Privacidad y Seguridad de la Información de Salud

Presentado por: Niurka Adorno González, Esq., CHC, Directora, CumplimientoMolina Healthcare de Puert Rico

Definir ¿qué es HIPAA? Mencionar los identificadores de HIPAA. Explicar Uso vs. Divulgación. ¿Cuándo puedo usar o divulgar PHI sin autorización? Discutir a que se refiere el concepto de mínimo

necesario. Discutir las penalidades por violar HIPAA. Requisitos de la Regla de Privacidad. Discutir los derechos del paciente. Explicar que es brecha de la información. Explicar que es la regla de seguridad.

Objetivos:

La Ley de Responsabilidad y Portabilidad de Seguros de Salud, HIPAA por sus siglas en inglés, fue aprobada en 1996 por el Congreso de los Estados Unidos.

Provee el marco para el establecimiento de la protección de la confidencialidad de la información del paciente, la seguridad de los sistemas de información electrónica y los estándares y requerimientos de la transmisión electrónica de información de salud.

¿Qué es la Ley de Responsabilidad y Portabilidad de Seguros de Salud?

Objetivo Principal de Ley HIPAA• Proteger la información protegida de salud (PHI):

electrónica, oral o escrita.

• PHI pertenece al individuo/paciente no al proveedor.

• Las Entidades Cubiertas y los Socios de Negocio tienen la obligación fiduciaria de proteger la privacidad y seguridad del PHI de cada individuo.

• Requiere que se tengan políticas y procedimientos escritos para asegurar la privacidad y seguridad del PHI de los individuos.

Información en el record médico, como:◦ Documentación de la visita/encuentro◦ Resultados de Laboratorios◦ Fechas de Citas◦ Facturación◦ Lecturas de radiografías y reportes◦ Historial médico y exámenes físicos◦ Identificadores del Paciente

¿Dónde se encuentra la Información Protegida de Salud?

¿Cuáles son los identificadores del Paciente?A) Nombre, incluyendo iniciales; K) Número de licencia/Certificado;

B) Dirección residencial, #calle, barrio, ciudad, precinto, código postal, y “geo-codes” equivalentes;

L) Identificadores de vehículos y números de serie, incluyendo el número de la tablilla;

C) Todos los elementos de fechas (excepto año)

M) Identificadores de dispositivos y sus números de serie;

D) Números de teléfono; N) Direcciones de Web (URLs);

E) Números de Fax; O) Direcciones de Internet (IP);

F) Direcciones de Correo Electrónico; P) Identificadores Biométricos, incluyendo huellas dactilares y de voz;

G) Número de Seguro Social; Q) Imágenes fotográficas de cara entera y cualquier otra imagen comparable;

H) Números de Expediente Médico; R) Cualquier otro identificador único de número, característica o código.

I) Número de identificación del Plan Médico;

S) Números de cuenta

Uso vs. Divulgación

Uso• El compartir, empleo,

aplicación, examen o análisis de PHI dentro de la entidad cubierta.

Divulgación• La liberación,

transferencia, suministro de acceso a, o divulgar de cualquier otra forma PHI fuera de la entidad cubierta.

Casos de muerte:◦ Patólogos◦ Servicios funerarios

Donación de órganos.

Evitar amenazas serias de salud o seguridad de terceros o público en general.

Compensación por accidentes del trabajo.

Organizaciones gubernamentales de beneficios, servicios o ayudas en casos de desastre.

Funciones especiales gubernamentales:◦ Protección de oficiales y funcionarios públicos;◦ Seguridad Nacional;◦ Autoridades militares (si paciente es miembro).

¿Cuándo puedo usar o divulgar Sin Autorización?

Cumplimiento con leyes estatales:◦ Registros de enfermedades (cáncer, Alzheimer).

Actividades de fiscalización de salud:◦ DHHS◦ Oficina del Procurador del Paciente◦ ASSMCA◦ SARAFS

Cumplimiento con Ley de Salud Mental.

A otras entidades cubiertas.

Asociados de Negocios para TPO

A instituciones correccionales para la salud y seguridad del sistema.

Limitaciones o barreras de comunicación:◦ Utilización de traductores

¿Cuándo puedo usar o divulgar Sin Autorización?

Protección clave de HIPAA.

Se deben realizar esfuerzos razonables para limitar la divulgación de PHI al mínimo necesario para cumplir con su propósito.◦ Persigue mantener la confidencialidad de la información. ◦ Requiere uso de juicio profesional.

Esta regla no aplica en los siguientes casos:◦ Divulgaciones a o requeridas por proveedores de salud para propósitos de

tratamiento.◦ Divulgaciones al individuo que es el sujeto de la información.◦ Usos o divulgaciones hechas debido a la autorización del individuo.◦ Usos o divulgaciones requeridas en cumplimiento con la regla de simplificación

administrativa de HIPAA.◦ Divulgaciones al Departamento de Salud Federal cuando es requerida para

propósitos de aplicación de la regla de privacidad. ◦ Usos o divulgaciones requeridas por alguna otra ley.

Mínimo Necesario

Penalidades civiles:

Penalidades Criminales:

¿Cuáles son las Penalidades por violar HIPAA?

Penalidad Violación Criminal

Hasta $250,000 en multas y hasta 10 años de prisión

Divulgación indebida bajo una identidad falsa para vender, transferir, o el uso indebido de otra manera.

Hasta $100,000 en multas y hasta 5 años de prisión

Divulgación indebida bajo una identidad falsa.

Hasta $50,000 en multas y hasta 1 año en prisión

Divulgación indebida de PHI 

Nivel de Intención/ Negligencia

Por Violación

Sin conocimiento $100 $50,000Basado en causa razonable $1,000 $50,000Negligencia intencional corregida en o antes de 30 días

$10,000 $50,000

Negligencia intencional, no corregida

$50,000

Designar a un empleado como el Oficial de Privacidad:◦ Responsabilidades

Desarrollar e implementar las políticas y procedimientos de la entidad Designado para recibir, investigar y contestar las querellas de privacidad Proveer información adicional según le sea requerido sobre la Notificación de Prácticas de

Privacidad

Adiestramiento:◦ Todos los empleados de la oficina médica deben recibir adiestramiento sobre HIPAA

Al momento de ser contratados y anualmente Si hay cambios en las políticas

◦ Documentar

Desarrollar y aplicar sanciones apropiadas para el no cumplimiento con políticas y procedimientos◦ Documentar

Mitigar cualquier efecto dañino del uso o divulgación de PHI en violación con las políticas y procedimientos de la oficina

Requisitos de la Regla de Privacidad

Acceso a inspeccionar y copiar su PHI:◦ Pacientes Plan de Salud del Gobierno (PSG): no se debe cobrar por

las copias.◦ Carta de Derechos del Paciente.◦ Hay situaciones en que se puede denegar o retrasar su acceso:

Notas psicoterapéuticas PHI compilado para acciones o procedimientos civiles, criminales o

administrativos Si su acceso puede poner en peligro la vida o seguridad Acceso protegido para la Ley de Privacidad Federal

Notificación de Prácticas de Privacidad:◦ Resume cómo el proveedor usa y divulga el PHI◦ Informa al Paciente sobre el proceso de querella◦ Describe el derecho del paciente a proteger su información◦ Debe ser entregado al paciente antes del primer encuentro y se

debe obtener acuse de recibo de su entrega.

Derechos del Paciente

Solicitar envío de comunicaciones por medios alternos.

Solicitar enmienda o corrección a su PHI.

Contabilidad de Divulgaciones.

Presentar una Querella de Violación de Privacidad.

Derechos del Paciente

Brecha (“Breach”) – Un uso o divulgación no permisible bajo la Regla de Privacidad que compromete la seguridad o privacidad de PHI.

Un uso o divulgación de PHI no autorizada, se presume es una brecha a menos que la entidad cubierta o socio de negocios, según aplique, demuestre que existe una baja probabilidad que el PHI se ha visto comprometido en base a una evaluación de riesgos de al menos los siguientes factores: La naturaleza del PHI envuelto; La persona no autorizada que usó la información o quien se le hizo la

divulgación; Si el PHI fue adquirido o visto; Hasta qué punto el riesgo al PHI se ha mitigado.

Brecha de Información (“Breach Notification”)

Entidad Cubierta debe notificar a cada persona cuyo PHI no protegido fue divulgado en una brecha – dentro de 60 días.

Si una brecha de datos inadvertida envuelve >500 Beneficiarios, la entidad tiene que notificar a los medios y reportar a HHS.

Si una brecha de datos inadvertida envuelve

<500 Beneficiarios, la entidad tiene que notificar anualmente a HHS.

Notificación de la Brecha (“Breach Notification”)

Reportar por Accesos No Autorizados:◦ A través del sistema o;◦ Por Acceso físico de la data.

Reportar de forma expedita por violaciones al sistema de seguridad:◦ 10 días luego que la violación ha sido detectada;◦ Informar a DACO;◦ Notificación pública por DACO el próximo día laborable.

Se permite sustituir notificación si:◦ Costo excede $100,000 o;◦ Número de personas afectadas excede 100,000;◦ Notificación a través de los medios o “website”.

*Reglamento Núm. 7376 del 26 de junio de 2007

Notificación de la Brecha en Puerto Rico

Teléfonos InteligentesHackers

CDs/DVDsTablets/ IPads

Cámaras DigitalesNube (“ Cloud Storage”)

Vendors

LaptopsUSB

Discos DurosE-mailsChismes

Robo por Empleados/ Mercado Negro

Socios de Negocios

¿Cómo ocurren las violaciones de Privacidad?

Regla de Seguridad: Requiere que las entidades cubiertas y los socios

de negocio mantengan salvaguardas administrativos, técnicos y físicos apropiados para proteger el PHI electrónico.

Específicamente deben: Asegurar la confidencialidad, integridad y

disponibilidad del PHI electrónico que crean, reciben, mantienen o transmiten;

Identificar y proteger de una manera razonable contra amenazas anticipadas a la seguridad o integridad de la información;

Proteger contra los usos o divulgaciones no autorizadas de forma anticipada;

Asegurar el cumplimiento de la fuerza laboral.

Regla de Seguridad Se divide en tres partes:

Salvaguardas Administrativos Incluye el asignar a una persona como

Oficial de Seguridad y proveer adiestramientos.

Salvaguardas Físicos Incluye el equipo, back-ups y restricciones

de accesos. Salvaguardas Técnicos

Incluye los controles de accesos, auditorías, integridad, transmisión de la data, autenticación.

Oficina de Derechos Civiles (OCR)

• Adscrita al Departamento de Salud y Servicios Humanos de los Estados Unidos (DHHS, por sus siglas en inglés).

• Se asegura que los pacientes tengan acceso a su información de salud y protege la privacidad y seguridad de la información de salud.

• Recibe querellas de los pacientes.

• Recibe las notificaciones de las brechas de información.

• Audita a las Entidades Cubiertas y a los Socios de Negocio sobre el cumplimiento con la regla de privacidad y seguridad.

Casos en Puerto Rico

Importante:

La clave es la prevención

Documentar Documentar Documentar

Preguntas