Lo que usted necesita saber sobre el cumplimiento de HIPAA

HIPAA - la Portabilidad del Seguro de Salud y la Ley de Responsabilidad - es una ley federal desarrollado, en parte, a definir y regular el uso de la información sanitaria en los Estados Unidos. Las entidades que proporcionan, pagan por o proveen servicios de salud, medicamentos o equipos, así como a sus socios comerciales y proveedores, se ven afectados por este nuevo reglamento. Este artículo resume el trabajo que hay que hacer para cumplir con los requisitos necesarios para convertirse en HIPAA.

La Ley define y regula

- ¿cómo se identifica y utiliza la información de salud, incluyendo las formas de transacción estándar y conjuntos de códigos para la comunicación entre los proveedores y pagadores,

- lo información, conocida como información de salud protegida (PHI) se considera privada y cómo se debe manejar y

- políticas y procedimientos para proteger la PHI de seguridad.

Estas normas todas ellas incluidas en el Título II de la ley HIPAA y se conocen colectivamente como la Ley de Cumplimiento de Simplificación Administrativa (ASCA). Como su nombre lo indica, todas las entidades cubiertas por ASCA deben cumplir dentro de los plazos establecidos en la normativa. Estos plazos son:

Las transacciones estandarizadas y conjuntos de códigos - 16 de octubre 2002
Privacidad - 14 de abril 2003
Seguridad - fecha aún no se ha establecido.

Tenga en cuenta, sin embargo, que el Departamento de Salud y Servicios Humanos permitirá que las entidades cubiertas para solicitar una prórroga de un año a las Transacciones y Series de Código plazo si presentan un formulario Plan de Cumplimiento modelo que incluye una demostración horario cómo van a llegar a cumplir durante el período de prórroga. Esta solicitud debe ser recibida a más tardar el 15 de octubre de 2002. Además, algunos planes de salud pequeños tienen un año adicional para cumplir con todos los plazos. Mucho más detalles sobre HIPAA y la ASCA se puede encontrar en los Centros de Servicios de Medicare y Medicaid sitio web: http://www.cms.gov/hipaa/hipaa2/default.asp que también contiene enlaces a otros recursos.

¿Cómo funciona el ASCA afecta mi práctica o institución?

Directa o indirectamente, que se verán afectados si usted proporciona servicios de salud o los proveedores de servicios de salud de apoyo. Las entidades cubiertas que eligen para transmitir información de identificación relacionada con el paciente por vía electrónica están obligados a poner en práctica estas normas. En la práctica, esto significa que cualquier proveedor que envía las facturas directamente a terceros pagadores ya ASCA requiere que esas facturas se enviarán por vía electrónica, con un pequeño número de excepciones.

Además, la entidad cae bajo HIPAA si se trata de un banco de plan de salud, centro de información, la aseguradora de terceros, los empleadores mantener registros de salud, centro de rehabilitación, sangre, esperma o tejidos de órganos, un trabajador social o un consejero, a largo instalación de cuidados a largo plazo, la compañía de ambulancia o farmacia. Sin embargo, muchas más empresas y servicios se ven afectados, incluyendo a aquellos que proporcionan servicios o suministros a los proveedores de servicios de salud o de los pacientes bajo la dirección de los proveedores. Ellos necesitarán nuevos acuerdos comerciales que garanticen el cumplimiento de HIPAA y deben implementar medidas de información de privacidad y seguridad aceptables. Si estas empresas facturan directamente terceros pagadores, ellos también tendrán que poner en práctica las transacciones y el código establece normas.

proveedores de tecnología, proveedores Fuera de transcripción, contadores, abogados y cualquier otra persona que puedan entrar en contacto con la información del paciente en el curso de las relaciones comerciales normales también se verán afectados. En resumen, si se crea, mantener, administrar o tener acceso a la información médica personal, usted debe estar preocupado por convertirse cumple con las regulaciones de HIPAA.

Hasta la fecha, el trabajo de implementación de HIPAA se ha concentrado en la definición de transacciones estándar para su uso por los proveedores y pagadores de terceros, y la creación de definiciones estándar para los proveedores de cuidado de la salud, los empleadores, planes de salud y las personas a utilizar en la creación de información de archivo de historias clínicas . Conjuntos de códigos se están creando para definir términos médicos estándares, códigos de diagnóstico, enfermedades, lesiones, etc. códigos de procedimientos médicos también están siendo definidas por las medidas adoptadas para prevenir, diagnosticar, tratar o controlar las enfermedades, lesiones y discapacidades, así como para los medicamentos, equipos, suministros y otros artículos prescritos para el tratamiento.

Si bien muchos de estos conjuntos de códigos son los que están familiarizados con los proveedores de hoy, hay algunos cambios en el formato de las transacciones y los códigos que se pueden utilizar que puede afectar a la transmisión de información entre los proveedores y pagadores. Como un ejemplo, ya no se pueden utilizar los códigos locales. Por lo tanto, si una aseguradora específica ha pedido a los proveedores para añadir un código de procedimiento nacional con un sufijo para caracterizar mejor el procedimiento, el asegurador tendrá que desarrollar otra forma de obtener la información que busca. Esto significa que los proveedores tendrán que aprender un nuevo procedimiento para la codificación de las transacciones de reclamaciones.

¿Cómo puedo ser de ayuda?

La mayoría de los trabajos y el costo será en el rediseño de los procesos de oficinas alrededor de la privacidad del paciente y en el desarrollo de un programa integral de seguridad en torno a la información del paciente. Las áreas que necesitarán ser revisados ​​incluyen políticas escritas y procedimientos, normas, capacitación de personal, controles técnicos y de procedimiento, las evaluaciones de riesgos, auditoría y control del cumplimiento. Un proveedor también debe asignar la responsabilidad de la gestión en curso del programa de seguridad de la información. Los proveedores deben acordar por escrito para mantener el mismo nivel de seguridad y privacidad, ya que los proveedores con los que trabajan.

¿Qué tengo que hacer?

El primer paso es realizar una y" evaluación de las deficiencias y" para determinar lo que debe hacerse para conseguir ser más obediente. Procedimientos, procesos y gestión de la información de todo deben ser revisados ​​a la luz de la ASCA. Por ejemplo, los procesos administrativos comunes, como una enfermera pidiendo información médico acerca de un paciente durante un intercomunicador abierto cuando otro paciente puede oír la conversación tiene que ser modificadas para asegurar la privacidad del paciente.

Una vez que se entiende el alcance del cambio es necesario, un plan de implementación debe desarrollarse.

El siguiente paso operativa importante es financiar y ejecutar el plan de implementación. Además, todo el personal y los empleados que manejan la información del paciente o discutirlo con terceros deben ser entrenados en cómo mantener la información privada y segura. Esta capacitación también debe incluir instrucciones sobre los nuevos procedimientos que se desarrollan e implementan.

¿Qué pasa con mis equipos y software?

Una organización afectadas deben aplicar medidas, políticas y procedimientos para asegurar la seguridad de los sistemas de información que contienen información de identificación individual de salud del paciente. Estos serían coordinados e integrados con otras prácticas de gestión de la configuración del sistema con el fin de asegurar la integridad del sistema cuando se realizan cambios en el hardware o software del sistema. Cualquier software comprado como un paquete de un proveedor externo también debe ser compatible.

Además, los afectados deben presentar un plan de contingencia que proporciona para responder a las emergencias de los sistemas de información, incluyendo periódica copias de seguridad de los datos, tener y probar las instalaciones para operaciones continuas en el caso de una emergencia, y el desarrollo de desastres efectiva procedimientos de recuperación. Controles informáticos y medidas de seguridad deben ser documentados en la misma manera que otras políticas y procedimientos.

También se requiere que cada organización para tener una política sobre el uso de estación de trabajo. Estas instrucciones y procedimientos documentados deben delimitar las funciones propias a realizar y la manera en que esas funciones son a realizar (por ejemplo, cerrar la sesión antes de dejar un terminal desatendido). Restricciones se deben poner en marcha para evitar que personas no autorizadas tengan acceso a la información almacenada en la entidad y' s computadoras.

Establecimientos que utilizan redes de comunicación están obligados a proteger los mensajes que contienen información de salud cuando se les transmiten electrónicamente para evitar que sean interceptados y leídos por personas distintas del destinatario. También deben proteger sus sistemas de información de los intrusos que intentan acceder a la información de los puntos de comunicación externa. Esto normalmente significa que alguna forma de cifrado debe ser utilizado para proteger esta información. Además, es necesario que ser documentado políticas y funciones de seguridad para el uso de fax, correo electrónico, Internet, dictado a distancia y servicios de transcripción Hotel  .;