La Ley de Responsabilidad y Portabilidad de Seguros de Salud (HIPAA) se aprobó para evitar que la información de atención médica de una persona sea de acceso público. En consecuencia, HIPAA exige que ciertas entidades cubiertas empleen procesos adecuados para salvaguardar la información del paciente. Si es un proveedor de atención médica cubierto por HIPAA, deberá asegurarse de que su correo electrónico cumpla con la HIPAA. Desafortunadamente, no existe una forma sencilla de hacer esto por su cuenta. En su lugar, deberá contratar a un proveedor de servicios de correo electrónico que cumpla con la HIPAA.
Pasos
Parte 1 de 2: Aprender los requisitos de HIPAA
Paso 1. Comprenda las multas
HIPAA incluye tanto una regla de privacidad como una regla de seguridad. La Regla de privacidad protege la información identificable del paciente y la Regla de seguridad establece estándares nacionales para la seguridad de la información protegida en formato electrónico. Estas reglas tienen fuerza: una infracción conlleva una sanción máxima de 1,5 millones de dólares por infracción.
Paso 2. Lea la regla de seguridad
El gobierno federal exige que la comunicación electrónica de información sobre atención médica cumpla con ciertos requisitos de seguridad y privacidad. Estos requisitos son complejos. Para que un correo electrónico cumpla con la HIPAA, debe asegurarse de emplear suficientes medidas de seguridad para garantizar la integridad, seguridad y confidencialidad de la información electrónica.
- Puede leer la Regla de seguridad visitando el sitio web de Salud y Servicios Humanos en https://www.hhs.gov/ocr/privacy/hipaa/administrative/securityrule/. Se proporcionan enlaces al texto legal relevante.
- También puede leer el texto reglamentario. Este documento contendrá todas las regulaciones que se han promulgado para implementar el estatuto de HIPAA.
- Esta información es muy técnica y difícil de entender para un no experto. Debe reunirse con un abogado de atención médica para analizar sus requisitos con respecto a la seguridad del correo electrónico.
Paso 3. Reúnase con un abogado
Un abogado con experiencia en atención médica debería poder ayudarlo a comprender los requisitos legales y también a encontrar formas para que su sistema de correo electrónico cumpla con los requisitos. Querrá reunirse con un abogado que se especialice en derecho de atención médica especialmente.
Para encontrar un abogado de atención médica, visite el colegio de abogados de su estado. Debe tener enlaces a programas de referencia (o albergar un programa de referencia en sí mismo). Una vez en el sitio web, se le proporcionará un número de teléfono para llamar o un directorio que puede buscar
Parte 2 de 2: Asegurarse de que su correo electrónico cumpla con la HIPAA
Paso 1. Busque proveedores de servicios de correo electrónico que cumplan con la HIPAA
Los requisitos técnicos son tan complicados que, a menos que sea un experto en sistemas de información, deberá contratar a un proveedor de servicios de correo electrónico compatible con HIPAA para que le proporcione su sistema de correo electrónico. Los servicios de correo electrónico gratuitos basados en la web como Yahoo y Gmail no son suficientes sistemas de correo electrónico. De hecho, no brindan seguridad. Para encontrar un proveedor de servicios compatible, puede hacer lo siguiente:
- Hable con su abogado de atención médica. Él o ella debe estar familiarizado con los proveedores de servicios de correo electrónico que cumplen con HIPAA.
- Busca en internet. Varias empresas anuncian sus servicios en Internet. Busque "correo electrónico compatible con hipaa".
Paso 2. Comuníquese con los proveedores de servicios de correo electrónico que cumplen con HIPAA
Una vez que tenga los nombres de los proveedores de servicios de correo electrónico, debe consultar los sitios web de las empresas y ver si se ven profesionales. Luego llame a una empresa y pregunte si puede darle referencias. También debe preguntar sobre los servicios que brindan. Un proveedor de servicios de correo electrónico que cumpla con la HIPAA debe:
- Limite el acceso a la información electrónica. El proveedor de servicios de correo electrónico debe mantener sus servidores en una ubicación segura, accesible solo por personal autorizado.
- Auditar quién accede a la información. El proveedor de servicios debe poder rastrear quién accede a la información en el sistema. Un registro de seguridad adecuado debe rastrear al usuario que accedió a la información, el día y la hora a la que se accedió y a quién se envió la información.
- Transmisiones seguras de correo electrónico. Un proveedor de servicios también debe proteger adecuadamente todas las transmisiones de correo electrónico mediante cifrado y otras técnicas.
Paso 3. Obtenga el consentimiento del paciente
Independientemente del proveedor de servicios que utilice, siempre debe obtener el consentimiento del paciente para transmitir información médica de forma electrónica. A veces, un paciente le enviará información por correo electrónico, pero no debe asumir que esto significa que el paciente da su consentimiento para recibir información de forma electrónica.
En su lugar, debe hacer que los pacientes firmen una hoja de contacto. En este formulario, el paciente le dirá cómo prefiere ser contactado. Debe hacer que los pacientes actuales firmen uno y asegurarse de que todos los pacientes nuevos firmen uno en su primera visita
Paso 4. Utilice el cifrado
Según Health and Human Services, el cifrado no es obligatorio a menos que, después de una evaluación de riesgos, se considere que es una protección adecuada. En la práctica, sin embargo, esto significa que casi siempre necesitará cifrar los correos electrónicos y los archivos adjuntos.
- El cifrado es una técnica que convierte el texto original en texto codificado. Es una forma de proteger la información en caso de que sea interceptada por un tercero.
- Su proveedor de servicios de correo electrónico que cumple con la HIPAA debe explicarle sus técnicas para cifrar las comunicaciones.
Paso 5. Conserve los registros
HIPAA requiere que conserve los correos electrónicos hasta por seis años. Esto se llama la "Regla de retención de seis años". Su proveedor de servicios de correo electrónico debería poder garantizar que conservará los correos electrónicos durante este período de tiempo.
Paso 6. No utilice el correo electrónico, si es necesario
Es posible que descubra que los costos de cumplimiento para enviar información de salud del paciente legalmente exceden su presupuesto. Si es así, siempre tiene la opción de no enviar esta información de forma electrónica.
