Seguridad y privacidad en la información médica
Debra es especialista en gestión de información sanitaria (HIM) en su hospital local. Este es uno de los roles más importantes en la organización, ya que es responsable de la supervisión de la privacidad y seguridad de los registros médicos de los pacientes. En la sociedad actual donde abundan los piratas informáticos, Debra está en guardia con el flujo de registros a su cuidado. La información médica protegida (PHI) es cualquier dato sobre la salud, facturación y estado financiero del paciente.
La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), aprobada por el Congreso en 1996, exige la confidencialidad y seguridad de los registros médicos. Las enmiendas que siguieron han fortalecido las leyes con respecto a los registros médicos electrónicos, como la Ley de Tecnología de la Información de la Salud para la Salud Económica y Clínica (HITECH) en 2009.
La Regla de privacidad y la Regla de seguridad son estándares establecidos en todo el país para proteger la información médica y mantener seguros los registros electrónicos. Los objetivos incluyen reducir errores costosos, proporcionar un mayor acceso a la información y asegurar los registros electrónicos de los pacientes.
Cumplimiento de HIPAA
Debra tiene la capacitación en cumplimiento de HIPAA que necesita para tomar decisiones todos los días que mantengan su departamento funcionando de manera segura. El cumplimiento de la HIPAA es fundamental para evitar posibles daños a los pacientes y quejas contra el hospital y el personal.
Debe haber salvaguardias tecnológicas y físicas. Deben realizarse auditorías y actualizaciones para garantizar la seguridad de la información sanitaria. La regla de seguridad involucra los siguientes estándares:
Violaciones modernas de los derechos humanos
| Salvaguardias tecnológicas | Salvaguardias físicas |
|---|---|
| Mantener la autenticación de la PHI | Políticas para el acceso a estaciones de trabajo informáticas |
| Capacidad para cifrar y descifrar mensajes / información | Políticas de uso de dispositivos móviles |
| Controles de auditoría de acceso | Inventario de hardware |
| Posibilidad de cerrar sesión automáticamente | Capacitación del personal: HIPAA, políticas / procedimientos |
La administración desarrolla políticas y procedimientos para asegurar la tecnología, informar eventos de seguridad, capacitar a todo el personal en la seguridad del sistema de registros médicos electrónicos y restringir el acceso según las necesidades.
Para que se cumplan los estándares de privacidad, el paciente o representante debe firmar para obtener registros o para asegurar la divulgación de registros a otro centro de atención médica. El personal debe saber qué información se puede divulgar, el procedimiento para divulgarla y cómo mantener la PHI.
La regla omnibus
Debra ha descubierto que ciertos proveedores, como empresas que suministran marcapasos, compañías de seguros, hogares de ancianos, farmacias y más, son socios comerciales que deben cumplir con las reglas de HIPAA.
Infracciones de HIPAA
En el caso de una violación de la PHI, debe haber un informe del evento, sin importar cuán pequeño sea. Una infracción es la divulgación de información médica protegida sin el consentimiento del paciente.
Recientemente, se notificó a Debra que un paciente se fue a casa con las instrucciones de alta de otra persona. Ella siguió el proceso para responder según lo estipulado por la ley. Fue un error, pero se cometió de ‘buena fe’, por lo que Debra informó del incidente al paciente cuya información se entregó a otro y a la Secretaría de Salud y Servicios Humanos. En casos raros (que involucran más de 500 registros en una región) se notificaría a los medios. En caso de que ocurra una infracción mayor, la notificación inmediata al Secretario del Departamento de Salud y Servicios Humanos de EE. UU. (HHS) es obligatoria.
Sanciones Económicas: Qué son, Características y Ejemplos
Violación de las sanciones de HIPAA
El equipo de liderazgo de Debra organizará un simulacro de violación de seguridad para que la instalación pruebe las respuestas en caso de una violación real de más de 500 registros. El plan que utilizarán es similar a este proceso de notificación exigido por el gobierno federal:
- Reúna toda la información sobre la infracción, conocida como «evaluación de la infracción».
- Informe la violación a las personas cuyos registros fueron violados.
- Informe el incumplimiento a la Secretaría de HHS.
- Si se trata de un evento significativo que incluye a más de 500 personas, notifique a la Oficina de Derechos Civiles.
- Notifique a los medios de comunicación sobre una infracción que supere los 500 registros.
Niveles de sanciones y violaciones
Antes del simulacro, Debra revisa los cuatro niveles de sanciones y violaciones que se pueden aplicar contra la organización. La gravedad se basa en la intención, el conocimiento previo, la capacidad para detener la infracción o la acción correctiva tomada. Ejemplos de violaciones de HIPAA incluyen:
- Dejar un mensaje en el hogar de un paciente con información de salud incluida
- La práctica médica se niega a divulgar los registros del paciente después de la solicitud del paciente
- Registros robados para el mercado negro por una empresa de investigación y marketing
- Empleados que acceden a los registros médicos de otros empleados.
- Informes de compensación laboral filtrados a la gerencia de la empresa
- Piratería de registros de pacientes de compañías de seguros
 |
Cada nivel conlleva multas por cada infracción y puede ascender a más de $ 1.5 millones en un año calendario y ser impuestas a la organización de atención médica por cada infracción.
Penalidades criminales
Existen posibles cargos penales contra las personas involucradas, con sanciones que pueden incluir tiempo en la cárcel y multas. Esto debe estar relacionado con la intención de violar la PHI. El enjuiciamiento de estos casos conlleva un mayor peso en las sanciones.
| Niveles de intención criminal | Penaltis |
|---|---|
| Nivel 1: sin conocimiento de la intención delictiva | Hasta un año de cárcel |
| Nivel 2: obtención de PHI por falsa intención | Hasta cinco años de cárcel |
| Nivel 3: obtención de PHI con intención negativa o pretextos falsos | Hasta 10 años de cárcel |
Resumen de la lección
Health Information Management (HIM) es la supervisión de los registros de los pacientes para protegerlos por ley. Seguridad, protección, privacidad y confidencialidad son palabras que se utilizan en el entorno de HIM para garantizar que la información médica protegida (PHI) de un paciente esté segura.
Contratos Verbales: Definición, incumplimiento y límites
La Ley de Responsabilidad y Portabilidad de Seguros de Salud (HIPAA) exige que la industria de la salud garantice la confidencialidad y seguridad de los registros de los pacientes. La Ley de Tecnología de la Información de la Salud para la Salud Económica y Clínica (HITECH) hace cumplir la gestión de registros electrónicos para evitar infracciones. La regla de privacidad y la regla de seguridad son estándares que se deben seguir en el cuidado de la salud para mantener los registros seguros.
Las infracciones deben investigarse para determinar la intención, el conocimiento previo, la capacidad para evitar la infracción y la corrección de los problemas relacionados con la infracción. Los cargos civiles conllevan cuatro niveles de sanciones con multas en aumento de hasta $ 1.5 millones y pueden imponerse contra cada infracción. Los cargos criminales pueden implicar tiempo real en la cárcel por violaciones de HIPAA relacionadas con la intención, la intención de usar la información para la venta o el intercambio indebido. El tiempo en la cárcel puede ser de hasta 10 años.
Descargo de responsabilidad médica: la información de este sitio es solo para su información y no sustituye el consejo médico profesional.
Explora más sobre este tema
Selecciona un tema y sigue aprendiendo...
