos distintos. La aplicación de un estándar nacional significa que todos usaremos un solo formato, lo que "simplificará" y mejorará la eficiencia de las transacciones en todo el país. La regla propuesta exige el uso de formatos electrónicos específicos desarrollados por el ANSI (American National Standards Institute) para la mayoría de las transacciones, con excepción de las reclamaciones y los primeros informes de lesión. La reglamentación propuesta para estas excepciones aún no se conoce. Prácticamente todos los planes de salud tendrán que adoptar estos estándares, aunque la transacción se realice en papel, por teléfono o por fax. Los proveedores que usan transacciones Firma y Fecha____________________________________________________________ Patient Name_____________________ Patient File_____________________ Date_____________________ no electrónicas no tendrán que adoptar los estándares, pero si no lo hacen, deberán contratar a un centro de cambio y compensación que proporcione los servicios de conversión. Las organizaciones de salud también deben adoptar CONJUNTOS DE CÓDIGOS ESTÁNDAR para utilizarlos en todas las transacciones médicas. Por ejemplo, los sistemas de codificación que describen las enfermedades, las lesiones y otros problemas de salud, así como sus causas, síntomas y medidas adoptadas deberán ser uniformes. Todas las partes de una transacción deberán usar y aceptar los mismos códigos. Una vez más, esto tiene como fin reducir, a la larga, los errores, la duplicación de esfuerzos y los costos. Afortunadamente, muchos planes de salud, centros de compensación y proveedores de cuidados de la salud ya utilizan los conjuntos de códigos que se proponen como estándares de la HIPAA, lo que facilitará la transición. II. IDENTIFICADORES ÚNICOS PARA PROVEEDORES, EMPRESARIOS, PLANES DE SALUD y PACIENTES El sistema actual nos permite tener varios números de Id. para distintas relaciones entre nosotros; la HIPAA considera que esto es confuso, caro e induce a errores. Se espera que los identificadores estándar reduzcan estos problemas. III. ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN MÉDICA Y FIRMA ELECTRÓNICA El nuevo estándar de seguridad proporcionará un nivel de protección uniforme a toda la información médica que se aloje o se transmita electrónicamente, y pertenezca a una persona. Además, las organizaciones que usen firmas electrónicas deberán cumplir con un estándar que garantice la integridad del mensaje, la autenticación del usuario y la ausencia de rechazo. El estándar de seguridad obliga a tener sistemas de protección para el almacenamiento y mantenimiento físicos, para la transmisión y el acceso a la información de salud de una persona. Esto es válido no sólo para las transacciones que se lleven a cabo después de la entrada en vigor de la HIPAA, sino para toda la información de salud de una persona que se conserve o se transmita. El estándar de firma electrónica, sin embargo, sólo se aplica a las transacciones realizadas después de la entrada en vigor de la HIPAA. El estándar de seguridad no exige el uso de tecnologías específicas; las soluciones variarán de una organización a otra, dependiendo de las necesidades y la tecnología de cada lugar. Asimismo, no se exige actualmente la firma electrónica para ninguna de las transacciones realizadas según la HIPAA. IV. PRIVACIDAD Y CONFIDENCIALIDAD La regla final de confidencialidad se publicó cuando terminaba el mandato del presidente Clinton, el 28 de diciembre de 2001. Ciertos problemas de papeleo retrasaron la comunicación al Congreso, por lo que la revisión del Congreso no comenzó hasta febrero, lo que retrasó la fecha de entrada en vigor de la regla hasta el 14 de abril de 2001. El Secretario del DHHS, Tommy Thompson, utilizó ese tiempo para solicitar comentarios adicionales durante el mes de marzo. El DHHS recibió más de 11,000 comentarios y como respuesta, tiene previsto emitir lineamientos y aclaraciones sobre la regla final. A partir del 14 de abril de 2003, se exigirá su cumplimiento por parte de la mayoría de las entidades. En general, la privacidad se refiere a quién puede tener acceso a la información de salud que Firma y Fecha____________________________________________________________ Patient Name_____________________ Patient File_____________________ Date_____________________ permite identificar a una persona. La regla abarca toda la información de salud con datos de identificación personal en manos de las entidades afectadas, independientemente de si dicha información está o estuvo en formato electrónico. Los estándares de confidencialidad: limitan el uso no consensuado y la divulgación de la información de salud privada; dan a los pacientes derecho de acceso a sus registros médicos y a saber quién más ha tenido acceso a ellos; restringen la divulgación de la información médica a lo mínimo necesario para los fines deseados; establecen nuevas sanciones civiles y penales por el uso o divulgación indebidos; establecen nuevos requisitos para el acceso a los registros por parte de los investigadores y otras personas. La nueva regla refleja los cinco principios básicos planteados en ese momento: Control del consumidor: la regla proporciona a los consumidores nuevos derechos críticos de control sobre la divulgación de su información médica Límites: con pocas excepciones, la información de asistencia médica de una persona debe utilizarse exclusivamente para fines de salud legítimos, incluidos el tratamiento y el pago. Contabilidad: con la HIPAA, por primera vez, habrá sanciones federales específicas si se viola el derecho a la confidencialidad de un paciente. Responsabilidad pública: los nuevos estándares reflejan la necesidad de equilibrar la protección privada y la responsabilidad pública de apoyar prioridades nacionales, como la protección de la salud pública, el desarrollo de investigaciones médicas, la mejora de la calidad de la atención, y la lucha contra el fraude y el abuso en los servicios de salud. Seguridad: es responsabilidad de las organizaciones a las que se confía la información médica protegerla contra el mal uso o la divulgación deliberada o accidental. Información reproducida del sitio de información sobre la HIPAA (www.hipaadvisory.com) Firma y Fecha____________________________________________________________