Cualquiera que haya trabajado en el campo médico ha encontrado situaciones difíciles al cumplir con las pautas de la Ley de Portabilidad y Responsabilidad del Seguro Médico. Las políticas de la HIPAA son muy complejas y siguen cambiando gracias a la actualización de la Regla Ómnibus, que se publicó en 2013. Las multas máximas de la HIPAA también han aumentado a $50,000 por violación, con un tope de $1.5 millones. Esto significa que el cumplimiento de las políticas actualizadas es más crucial que nunca. Para proteger a los pacientes y a los hospitales por igual, las enfermeras, los médicos y otros miembros del personal médico deben asegurarse de que las medidas de seguridad y los empleados estén al día con los cambios de la HIPAA. Y una manera de hacerlo es estar al tanto de las violaciones más comunes de la HIPAA.
¿Qué significa HIPAA?
Aunque la HIPAA es comúnmente referenciada en entornos de atención médica y comunidades en línea (y a menudo incorrectamente referenciada como HIPPA), muchos profesionales de la salud no están seguros de lo que significa la HIPAA. Según medicinenet.com, la definición de HIPAA es:
HIPAA: Acrónimo que significa «Health Insurance Portability and Accountability Act» (Ley de Portabilidad y Responsabilidad del Seguro Médico), una ley de los Estados Unidos diseñada para proporcionar estándares de privacidad para proteger los registros médicos de los pacientes y otra información de salud proporcionada a los planes de salud, médicos, hospitales y otros proveedores de atención médica. Desarrolladas por el Departamento de Salud y Servicios Humanos, estas nuevas normas proporcionan a los pacientes acceso a sus registros médicos y más control sobre cómo se utiliza y divulga su información personal de salud. Representan un piso federal uniforme de protección de la privacidad para los consumidores de todo el país. Las leyes estatales que proporcionan protecciones adicionales a los consumidores no se ven afectadas por esta nueva norma.
HHS.gov proporciona más detalles sobre los beneficios específicos de la HIPAA para los pacientes.
¿Cuándo comenzó la HIPAA?
Según medicinenet.com, la HIPAA entró en vigor el 14 de abril de 2003.
Violaciones comunes de la HIPAA
Deshonestidad del empleado
Es natural que confiemos en nuestros compañeros de trabajo por naturaleza; después de todo, los compañeros de enfermería y los médicos también quieren lo mejor para los pacientes, ¿verdad? Lamentablemente, no siempre es así. El fraude a Medicare es una violación a la política de la HIPAA, como en el 2012 cuando el dueño de una compañía de Suministros Médicos de Long Island fue encontrado culpable de $10.7 millones de dólares de fraude a Medicare y violaciones a la HIPAA, lo que le valió 12 años en prisión y una multa de $1.3 millones. Pero los casos menos obvios -y mucho menos nefastos- de deshonestidad por parte de los empleados también pueden violar la política de la HIPAA, como el acceso al expediente de un paciente cuando usted no está involucrado en el proceso de tratamiento.
Chismes
El refrán «los labios sueltos hunden los barcos» es muy cierto cuando se trata de HIPAA. Hablar sobre pacientes con amigos o familiares, o incluso con compañeros de trabajo que no están al tanto de la información médica de ese paciente puede violar las políticas de la HIPAA. Un ejemplo que recientemente aterrizó a una enfermera en agua caliente fue la rehabilitación del tobillo del mariscal de campo Cam Newton, de los Panthers de Carolina. El esposo de la enfermera llamó a The Drive NC, un programa de entrevistas deportivas del sindicato CBS, y reveló que su esposa le dijo la fecha de la cirugía de Newton, que hasta entonces era información privada. No hay información sobre si la enfermera fue sancionada, pero al decirle a su esposo sobre la cirugía de Newton, incluso en confianza, ella claramente violó la privacidad de la HIPAA y le quitó todos los derechos de privacidad que tenía su paciente. Un simple error como este pone en riesgo la carrera de una enfermera o médico y daña a su paciente.
Recuerde, a menos que el paciente haya firmado la divulgación de información, la regla general es que nadie más que el paciente y los cuidadores directos pueden acceder a esos registros.
Hacking
Es desafortunado que vivamos en un mundo donde la piratería informática es algo común, pero si el reciente escándalo de piratería informática de la Oficina de Administración de Personal y el virus Heartbleed nos han enseñado algo, es que hay personas que quieren robar información médica protegida con fines nefastos. Proteger contra los hackers puede ser difícil y costoso, pero es una tarea necesaria en la sociedad cibernética actual, especialmente cuando las historias clínicas electrónicas se convierten en una práctica estándar de la industria.
Las formas básicas de protección contra la piratería informática incluyen la actualización rutinaria del software de equipos y computadoras, la habilitación de cortafuegos y la existencia de un sistema completo de software antivirus, como Avast, que está estandarizado en todos los sistemas en red, y la actualización de contraseñas con las estrategias de código de acceso adecuadas.
Eliminación inadecuada
Es fácil evitar deshacerse de la información de salud protegida, pero también es sorprendentemente común. Muchas fotocopiadoras tienen un disco duro que guarda una cierta cantidad de archivos recientes. Si alguien accede a esa memoria y se supone que no tiene esa información, es una violación de la ley HIPAA. Lo mismo ocurre con los documentos destruidos incorrectamente. La regla básica a tener en cuenta al desechar cualquier cosa que tenga información de salud protegida es destruir o limpiar completamente el disco duro del dispositivo o destruir los documentos.
Falta de capacitación
Conocer las complejidades de las políticas de la HIPAA es difícil, y un estudio realizado por NueMd y el Daniel Brown Law Group muestra que el 36 por ciento de los profesionales de los consultorios médicos carecen de una comprensión vital de los reglamentos de la HIPAA, y que un 33 por ciento adicional no comprende las estrategias de auditoría que utiliza la OCR. Encontraron que los empleados tienen la idea equivocada de que sólo los gerentes o propietarios necesitan conocer o cumplir con la HIPAA, por lo que descuidan la capacitación adecuada. Pero eso está lejos de ser cierto. Cualquier persona que entre en contacto con información de salud protegida está obligada a cumplir con las políticas de la HIPAA, o se enfrentará a multas importantes o, en casos graves, incluso a la cárcel. Asegúrese de que todos los empleados, nuevos y antiguos, conozcan las políticas actualizadas de la HIPAA y puedan mostrar pruebas de su capacitación en caso de una auditoría de OCR.
Dispositivos perdidos o robados
En un mundo ideal, cada dispositivo que tiene datos de pacientes está encriptado y en un lugar seguro. El equipo, teléfono o tableta sólo se accede o se traslada para necesidades importantes y temporales, y luego se devuelve a su ubicación segura. Pero en el mundo real, estos objetos tienden a perderse o incluso a ser robados. Y eso lleva a problemas masivos.
Por ejemplo, en abril de 2014 se robó una computadora portátil sin cifrar del Centro de Terapia Física de Springfield Missouri de Concentra Health Services. La compañía reportó el robo a la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de los Estados Unidos, y después de una auditoría de OCR, Concentra fue multada con $1.7 millones.
Divulgación a terceros
Los terceros son a menudo compañías de facturación u otros negocios que ayudan al hospital o a la pequeña clínica a funcionar sin problemas. Cualquier compañía que entre en contacto con la información del paciente es responsable de cumplir con las políticas de la HIPAA, y la disposición común de la agencia en el fallo general de la HIPAA significa que los hospitales y el personal médico son ahora los responsables del cumplimiento de la HIPAA por parte de terceros. Una sociedad comercial en la que un tercero causa errores puede volver a perseguir al proveedor de atención médica, así que asegúrese de que todos los que tienen acceso a la información médica protegida cumplan con la ley HIPAA.
Registros no seguros
Para prevenir el robo y el acceso no autorizado, la HIPAA requiere que todos los documentos electrónicos y en papel u otros archivos que contengan PHI se almacenen en un área segura. Esto significa que cualquier tipo de archivador necesita ser cerrado con llave, la oficina o el edificio necesita ser cerrado con llave o asegurado cuando el personal no está presente. Estas parecen cosas simples de recordar, pero los errores ocurren.
En 2014, los Sistemas de Salud de Parkview fueron golpeados con una multa de $800,000 porque los empleados dejaron 71 cajas con entre 5,000 y 8,000 registros de pacientes en el porche de un médico. Estas cajas también estaban a menos de 20 pies de la carretera y cerca de un centro comercial público muy concurrido.
Si desea refrescar sus conocimientos sobre la HIPAA, la OCR cuenta con seis programas educativos para proveedores de atención médica sobre el cumplimiento de varios aspectos de las Reglas de Privacidad y Seguridad de la HIPAA. El OCR ofrece cada uno de estos programas de forma gratuita a través de los créditos de Educación Médica Continua para los médicos y los créditos de Educación Continua para los profesionales de la salud. Un módulo también se centra específicamente en la seguridad de los dispositivos móviles: http://www.hhs.gov/ocr/privacy/hipaa/understanding/training
Alto Costo de las Violaciones de la HIPAA Infografía
A muchas enfermeras, médicos y otros trabajadores de la salud se les ha enseñado a temer la legislación de la HIPAA. Los líderes de los hospitales sienten temor en los corazones y las mentes de las enfermeras de todo el mundo cuando comienzan a hablar de las violaciones de la HIPAA. Ok – El miedo puede ser un poco excesivo porque las leyes están destinadas a proteger a los pacientes, y eso es lo que la mayoría de los proveedores de atención médica tratan de hacer. Pero considerando que la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) viene equipada con fuertes multas, es fácil entender por qué a muchos les asusta su mención.
HIPAA fue instituido para proteger la información personal de salud (PHI) que reside en las manos de los proveedores de atención médica y organizaciones. Aquellos involucrados en la línea de cuidado incluyen, pero no se limitan a, enfermeras, doctores, tecnología de información de salud (HIT), farmacias, pacientes y compañías de seguros de salud. Y casi todos los que tocan a un paciente tienen acceso a por lo menos una parte de su PHI.
Trabajar en el cuidado de la salud conlleva enormes responsabilidades. Los pacientes confían en nosotros en su momento de necesidad y necesitan sentirse seguros de que su información personal de salud no será mal utilizada. Debido a esta grave necesidad, las violaciones de la HIPAA conllevan enormes multas. Pueden costarle millones de dólares a un individuo o a una entidad e incluso llevar a los responsables a la cárcel.
La siguiente infografía de la HIPAA detalla algunas de las sanciones más graves que jamás haya impuesto el gobierno federal. También desglosa las multas que se pueden utilizar cuando no se cumplen las leyes de la HIPAA.
a través de Inspired Learning
Afortunadamente, las innovaciones en el software de historias clínicas electrónicas (EMR) y otras tecnologías relacionadas con la atención médica están ayudando cada vez más a prevenir las violaciones de la HIPAA. Y cada día más y más personas pueden acceder a sus propias historias clínicas electrónicas y comprenden mejor el importante papel que desempeña la tecnología en su búsqueda de una buena salud.
Puede que nos cansemos de oír hablar de ello, pero la realidad es que la HIPAA está aquí para quedarse. Las leyes sólo van a ser más estrictas. Y el público sólo va a exigir más cuando se trata de su salud.
Es nuestro deber proteger a los pacientes que atendemos, y eso significa también su PHI.
¿Sabe qué PHI dice la HIPAA si está fuera de los límites?
¿Está familiarizado con las diferencias entre EMR, EHR y PHR?
Más recursos para HIPAA
- HIPAA para enfermeras
¿Qué violaciones de la HIPAA cree usted que son más comunes?
- 34
- 66
- 44
- 19
- 6
- 169 acciones