De Wikipedia, la enciclopedia libre
Saltar a navegación Saltar a búsqueda
Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996
Gran Sello de los Estados Unidos
Otros títulos cortosLey Kassebaum-Kennedy, Ley Kennedy-Kassebaum
Título largoUna ley para enmendar el Código de Rentas Internas de 1996 para mejorar la portabilidad y la continuidad de la cobertura del seguro médico en los mercados grupales e individuales, para combatir el despilfarro, el fraude y el abuso en el seguro médico y la prestación de atención médica, para promover el uso de cuentas de ahorro médicas. , para mejorar el acceso a los servicios y la cobertura de atención a largo plazo, para simplificar la administración del seguro médico y para otros fines.
Siglas (coloquial)HIPAA (pronunciado / h ɪ p ə / , HIP-uh)
Promulgado porel 104 ° Congreso de los Estados Unidos
Citas
Ley PúblicaPub.L.  104-191 (texto) (pdf)
Estatutos en general110  Stat.  1936
Historia legislativa
  • Introducido en la Cámara como H.R.3103 por Bill Archer ( R - TX ) el 18 de marzo de 1996
  • Consideración del comité por Medios y Arbitrios de la Cámara
  • Aprobada por la Cámara el 28 de marzo de 1996 ( 267-151 )
  • Aprobado por el Senado el 23 de abril de 1996 ( 100-0 , en lugar de S. 1028 )
  • Informado por el comité conjunto de la conferencia el 31 de julio de 1996; acordado por la Cámara el 1 de agosto de 1996 ( 421-2 ) y por el Senado el 2 de agosto de 1996 ( 98-0 )
  • Firmado como ley por el presidente Bill Clinton el 21 de agosto de 1996

La Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 ( HIPAA o la Ley Kennedy - Kassebaum [1] [2] ) es un estatuto federal de los Estados Unidos promulgado por el 104º Congreso de los Estados Unidos y promulgado por el presidente Bill Clinton el 21 de agosto de 1996 Fue creado principalmente para modernizar el flujo de información de salud, estipular cómo la información de identificación personal mantenida por las industrias de salud y seguros de salud debe protegerse contra fraude y robo, y abordar las limitaciones en la cobertura de seguro de salud. [3]

El acto consta de cinco títulos. El Título I de HIPAA protege la cobertura de seguro médico para los trabajadores y sus familias cuando cambian o pierden sus trabajos. [4] El Título II de HIPAA, conocido como las disposiciones de Simplificación Administrativa (AS), requiere el establecimiento de estándares nacionales para transacciones electrónicas de atención médica e identificadores nacionales para proveedores, planes de seguro médico y empleadores. [5] El Título III establece las pautas para las cuentas de gastos médicos antes de impuestos, el Título IV establece las pautas para los planes de salud grupales y el Título V rige las pólizas de seguro de vida propiedad de la empresa.

Títulos [ editar ]

Hay cinco secciones del acto, conocidas como títulos.

Título I: Acceso, portabilidad y renovabilidad de la atención médica [ editar ]

El Título I de HIPAA regula la disponibilidad y la amplitud de los planes de salud grupales y ciertas pólizas de seguro de salud individuales. Enmendó la Ley de Seguridad de los Ingresos de Jubilación de los Empleados, la Ley del Servicio de Salud Pública y el Código de Rentas Internas.

El Título I requiere la cobertura y también limita las restricciones que un plan de salud grupal puede imponer a los beneficios para afecciones preexistentes. Los planes de salud grupales pueden negarse a brindar beneficios en relación con afecciones preexistentes durante los 12 meses posteriores a la inscripción en el plan o durante 18 meses en el caso de la inscripción tardía. [6] El Título I permite a las personas reducir el período de exclusión por la cantidad de tiempo que han tenido "cobertura acreditable" antes de inscribirse en el plan y después de cualquier "interrupción significativa" en la cobertura. [7] La "cobertura acreditable" se define de manera bastante amplia e incluye casi todos los planes de salud grupales e individuales, Medicare y Medicaid. [8] Una "ruptura significativa"en cobertura se define como cualquier período de 63 días sin ninguna cobertura acreditable.[9] Junto con una excepción, que permite a los empleadores vincular las primas o los copagos al consumo de tabaco o al índice de masa corporal.

El Título I [10] también requiere que las aseguradoras emitan pólizas sin exclusión para aquellos que abandonan los planes de salud grupales con cobertura acreditable (ver arriba) que excede los 18 meses, y [11] renuevan las pólizas individuales mientras se ofrezcan o proporcionen alternativas a los planes descontinuados mientras la aseguradora permanezca en el mercado sin exclusión independientemente de su estado de salud.

Algunos planes de atención médica están exentos de los requisitos del Título I, como los planes de salud a largo plazo y los planes de alcance limitado, como los planes dentales o de la vista, que se ofrecen por separado del plan de salud general. Sin embargo, si dichos beneficios son parte del plan de salud general, la HIPAA aún se aplica a dichos beneficios. Por ejemplo, si el nuevo plan ofrece beneficios dentales, entonces debe contar la cobertura continua acreditable del plan de salud anterior para cualquiera de sus períodos de exclusión de beneficios dentales.

Un método alternativo para calcular la cobertura continua acreditable está disponible para el plan de salud bajo el Título I. Es decir, 5 categorías de cobertura de salud se pueden considerar por separado, incluida la cobertura dental y de la vista. Todo lo que no esté dentro de esas 5 categorías debe usar el cálculo general (por ejemplo, el beneficiario puede contar con 18 meses de cobertura general, pero solo 6 meses de cobertura dental, porque el beneficiario no tenía un plan de salud general que cubriera servicios dentales hasta 6 meses). antes de la fecha de solicitud). Dado que los planes de cobertura limitada están exentos de los requisitos de HIPAA, existe el caso extraño en el que el solicitante de un plan de salud grupal general no puede obtener certificados de cobertura continua acreditable para planes independientes de alcance limitado.como dental para aplicar a los períodos de exclusión del nuevo plan que sí incluye esas coberturas.

Los períodos de exclusión ocultos no son válidos bajo el Título I (por ejemplo, "El accidente, para estar cubierto, debe haber ocurrido mientras el beneficiario estaba cubierto por este mismo contrato de seguro médico"). El plan de salud no debe actuar sobre dichas cláusulas. Además, deben volver a redactarse para que puedan cumplir con HIPAA. [12]

Título II: Prevención del fraude y el abuso en la atención médica; Simplificación administrativa; Reforma de responsabilidad médica [ editar ]

El Título II de HIPAA establece políticas y procedimientos para mantener la privacidad y la seguridad de la información médica identificable individualmente, describe numerosos delitos relacionados con la atención médica y establece sanciones civiles y penales por violaciones. También crea varios programas para controlar el fraude y el abuso dentro del sistema de atención médica. [13] [14] [15] [16] Sin embargo, las disposiciones más significativas del Título II son sus reglas de Simplificación Administrativa. El Título II requiere que el Departamento de Salud y Servicios Humanos (HHS) aumente la eficiencia del sistema de atención médica mediante la creación de estándares para el uso y la difusión de información médica. [dieciséis]

Estas reglas se aplican a las "entidades cubiertas", según lo definen la HIPAA y el HHS. Las entidades cubiertas incluyen planes de salud, cámaras de compensación de atención médica (como servicios de facturación y sistemas comunitarios de información de salud) y proveedores de atención médica que transmiten datos de atención médica de una manera regulada por HIPAA. [17] [18]

Según los requisitos del Título II, el HHS ha promulgado cinco reglas con respecto a la simplificación administrativa: la regla de privacidad, la regla de transacciones y conjuntos de códigos, la regla de seguridad, la regla de identificadores únicos y la regla de aplicación.

Regla de privacidad [ editar ]

La Regla de Privacidad de HIPAA está compuesta por regulaciones nacionales para el uso y divulgación de Información de Salud Protegida (PHI) en el tratamiento, pago y operaciones de atención médica por parte de entidades cubiertas.

La fecha de cumplimiento efectivo de la Regla de Privacidad fue el 14 de abril de 2003, con una extensión de un año para ciertos "planes pequeños". La Regla de privacidad de HIPAA regula el uso y la divulgación de información médica protegida (PHI) en poder de "entidades cubiertas" (generalmente, cámaras de compensación de atención médica, planes de salud patrocinados por el empleador, aseguradoras de salud y proveedores de servicios médicos que participan en determinadas transacciones). [19] Por reglamento, el HHS extendió la regla de privacidad de HIPAA a los contratistas independientes de las entidades cubiertas que se ajustan a la definición de "socios comerciales". [20] La PHI es cualquier información que está en poder de una entidad cubierta con respecto al estado de salud, la provisión de atención médica o el pago de la atención médica que se puede vincular a cualquier individuo. [17]Esto se interpreta de manera bastante amplia e incluye cualquier parte del historial médico o de pagos de una persona . Las entidades cubiertas deben divulgar la PHI a la persona dentro de los 30 días posteriores a su solicitud. [21] Además, deben divulgar su PHI cuando así lo requiera la ley, como informar sobre sospechas de abuso infantil a las agencias estatales de bienestar infantil. [22]

Las entidades cubiertas pueden divulgar información médica protegida a funcionarios encargados de hacer cumplir la ley para fines de cumplimiento de la ley según lo requiera la ley (incluidas órdenes judiciales, órdenes judiciales, citaciones judiciales) y solicitudes administrativas; o para identificar o localizar a un sospechoso, un fugitivo, un testigo material o una persona desaparecida. [23]

Una entidad cubierta puede divulgar PHI a ciertas partes para facilitar el tratamiento, el pago o las operaciones de atención médica sin la autorización expresa por escrito del paciente. [24] Cualquier otra divulgación de PHI requiere que la entidad cubierta obtenga una autorización por escrito de la persona para la divulgación. [25] En cualquier caso, cuando una entidad cubierta divulga cualquier PHI, debe hacer un esfuerzo razonable para divulgar solo la información mínima necesaria requerida para lograr su propósito. [26]

La Regla de Privacidad otorga a las personas el derecho de solicitar a una entidad cubierta que corrija cualquier PHI inexacta. [27] Además, requiere que las entidades cubiertas tomen algunas medidas razonables para garantizar la confidencialidad de las comunicaciones con las personas. [28] Por ejemplo, una persona puede pedir que la llamen al número de su trabajo en lugar de a los números de teléfono de su casa o celular.

La Regla de Privacidad requiere que las entidades cubiertas notifiquen a las personas sobre los usos de su PHI. [29] Las entidades cubiertas también deben realizar un seguimiento de las divulgaciones de PHI y políticas y procedimientos de privacidad de documentos. [30] Deben nombrar un Oficial de Privacidad y una persona de contacto [31] responsable de recibir quejas y capacitar a todos los miembros de su fuerza laboral en los procedimientos relacionados con la PHI. [32]

Una persona que crea que la Regla de Privacidad no se está cumpliendo puede presentar una queja ante la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos. [33] [34] Sin embargo, según el Wall Street Journal, la OCR tiene un largo retraso e ignora la mayoría de las quejas. "Las quejas por violaciones de la privacidad se han acumulado en el Departamento de Salud y Servicios Humanos. Entre abril de 2003 y noviembre de 2006, la agencia recibió 23,886 quejas relacionadas con las reglas de privacidad médica, pero aún no ha tomado ninguna medida de cumplimiento contra los hospitales. médicos, aseguradoras o cualquier otra persona por violaciones a las reglas. Un portavoz de la agencia dice que ha cerrado tres cuartas partes de las quejas, generalmente porque no encontró ninguna violación o después de brindar orientación informal a las partes involucradas ". [35] Sin embargo, en julio de 2011, la Universidad de California, Los Ángelesacordó pagar $ 865,500 en un acuerdo sobre posibles violaciones de HIPAA. Una investigación de la Oficina de Derechos Civiles del HHS mostró que de 2005 a 2008, empleados no autorizados repetidamente y sin una causa legítima examinaron la información médica protegida electrónica de numerosos pacientes de UCLAHS. [36]

Actualización de la regla ómnibus final de 2013 [ editar ]

En enero de 2013, HIPAA se actualizó a través de la Regla Ómnibus Final. [37] Las actualizaciones incluyeron cambios en las partes de la Regla de seguridad y Notificación de incumplimiento de la Ley HITECH. Los cambios más significativos se relacionaron con la expansión de los requisitos para incluir a los socios comerciales, donde originalmente solo se habían mantenido las entidades cubiertas para respetar estas secciones de la ley. [38]

Además, la definición de "daño significativo" a un individuo en el análisis de una infracción se actualizó para proporcionar un mayor escrutinio a las entidades cubiertas con la intención de revelar infracciones que anteriormente no se denunciaron. Anteriormente, una organización necesitaba pruebas de que se había producido un daño, mientras que ahora las organizaciones deben demostrar que no se ha producido ningún daño.

La protección de la PHI se cambió de indefinida a 50 años después de la muerte. También se aprobaron sanciones más severas por la violación de los requisitos de privacidad de la PHI. [39]

La regla de privacidad de HIPAA puede no aplicarse durante un desastre natural. Este fue el caso del huracán Harvey en 2017 [40].

Ley HITECH: requisitos de privacidad [ editar ]

Consulte la sección de Privacidad de la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica ( Ley HITECH ).

Derecho a acceder a su PHI [ editar ]

La Regla de Privacidad requiere que los proveedores médicos den a las personas acceso a su PHI. [41] Después de que una persona solicita información por escrito (generalmente utilizando el formulario del proveedor para este propósito), un proveedor tiene hasta 30 días para proporcionar una copia de la información a la persona. Un individuo puede solicitar la información en forma electrónica o en papel, y el proveedor está obligado a intentar ajustarse al formato solicitado. Para los proveedores que utilizan un sistema de registro de salud electrónico ( EHR ) que está certificado con los criterios CEHRT (Tecnología de registro de salud electrónica certificada), las personas deben poder obtener la PHI en forma electrónica. Se alienta a los proveedores a proporcionar la información de manera oportuna, especialmente en el caso de solicitudes de registros electrónicos.

Las personas tienen derecho a acceder a toda la información relacionada con la salud, incluida la condición de salud, el plan de tratamiento, notas, imágenes, resultados de laboratorio e información de facturación. [ cita requerida ] Se excluyen explícitamente las notas de psicoterapia privadas de un proveedor y la información recopilada por un proveedor para defenderse de una demanda. [42]

Los proveedores pueden cobrar una cantidad razonable que se relacione con el costo de proporcionar la copia, sin embargo, no se permite ningún cargo cuando se proporcionan datos electrónicamente de un EHR certificado.utilizando la función "ver, descargar y transferir" que se requiere para la certificación. Cuando se entrega a la persona en forma electrónica, la persona puede autorizar la entrega mediante correo electrónico cifrado o no cifrado, la entrega mediante medios (unidad USB, CD, etc., que puede implicar un cargo), mensajería directa (una tecnología de correo electrónico seguro en uso común en la industria de la salud), o posiblemente otros métodos. Cuando se utiliza un correo electrónico no cifrado, la persona debe comprender y aceptar los riesgos para la privacidad del uso de esta tecnología (la información puede ser interceptada y examinada por otros). Independientemente de la tecnología de entrega, un proveedor debe continuar protegiendo completamente la PHI mientras está en su sistema y puede negar el método de entrega si representa un riesgo adicional para la PHI mientras está en su sistema. [43]

Una persona también puede solicitar (por escrito) que su PHI se entregue a un tercero designado, como un proveedor de atención familiar.

Una persona también puede solicitar (por escrito) que el proveedor envíe PHI a un servicio designado que se utiliza para recopilar o administrar sus registros, como una solicitud de registro médico personal. Por ejemplo, una paciente puede solicitar por escrito que su proveedor de obstetricia y ginecología transmita digitalmente los registros de su última visita prenatal a una aplicación de autocuidado durante el embarazo que tenga en su teléfono móvil.

Divulgación a familiares [ editar ]

Según sus interpretaciones de HIPAA, los hospitales no revelarán información por teléfono a los familiares de los pacientes ingresados. En algunos casos, esto ha impedido la localización de personas desaparecidas. Después del accidente del vuelo 214 de Asiana Airlines en San Francisco, algunos hospitales se mostraron reacios a revelar las identidades de los pasajeros que estaban tratando, lo que dificultaba que Asiana y sus familiares pudieran localizarlos. [44] En un caso, un hombre en el estado de Washington no pudo obtener información sobre su madre herida. [45]

Janlori Goldman, directora del grupo de defensa Health Privacy Project, dijo que algunos hospitales están siendo "demasiado cautelosos" y están aplicando mal la ley, informa el Times. Suburban Hospital en Bethesda, Maryland, ha interpretado una regulación federal que requiere que los hospitales permitan a los pacientes optar por no ser incluidos en el directorio del hospital en el sentido de que los pacientes quieren ser excluidos del directorio a menos que específicamente indiquen lo contrario. Como resultado, si un paciente está inconsciente o no puede elegir ser incluido en el directorio, es posible que familiares y amigos no puedan encontrarlo, dijo Goldman. [46]

Regla de transacciones y conjuntos de códigos [ editar ]

HIPAA tenía la intención de hacer que el sistema de atención médica en los Estados Unidos fuera más eficiente al estandarizar las transacciones de atención médica. HIPAA agregó una nueva Parte C titulada "Simplificación administrativa" al Título XI de la Ley del Seguro Social. [47] Se supone que esto simplifica las transacciones de atención médica al exigir que todos los planes de salud se involucren en transacciones de atención médica de una manera estandarizada.

La disposición de HIPAA / EDI (intercambio electrónico de datos ) estaba programada para entrar en vigor el 16 de octubre de 2003, con una extensión de un año para ciertos "planes pequeños". Sin embargo, debido a la confusión generalizada y la dificultad para implementar la regla, CMS otorgó una extensión de un año a todas las partes. [ cita requerida ] El 1 de enero de 2012, las versiones más recientes, ASC X12 005010 y NCPDP D.0 entran en vigencia, reemplazando el mandato anterior de ASC X12 004010 y NCPDP 5.1. [48] La versión ASC X12 005010 proporciona un mecanismo que permite el uso de ICD-10-CM así como otras mejoras.

Después del 1 de julio de 2005, la mayoría de los proveedores médicos que presentan sus reclamaciones electrónicamente tuvieron que presentar sus reclamaciones electrónicas utilizando los estándares de HIPAA para poder recibir el pago. [49]

Bajo HIPAA, los planes de salud cubiertos por HIPAA ahora deben usar transacciones electrónicas HIPAA estandarizadas. Ver, 42 USC § 1320d-2 y 45 CFR Parte 162. Se puede encontrar información sobre esto en la regla final para los estándares de transacciones electrónicas HIPAA (74 Fed. Reg. 3296, publicado en el Registro Federal el 16 de enero de 2009), y en el sitio web de CMS. [50]

Las transacciones clave de EDI (X12) utilizadas para el cumplimiento de HIPAA son: [ cita requerida ]

El conjunto de transacciones de reclamos de atención médica de EDI (837) se usa para enviar información de facturación de reclamos de atención médica, información de encuentros o ambos, excepto para reclamos de farmacias minoristas (consulte Transacción de reclamos de farmacia minorista de EDI). Puede enviarse desde los proveedores de servicios de atención médica a los pagadores, ya sea directamente o mediante emisores de facturas intermediarios y cámaras de compensación de reclamaciones. También se puede usar para transmitir reclamos de atención médica e información de pago de facturación entre pagadores con diferentes responsabilidades de pago donde se requiere la coordinación de beneficios o entre pagadores y agencias reguladoras para monitorear la prestación, facturación y / o pago de servicios de atención médica dentro de un área específica. segmento de la industria de seguros y atención médica.

Por ejemplo, una agencia estatal de salud mental puede exigir todos los reclamos de atención médica, los proveedores y planes de salud que intercambian reclamos de atención médica profesionales (médicos) electrónicamente deben usar el estándar 837 Health Care Claim: Professional para enviar reclamos. Como existen muchas aplicaciones comerciales diferentes para la reclamación de atención médica, puede haber ligeras derivaciones para cubrir reclamaciones que involucren reclamaciones únicas, como instituciones, profesionales, quiroprácticos y dentistas, etc.

La Transacción de reclamo de farmacia minorista de EDI ( NCPDP Telecommunications Standard versión 5.1) se utiliza para presentar reclamos de farmacia minorista a los pagadores por parte de profesionales de la salud que dispensan medicamentos, ya sea directamente o mediante emisores de facturas intermediarios y cámaras de compensación de reclamos. También se puede usar para transmitir reclamos de servicios de farmacia minorista e información de pago de facturación entre pagadores con diferentes responsabilidades de pago donde se requiere la coordinación de beneficios o entre pagadores y agencias reguladoras para monitorear la prestación, facturación y / o pago de los servicios de farmacia minorista dentro de el segmento de la industria de seguros / atención médica farmacéutica.

El conjunto de transacciones de pago / aviso de reclamo de atención médica de EDI (835) se puede utilizar para realizar un pago, enviar una Explicación de beneficios (EOB), enviar un aviso de pago de Explicación de pagos (EOP) o realizar un pago y enviar un aviso de pago de EOP solo de una aseguradora de salud a un proveedor de atención médica, ya sea directamente o a través de una institución financiera.

Los empleadores, los sindicatos, las agencias gubernamentales, las asociaciones o las agencias de seguros pueden utilizar el Conjunto de inscripción y mantenimiento de beneficios de EDI (834) para inscribir miembros en un pagador. El pagador es una organización de atención médica que paga reclamaciones, administra seguros o beneficios o productos. Los ejemplos de pagadores incluyen una compañía de seguros, un profesional de la salud (HMO), una organización de proveedores preferidos (PPO), una agencia gubernamental (Medicaid, Medicare, etc.) o cualquier organización que pueda ser contratada por uno de estos grupos anteriores.

EDI Payroll Deducted y otro pago de prima grupal para productos de seguros (820) es un conjunto de transacciones para realizar un pago de prima por productos de seguros. Se puede utilizar para ordenar a una institución financiera que realice un pago a un beneficiario.

La Consulta de elegibilidad / beneficios de atención médica de EDI (270) se utiliza para consultar sobre los beneficios de atención médica y la elegibilidad asociados con un suscriptor o dependiente.

Elegibilidad de atención médica de EDI / Respuesta de beneficios (271) se utiliza para responder a una solicitud de consulta sobre los beneficios de atención médica y la elegibilidad asociados con un suscriptor o dependiente.

Solicitud de estado de reclamo de atención médica de EDI (276) Este conjunto de transacciones puede ser utilizado por un proveedor, destinatario de productos o servicios de atención médica o su agente autorizado para solicitar el estado de una reclamación de atención médica.

Notificación de estado de reclamación de atención médica de EDI (277) Un pagador de atención médica o un agente autorizado puede utilizar este conjunto de transacciones para notificar a un proveedor, destinatario o agente autorizado sobre el estado de una reclamación o encuentro de atención médica, o para solicitar información adicional del proveedor con respecto a una reclamación o encuentro de atención médica. Este conjunto de transacciones no está destinado a reemplazar el Conjunto de transacciones de pago / aviso de reclamo de atención médica (835) y, por lo tanto, no se utiliza para la contabilización de pagos de cuenta. La notificación se encuentra en un nivel de resumen o detalle de la línea de servicio. La notificación puede ser solicitada o no solicitada.

Información de revisión del servicio de atención médica de EDI (278) Este conjunto de transacciones se puede usar para transmitir información del servicio de atención médica, como datos de suscriptores, pacientes, datos demográficos, diagnósticos o de tratamiento con el fin de solicitar una revisión, certificación, notificación o informe del resultado. de una revisión de los servicios de atención médica.

Conjunto de transacciones de reconocimiento funcional EDI (997) este conjunto de transacciones se puede utilizar para definir las estructuras de control de un conjunto de reconocimientos para indicar los resultados del análisis sintáctico de los documentos codificados electrónicamente. Aunque no se menciona específicamente en la legislación de HIPAA o en la regla final, es necesario para el procesamiento del conjunto de transacciones X12. Los documentos codificados son los conjuntos de transacciones, que se agrupan en grupos funcionales, que se utilizan para definir transacciones para el intercambio de datos comerciales. Este estándar no cubre el significado semántico de la información codificada en los conjuntos de transacciones.

Breve resumen de actualización de reglas de conjuntos de códigos y transacciones 5010 [ editar ]
  1. El conjunto de transacciones (997) será reemplazado por el "informe de confirmación" del conjunto de transacciones (999).
  2. El tamaño de muchos campos {elementos de segmento} se ampliará, lo que provocará la necesidad de que todos los proveedores de TI amplíen los campos, elementos, archivos, GUI, soportes de papel y bases de datos correspondientes.
  3. Algunos segmentos se han eliminado de los conjuntos de transacciones existentes.
  4. Se han agregado muchos segmentos a los conjuntos de transacciones existentes, lo que permite un mayor seguimiento e informes de costos y encuentros con pacientes.
  5. Se ha agregado la capacidad para utilizar las versiones 9 (CIE-9) y 10 (CIE-10-MC) de la "Clasificación Internacional de Enfermedades". [51] [52]

Regla de seguridad [ editar ]

La Regla Final sobre Normas de Seguridad se emitió el 20 de febrero de 2003. Entró en vigor el 21 de abril de 2003, con una fecha de cumplimiento del 21 de abril de 2005 para la mayoría de las entidades cubiertas y el 21 de abril de 2006 para los "planes pequeños". [ cita requerida ] La regla de seguridad complementa la regla de privacidad. Si bien la Regla de privacidad se refiere a toda la Información médica protegida (PHI), incluida la electrónica y en papel, la Regla de seguridad trata específicamente con la Información médica protegida electrónica (EPHI). Establece tres tipos de salvaguardas de seguridad requeridas para el cumplimiento: administrativas, físicas y técnicas. [53]Para cada uno de estos tipos, la Regla identifica varios estándares de seguridad, y para cada estándar, nombra especificaciones de implementación requeridas y direccionables. Las especificaciones requeridas deben adoptarse y administrarse según lo dicta la Regla. Las especificaciones direccionables son más flexibles. Las entidades cubiertas individuales pueden evaluar su propia situación y determinar la mejor manera de implementar especificaciones direccionables. Algunos defensores de la privacidad han argumentado que esta "flexibilidad" puede proporcionar demasiada libertad a las entidades cubiertas. [54] Se han desarrollado herramientas de software para ayudar a las entidades cubiertas en el análisis de riesgos y el seguimiento de las medidas correctivas. Los estándares y especificaciones son los siguientes:

  • Salvaguardas administrativas: políticas y procedimientos diseñados para mostrar claramente cómo la entidad cumplirá con la ley.
    • Las entidades cubiertas (entidades que deben cumplir con los requisitos de HIPAA) deben adoptar un conjunto de procedimientos de privacidad por escrito y designar a un oficial de privacidad para que sea responsable de desarrollar e implementar todas las políticas y procedimientos requeridos.
    • Las políticas y procedimientos deben hacer referencia a la supervisión de la administración y la aceptación de la organización para cumplir con los controles de seguridad documentados.
    • Los procedimientos deben identificar claramente a los empleados o clases de empleados que tienen acceso a información médica protegida electrónica (EPHI). El acceso a EPHI debe estar restringido solo a aquellos empleados que lo necesiten para completar su función laboral.
    • Los procedimientos deben abordar la autorización de acceso, el establecimiento, la modificación y la terminación.
    • Las entidades deben demostrar que se proporciona un programa de capacitación continuo apropiado sobre el manejo de la PHI a los empleados que realizan funciones administrativas del plan de salud.
    • Las entidades cubiertas que subcontratan algunos de sus procesos comerciales a un tercero deben asegurarse de que sus proveedores también tengan un marco establecido para cumplir con los requisitos de HIPAA. Las empresas suelen obtener esta garantía a través de cláusulas en los contratos que establecen que el proveedor cumplirá con los mismos requisitos de protección de datos que se aplican a la entidad cubierta. Se debe tener cuidado para determinar si el proveedor subcontrata las funciones de manejo de datos a otros proveedores y monitorear si existen los contratos y controles apropiados.
    • Debe existir un plan de contingencia para responder a emergencias. Las entidades cubiertas son responsables de realizar copias de seguridad de sus datos y de contar con procedimientos de recuperación ante desastres. El plan debe documentar la prioridad de los datos y el análisis de fallas, las actividades de prueba y los procedimientos de control de cambios.
    • Las auditorías internas juegan un papel clave en el cumplimiento de HIPAA al revisar las operaciones con el objetivo de identificar posibles violaciones de seguridad. Las políticas y los procedimientos deben documentar específicamente el alcance, la frecuencia y los procedimientos de las auditorías. Las auditorías deben ser tanto rutinarias como basadas en eventos.
    • Los procedimientos deben documentar las instrucciones para abordar y responder a las brechas de seguridad que se identifiquen durante la auditoría o durante el curso normal de las operaciones.
  • Salvaguardias físicas: controlan el acceso físico para proteger contra el acceso inadecuado a los datos protegidos
    • Los controles deben regir la introducción y eliminación de hardware y software de la red. (Cuando se retira el equipo, debe desecharse adecuadamente para garantizar que la PHI no se vea comprometida).
    • El acceso a los equipos que contienen información sanitaria debe controlarse y vigilarse cuidadosamente.
    • El acceso al hardware y software debe limitarse a personas debidamente autorizadas.
    • Los controles de acceso requeridos consisten en planes de seguridad de las instalaciones, registros de mantenimiento y registro de visitantes y escoltas.
    • Se requieren políticas para abordar el uso adecuado de la estación de trabajo. Las estaciones de trabajo deben retirarse de las áreas de mucho tráfico y las pantallas de los monitores no deben estar a la vista del público.
    • Si las entidades cubiertas utilizan contratistas o agentes, ellos también deben estar completamente capacitados en sus responsabilidades de acceso físico.
  • Salvaguardias técnicas: controlan el acceso a los sistemas informáticos y permiten que las entidades cubiertas protejan las comunicaciones que contienen PHI transmitidas electrónicamente a través de redes abiertas para que no sean interceptadas por nadie que no sea el destinatario previsto.
    • Los sistemas de información que contienen PHI deben estar protegidos contra intrusiones. Cuando la información fluye a través de redes abiertas, se debe utilizar alguna forma de cifrado. Si se utilizan sistemas / redes cerrados, los controles de acceso existentes se consideran suficientes y el cifrado es opcional.
    • Cada entidad cubierta es responsable de garantizar que los datos dentro de sus sistemas no se hayan modificado o borrado de manera no autorizada.
    • Se puede utilizar la corroboración de datos, incluido el uso de una suma de verificación, doble clave, autenticación de mensajes y firma digital para garantizar la integridad de los datos.
    • Las entidades cubiertas también deben autenticar las entidades con las que se comunican. La autenticación consiste en corroborar que una entidad es quien dice ser. Los ejemplos de corroboración incluyen sistemas de contraseña, apretones de manos de dos o tres vías, devolución de llamada telefónica y sistemas de token.
    • Las entidades cubiertas deben poner a disposición del gobierno la documentación de sus prácticas de HIPAA para determinar el cumplimiento.
    • Además de las políticas, los procedimientos y los registros de acceso, la documentación de tecnología de la información también debe incluir un registro escrito de todos los parámetros de configuración de los componentes de la red porque estos componentes son complejos, configurables y siempre cambiantes.
    • Se requieren programas documentados de análisis y gestión de riesgos. Las entidades cubiertas deben considerar cuidadosamente los riesgos de sus operaciones a medida que implementan sistemas para cumplir con la ley. (El requisito de análisis de riesgos y gestión de riesgos implica que los requisitos de seguridad de la ley son un estándar mínimo y responsabilizan a las entidades cubiertas de tomar todas las precauciones razonables necesarias para evitar que la PHI se utilice con fines no relacionados con la salud).

Regla de identificadores únicos (Identificador de proveedor nacional) [ editar ]

Las entidades cubiertas por la HIPAA, como los proveedores que completan transacciones electrónicas, las cámaras de compensación de atención médica y los grandes planes de salud, deben usar solo el Identificador de proveedor nacional (NPI) para identificar a los proveedores de atención médica cubiertos en transacciones estándar antes del 23 de mayo de 2007. Los planes de salud pequeños deben usar solo el NPI antes del 23 de mayo de 2008. A partir de mayo de 2006 (mayo de 2007 para planes de salud pequeños), todas las entidades cubiertas que utilizan comunicaciones electrónicas (p. Ej., Médicos, hospitales, compañías de seguros de salud, etc.) deben utilizar un único NPI nuevo. El NPI reemplaza todos los demás identificadores utilizados por los planes de salud, Medicare, Medicaid y otros programas gubernamentales. [55]Sin embargo, el NPI no reemplaza el número DEA, el número de licencia estatal o el número de identificación fiscal de un proveedor. El NPI es de 10 dígitos (puede ser alfanumérico), siendo el último dígito una suma de comprobación. El NPI no puede contener ninguna inteligencia incorporada; en otras palabras, el NPI es simplemente un número que en sí mismo no tiene ningún significado adicional. El NPI es único y nacional, nunca se reutiliza y, a excepción de las instituciones, un proveedor generalmente puede tener solo uno. Una institución puede obtener múltiples NPI para diferentes "subpartes", como un centro oncológico independiente o un centro de rehabilitación.

Regla de aplicación [ editar ]

El 16 de febrero de 2006, el HHS emitió la Norma definitiva sobre la aplicación de la HIPAA. Entró en vigencia el 16 de marzo de 2006. La Regla de Ejecución establece sanciones monetarias civiles por violar las reglas de HIPAA y establece procedimientos para investigaciones y audiencias por violaciones de HIPAA. Durante muchos años hubo pocos enjuiciamientos por violaciones. [56]

Esto puede haber cambiado con la multa de $ 50,000 al Hospice of North Idaho (HONI) como la primera entidad en ser multada por una posible violación de la Regla de Seguridad de HIPAA que afecta a menos de 500 personas. Rachel Seeger, portavoz del HHS, declaró: "HONI no realizó un análisis de riesgo preciso y completo de la confidencialidad de ePHI [Información de salud protegida electrónica] como parte de su proceso de gestión de seguridad desde 2005 hasta el 17 de enero de 2012". Esta investigación se inició con el robo del vehículo de un empleado de una computadora portátil sin cifrar que contenía 441 registros de pacientes. [57]

En marzo de 2013, el Departamento de Salud y Servicios Humanos (HHS) de EE. UU. Ha investigado más de 19,306 casos que se han resuelto al exigir cambios en las prácticas de privacidad o mediante acciones correctivas. Si el HHS determina el incumplimiento, las entidades deben aplicar medidas correctivas. Se han investigado quejas contra muchos tipos diferentes de empresas, como cadenas de farmacias nacionales, importantes centros de atención médica, grupos de seguros, cadenas de hospitales y otros pequeños proveedores. Hubo 9.146 casos en los que la investigación del HHS encontró que la HIPAA se siguió correctamente. Hubo 44,118 casos en los que el HHS no encontró una causa elegible para la ejecución; por ejemplo, una infracción que comenzó antes de que comenzara la HIPAA; casos retirados por el perseguidor; o una actividad que en realidad no infringe las Reglas. Según el sitio web del HHS, [58] A continuación, se enumeran los problemas que se han informado según la frecuencia:

  1. Uso indebido y divulgación de PHI
  2. Sin protección en lugar de la información de salud
  3. Paciente que no puede acceder a su información médica
  4. Usar o divulgar más de la información de salud protegida mínima necesaria
  5. Sin salvaguardas de la información médica protegida electrónica.

Las entidades más comunes que deben tomar medidas correctivas para estar en cumplimiento voluntario de acuerdo con el HHS se enumeran por frecuencia: [58]

  1. Prácticas privadas
  2. Hospitales
  3. Instalaciones para pacientes ambulatorios
  4. Planes grupales como grupos de seguros
  5. Farmacias

Título III: Disposiciones de salud relacionadas con los impuestos que rigen las cuentas de ahorro médico [ editar ]

El Título III estandariza la cantidad que se puede ahorrar por persona en una cuenta de ahorros médicos antes de impuestos . A partir de 1997, las cuentas de ahorros médicos ("MSA") están disponibles para los empleados cubiertos por un plan de deducible alto patrocinado por el empleador de un empleador pequeño y personas que trabajan por cuenta propia.

Título IV: Aplicación y cumplimiento de los requisitos del seguro médico grupal [ editar ]

El Título IV especifica las condiciones para los planes de salud grupales con respecto a la cobertura de personas con condiciones preexistentes y modifica los requisitos de continuación de la cobertura. También aclara los requisitos de continuación de cobertura e incluye una aclaración de COBRA .

Título V: Compensación de ingresos que rigen las deducciones fiscales para empleadores [ editar ]

El Título V incluye disposiciones relacionadas con los seguros de vida propiedad de la empresa para los empleadores que brindan primas de seguro de vida propiedad de la empresa, y prohíbe la deducción fiscal de intereses sobre préstamos de seguro de vida, dotaciones de la empresa o contratos relacionados con la empresa. También deroga la regla de la institución financiera a las reglas de asignación de intereses. Finalmente, enmienda las disposiciones de la ley relacionadas con las personas que renuncian a la ciudadanía o la residencia permanente de los Estados Unidos , ampliando el impuesto de expatriación que se aplicará a aquellos que se considera que están renunciando a su estatus de EE. UU. Por razones fiscales, y haciendo que los nombres de los ex ciudadanos sean parte de el registro público a través de la creación de la Publicación Trimestral de Personas que han Elegido Expatriarse . [59]

Efectos sobre la investigación y la atención clínica [ editar ]

La promulgación de las Reglas de privacidad y seguridad ha provocado cambios importantes en la forma en que operan los médicos y los centros médicos. Las complejas legalidades y las sanciones potencialmente severas asociadas con HIPAA, así como el aumento en el papeleo y el costo de su implementación, fueron motivos de preocupación entre los médicos y los centros médicos. Un artículo de agosto de 2006 en la revista Annals of Internal Medicine detalló algunas de estas preocupaciones sobre la implementación y los efectos de la HIPAA. [60]

Efectos en la investigación [ editar ]

Las restricciones de la HIPAA sobre los investigadores han afectado su capacidad para realizar investigaciones retrospectivas basadas en gráficos, así como su capacidad para evaluar prospectivamente a los pacientes contactándolos para seguimiento. Un estudio de la Universidad de Michigan demostró que la implementación de la regla de privacidad HIPAA resultó en una caída del 96% al 34% en la proporción de encuestas de seguimiento completadas por los pacientes del estudio que fueron seguidos después de un ataque cardíaco . [61] Otro estudio, que detalla los efectos de la HIPAA en la contratación para un estudio sobre la prevención del cáncer, demostró que los cambios exigidos por la HIPAA condujeron a una disminución del 73% en la acumulación de pacientes, una triplicación del tiempo dedicado a la contratación de pacientes y una triplicación de la contratación media. costos. [62]

Además, ahora se requiere que los formularios de consentimiento informado para estudios de investigación incluyan detalles extensos sobre cómo se mantendrá la privacidad de la información médica protegida del participante. Si bien dicha información es importante, la adición de una sección legalista y extensa sobre privacidad puede hacer que estos documentos ya complejos sean aún menos fáciles de usar para los pacientes a quienes se les pide que los lean y firmen.

Estos datos sugieren que la regla de privacidad de HIPAA, tal como se implementa actualmente, puede tener impactos negativos en el costo y la calidad de la investigación médica . El Dr. Kim Eagle, profesor de medicina interna en la Universidad de Michigan, fue citado en el artículo de Annals diciendo: "La privacidad es importante, pero la investigación también es importante para mejorar la atención. Esperamos resolver esto y hacerlo bien. . " [60]

Efectos sobre la atención clínica [ editar ]

La complejidad de HIPAA, combinada con sanciones potencialmente severas para los infractores, puede llevar a los médicos y centros médicos a retener información de aquellos que puedan tener derecho a ella. Una revisión de la implementación de la Regla de Privacidad HIPAA por parte de la Oficina de Responsabilidad del Gobierno de EE. UU. Encontró que los proveedores de atención médica estaban "inseguros acerca de sus responsabilidades legales de privacidad y a menudo respondían con un enfoque demasiado cauteloso para revelar información ... de lo necesario para garantizar el cumplimiento de la Regla de privacidad ". [60] Continúan los informes sobre esta incertidumbre. [63]

Costos de implementación [ editar ]

En el período inmediatamente anterior a la promulgación de las Leyes de Privacidad y Seguridad de HIPAA, los centros médicos y las prácticas médicas fueron acusados ​​de "cumplir". Con un énfasis temprano en las sanciones potencialmente severas asociadas con la infracción, muchas prácticas y centros recurrieron a "consultores de HIPAA" privados con fines de lucro que estaban íntimamente familiarizados con los detalles de la legislación y ofrecían sus servicios para garantizar que los médicos y los centros médicos estuvieran disponibles. totalmente "en cumplimiento". Además de los costos de desarrollar y renovar los sistemas y las prácticas, el aumento en el papeleo y el tiempo del personal necesarios para cumplir con los requisitos legales de HIPAA puede afectar las finanzas de los centros médicos y las prácticas en un momento en que los reembolsos de las compañías de seguros y Medicare también están disminuyendo. .[cita requerida ]

Educación y formación [ editar ]

La educación y capacitación de los proveedores de atención médica es un requisito importante para la correcta implementación de las Leyes de Privacidad y Seguridad de HIPAA. La capacitación eficaz debe describir los antecedentes legales y reglamentarios y el propósito de HIPAA y un resumen general de los principios y disposiciones clave de la Regla de Privacidad. [ cita requerida ] Aunque cada curso de capacitación de HIPAA debe adaptarse a las funciones de los empleados que asisten al curso, hay algunos elementos vitales que deben incluirse: [64]

  • ¿Qué es HIPAA?
  • ¿Por qué la HIPAA es importante?
  • Definiciones de HIPAA
  • Derechos del paciente
  • Regla de privacidad de HIPAA
  • Divulgaciones de PHI
  • Notificaciones de incumplimiento
  • Acuerdos BA
  • Regla de seguridad de HIPAA
  • Salvaguardando ePHI
  • Infracciones potenciales
  • Sanciones a los empleados

Acrónimo de HIPAA [ editar ]

Aunque el acrónimo HIPAA coincide con el título de la Ley Pública 104-191 de 1996, Ley de Portabilidad y Responsabilidad de Seguros de Salud , a veces se hace referencia a la HIPAA incorrectamente como "Ley de Portabilidad y Privacidad de la Información de Salud (HIPPA)". [65] [66]

Violaciones [ editar ]

Un desglose de las violaciones de HIPAA que resultaron en la exposición ilegal de información personal.

Según la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de EE. UU., Entre abril de 2003 y enero de 2013, recibió 91.000 denuncias de violaciones de HIPAA, de las cuales 22.000 dieron lugar a acciones de ejecución de diversos tipos (desde acuerdos a multas) y 521 a remisiones al Departamento de Justicia de los Estados Unidos como acciones criminales. [67] Ejemplos de violaciones importantes de información protegida y otras violaciones de HIPAA incluyen:

  • La mayor pérdida de datos que afectó a 4,9 millones de personas por Tricare Management of Virginia en 2011 [68]
  • Las mayores multas de $ 5,5 millones impuestas a Memorial Healthcare Systems en 2017 por acceder a información confidencial de 115,143 pacientes [69] y de $ 4,3 millones impuestas a Cignet Health of Maryland en 2010 por ignorar las solicitudes de los pacientes para obtener copias de sus propios registros e ignorar repetidamente de las investigaciones de los funcionarios federales [70]
  • La primera acusación penal se presentó en 2011 contra un médico de Virginia que compartió información con el empleador de un paciente "bajo la falsa pretensión de que el paciente era una amenaza grave e inminente para la seguridad del público, cuando en realidad sabía que el paciente no era tal amenaza ". [71]

Según Koczkodaj et al., 2018 [72], el número total de personas afectadas desde octubre de 2009 es de 173.398.820.

Las diferencias entre sanciones civiles y penales se resumen en la siguiente tabla:

Tipo de infracciónPenalización CIVIL (min)Penalización CIVIL (máx.)
El individuo no sabía (y ejerciendo una diligencia razonable no habría sabido) que violó HIPAA$ 100 por infracción, con un máximo anual de $ 25,000 por infracciones repetidas$ 50,000 por infracción, con un máximo anual de $ 1.5 millones
Violación de HIPAA debido a una causa razonable y no debido a negligencia intencional$ 1,000 por violación, con un máximo anual de $ 100,000 por violaciones repetidas$ 50,000 por infracción, con un máximo anual de $ 1.5 millones
Violación de HIPAA debido a negligencia intencional, pero la violación se corrige dentro del período de tiempo requerido$ 10,000 por violación, con un máximo anual de $ 250,000 por violaciones repetidas$ 50,000 por infracción, con un máximo anual de $ 1.5 millones
La violación de HIPAA se debe a negligencia intencional y no se corrige$ 50,000 por infracción, con un máximo anual de $ 1,000,000$ 50,000 por infracción, con un máximo anual de $ 1.5 millones
Tipo de infracciónSanción PENAL
Entidades cubiertas e individuos específicos que "a sabiendas" obtienen o divulgan información de salud identificable individualmenteUna multa de hasta $ 50,000

Prisión hasta 1 año

Delitos cometidos de forma fraudulentaUna multa de hasta $ 100,000

Prisión hasta 5 años

Delitos cometidos con la intención de vender, transferir o usar información médica identificable individualmente para obtener ventajas comerciales, ganancias personales o daños malintencionados.Una multa de hasta $ 250,000

Prisión hasta 10 años

Información legislativa [ editar ]

  • Pub.L.  104-191 (texto) (pdf) , 110  Stat.  1936
  • HR 3103 ; H. Rept. 104-469, parte 1; H. Rept. 104-736
  • S. 1028 ; S. 1698 ; S. Rept. 104-156
  • Estándares de seguridad del HHS , 45 CFR 160 , 45 CFR 162 y 45 CFR 164
  • Estándares del HHS para la privacidad de la información médica de identificación individual, 45 CFR 160 y 45 CFR 164

Referencias [ editar ]

  1. ^ Atchinson, Brian K .; Fox, Daniel M. (mayo-junio de 1997). "La política de la ley de portabilidad y responsabilidad del seguro médico" (PDF) . Asuntos de salud . 16 (3): 146–150. doi : 10.1377 / hlthaff.16.3.146 . PMID  9141331 . Archivado desde el original (PDF) el 16 de enero de 2014 . Consultado el 16 de enero de 2014 .
  2. ^ "104º Congreso, 1ª sesión, S.1028" (PDF) . Archivado (PDF) desde el original el 16 de junio de 2012.
  3. ^ "HIPAA para tontos" .
  4. ^ "Planes de salud y beneficios: portabilidad de la cobertura de salud" . Departamento de Trabajo de Estados Unidos . 2015-12-09. Archivado desde el original el 20 de diciembre de 2016 . Consultado el 5 de noviembre de 2016 .
  5. ^ "Resumen" . www.cms.gov . 2016-09-13. Archivado desde el original el 2 de noviembre de 2016 . Consultado el 5 de noviembre de 2016 .
  6. ^ 29 USC  § 1181 (a) (2)
  7. ^ 29 USC  § 1181 (a) (3)
  8. ^ Título 29 del USC,  sección 1181 (c) (1)
  9. ^ 29 USC  § 1181 (c) (2) (A)
  10. ^ (Sub B Sec 110)
  11. ^ (Sub B Sec 111)
  12. ^ "HIPAA para trabajadores de la salud: la regla de privacidad" . 2014. doi : 10.4135 / 9781529727890 . Cite journal requiere |journal=( ayuda )
  13. ^ Título 42 del USC,  sección 1320a-7c
  14. ^ Título 42 del USC,  sección 1395ddd
  15. ^ Título 42 del USC,  sección 1395b-5
  16. ^ a b "42 US Code § 1395ddd - Programa de integridad de Medicare" . LII / Instituto de Información Legal . Archivado desde el original el 21 de marzo de 2018 . Consultado el 21 de marzo de 2018 .
  17. ^ a b 45 CFR 160.103
  18. ^ "¿Cuál es la definición de una entidad cubierta por HIPAA? - NetSec.News" . 9 de octubre de 2017. Archivado desde el original el 6 de mayo de 2018.
  19. ^ Terry, Ken "Privacidad del paciente - Las nuevas amenazas" Archivado el 20 de noviembre de 2015 en larevista Wayback Machine Physicians Practice , volumen 19, número 3, año 2009, fecha de acceso 2 de julio de 2009
  20. ^ Ver 45 CFR Secciones 160.102 y 160.103 Archivado el 12 de enero de 2012 en Wayback Machine .
  21. ^ 45 CFR 164.524
  22. ^ 45 CFR 164.512
  23. ^ (OCR), Oficina de Derechos Civiles (7 de mayo de 2008). "Resumen de la regla de privacidad de HIPAA" . Archivado desde el original el 6 de diciembre de 2015.
  24. ^ 45 CFR 164.524
  25. ^ 45 CFR 164.502
  26. ^ 45 CFR 164.502
  27. ^ 45 CFR 164.526
  28. ^ 45 CFR 164.522
  29. ^ Rowe, Linda (2005). "Lo que los funcionarios judiciales deben saber sobre la regla de privacidad de HIPAA". Diario NASPA . 42 (4): 498–512. doi : 10.2202 / 0027-6014.1537 . ProQuest 62084860 . 
  30. ^ 45 CFR 164.528
  31. ^ 45 CFR 164.530
  32. ^ 45 CFR 164.530
  33. ^ "Cómo presentar una queja sobre la privacidad de la información médica ante la Oficina de derechos civiles" (PDF) . Archivado desde el original (PDF) el 21 de diciembre de 2016 . Consultado el 7 de octubre de 2017 .
  34. ^ 45 CFR 160.306
  35. ^ "La propagación de registros despierta el temor a la erosión de la privacidad" Archivado el 10 de julio de 2017 en la Wayback Machine , 23 de diciembre de 2006, por Theo Francis, The Wall Street Journal
  36. ^ "Universidad de California resuelve el caso de privacidad y seguridad de HIPAA que involucra instalaciones del sistema de salud de UCLA" . Departamento de Salud y Servicios Humanos. Archivado desde el original el 12 de octubre de 2017.
  37. ^ (OCR), Oficina de Derechos Civiles (30 de octubre de 2015). "Reglamentación de Omnibus HIPAA" .
  38. ^ "¿Cuáles son las diferencias entre un socio comercial de HIPAA y una entidad cubierta por HIPAA" . Revista HIPAA . 2017-10-06. Archivado desde el original el 18 de febrero de 2018 . Consultado el 12 de octubre de 2017 .
  39. ^ Información de salud de personas fallecidas Archivado el 19 de octubre de 2017 en la Wayback Machine 2013
  40. ^ "Las sanciones por infracción de la regla de privacidad de HIPAA renunciadas a raíz del huracán Harvey - netsec.news" . netsec.news . 2017-08-28. Archivado desde el original el 6 de mayo de 2018 . Consultado el 28 de octubre de 2017 .
  41. ^ (OCR), División de privacidad de la información sanitaria, Oficina de derechos civiles (5 de enero de 2016). "Derecho de las personas bajo HIPAA para acceder a su información de salud" . HHS.gov . Archivado desde el original el 2 de diciembre de 2017 . Consultado el 10 de diciembre de 2017 .
  42. ^ "Derecho de las personas bajo HIPAA para acceder a su información de salud 45 CFR § 164.524" . Departamento de Salud y Servicios Humanos de EE. UU . Consultado el 10 de abril de 2021 .
  43. ^ Derechos (OCR), Oficina de lo civil (20 de noviembre de 2009). "Resumen de la regla de seguridad HIPAA" . HHS.gov . Consultado el 17 de marzo de 2021 .
  44. ^ Ahlers, Mike M. "Asiana multada con 500.000 dólares por no ayudar a las familias - CNN" . CNN. Archivado desde el original el 27 de febrero de 2014.
  45. ^ "Copia archivada" . Archivado desde el original el 5 de junio de 2016 . Consultado el 19 de abril de 2016 .Mantenimiento de CS1: copia archivada como título ( enlace )
  46. ^ "New York Times examina 'consecuencias no deseadas' de la regla de privacidad de HIPAA" . 3 de junio de 2003. Archivado desde el original el 6 de mayo de 2016.
  47. ^ Administración de la seguridad social de Estados Unidos. "TÍTULO XI — Disposiciones generales, revisión por pares y simplificación administrativa" . www.ssa.gov . Consultado el 18 de julio de 2020 .
  48. ^ "Resumen" . www.cms.gov . 26 de julio de 2017. Archivado desde el original el 18 de octubre de 2017.
  49. ^ "¿Cuáles son las regulaciones de simplificación administrativa de HIPAA?" . 20 de octubre de 2017. Archivado desde el original el 19 de febrero de 2018.
  50. ^ "Resumen" . www.cms.gov . 28 de marzo de 2016. Archivado desde el original el 12 de febrero de 2012.
  51. ^ CSM.gov "Servicios de Medicare y Medicaid" "Estándares para transacciones electrónicas: nuevas versiones, nuevo estándar y nuevo conjunto de códigos: reglas finales"
  52. ^ "El problema inminente en la atención médica EDI: migración ICD-10 y HIPAA 5010" 10 de octubre de 2009 - Shahid N. Shah
  53. ^ "Análisis de riesgo y regla de seguridad HIPAA" . Asociación Médica de Estados Unidos.
  54. ^ Wafa, Tim (verano de 2010). "Cómo la falta de granularidad técnica prescriptiva en HIPAA ha comprometido la privacidad del paciente". Revisión de derecho de la Universidad del Norte de Illinois . 30 (3). SSRN 1547425 . 
  55. ^ Ley de responsabilidad y portabilidad de seguros de salud de 1996 (HIPAA). Archivado el 8 de enero de 2014 en la Wayback Machine Steve Anderson: HealthInsurance.org.
  56. ^ La ley de privacidad médica no impone multas. Archivado el 13 de octubre de 2017 en la Wayback Machine Rob Stein: The Washington Post .
  57. ^ "Copia archivada" . Archivado desde el original el 9 de enero de 2013 . Consultado el 9 de enero de 2013 .Mantenimiento de CS1: copia archivada como título ( enlace ) Los federales intensifican la aplicación de la HIPAA con un acuerdo de hospicio
  58. ^ a b Información de aplicación archivada el 21 de agosto de 2017 en la Wayback Machine 2017
  59. ^ Kirsch, Michael S. (2004). "Sanciones alternativas y la Ley Tributaria Federal: Símbolos, Vergüenza y Gestión de la Norma Social como Sustituto de una Política Tributaria Efectiva". Revisión de la ley de Iowa . 89 (863). SSRN 552730 . 
  60. ↑ a b c Wilson J (2006). "La regla de privacidad de la Ley de Responsabilidad y Portabilidad de Seguros de Salud genera preocupaciones continuas entre médicos e investigadores". Ann Intern Med . 145 (4): 313–6. doi : 10.7326 / 0003-4819-145-4-200608150-00019 . PMID 16908928 . 
  61. ^ Armstrong D, Kline-Rogers E, Jani S, Goldman E, Fang J, Mukherjee D, Nallamothu B, Eagle K (2005). "Impacto potencial de la regla de privacidad HIPAA en la recopilación de datos en un registro de pacientes con síndrome coronario agudo" . Arch Intern Med . 165 (10): 1125–9. doi : 10.1001 / archinte.165.10.1125 . PMID 15911725 . 
  62. ^ Wolf M, Bennett C (2006). "Perspectiva local del impacto de la regla de privacidad HIPAA en la investigación" . Cáncer . 106 (2): 474–9. doi : 10.1002 / cncr.21599 . PMID 16342254 . 
  63. ^ Gross, Jane (3 de julio de 2007). "Mantener la privacidad de los datos de los pacientes, incluso de los familiares" . The New York Times . Archivado desde el original el 12 de agosto de 2017 . Consultado el 11 de agosto de 2019 .
  64. ^ "Requisitos de formación de HIPAA" .
  65. ^ "Tribunal de distrito de Estados Unidos" (PDF) . 16 de septiembre de 2010. Violación de la Ley de Portabilidad y Privacidad de la Información de Salud. ("HIPPA")
  66. ^ SE Ross (2003). "Los efectos de promover el acceso de los pacientes a los registros médicos: una revisión" . Revista de la Asociación Estadounidense de Informática Médica . 10 (2): 129-138. doi : 10.1197 / jamia.M1147 . PMC 150366 . PMID 12595402 . La Ley de Portabilidad y Privacidad del Seguro Médico (HIPPA) estipula que ...  
  67. ^ "Aspectos destacados de la aplicación" . Inicio de OCR, privacidad de la información de salud, actividades y resultados de aplicación, aspectos destacados de la aplicación . Departamento de Salud y Servicios Humanos de EE. UU. Archivado desde el original el 5 de marzo de 2014 . Consultado el 3 de marzo de 2014 .
  68. ^ "Infracciones que afectan a 500 o más personas" . OCR Home, Privacidad de la información de salud, Estatuto y reglas de simplificación administrativa de HIPAA, Regla de notificación de incumplimiento . Departamento de Salud y Servicios Humanos de EE. UU. Archivado desde el original el 15 de marzo de 2015 . Consultado el 3 de marzo de 2014 .
  69. ^ "Registro de acuerdo HIPAA anunciado: $ 5,5 millones pagados por Memorial Healthcare Systems" . Revista HIPAA . 17 de febrero de 2017.
  70. ^ "Penalización monetaria civil" . Sitio oficial del HHS . Departamento de Salud y Servicios Humanos de EE. UU. Octubre de 2010. Archivado desde el original el 8 de octubre de 2017 . Consultado el 8 de octubre de 2017 .
  71. ^ "Resultados de la queja de privacidad de HIPAA en un proceso penal federal por primera vez" . Revista HIPAA . Julio de 2011. Archivado desde el original el 17 de febrero de 2018 . Consultado el 10 de octubre de 2017 .
  72. Koczkodaj, Waldemar W .; Mazurek, Mirosław; Strzałka, Dominik; Wolny-Dominiak, Alicja; Woodbury-Smith, Marc (2018). Investigación de indicadores sociales, https://link.springer.com/article/10.1007/s11205-018-1837-z Incumplimientos de registros médicos electrónicos como indicadores sociales.

Enlaces externos [ editar ]

  • Oficina de Implementación de HIPAA de California (CalOHI)
  • "HIPAA" , Centros de servicios de Medicare y Medicaid
  • Informes del Servicio de Investigación del Congreso (CRS) sobre HIPAA , Bibliotecas de la Universidad del Norte de Texas
  • Texto completo de la Ley de Portabilidad y Responsabilidad del Seguro Médico (PDF / TXT) Oficina de Imprenta del Gobierno de EE . UU.
  • Página de la Oficina de Derechos Civiles sobre HIPAA