La Ley de Protección y Portabilidad de Seguros de Salud (HIPAA) del gobierno federal creó pautas sobre cómo los proveedores de atención médica manejan los datos de salud de los pacientes. Desafortunadamente, las pautas de HIPAA son vagas. No existe una lista de verificación fácil que pueda utilizar para encontrar software compatible con HIPAA. En cambio, la HIPAA exige que cree un conjunto de procedimientos para acceder y enviar información médica del paciente. Luego debe encontrar un proveedor de software cuyo software pueda permitirle implementar sus procedimientos.
Pasos
Parte 1 de 3: Creación de procedimientos adecuados
Paso 1. Mantenga un registro de auditoría
Debe realizar un seguimiento de quién accede al registro de un paciente. Esto significa que debe crear nombres de usuario y contraseñas independientes para cada persona que tenga acceso a la información médica del paciente. Como parte del registro de auditoría, debe realizar un seguimiento de lo siguiente:
- a qué registro accedió el usuario
- la fecha en que se accedió
- si el usuario vio la información, la actualizó o la eliminó
Paso 2. Cree niveles de acceso
HIPAA también requiere que un empleado solo vea la información “mínima necesaria” para hacer su trabajo. Por ejemplo, un médico necesitará ver más información de salud que una recepcionista. En consecuencia, debe crear niveles de acceso, en los que proporcione solo la información que cada persona necesita para hacer su trabajo.
- Es posible que algunos empleados solo trabajen con ciertos pacientes. En esta situación, solo se les debe otorgar acceso a los registros de pacientes de las personas con las que trabajan.
- Para crear con éxito niveles de acceso, debe definir claramente los roles en su organización. Esto puede requerir que mire las descripciones de los puestos y reorganice las tareas.
Paso 3. Cree una función de "anulación de emergencia"
Incluso si crea niveles de acceso, puede haber situaciones en las que alguien necesite acceder a toda la información en una emergencia. Por esta razón, debe crear una "anulación" que le permita a la persona recuperar cualquier información que sea necesaria para tratar a los pacientes de manera eficaz.
- Sin embargo, debe configurar su software para que el uso de esta función de anulación se someta a un escrutinio.
- Por ejemplo, puede configurar el software para que cada vez que alguien use la función de anulación, se envíe automáticamente un correo electrónico a varias personas de forma simultánea. El software también debe rastrear cualquier información a la que acceda esta persona.
- También debe escribir un proceso de revisión para cada uso de la función de anulación. Por ejemplo, la persona que lo usa podría tener que reunirse más tarde con un supervisor para justificar el uso.
Paso 4. Asegure sus datos
HIPAA requiere que mantenga sus datos seguros. En la práctica, esto significa que debe usar contraseñas y mantener los datos protegidos detrás de un firewall.
- También debe asegurarse de que sus correos electrónicos sean seguros. En particular, debe utilizar suficiente tecnología de cifrado en sus correos electrónicos.
- Para obtener más información sobre cómo asegurarse de que su correo electrónico cumpla con la HIPAA, consulte Hacer que el correo electrónico cumpla con la HIPAA.
Paso 5. Escanee los formularios de autorización del paciente
Debe hacer que los pacientes firmen formularios que autoricen el uso de su información para su atención. Cada formulario debe incluir una descripción de para qué usará los datos y la fecha de vencimiento.
- Debe realizar un seguimiento de estas autorizaciones, incluida la fecha en que se firmó el formulario y el nombre de la persona que lo firma.
- También debe escanear el formulario y mantener una copia digital.
Paso 6. Confirme que su sistema de facturación sea compatible
HIPAA estandarizó la transmisión de información de facturación. Por esta razón, cualquier sistema de facturación que utilice debe ser compatible con los estándares de HIPAA.
En este momento, prácticamente todos los sistemas de facturación del mercado lo hacen. Sin embargo, debe confirmar con su proveedor que cumple con HIPAA
Paso 7. Pregunte a los proveedores acerca de la copia de seguridad
La HIPAA también requiere que mantenga sus datos para que un paciente pueda verlos cuando lo solicite. Esto significa que debe mantener copias de seguridad de toda la información. Si mantiene la información en papel, entonces necesita copias almacenadas fuera del sitio o escaneos digitales creados. Si almacena datos electrónicamente, debe realizar una copia de seguridad.
- Pregunte a los proveedores cómo realizan copias de seguridad de sus sistemas. Descubra cómo garantizan la continuidad del sistema en caso de accidente.
- Si aloja el sistema de datos en sus propios servidores, deberá averiguar qué procedimientos de respaldo tiene implementados, así como sus planes de emergencia.
Paso 8. Haga que los socios comerciales firmen contratos
Cualquiera que vea sus datos debe aceptar mantener las mismas políticas y procedimientos que su organización. Por lo tanto, debe redactar un contrato de "Asociado comercial" para que lo firmen todos los proveedores.
- Health and Human Services tiene un contrato de muestra disponible en https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html. Puede modificarlo para que se adapte a sus propósitos.
- También hay ejemplos de contratos en Internet. Por ejemplo, el Centro de Ciencias de la Salud de UT tiene un formulario de contrato que puede utilizar.
- También debe pedirle a su abogado de atención médica que revise cualquier contrato para asegurarse de que sea suficiente para protegerlo.
Parte 2 de 3: Búsqueda de proveedores de software y datos
Paso 1. Pregunte a otros proveedores de atención médica
Si va a abrir una empresa, deberá adquirir software. También es posible que deba contratar a alguien para que aloje sus datos en sus servidores (o para hacer una copia de seguridad de sus propios servidores).
Pregunte a otros proveedores qué proveedores utilizan. Prácticamente todos los proveedores de atención médica están cubiertos por HIPAA, por lo que deberían haber pensado mucho en si su software es compatible o no. Deberías pedir recomendaciones
Paso 2. Compara precios
Después de obtener recomendaciones para diferentes proveedores, debe comparar sus precios. Debe llamarlos para obtener una cotización. Sus números de teléfono deben estar en Internet.
- Los precios dependerán de la cantidad de personas que necesiten acceder a su sistema, así que asegúrese de tener ese número disponible.
- Si su negocio está creciendo, debería pensar con un par de años de antelación. Por ejemplo, si tiene cinco empleados pero cree que duplicará su tamaño, asegúrese de obtener una cotización de cuánto cuesta tener 10 usuarios. No desea cambiar de software después de solo un año.
Paso 3. Descubra cómo el proveedor monitorea los cambios en HIPAA
Las regulaciones de HIPAA continúan evolucionando. Debe esperar que el proveedor se mantenga al día con los cambios en la ley. Al comunicarse con los proveedores, debe preguntar lo siguiente:
- ¿Cómo monitorea el proveedor los cambios en las regulaciones de HIPAA? ¿Tiene un plan de acción para mantenerse al día con los cambios en la ley? Busque ejemplos concretos. ¿La empresa cuenta con un abogado en el personal que supervisa los cambios en la ley?
- ¿Qué porcentaje de los clientes del proveedor deben cumplir con HIPAA? Si la mayoría de los clientes de la empresa deben cumplir con HIPAA, entonces puede estar seguro de que hará los cambios necesarios para cumplir con HIPAA, o de lo contrario cerrará.
Parte 3 de 3: Comprensión de los requisitos de HIPAA
Paso 1. Verifique si la HIPAA se aplica a usted
Debe cumplir con HIPAA si su organización transmite cualquier información de facturación electrónicamente a cualquier compañía de seguros de salud, incluidos Medicaid y Medicare. La información puede incluir facturas u otra información necesaria para encontrar cobertura de seguro. Generalmente, HIPAA regula a los proveedores de lo siguiente:
- terapia
- asesoramiento
- atención médica
- cualquier otro servicio que facture a las compañías de seguros
Paso 2. Busque un abogado de atención médica
Las reglas de HIPAA son complicadas y difíciles de entender. Para asegurarse de que está cumpliendo, debe contratar a un abogado de atención médica para su organización. Un abogado de atención médica puede ayudar a abordar la gestión de riesgos y los problemas regulatorios. Puede mantener a esta persona “con anticipo”, lo que significa que paga una tarifa cada mes. A cambio, el abogado siempre está disponible para responder a sus preguntas.
- Puede obtener recomendaciones para un abogado de atención médica preguntando a otros proveedores de atención médica a quién recurren. Si no recibe ninguna recomendación, puede visitar el colegio de abogados de su estado, que debería ejecutar un programa de recomendaciones. Solicite una referencia para un abogado de atención médica.
- Asegúrese de preguntarle al abogado sobre su experiencia. Querrá a alguien que tenga una amplia experiencia en el cumplimiento normativo, no simplemente en la representación de empresas en juicios.
Paso 3. Esté seguro, no lo lamento
Técnicamente, no es necesario crear nombres de usuario, niveles de acceso o incluso tener software en su organización. En cambio, la HIPAA solo requiere que tome "medidas razonables" y divulgue solo la información "mínima necesaria". Sin embargo, como cuestión práctica, debe crear los procedimientos para acceder y distribuir la información descrita anteriormente si planea administrar una oficina moderna utilizando computadoras y correo electrónico. Estos procedimientos lo ayudarán a protegerse de las divulgaciones no autorizadas de la información del paciente.
- Las sanciones por violar la HIPAA pueden ser severas. Puede enfrentar una multa de hasta $ 50, 000 por cada infracción, hasta un máximo de $ 1.5 millones por año. También existen sanciones penales para quienes violen las reglas a sabiendas.
- En consecuencia, es mejor que siga las prácticas y procedimientos que se están convirtiendo en estándar en su industria. Los abogados y proveedores de atención médica con experiencia pueden guiarlo en la dirección correcta.
