¿QUÉ ES LA Ley HIPAA

Anuncio
Patient Name_____________________
Patient File_____________________
Date_____________________
¿QUÉ ES LA Ley HIPAA?
La Ley de responsabilidad y transferibilidad de los seguros médicos (Health Insurance Portability
& Accountability Act) de 1996 (21 de agosto 21), ley pública 104-191, que modifica el código del
Internal Revenue Service de 1986. También conocida como la Ley de Kennedy-Kassebaum.
El Título II incluye una sección, Simplificación administrativa, que exige:
1. Mayor eficiencia en la asistencia médica por medio de la estandarización del intercambio
electrónico de datos, y
2. La protección de la confidencialidad y seguridad de los datos médicos, a través del
establecimiento y cumplimiento de estándares.
Más específicamente, la HIPAA pide:
1. La estandarización de los datos electrónicos administrativos, financieros y de salud de los
pacientes
2. Identificadores médicos únicos para personas, empleados, planes de salud y proveedores de
cuidados médicos
3. Normas de seguridad que protejan la confidencialidad y la integridad de la "información
médica identificable a nivel personal" pasada, presente o futura.
En resumen: cambios radicales en la mayoría de los sistemas de información administrativos y
de transacciones médicas.
¿A QUIÉN AFECTA? A todas las organizaciones de salud. Esto incluye a todos los proveedores
de asistencia médica, contando a los consultorios de un solo médico, a los planes de salud,
empresas, autoridades de salud, compañías de seguros, cámaras de compensación, agencias
de facturación, proveedores de sistemas de información, organizaciones de servicios y
universidades.
¿HAY SANCIONES? La HIPAA pide sanciones civiles y penales graves en caso de
incumplimiento, como multas de hasta 25,000 dólares por violaciones reiteradas del mismo
estándar en un solo año, multas de hasta 250,000 dólares o hasta 10 años de prisión por el mal
uso consciente de la información de salud identificable a nivel personal.
PLAZOS DE APLICACIÓN La mayoría de las entidades disponen de 24 meses desde la fecha
de entrada en vigor de la regla final, para cumplirla en su totalidad. Normalmente, la fecha de
entrada en vigor es 60 días después de la publicación de una regla. La Regla sobre
transacciones se publicó el 17 de agosto de 2000. Por lo tanto, la fecha de cumplimiento de esa
regla es el 16 de octubre de 2002. La Regla sobre confidencialidad se publicó el 28 de diciembre
de 2000, pero debido a pequeños problemas técnicos, no entró en vigor hasta el 14 de abril de
2001. El cumplimiento de la regla sobre confidencialidad se exige a partir del 14 de abril de 2003.
¿CÓMO SE APLICARÁ? De manera amplia y profunda. Las respuestas de cumplimiento
exigidas no son estándar, ya que las organizaciones tampoco lo son. Por ejemplo, una
organización con una red de cómputo deberá poner en funcionamiento uno o más mecanismos
Firma y Fecha____________________________________________________________
Patient Name_____________________
Patient File_____________________
Date_____________________
de acceso con autenticación de seguridad, basados en los usuarios, las funciones o el contexto,
dependiendo del entorno de red.
Un cumplimiento efectivo requerirá de una aplicación en toda la organización. Los pasos
incluirán:
Fomentar el conocimiento inicial de la HIPAA en toda la organización.
Evaluar de forma completa los sistemas de seguridad de la información, los reglamentos y los
procedimientos de la organización.
Desarrollar un plan de acción con plazos y fechas límite.
Desarrollar una infraestructura técnica y de administración para poner el plan en funcionamiento.
Poner en marcha un plan de acción completo que incluya
el desarrollo de nuevos reglamentos, procesos y procedimientos
Crear acuerdos de "cadena de confianza" con la organización de servicios.
Rediseñar una infraestructura de información técnica que cumpla los requisitos.
Adaptar o adquirir nuevos sistemas de información
Desarrollar nuevas comunicaciones internas
Capacitación y aplicación
Ahora, exploraremos el siguiente nivel de particularidades de la HIPAA que, para muchos de
nosotros, son más fuente de confusión que de entendimiento. Intentemos simplificar la
"Simplificación administrativa".
La disposición sobre "Simplificación administrativa" de la HIPAA consta de cuatro partes, cada
una de las cuáles genera varias "reglas" y "estándares". Muchas de las reglas y estándares
están aún en la fase de "propuesta" (por el DHHS); sin embargo, está previsto que la mayoría de
ellas se conviertan en reglas "finales" en el año 2000. Para complicar el asunto aún más, cuando
las reglas sean finales, la mayoría de ellas tendrá diferentes fechas de aplicación.
Las cuatro partes de la simplificación administrativa son:
ESTÁNDARES PARA TRANSACCIONES ELECTRÓNICAS RELACIONADAS CON LA SALUD
IDENTIFICADORES ÚNICOS
ESTÁNDARES DE SEGURIDAD Y FIRMAS ELECTRÓNICAS
ESTÁNDARES DE PRIVACIDAD Y CONFIDENCIALIDAD
I. ESTÁNDARES PARA TRANSACCIONES ELECTRÓNICAS RELACIONADAS CON LA
SALUD
El término "transacciones electrónicas relacionadas con la salud" incluye las reivindicaciones
médicas, la elegibilidad para los planes de salud, la inclusión y exclusión, los pagos de primas de
los planes de salud y asistencia, el estado de las reclamaciones, los primeros informes de
lesiones, la coordinación de prestaciones y las transacciones relacionadas.
En la actualidad, los proveedores de cuidados y los planes de salud usan un gran número de
formatos electrónicos distintos. La aplicación de un estándar nacional significa que todos
usaremos un solo formato, lo que "simplificará" y mejorará la eficiencia de las transacciones en
todo el país. La regla propuesta exige el uso de formatos electrónicos específicos desarrollados
por el ANSI (American National Standards Institute) para la mayoría de las transacciones, con
excepción de las reclamaciones y los primeros informes de lesión. La reglamentación propuesta
para estas excepciones aún no se conoce.
Prácticamente todos los planes de salud tendrán que adoptar estos estándares, aunque la
transacción se realice en papel, por teléfono o por fax. Los proveedores que usan transacciones
Firma y Fecha____________________________________________________________
Patient Name_____________________
Patient File_____________________
Date_____________________
no electrónicas no tendrán que adoptar los estándares, pero si no lo hacen, deberán contratar a
un centro de cambio y compensación que proporcione los servicios de conversión.
Las organizaciones de salud también deben adoptar CONJUNTOS DE CÓDIGOS ESTÁNDAR
para utilizarlos en todas las transacciones médicas. Por ejemplo, los sistemas de codificación
que describen las enfermedades, las lesiones y otros problemas de salud, así como sus causas,
síntomas y medidas adoptadas deberán ser uniformes. Todas las partes de una transacción
deberán usar y aceptar los mismos códigos. Una vez más, esto tiene como fin reducir, a la larga,
los errores, la duplicación de esfuerzos y los costos. Afortunadamente, muchos planes de salud,
centros de compensación y proveedores de cuidados de la salud ya utilizan los conjuntos de
códigos que se proponen como estándares de la HIPAA, lo que facilitará la transición.
II. IDENTIFICADORES ÚNICOS PARA PROVEEDORES, EMPRESARIOS, PLANES DE SALUD
y PACIENTES
El sistema actual nos permite tener varios números de Id. para distintas relaciones entre
nosotros; la HIPAA considera que esto es confuso, caro e induce a errores. Se espera que los
identificadores estándar reduzcan estos problemas.
III. ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN MÉDICA Y FIRMA ELECTRÓNICA
El nuevo estándar de seguridad proporcionará un nivel de protección uniforme a toda la
información médica que se
aloje o se transmita electrónicamente, y
pertenezca a una persona.
Además, las organizaciones que usen firmas electrónicas deberán cumplir con un estándar que
garantice la integridad del mensaje, la autenticación del usuario y la ausencia de rechazo.
El estándar de seguridad obliga a tener sistemas de protección para el almacenamiento y
mantenimiento físicos, para la transmisión y el acceso a la información de salud de una persona.
Esto es válido no sólo para las transacciones que se lleven a cabo después de la entrada en
vigor de la HIPAA, sino para toda la información de salud de una persona que se conserve o se
transmita. El estándar de firma electrónica, sin embargo, sólo se aplica a las transacciones
realizadas después de la entrada en vigor de la HIPAA.
El estándar de seguridad no exige el uso de tecnologías específicas; las soluciones variarán de
una organización a otra, dependiendo de las necesidades y la tecnología de cada lugar.
Asimismo, no se exige actualmente la firma electrónica para ninguna de las transacciones
realizadas según la HIPAA.
IV. PRIVACIDAD Y CONFIDENCIALIDAD
La regla final de confidencialidad se publicó cuando terminaba el mandato del presidente Clinton,
el 28 de diciembre de 2001. Ciertos problemas de papeleo retrasaron la comunicación al
Congreso, por lo que la revisión del Congreso no comenzó hasta febrero, lo que retrasó la fecha
de entrada en vigor de la regla hasta el 14 de abril de 2001. El Secretario del DHHS, Tommy
Thompson, utilizó ese tiempo para solicitar comentarios adicionales durante el mes de marzo. El
DHHS recibió más de 11,000 comentarios y como respuesta, tiene previsto emitir lineamientos y
aclaraciones sobre la regla final. A partir del 14 de abril de 2003, se exigirá su cumplimiento por
parte de la mayoría de las entidades.
En general, la privacidad se refiere a quién puede tener acceso a la información de salud que
Firma y Fecha____________________________________________________________
Patient Name_____________________
Patient File_____________________
Date_____________________
permite identificar a una persona. La regla abarca toda la información de salud con datos de
identificación personal en manos de las entidades afectadas, independientemente de si dicha
información está o estuvo en formato electrónico.
Los estándares de confidencialidad:
limitan el uso no consensuado y la divulgación de la información de salud privada;
dan a los pacientes derecho de acceso a sus registros médicos y a saber quién más ha tenido
acceso a ellos;
restringen la divulgación de la información médica a lo mínimo necesario para los fines
deseados;
establecen nuevas sanciones civiles y penales por el uso o divulgación indebidos;
establecen nuevos requisitos para el acceso a los registros por parte de los investigadores y
otras personas.
La nueva regla refleja los cinco principios básicos planteados en ese momento:
Control del consumidor: la regla proporciona a los consumidores nuevos derechos críticos de
control sobre la divulgación de su información médica
Límites: con pocas excepciones, la información de asistencia médica de una persona debe
utilizarse exclusivamente para fines de salud legítimos, incluidos el tratamiento y el pago.
Contabilidad: con la HIPAA, por primera vez, habrá sanciones federales específicas si se viola el
derecho a la confidencialidad de un paciente.
Responsabilidad pública: los nuevos estándares reflejan la necesidad de equilibrar la protección
privada y la responsabilidad pública de apoyar prioridades nacionales, como la protección de la
salud pública, el desarrollo de investigaciones médicas, la mejora de la calidad de la atención, y
la lucha contra el fraude y el abuso en los servicios de salud.
Seguridad: es responsabilidad de las organizaciones a las que se confía la información médica
protegerla contra el mal uso o la divulgación deliberada o accidental.
Información reproducida del sitio de información sobre la HIPAA (www.hipaadvisory.com)
Firma y Fecha____________________________________________________________
Descargar