1. No category

¡Consideraciones generales:
Diálogo sobre cumplimiento en
HIPAA/HITECH!
Por: Ivelisse Meléndez González [email protected] Continuing Education Inter American University of Puerto Rico School of Optometry Objetivos
q  Reforzar información básica sobre la Ley HIPAA y la regulación
de HITECH.
q  Educar sobre el uso adecuado de información protegida de
salud (PHI, por sus siglas en inglés).
q  Repaso de leyes y regulaciones que impactan la Ley HIPAA.
Evaluemos su conocimiento… ¿Qué es HIPAA?
Es una ley creada por el Congreso de los Estados Unidos con el
propósito de:
•  Reducir los costos administrativos en los servicios de salud.
•  Garantizar la cubierta de seguro médico para los individuos.
•  Proteger la información de salud del individuo.
•  Combatir el fraude y abuso.
Reglamentos de HIPAA:
Privacidad
—  Efectivo el 14 de abril de 2003.
—  Estándares para proteger toda información de salud
hablada, escrita en papel o almacenada
electrónicamente.
Seguridad
—  Efectivo el 20 de abril de 2005.
—  Estándares para proteger toda información de salud
almacenada específicamente en forma electrónica.
HIPAA
Title I: Insurance
Portability
Title II: Administrative
Simplification
Title III: Medical Savings
and Tax Deduction
Title II: Administrative
Simplification
Title IV: Group Health
Plan Provisions
Title V: Revenue
Offset Provisions
Transactions
and Code Sets
Privacy
Security
Identifiers
Health claims
Policies
Administrative
Procedures
National Provider
(NPI)
Eligibility
Consents
Physical
Safeguards
Employer
(EIN)
Enrollment and
Disenrollment
Authorizations
Technical
Services
Health Plan
(HPI)
Payments for Care
and Premiums
Minimum Necessary
Technical
Mechanisms
Individual
(IID)
Claim Status
Privacy Officer
First Injury
Reports
Role of IRB
Coordination of
Benefits
De-identification
¿A quién aplica?
—  Entidades Cubiertas
—  Planes de Salud: Públicos y Privados
—  Clearinghouses: Entidades públicas o privadas que
convierten datos o información de salud de un
formato no estándar a un formato estándar.
Ej. Inmediata
—  Proveedores y cualquier escenario de salud que
maneje información PHI: Ej. Hospitales, Farmacias,
Doctores, Laboratorios, entre otros.
¿A quién aplica?, continuación...
—  Socios de Negocio
—  Personas o compañías a las cuales la entidad cubierta
divulga información protegida de salud para realizar
alguna función de la entidad cubierta. Ej. Asesor
Legal, Consultor de Sistemas, Compañía que digitaliza
documentos, Compañía que destruye papel con
información confidencial.
—  Todo socio de negocios debe tener firmado con
optómetras los acuerdos que sean requeridos por el
Departamento Legal, incluyendo, pero no limitado, a
un acuerdo de socio de negocio o Business Associate
Agreement
(BAA, por sus siglas en inglés) y un
acuerdo de confidencialidad.
¿A quién aplica?, continuación...
Información Protegida de Salud (PHI)
ü  Nombre
ü  Dirección
ü  Fecha de nacimiento
ü  Seguro Social
ü  Teléfono
ü  Número de Licencia
ü  Ocupación
ü  Número de Récord Médico
ü  Número de Cuenta
ü  Número de identificación
ü  Diagnóstico en palabras y en códigos
ü  Tratamiento en palabras y en códigos
ASEM
Laboratorio
Clínicas Externas
Hospitales
CDT
Farmacias
Radiología
PCP
Salud Pública
Especialistas
Facultad
Médica
Departamento
de Salud
Ejemplos de PHI
ü  Expediente clínico o cualquier parte del mismo
ü  Resultados clínicos con identificadores del paciente:
ü  Rayos X
ü  Laboratorios
ü  Recetas
ü  Pre autorizaciones
ü  Información de facturación
ü  Forma 1500, UB04, ADA
ü  Explicación de Beneficios (EOB)
ü  Explicación de Pago (EOP)
ü  Hoja de Afiliación
ü  Cualquier documento impreso que tenga información PHI de
asegurados Divulgación Permitida Por Ley (TPO*)
Los optómetras pueden divulgar información protegida
de salud sin autorización del asegurado a:
—  proveedores de servicios de salud para colaborar en
el tratamiento de un asegurado.
—  otra entidad cubierta o proveedor de servicios de
salud con el propósito de actividades de pago de
servicios de salud.
—  otra entidad cubierta con el propósito de
operaciones relacionadas al cuidado de la salud
como lo son: control de calidad y estudios de
utilización.
* TPO: Tratamiento, Pago, Operaciones
Puerto Rico… Ejemplos de TPO*
—  Personal de facturación del Optómetra que tiene contrato con
aseguradora se comunica con el Centro de Llamadas para
validar elegibilidad del asegurado.
—  Socio de Negocio (ej. PBM) solicita reporte de elegibilidad
para poder realizar sus funciones contractuales.
—  Personal de Pre-autorizaciones de X plan médico se comunica
con un empleado del optómetras o con el mismo médico para
validar información previa a autorizar un servicio.
* TPO: Tratamiento, Pago, Operaciones
• 
• 
• 
• 
• 
• 
• 
• 
Solicitar una autorización para divulgar su PHI
Solicitar una revocación de la autorización
Solicitar una restricción al uso y divulgación de su PHI
Enmendar su PHI
Solicitar un desglose de divulgaciones de PHI
Recibir comunicaciones confidenciales, en una forma
dirección alterna
Acceder y solicitar copia de su PHI
Recibir copia del Aviso Sobre Prácticas de Privacidad Ejemplos de Autorizaciones
Asegurado autoriza a un familiar o amigo a acceder a su
PHI:
•  Hermana de asegurado se comunica al centro de
llamadas para verificar pre-autorización
•  Hijo de asegurado visita Centro de Servicio para
realizar cambio de médico primario
•  Amigo de asegurado visita Centro de Servicio para
solicitar un duplicado de tarjeta
•  Si la persona que solicita información no está
debidamente autorizada NO se debe proveer
información sin que sea autorizado por el asegurado
HITECH en HIPAA HITECH
—  Health Information Technology for
Economic and Clinical Health (HITECH,
por sus siglas en inglés) forma parte de
la Ley de Recuperación y Reinversión
Económica (ARRA, por sus siglas en
inglés), firmada por el Presidente
Obama, el 17 de febrero de 2009.
—  Esta ley añadió nuevos requerimientos
a las reglas de Privacidad y Seguridad
de la Ley HIPAA.
HITECH, continuación...
—  Requiere a las entidades cubiertas (CE – Covered
Entities) y a los socios de negocio (BA – Business
Associates) notificar al Departamento de Salud y
Servicios Humanos (HHS, por sus siglas en inglés) y a los
individuos afectados cualquier incidente de seguridad
relacionado con PHI que no esté protegido.
—  Notificaciones a HHS:
menos de 500 individuos se notifica anualmente.
—  500 individuos o más se notifica en o antes de 60 días de
ocurrido el incidente.
—  Notificaciones a Individuos:
—  en o antes de 60 días de ocurrido el incidente.
— 
HITECH, continuación...
—  Si la entidad cubierta implementa herramientas de cifrado
aprobadas por el Instituto Nacional de Estándares y Tecnología
(NIST por sus siglas en inglés) para proteger el PHI no tendrán que
proveer notificación en caso de un incidente de seguridad.
—  El Departamento de Salud y Servicios Humanos (DHHS) publica
en su página de internet todos los incidentes de seguridad
relacionado con PHI que involucren a 500 individuos o mas.
HITECH, continuación...
•  Si son 500 individuos o más los afectados, se requiere a las
entidades cubiertas que provean notificación del incidente de
seguridad a través de los medios noticiosos.
Name of Covered Entity State
Dr Axel Velez
PMC Medicare Choice
MMM Healthcare, Inc.
Departamento de Salud de Puerto Rico
PR
PR
PR
PR
Hospital Auxilio Mutuo
PR
Alberto Gerardo Vazquez Rivera PR
T&P Consulting, INC DBA Quantum HC
PR
Quantum Health Consulting
PR
Quantum Health Consulting
PR
T & P Consulting, Inc. d/b/a Quantum Health Consulting
PR
T&P CONSULTING, INC. D/B/A QUANTUM
PR
Triple-­‐C, Inc.
Triple-­‐C, Inc.
PHMHS
PR
PR
PR
Covered Entity Type
Healthcare Provider
Breach Individuals Affected Submission Date
Type of Breach
Location of Breached Information
2800
07/13/2011
Theft
Desktop Computer
Health Plan
24361
05/09/2011
Theft
Desktop Computer
Health Plan
32390
05/09/2011
Theft
Desktop Computer
2621
02/22/2011
Unknown
Desktop Computer
Healthcare Provider
Healthcare Provider
1000
12/13/2010
Hacking/IT Incident, Theft, Unauthorized Access/Disclosure
Desktop Computer, Laptop
Business Associate
679
06/28/2013
Theft
Laptop
Business Associate
7606
03/15/2012
Theft
Laptop, Other Portable Electronic Device
Business Associate
7923
03/13/2012
Theft
Laptop
Business Associate
4645
03/12/2012
Theft
Laptop
Business Associate
10000
03/12/2012
Theft
Laptop, Other Portable Electronic Device
Business Associate
7706
02/28/2012
Theft
Laptop
Business Associate
8000
01/24/2014
Theft, Unauthorized Access/Disclosure
Network Server
Business Associate
398000
01/24/2014
Theft
Network Server
Business Associate
5000
09/11/2013
Theft
Network Server
475000
11/04/2010
Hacking/IT Incident, Unauthorized Access/
Disclosure
Network Server
Triple-­‐S Management, Corp.; Triple-­‐S Salud, Inc.; PR
Business Associate
Triple-­‐S Salud PR
Health Plan
56853
05/29/2014
Unauthorized Access/
Disclosure
Paper/Films
American Health Inc. PR
Health Plan
11531
05/18/2014
Unauthorized Access/
Disclosure
Paper/Films
Business Associate
13336
11/08/2013
Unauthorized Access/
Disclosure
Paper/Films
Healthcare Provider
2000
09/13/2011
Theft
Paper/Films
Healthcare Provider
6006
05/26/2011
Theft
Paper/Films
Business Associate
605
02/17/2010
Theft
Paper/Films
Business Associate
1907
02/17/2010
Theft
Paper/Films
Business Associate
7911
04/15/2014
Theft
Other Portable Electronic Device
Business Associate
115000
11/09/2010
Unauthorized Access/
Disclosure
Other, Other Portable Electronic Device
Health Plan
17776
04/03/2014
Theft
Other
Health Plan
5795
04/02/2014
Theft
Other
Health Plan
2209
09/29/2011
Theft
Other
Business Associate
5848
08/15/2011
Theft
Other
Triple S Salud Inc.
PR
Centro de Ortodoncia Inc.
PR
VA Caribbean Healthcare System PR
MSO of Puerto Rico
PR
MSO of Puerto Rico, Inc. PR
Triple S Salud Inc.
PR
Medical Card System/MCS-­‐
HMO/MCS Advantage/MCS Life PR
American Health Inc. PR
Triple-­‐S Salud PR
MAPFRE Life
PR
Accuprint PR
Multas por incumplimiento
—  $100
hasta $1.5 millones
—  Las personas que intencionalmente o repetidamente violen los
requisitos de HIPAA y/o cualquier norma, regla o reglamento de
conformidad con esta Ley, estarán sujetas a sanciones
criminales de hasta $250,000 y pena de prisión de hasta diez
años
Otras Leyes Estatales…
— 
Departamento de Asuntos del Consumidor (DACO)
—  Reglamento 7336 del 26 de junio de 2007 – Reglamento
Sobre Información al Ciudadano sobre Seguridad de Bancos
de Información.
—  Manejo de información confidencial en formato electrónico:
Ø 
Ø 
Ø 
Ø 
Ø 
Proteger información confidencial
Notificar a los clientes
Informar sobre el incidente a través del periódico
Mitigar futuros riesgos
Requiere notificación a DACO en 10 días
Otras regulaciones, continuación...
—  Leyes para la protección de la confidencialidad de la
informacion de salud del paciente:
—  HIPAA Omnibus Rule – también llamada como el
“Mega/Final Rule” que fue publicada en enero 25,
2013 y dónde se implementa un número de provisiones
sobre la información de salud tecnológica y clínica
establecida en el acta de HITECH. Uno de estos
requisitos impacta directamente a los asociados de
negocios (BAA). Este requisito hace que el asociado
de negocio comparta responsabilidad de
cumplimiento de la las leyes federales y estatales en
especial a la Ley HIPAA.
Otras regulaciones, continuación...
—  HIPAA Omnibus Rule
—  BAA – todos los proveedores de salud que tienen un
contrato de asociados de negocio con otra entidad de
servicio con el cual comparten, guardan, reciben o
transmitan información PHI de pacientes se les requerirá
que tengan un contrato de asociados de negocio que
incluya los requisitos que están establecidos en esta regla y
tendrán hasta el 22 de septiembre de 2014 para que sus tengan el contrato firmado en sus expedientes.
Otras Leyes Estatales, continuación...
—  Leyes para la protección de la confidencialidad del uso
del Seguro Social en Puerto Rico
—  Ley 207 del 2006 - Ley para prohibir a todo patrono de
empresa privada y corporaciones públicas utilizar el
número de Seguro Social de los empleados como
medio de identificación.
—  Ley 187 del 2006 - Ley para la protección de la
confidencialidad del número de Seguro Social.
—  Ley 243 del 2006 - Ley para disponer la política pública
sobre el uso del número de Seguro Social como
verificación de identificación y la protección de su
confidencialidad.
¿Cuál es la finalidad? Prácticas de
Privacidad y Seguridad
Traducción:
“Adelante – envía
ese email con
información
protegida de
pacientes sin
ninguna seguridad
¿Qué puede ocurrir?
Llamadas Telefónicas
Antes de compartir información PHI:
—  Corroborar la identidad del individuo,
utilizando por lo menos 3 de los
siguientes indicadores:
—  Nombre y apellido
—  Fecha de nacimiento
—  Número de contrato
—  Número de Grupo o GMP (Grupo
Médico Primario)
—  Nombre del Médico Primario, etc.
—  Dirección física
—  Número de teléfono, etc.
Llamadas Telefónicas,
continuación...
—  Mensajes en Máquinas Contestadoras:
—  El mensaje debe cumplir con el estándar de la
provisión de información mínima necesaria (ejemplo:
Favor devolver llamada a [nombre y apellido del
representante].
—  No se dejarán mensajes telefónicos con familiares u
otras personas que no sea el asegurado y/o la persona
autorizada
—  En caso de emergencia el empleado debe tomar la
decisión de dejar mensaje a base de su juicio
profesional
Correo Electrónico
—  Toda información transmitida electrónicamente que tenga
información PHI debe ser enviado de manera segura y
p r i v a d a . Ta m b i é n , d e b e c o n t e n e r l a N o t a d e
Confidencialidad corporativa.
Uso de la Máquina de Fax
—  La máquina de fax deberá ubicarse en un lugar seguro y privado.
—  Al enviar un fax, utilice una hoja de trámite que contenga la Nota
de Confidencialidad corporativa.
—  Si va a enviar un documento confidencial por fax, debe rotular
cada página del mismo como “CONFIDENCIAL”.
Uso de la Máquina de Fax, cont.
—  Antes de enviar el fax que contenga información PHI, llame
siempre al destinatario y verifique el número de fax al cual
enviará el documento.
—  Luego de enviar el documento, llame de nuevo al destinatario
para confirmar su recibo.
—  Guarde la hoja de confirmación de envío.
Manejo de PHI
—  Mantener cualquier documentación impresa, USB, CD, laptops
y/o cualquier equipo electrónico que incluya PHI en lugares
seguros. Los archivos y gavetas de los escritorios en los que se
guarde PHI deberán mantenerse cerrados bajo llave.
—  Asegurar no dejar documentos que incluyan PHI en
fotocopiadoras o máquinas de Fax.
—  En momentos que el empleado desocupe su escritorio (en o
fuera de horas laborables), deberá mantener el mismo libre de
documentos que contengan PHI o información confidencial
de la compañía.
Desecha correctamente el PHI
Zafacón para PHI o triturador de papel
Seguridad
v  No deje desatendido en su carro documentos que contengan
PHI, laptops, o cualquier otro equipo electrónico, incluyendo pero
sin limitarse a teléfonos celulares, o tabletas.
v  No utilice la computadora propiedad de la compañía para
propósitos no relacionados a su trabajo.
v  No comparta con nadie su nombre o número de usuario (User ID)
o la contraseña (Password) para acceder su computadora.
Seguridad, continuación...
—  Antes de retirarse de su computadora, oprima CTRL-ALT-
DELETE en el teclado o seleccione “Lock this computer”
en la pantalla para “cerrar” la misma.
—  Si usted utiliza algún equipo portátil como parte de sus
funciones de trabajo incluyendo pero sin limitarse a
teléfono celular, o tabletas, utilice una contraseña
(Password) para proteger el acceso al mismo. Seguridad, continuación...
§  Se tiene utilice uniforme que lo identifica, úselo cuando se
encuentre en las facilidades de la empresa y cuando este
representando a la misma. Si tiene una identificación de la
facilidad, úsela también.
§  Cuando se vaya de vacaciones deje su laptop con su Supervisor
o el médico para ser guardada en un lugar seguro si es que
tiene el privilegio de llevarla a casa.
Seguridad, continuación...
•  Visitantes deberán registrarse con el personal del optómetra y
llevar una contabilidad de las personas que visitan las
facilidades y el propósito de éstas.
•  Todo visitante debe ser escoltado mientras se encuentre en las
facilidades. e
d
r
e
u
c
Re
s
a
e
n
í
L
s
a
l
e
t
n
e
s
e
r
p
r
e
¡Ten
e
d
s
a
efec6v n para ó
i
c
a
c
i
n
comu
!
s
e
t
n
e
d
i
c
n
i
r
a
report
Referencias
q  US Department of Health and Human Services (DHHS) Office of Civil Rights
(OCR) http://www.hhs.gov/ocr/privacy/index.html
q  Centers for Medicare and Medicaid Services (CMS) http://www.cms.gov/
Regulations-and-Guidance/Regulations-and-Guidance.html
q  Workgroup for Electronic Data Interchange (WEDI) http://www.wedi.org
q  National Committee on Vital and Health Statistics (NCVHS) http://
www.ncvhs.hhs.gov
q  Medicare http://www.cms.gov/Medicare/Billing/ElectronicBillingEDITrans/
index.html
Usted ha completado su capacitación anual sobre
las reglas de Seguridad y Privacidad que establece
la Ley HIPAA para el periodo 2015
Recuerde, la privacidad y la seguridad de la
información protegida de salud (PHI) también es su
responsabilidad.
¡Ayúdenos a cumplir con estos mandatos federales!