CONFORMIDAD CON HIPPA

La Ley de Transferibilidad y Responsabilidad de Seguros de Salud de 1996 (HIPAA, por sus siglas en inglés) afecta a todas las organizaciones que transmiten historiales médicos y de salud. La HIPPA codifica estándares para las políticas de transmisión, almacenamiento y acceso a lo que se define como “información protegida de salud” o PHI por sus siglas en inglés. La transmisión electrónica de PHI concierne en particular a proveedores de servicios de salud, centros de intercambio de información y planes de salud.

Análisis de la Regulación

Evaluación de Vulnerabilidad: la Ley de Transferabilidad y Responsabilidad de Seguros Médicos (HIPPA, por sus siglas en inglés) de 1996 elaborada hace casi 8 años y recientemente promulgada en 1999 dejó establecida la intención del Gobierno de reformar el sistema de atención de salud. La HIPAA aborda diversas áreas:

• Normas de definición de transacciones y establecimiento de códigos

• Normas del identificador 

• Normas de privacidad

• Normas de firma de seguridad y firma electrónica

Las primeras dos áreas apuntan a simplificar, en términos generales, el aspecto administrativo de la atención de salud. Las dos últimas áreas se refieren específicamente a la confidencialidad e integridad de la información que manejan las Organizaciones de Atención de Salud. Según el tamaño de la organización, la HIPAA define períodos de tiempo de cumplimiento explícitos que son necesarios para cada norma individual de los temas antes mencionados.

HIPAA se aplica a todas las entidades involucradas en la información electrónica de la asistencia médica, lo que incluye a todos los proveedores de asistencai médica, planes de la misma con fechas, personas a cargo, autoridades del sector salud, aseguradores, cámaras de compensación, agencias de facturación, proveedores de sistemas de información, organizaciones de servicios, universidades y consultorios médicos privados.  "Asimismo, la responsabilidad de poner en operación normas de seguridad relativas a una entidad cubierta incluye a los miembros de su fuerza de trabajo, ya sea que trabajen en casa o en su lugar de trabajo." ( 45 CFR Partes 160, 162 y 164 § 160.103). Por lo anterior, se requiere que las entidades cubiertas pongan en operación y administren la seguridad de las fuerzas de trabajo externas que trabajan “en casa“ y a todos los administradores de terceros (TPA). El reglamento no es en sí exclusivo de la industria sino que está dirigido al tipo de información (PHI).

Estatutos relacionados con la Seguridad de la TI

Las entidades cubiertas por la ley deberán:

• Garantizar que toda la información personal de salud, recabada en línea, sea adecuada y segura.

• Garantizar que toda la información personal de salud sea resguardada y almacenada adecuadamente, tanto a nivel local como por terceros.   

• Brindar protección contra cualquier:

• amenaza o peligro razonablemente anticipado que atente contra la seguridad o la integridad de la información

• divulgación o uso razonablemente anticipado de información no autorizada 

• Adoptar, de manera pertinente, un marco de seguridad íntegro que aborde los puntos especificados en los requisitos de la HIPAA.

Beneficios:

• Reducción de los costos do los gastos administrativos generales

• Mejoramiento de la eficiencia y efectividad del sistema de salud nacional

• Disminución de fraudes y abusos

• Protección de la privacidad de la información de salud

• Protección de los derechos de los pacientes

• Proporcionar una mejor calidad en el cuidado de los pacientes al optimizar el acceso a los datos clínicos.

• Proporcionar una mejor disponibilidad de información para la toma de decisiones.

• Incremento en la seguridad de la tecnología basada en Internet.

---

 

Otros servicios de cumplimiento de seguridad:

• The Health Insurance Portability and Accountability Act (HIPAA)

• Gramm-Leach-Bliley

• Sarbanes-Oxley

• Security Breach Notification Act

• VISA CISP

• NIST-800

• ISO 17799