Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional
Horas Contacto: 4.0 Modalidad: Módulo
Audiencia: Trabajadores Sociales Costo: $20.00
Por: Maria de L. Ortiz Montalbán, JD, BA
Aprobado por: Colegio de Profesionales de Trabajo Social de Puerto Rico (CPTSPR)
Ley HIPAA
Sano Manejo de la Información del Paciente
Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional para Trabajadores Sociales. 2
ÍNDICE PÁGINA
Contenido 3 – 18
Referencias 19
Prueba Diagnóstica 20
Hoja de Evaluación 21
Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional para Trabajadores Sociales. 3
Módulo Instruccional
Ley HIPAA
Sano Manejo de la Información del Paciente
Horas Contacto: 4.0 Modalidad: Módulo
Audiencia: Trabajadores Sociales Costo: $20.00
Por: Maria de L. Ortiz Montalbán, JD, BA
Aprobado por: Colegio de Profesionales de Trabajo Social de Puerto Rico (CPTSPR)
Objetivos: Mediante la lectura y el análisis del contenido del Módulo Instruccional, los
lectores:
1. Conocerán el propósito principal de la ley HIPAA.
2. Reconocerán los conceptos y fundamentos que aplican a la ley HIPAA y las leyes
estatales de Puerto Rico.
3. Identificarán los conceptos básicos y las consideraciones relacionadas con las
leyes asociadas a la salud.
4. Compararán la correlación existente entre la ley HIPAA y las leyes estatales de
Puerto Rico
5. Identificarán los componentes esenciales contenidos la ley HIPAA.
6. Identificarán los factores que determinan el cumplimiento, de las leyes estatales,
la ley HIPAA y las órdenes administrativas del Departamento de Salud.
7. Identificarán los sistemas de seguridad de información aplicables, según la ley
HIPAA,
8. Conocerán el impacto económico del acta conocida como HITECH.
9. Conocerán sobre los nuevos requerimientos incluidos en la nueva reglamentación
de la ley HIPAA y las nuevas sanciones que se han impuesto a los violadores de la ley
en temas de confidencialidad y privacidad.
Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional para Trabajadores Sociales. 4
INTRODUCCIÓN
La Health Insurance Portability and Accountability Act de 21 de agosto de 1996 Ley
Pública Núm. 104-191 es una ley federal conocida por sus siglas HIPAA y aprobada por
el Congreso de los Estados Unidos. La misma contiene y establece:
a. Reglas de privacidad promulgadas por el Departamento de Salud y Recursos
Humanos del Gobierno Federal.
b. Estándares mínimos uniformes para todos los Estados Unidos y Puerto Rico.
c. Protección de la privacidad, confidencialidad y seguridad de la
información de salud.
La Ley HIPAA establece tres principios rectores para el sano manejo de la
información de salud de todo paciente que son:
1. Privacidad - Es un derecho a que la información de salud no sea
divulgada sin el consentimiento o previa autorización del paciente.
2. Confidencialidad- Es una condición "garantizar que la información es accesible
sólo para aquellos autorizados a tener acceso". Certeza de que sólo
personas con una razón válida tienen acceso a la información.
3. Seguridad - Es una protección. Controla el acceso a la información y previene la
alteración, destrucción o pérdida de información.
La meta fundamental de la ley era facilitar a las personas el mantener un seguro
médico, proteger la confidencialidad y la seguridad de la información del cuidado
médico y ayudar a la industria del cuidado de la salud a controlar los costos
administrativos.
Fue creada para atender varios propósitos:
Reducir el fraude
Proteger la integridad de un expediente médico
Proteger la privacidad y la confidencialidad de un paciente
Utilizar sistemas únicos para proteger la información del paciente durante las
transmisiones electrónicas, en los procesos de facturación, en el uso de récord
electrónico o en la administración de información en papel.
Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional para Trabajadores Sociales. 5
Crear organismos para atender las querellas de los pacientes.
I. DEFINICIONES:
1. HIPAA - Health Insurance Portability and Accountability Act
2. Ley federal - ley aprobada por el Congreso de los Estados Unidos de
Norteamérica
3. PHI - información de salud protegida
4. TPO - tratamientos, pago y operación
5. PPS - plan de prácticas y políticas de seguridad
6. Asociado de negocio - cualquier persona o entidad que ofrezca servicios al médico
y que tenga acceso a la información PHI, pero no es empleado.
7. Entidad cubierta - cualquier empresa o institución que procesa información de
salud de un paciente de forma electrónica.
8. Consentimiento- documento que establece una relación permanente entre el
médico y el paciente.
9. Autorización - documento que permite ciertos privilegios (limitados) al médico para
el manejo de la información médica del paciente.
10. Proveedor- médico o entidades que ofrecen servicios de salud autorizadas por las
leyes y reglamentos vigentes (Ej.: hospital, farmacia, laboratorio)
11. Privacidad - métodos o procedimientos que se utilizan para asegurar la
información o impedir el acceso a esta.
12. Confidencialidad - métodos o procedimientos que se utilizan para asegurar que la
información no sea divulgada.
13. Protocolo - plan de acción a seguir ante una situación o tarea definida por las
leyes, reglamentos o procedimientos establecidos.
14. Transmisiones electrónicas - envío de información de salud protegida a través de sistemas electrónicas.
15. Materiales didácticos - recursos autorizados por la Ley HIPAA para la codificación de servicios, diagnósticos y procedimientos médicos.
16. HIPAA Compliance Officer- oficial designado por la entidad para la aplicación del Título II de la Ley HIPAA (Privacidad y Seguridad).
II. APLICABILIDAD:
Planes de Salud
Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional para Trabajadores Sociales. 6
Aseguradores de Salud (planes privados o públicos) Ej. Humana, Triple S,
Cruz Azul, Medicare, Reforma, Programa de Asistencia Médica.
Esta norma no es aplicable a:
Planes de compensación por accidentes del trabajo (Fondo del Seguro del
Estado).
Planes de seguro de vida.
Planes de pago por enfermedad.
III. CUMPLIMIENTO
Clearinghouses Entidades que traducen información de salud recibida de otra
entidad. (Ej. Radiólogos, tecnólogos médicos)
Proveedores de Servicio de Salud
Persona o entidad que provee, factura o es pagada por servicios o suministros
de salud y transmite información electrónicamente, o alguien lo hace por él,
usando una transacción estandarizada por HIPAA.
Acuerdo Organizado de Cuidado de Salud (OHCA).
HIPAA introduce un nuevo concepto o definición incluye a aquellas
dependencias o entidades que son percibidas por el paciente como una sola
unidad (Ejemplos: Centro Médico de Puerto Rico, ASES (Administración de
Servicios de Salud), Programa de Asistencia Médica (PAM) entre otras.
Estas pueden usar una misma política y aviso de privacidad, aunque se
mantiene independencia de responsabilidad legal y administrativa. Sin embrago,
pueden compartir funciones como facturación, evaluación, referidos y cambios
para el mejoramiento de los servicios a los pacientes.
IV. ACCESO A LA LEY (ESTATAL O FEDERAL) DOCTRINA DEL CAMPO OCUPADO La Ley HIPAA aplica a todos los Estados, Puerto Rico y territorios
por disposición expresa del Congreso. La ley persigue uniformizar el derecho
aplicable a los pacientes en cuanto a la protección de
su información de salud. Ocupa el campo estatal, desplaza, sustituye y prevalece
sobre cualquier ley local que sea contraria.
Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional para Trabajadores Sociales. 7
La propia ley establece límites a su ocupación del campo estatal. Dispone que
cualquier legislación local presente o futura que sea más estricta (stringent) prevalecerá
sobre HIPAA (Ej. Ley de Salud Mental de PR).
Se define más estricta aquella legislación que concede mayor acceso y derechos al paciente en cuanto a su información de salud y la protege en mayor amplitud. Se utilizan para evitar confusiones o conflictos entre las leyes y también permiten completar sectores o áreas de alguna ley que no están explicados. Donde existan dos leyes (una federal y una local) con derechos similares, prevalecerá la ley que provea mayores derechos al ciudadano. Sin embargo, la Doctrina del Campo Ocupado no aplica a una ley en su totalidad. Puede ser que algunos artículos o secciones de una ley federal estén sobre una ley local y puede ser que algunos artículos de una ley local estén sobre una ley federal. Depende de la situación y de la totalidad de las circunstancias. De otra parte, la ley HIPAA dispone que determinadas leyes estatales continuarán vigentes. Se trata de legislación relativa a:
Salud Pública (epidemias, registros, etc.)
Menores (abuso, maltrato, derechos, etc.)
Derechos de Representación (patria potestad, etc.)
Seguros (reglamentación seguros, etc.)
Legislación de protección social (sustancias controladas, protección y seguridad
de infantes, etc.)
En Puerto Rico existe una Ley conocida como: Carta de Derechos y Responsabilidades
del Paciente, Ley 194 del 2000 de Puerto Rico. Esta ley de Puerto Rico cubre la
privacidad y la confidencialidad del paciente. También incluye otros derechos como el
derecho a recibir servicios de salud. Es el estado legal de los pacientes en Puerto Rico
e incluye algunos derechos que no son atendidos por HIPAA.
La Carta de Derechos y Responsabilidades de un paciente incluye en su contenido (en
resumen):
El derecho a la salud
El derecho a recibir un trato digno y un servicio de calidad
El derecho a la privacidad y a la confidencialidad
Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional para Trabajadores Sociales. 8
El derecho a decidir y escoger a sus proveedores
El derecho a participar y consentir el tratamiento médico
Incluye también responsabilidades como:
Seguir las instrucciones del médico
Proveer la información correcta para su tratamiento
La Carta de Derechos y Responsabilidades del Paciente contiene una enmienda que
incluye los derechos del paciente sobre su expediente médico, conocida como Ley 309
del 24 de diciembre de 2002.
Algunos derechos contenidos:
El paciente es el dueño del récord médico.
Se puede llevar el récord médico cuando lo desee siempre y cuando lo notifique
con cinco días de anticipación (en la oficina médica) o con quince días de
anticipación en hospital.
Puede terminar la relación con el médico y llevarse el récord de forma gratuita. El
médico puede conservar una copia.
Si el paciente no desea terminar la relación con el médico, pero desea copias del
récord, el proveedor le puede cobrar hasta 75 centavos por copia o un máximo de
$25.00 por copiar el expediente en su totalidad.
V. TITULOS DE HIPAA:
HIPAA se divide en cinco títulos o secciones que contienen un aspecto único de
la reforma del seguro de salud.
El Título I es la movilidad (“portabilidad”). La movilidad permite a las personas
llevar su seguro médico de un trabajo a otro para que no tengan un lapso en la cobertura.
También restringe a los planes médicos de requerir condiciones preexistentes a
personas que cambian un plan médico a otro.
El Titulo II se conoce como la Simplificación Administrativa y tendrá un impacto mayor
para los proveedores. Se diseñó para:
Combatir el fraude y abuso en el cuidado de la salud.
Garantizar la seguridad y la privacidad de la información médica.
Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional para Trabajadores Sociales. 9
Establecer estándares para la información y transacciones médicas.
Reducir el costo del cuidado médico mediante la estandarización de la manera en
que la industria comunica la información.
Los títulos restantes son: Título III - Disposiciones de Salud Relacionadas a Impuestos
Título IV - Aplicación y Cumplimiento de los Requisitos de Planes Grupales de Salud
Título V - Retenciones de Ingresos
VI. SEGURIDAD – (PHI) INFORMACIÓN DE SALUD PROTEGIDA La seguridad es de gran importancia para la Ley HIPAA y una de las principales razones
para su creación. El PHI o Protected Health Information es aquella información personal
de salud que permite identificar a un paciente particular dentro del universo de pacientes
atendidos por las diversas entidades.
Es creada o recibida por la entidad cubierta y es transmitida por cualquier medio, ya sea
oral, escrita o electrónica e incluye información médica, financiera o demográfica, entre
otras informaciones.
Contiene datos relacionados con la condición física o mental pasada, presente o futura,
o a categoría en la que se ofreció una prestación o pago de servicios de salud para un
individuo o paciente particular.
Puede ser usada o divulgada sin autorización para:
Tratamientos
Pagos u operaciones para el cuidado de la salud
Usos y divulgaciones autorizados por ley
Sin embargo, cualquier otro uso o divulgación requiere la autorización del
paciente.
Esta información es conocida como el TPO que se refiere a: Tratamiento:
Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional para Trabajadores Sociales. 10
Referidos a otros proveedores (laboratorios, rayos X, procedimientos de
imágenes)
Anotaciones en el expediente clínico
Recetas para medicamentos o equipos
Pago:
Facturar al asegurador, al plan médico, o a otro proveedor (en caso de un
referido)
Pre autorizaciones, coordinación de beneficios, determinación de necesidad
médica, etc.
Operaciones:
Evaluación del personal, auditorías, estudios y evaluaciones de
calidad de servicios
Discusión de casos por la facultad y/o con residentes.
La persona tiene derecho a una notificación adecuada sobre los usos y divulgaciones de
su PHI que puede hacer la entidad cubierta, sus derechos y las obligaciones legales de
la misma. De ahí que sea indispensable la declaración pública de las prácticas de
seguridad de la entidad cubierta en cuanto al uso y divulgación de PHI. A esto se le
conoce como el Aviso de Prácticas de Seguridad
Esta declaración puede ser considerada un contrato entre las partes, entiéndase
paciente y entidad cubierta y representa una obligación con el paciente cuya violación
acarrea responsabilidad por acción u omisión de las estipulaciones de este contrato.
El Aviso de Prácticas de Seguridad debe contener:
Uso que dará la entidad cubierta al PHI para TPO.
Ejemplos de lo que constituye TPO
Usos y divulgaciones de PHI sin autorización
Derechos del Paciente
Obligaciones de la EC
Derecho de EC a cambiar prácticas
Cómo radicar querellas ante la EC
Persona de Contacto
Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional para Trabajadores Sociales. 11
Qué es un Aviso Resumido (No sustituye el aviso largo y deberán entregarse
ambos)
De otra parte, en términos generales la Ley HIPAA les requiere a los proveedores de servicios de salud que:
Garanticen los derechos a la privacidad del paciente:
Entreguen a los pacientes explicaciones claras, por escrito de cómo el proveedor
podría utilizar y revelar su información de salud.
Aseguren que los pacientes puedan ver y obtener copias de sus expedientes y
solicitar correcciones.
Hagan un historial de revelaciones no rutinarias accesible a los pacientes.
Obtengan el consentimiento del paciente antes de compartir su información para
tratamiento, pago y actividades del cuidado médico.
Obtengan la autorización del paciente para las revelaciones no rutinarias y la
mayoría de los propósitos no relacionados al cuidado médico.
Permitan a los pacientes solicitar restricciones en los usos y revelaciones de su
información.
También les requiere que adopten procedimientos de privacidad por escrito que incluyan:
Control de acceso a la información protegida.
El uso de la información dentro de la agencia.
Control de la divulgación de la información.
Garantizar que los asociados del negocio protejan la privacidad de la información
del paciente.
Enseñar a los empleados los procedimientos de privacidad del proveedor.
Designar un oficial de privacidad que es responsable de asegurarse que los
procedimientos de seguridad se cumplen.
La Regla de Privacidad requiere que el proveedor actúe razonablemente para evitar
divulgaciones innecesarias y no autorizadas. La comunicación entre proveedores, o
de éstos con sus pacientes, está permitida.
Las divulgaciones que ocurran en este proceso constituyen lo que HIPAA denomina
como divulgaciones incidentales Ej. Hablar con un paciente en una habitación semi-
privada, ambiente de terapia física o divulgaciones hechas en el transcurso de
tratamiento.
Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional para Trabajadores Sociales. 12
Las llamadas divulgaciones incidentales están permitidas si se establecen salvaguardas
razonables sin embargo existen otras que carecen de razonabilidad:
Razonable:
Nombre de los pacientes en las puertas
Discutir el caso con el paciente en su habitación
Lista con nombre y hora de llegada
Expediente en estación de enfermeras
Suero con nombre, medicamento y dosis
No Razonable
Diagnósticos de los pacientes en las puertas
Discutir el caso con el paciente en los pasillos o en público
Lista con nombre y queja principal
Expediente en la cama del paciente
Suero con nombre, medicamento y diagnóstico.
De otra parte, existe una serie de divulgaciones que pueden ser autorizadas por el paciente como son:
A representantes del paciente, familiares, relacionados o amigos íntimos
sólo información relevante al apoyo del cuidado del paciente o el pago de los
servicios.
Si el paciente está presente y puede tomar decisiones, se puede divulgar PHI si:
o Se obtiene el consentimiento del paciente
o Razonablemente se infiere de las circunstancias, basado en nuestro juicio
profesional, que el paciente no objetará.
Si el paciente no está presente la entidad cubierta puede utilizar su juicio profesional y su experiencia en la práctica para decidir si es apropiado o no divulgar.
La divulgación en si misma tiene una serie de requisitos adicionales como son:
Que divulga el PHI
Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional para Trabajadores Sociales. 13
A quien se divulga el PHI
Descripción del PHI a divulgarse
Fecha o evento de expiración de la información
Derecho del paciente a revocar una autorización realizada
Indicación de posibilidad de divulgación subsiguiente y que el PHI pierda su
protección
Firma y fecha de autorización
Si la autorización es hecha por un representante requiere descripción de autoridad
De acuerdo a la Ley HIPAA, el paciente tiene derecho a recibir un informe de contabilidad
de las divulgaciones hechas por la entidad cubierta en los 6 años previos a la solicitud
actual.
Establece la ley que estos 6 años se cuentan a partir del 14 de abril de 2003, se pueden
realizar en bitácoras o diarios de papel o de manera electrónica, el departamento o
unidad que hace la divulgación será responsable de contabilizarla y la entidad cubierta
tendrá un plazo de 60 días para hacer la contabilidad con la posibilidad de solicitar 30
días adicionales para presentarla.
Existe un estándar mínimo de divulgaciones que establece que la entidad cubierta debe
realizar una serie de esfuerzos razonables para limita las divulgaciones y tiene como
objetivos:
Mantener la confidencialidad de la información.
Preparar protocolos de divulgaciones frecuentes.
Uso de juicio profesional en caso de divulgaciones recurrentes o no rutinarias.
Identificar el tipo de información que la persona a cargo deberá divulgar. Existen instancias en que la divulgación de información conlleva mayores retos como es
el caso de padres e hijos. La ley estatal establece el que no se requerirá el
consentimiento del padre de un menor para recibir servicios de salud en:
Menores - Se permite que un menor de 14 años pueda obtener consejería
y tratamiento de salud mental, hasta un máximo de 6 sesiones, sin el
consentimiento de sus padres. También puede consentir a los efectos de
examen y tratamiento de enfermedades de transmisión sexual.
Menores, entre 18 y 21 años - Pueden consentir para donar sangre, sin la
necesidad del consentimiento de sus padres o tutores.
Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional para Trabajadores Sociales. 14
Jóvenes embarazadas - Todo menor no emancipada o mentalmente
incapacitada que está embarazada podrá recibir cuidados y servicios de
salud pre y post natales, servicios de orientación, sin que se tenga que
cumplir con el requisito previo del consentimiento de los padres.
Con el desarrollo de los medios de comunicación las medidas de divulgación y protección
de información se han intensificado como son:
Medidas para divulgar PHI por facsímile y ubicación de máquinas de
facsímile (fax)
o De ser posible, se separará las máquinas de facsímiles para uso
regular de la oficina de aquellas que se utilizan para transmitir
información de salud de pacientes.
o La hoja de trámite deberá contener un aviso como: “Esta
Transmisión Incluye Información Confidencial de Salud” o
“DOCUMENTO CONFIDENCIAL”.
o No se transmitirá información de salud mental vía facsímile a menos
que la entidad cubierta cuente con autorización escrita del paciente
para transmitir PHI por fax.
o Se evitará, hasta donde sea posible, transmitir PHI con información
sensitiva.
o En casos de adicciones o dependencias a drogas o alcohol se
tratará de limitar el uso de facsímiles a situaciones urgentes o no
rutinarias. Se coordinará con las personas que envíen facsímiles
con PHI, para evitar que permanezca en la máquina. Se designarán
personas para recibir y distribuir facsímiles.
o Se asegurará que los facsímiles se coloquen en lugares seguros y
su confidencialidad sea mantenida hasta que sean entregados. Se
confirmará que los números de facsímile sean los correctos. Se
llamará y notificará que se está enviando un facsímile.
o Se requerirá confirmación del recibo del facsímile. No se confiará ni
dependerá de número de facsímile listados en guías telefónicas o
directorios.
Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional para Trabajadores Sociales. 15
Medidas para divulgar PHI por teléfono
o La entidad cubierta se asegurará que toda divulgación de PHI
teléfono para TPO se haga confidencialmente y la limitará al mínimo
necesario.
o Verificará la identidad de la persona, pidiéndole información para
identificarlo.
o Verificará si se ha hecho una solicitud de envío de PHI por medios
o lugares alternos antes de divulgar.
o Si es necesario dejar un mensaje en una máquina que toma
mensajes como medidas cautelares se dejará:
El nombre de quién llama
A quién va dirigido el mensaje y una solicitud para devolver la
llamada a un número.
o NO se dejará:
Ninguna información que identifique a la entidad cubierta o
Información relacionada con el paciente.
o NO se divulgará por teléfono información:
Psiquiátrica
Tratamiento de drogas y alcohol
Violencia doméstica
Relacionada con enfermedades de transmisión sexual
Relacionada con embarazos, abortos o contraceptivos
VII. REGLA DE SEGURIDAD Y TECNOLOGÍA El 21 de abril de 2005 entró en vigor la regla de Seguridad de HIPAA. Toda entidad
cubierta que maneje PHI de forma electrónica (ePHI) debe tener en vigor mecanismos
que protejan el acceso, uso y divulgación a la información de pacientes que mantiene en
medios electrónicos.
Algunas medidas recomendadas son:
Eliminar los puertos o salidas (CD / USB)
Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional para Trabajadores Sociales. 16
Establecer una contraseña por cada usuario (password)
Utilizar “screen saver” para evitar la divulgación innecesaria de información.
Destruir o Guardar el disco antes de eliminar una computadora
Hacer “backups” de información continuamente.
Instalar un antivirus seguro y efectivo.
Tener filtros adecuados para el uso de internet.
Encriptar la información cuando se envía a través de medios electrónicos.
La mayoría de los dispositivos están incluidos en las reglamentaciones establecidas por
HIPAA:
Laptop - Notebook
Teléfonos inteligentes
Impresoras y Fotocopiadoras (Smart)
I-Pad / Tablet
Sistemas “Cloud” - Sky - Face
Páginas Públicas
La Regla de Seguridad requiere que las entidades cubiertas tomen salvaguardas
administrativas, técnicas y físicas para proteger la confidencialidad, integridad y
disponibilidad del e PHI.
Las medidas deben ser tomadas basándose en el tamaño y complejidad de la entidad
cubierta como, por ejemplo, las estrategias que usará un médico en su oficina privada
no serán iguales a las que pondrá en vigor un hospital.
VIII. MEDIDAS ADMINISTRATIVAS Son divididas en tres categorías:
GENERALES - Son en general funciones administrativas como políticas y
procedimientos que apoyan el proceso de cumplimiento con los estándares.
Comprenden un conjunto de medidas que protegen el e PHI y que guían la
conducta de la fuerza trabajadora en relación a la protección de la
información. Implica que estén en vigor o se hayan trabajado aspectos como:
Análisis y manejo de riesgos, adiestramientos de seguridad y Política de
sanciones.
Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional para Trabajadores Sociales. 17
FÍSICAS - Se compone de mecanismos para proteger el acceso a lugares,
equipos y sistemas en los que se conserva información de salud protegida en
medios electrónicos. La protección va desde contra amenazas ambientales hasta
el acceso de personas no autorizadas.
TÉCNICAS - Son primordialmente procesos automatizados para controlar el
acceso y uso no autorizado de la información. Incluye el uso de mecanismos de
control de acceso e identificación de usuarios para verificar que el personal que
hace uso del sistema de información, está autorizado para ello.
IX. ASOCIADOS DE NEGOCIOS: ACUERDOS Y MEDIDAS La ley se refiere a cualquier persona natural o jurídica que provee servicios
representando o a nombre de la entidad cubierta. Crea, recibe o divulga PHI para la
entidad cubierta y puede ser una entidad externa que lleve a cabo las siguientes labores,
entre otras:
Facturación
Administración de Reclamaciones
Análisis de Datos
Revisión de Utilización
En aquellos casos que los asociados de negocio no cumplan con sus obligaciones la
entidad cubierta podrá tomar acción para corregir la deficiencia, o terminar el contrato.
X. LEGISLACIÓN RELACIONADA El gobierno de los Estados Unidos estableció una ley para establecer el Récord
Electrónico, conocida como HITECH. Esta ley tiene similitud con la Ley HIPAA en
algunos de sus Títulos / Artículos.
OMNIBUS - Esta reglamentación entró en vigor el 23 de septiembre de 2013. En la actualidad, las multas y penalidades de HIPAA - HITECH pueden superar 1 millón
de dólares y, en algunos escenarios, incluir cárcel.
Algunas de estas penalidades:
Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional para Trabajadores Sociales. 18
Uso indebido de los incentivos para la implementación del Récord Electrónico.
Violación de la Privacidad o Confidencialidad de un paciente
Fuga de información
Incumplimiento - Implica una serie de sanciones y multas
o No cumplir con los estándares desde $100 por persona por violación
hasta $25,000 por persona por violación de un solo estándar en un
año calendario.
o Por el uso y divulgación indebida de información de salud protegida
o por la obtención de esta información, hasta $50,000 de multa y un
año de prisión.
o Si la violación anterior es cometida bajo fraude o engaño (falses
pretenses) la penalidad sería de $100,000 de multa y hasta cinco
años de cárcel.
o Si la violación es con el propósito o intención de vender, transferir o
usar información de salud protegida identificable con propósitos de
obtener ventajas comerciales o de negocio, ganancias personales o
causar daño malicioso, la pena podría ser multa a 10 años de cárcel.
Las normas de privacidad y confidencialidad y medidas de seguridad de la Ley
HIPAA pretenden proteger al paciente y permitir que se controle la divulgación de su
información médica protegida. La ley requiere que cada entidad cubierta tenga un
procedimiento de quejas a fin de que un paciente que crea que sus derechos han sido
violados pueda ser atendido al radicar una queja o querella. Proteger la información del
paciente es su deber y es un derecho de todos y todas las pacientes al recibir servicios
de salud de alta calidad para el desarrollo de una mejor calidad de vida.
Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional para Trabajadores Sociales. 19
Referencia Bibliográfica:
1. Department of Health and Human Services Centers for Medicare &Medicaid Services (2015). ICD -10 (CM) PCS The Next Generation Coding
2. Lex Juris de Puerto Rico - Legislación para el profesional de la salud al 2012- 2018
3. Vincent C, Amalberti R., “Seguridad del paciente. Estrategias para una asistencia sanitaria más segura”. Madrid: Modus Laborandi. 2016.
Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional para Trabajadores Sociales. 20
Prueba Diagnóstica Ley HIPPA: Sano Manejo de la Información
Nombre: _________________________________
Fecha: ___________________________________
Profesión: ________________________________
Licencia: _________________________________
Instrucciones: Seleccione la mejor contestación y conteste las premisas en el formulario provisto. Lea cada una de las siguientes oraciones y conteste Cierto o Falso.
_____1. La ley se caracteriza por ser la sustitución del uso de la fuerza por el orden.
_____2. HIPAA ocupa el campo estatal, desplaza, sustituye y prevalece sobre
cualquier ley local que le sea contraria.
_____3. La persona tiene derecho a una notificación adecuada sobre los usos y
divulgaciones de su información de salud.
_____4. Nunca se podrá enviar información del paciente por fax.
_____5. La Regla de Privacidad requiere que el proveedor actúe razonablemente para
evitar divulgaciones innecesarias y no autorizadas.
_____6. El PHI es aquella información personal de salud que permite identificar a un
paciente particular dentro del universo de pacientes atendidos por las diversas entidades.
_____7. Por regla general, no es requisito obtener el consentimiento informado de los
pacientes para recibir servicios de salud.
_____8. La Ley HIPAA cubre el no revelar diagnóstico, tratamiento y/o laboratorios sin el
consentimiento del paciente.
_____9. Se define más estricta aquella legislación que concede mayor acceso y
derechos al paciente en cuanto a su información de salud y la protege en mayor
amplitud.
_____10. La Regla de Seguridad no requiere que las entidades cubiertas tomen
salvaguardas administrativas, técnicas y físicas para proteger la confidencialidad,
integridad y disponibilidad del e PHI.
Uso Oficial
Correctas ________ Incorrectas ___________
Total, ítems ______ Horas Aprobadas ______
Escuela de Estudios Profesionales y Educación Continua
Módulo Instruccional para Trabajadores Sociales. 21
HOJA DE EVALUACIÓN MÓDULO
NOMBRE: ______________________________________ FECHA: ________________________
NOMBRE DEL MÓDULO: _____________________________________________________________
INSTRUCCIONES: INSTRUCCIONES: Haga una sola marca de cotejo (ü) en la columna que mejor refleje su opinión para cada criterio, en una escala del 1 al 5 donde el 5 es excelente y 1 es muy pobre. (5-Excelente, 4-Bueno, 3-Satisfactorio, 2-Pobre, 1-Muy Pobre, N/A-No Aplica)
ASPECTOS GENERALES 5 4 3 2 1 N/A
1. El contenido del módulo fue expuesto de forma clara y sencilla.
2. Metodología en que se presentó el tema del módulo.
3. El contenido es actualizado y es pertinente.
4. La prueba es cónsona con el contenido del módulo.
5. Organización general del módulo.
6. Personal que le brindó servicio y asistencia.
7. Proceso de matrícula y registro.
8. El acceso del módulo por medio de la página web.
9. Le interesaría tomar otro módulo aprobado para su profesión ofrecida por la UAGM - Recinto de Gurabo.
10. Recomendaría el módulo a otros profesionales.
11. Contribución del curso en la actualización de mis competencias profesionales.
El módulo fue adquirido a través de: □ Visita a EC □ Página Web □ Correo Electrónico □ Fax
Lo más provechoso fue..._________________________________________________________________________________ _____________________________________________________________________________________ Recomiendo se mejore lo siguiente: _______________________________________________________ _____________________________________________________________________________________ Me gustaría que incluyan los siguientes cursos en la oferta académica de la Escuela Estudios Profesionales y Educación Continua: _______________________________________________________ _____________________________________________________________________________________
Top Related