Ley de Portabilidad y Responsabilidad del Seguro Médico

Ley federal de los Estados Unidos relativa a la información sanitaria

La Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 ( HIPAA o Ley Kennedy - Kassebaum ^{[1] [2] ) es una} ley del Congreso de los Estados Unidos promulgada por el 104.º Congreso de los Estados Unidos y firmada por el presidente Bill Clinton el 21 de agosto de 1996. ^[3] Su objetivo era alterar la transferencia de información sanitaria, estipulaba las directrices por las cuales la información de identificación personal mantenida por las industrias de la atención sanitaria y de seguros sanitarios debía protegerse del fraude y el robo, ^[4] y abordaba algunas limitaciones a la cobertura del seguro sanitario . En general, prohíbe a los proveedores de atención sanitaria y a las empresas denominadas entidades cubiertas divulgar información protegida a cualquier persona que no sea un paciente y los representantes autorizados del paciente sin su consentimiento. El proyecto de ley no restringe a los pacientes recibir información sobre sí mismos (con excepciones limitadas). ^[5] Además, no prohíbe a los pacientes compartir voluntariamente su información sanitaria de la forma que elijan, ni exige confidencialidad cuando un paciente divulga información médica a familiares, amigos u otras personas que no sean empleados de una entidad cubierta.

La ley consta de 5 títulos:

1. El Título I protege la cobertura de seguro de salud para los trabajadores y sus familias cuando cambian o pierden sus empleos. ^[6]
2. El Título II, conocido como disposiciones de Simplificación Administrativa (AS), requiere el establecimiento de estándares nacionales para las transacciones electrónicas de atención médica e identificadores nacionales para proveedores, planes de seguro de salud y empleadores. ^[7]
3. El Título III establece pautas para las cuentas de gastos médicos antes de impuestos.
4. El Título IV establece pautas para los planes de salud grupales.
5. El Título V regula las pólizas de seguro de vida propiedad de la empresa.

Títulos

La ley consta de cinco secciones, conocidas como títulos.

Título I: Acceso, portabilidad y renovabilidad de la atención médica

El Título I de la HIPAA regula la disponibilidad y amplitud de los planes de salud grupales y ciertas pólizas de seguro de salud individuales. Modificó la Ley de Seguridad de Ingresos de Jubilación de Empleados, la Ley del Servicio de Salud Pública y el Código de Rentas Internas. Además, el Título I aborda la cuestión del "bloqueo laboral", que es la incapacidad de un empleado para dejar su trabajo porque perdería su cobertura de salud. ^[8] Para combatir el problema del bloqueo laboral, el Título protege la cobertura de seguro de salud para los trabajadores y sus familias si pierden o cambian de trabajo. ^[9]

El Título I exige la cobertura de condiciones preexistentes y también limita las restricciones que un plan de salud grupal puede imponer a los beneficios por condiciones preexistentes. Los planes de salud grupales pueden negarse a proporcionar beneficios en relación con condiciones preexistentes durante los 12 meses posteriores a la inscripción en el plan o 18 meses en el caso de inscripción tardía. ^[10] El Título I permite a las personas reducir el período de exclusión por la cantidad de tiempo que hayan tenido una "cobertura acreditable" antes de inscribirse en el plan y después de cualquier "interrupción significativa" en la cobertura. ^[11] La "cobertura acreditable" se define de manera bastante amplia e incluye casi todos los planes de salud grupales e individuales, Medicare y Medicaid. ^[12] Una "interrupción significativa" en la cobertura se define como cualquier período de 63 días sin ninguna cobertura acreditable. ^[13] Junto con una excepción, permite a los empleadores vincular las primas o copagos al consumo de tabaco o al índice de masa corporal.

El Título I exige que los proveedores de seguros emitan pólizas sin exclusiones a las personas que abandonen los planes de salud grupales, siempre que hayan mantenido una cobertura continua y creíble (ver arriba) por más de 18 meses, y ^[14] renovar las pólizas individuales mientras se ofrezcan o brindar alternativas a los planes discontinuados mientras la aseguradora permanezca en el mercado sin exclusiones, independientemente del estado de salud.

Algunos planes de atención médica están exentos de los requisitos del Título I, como los planes de salud a largo plazo y los planes de alcance limitado, como los planes dentales o de la vista que se ofrecen por separado del plan de salud general. Sin embargo, si dichos beneficios son parte del plan de salud general, la HIPAA aún se aplica a dichos beneficios. Por ejemplo, si el nuevo plan ofrece beneficios dentales, entonces debe computar la cobertura continua acreditable bajo el plan de salud anterior para cualquiera de sus períodos de exclusión para los beneficios dentales.

El plan de salud de acuerdo con el Título I dispone de un método alternativo para calcular la cobertura continua acreditable. Es decir, se pueden considerar por separado 5 categorías de cobertura de salud, incluidas la cobertura dental y de la vista. Todo lo que no esté incluido en esas 5 categorías debe utilizar el cálculo general (por ejemplo, el beneficiario puede contarse con 18 meses de cobertura general, pero solo 6 meses de cobertura dental, porque el beneficiario no tenía un plan de salud general que cubriera la cobertura dental hasta 6 meses antes de la fecha de solicitud). Dado que los planes de cobertura limitada están exentos de los requisitos de HIPAA, existe el caso extraño en el que el solicitante de un plan de salud grupal general no puede obtener certificados de cobertura continua acreditable para planes independientes de alcance limitado, como la cobertura dental, para aplicarlos a los períodos de exclusión del nuevo plan que sí incluye esas coberturas.

Los períodos de exclusión ocultos no son válidos según el Título I (por ejemplo, "El accidente, para que esté cubierto, debe haber ocurrido mientras el beneficiario estaba cubierto por este mismo contrato de seguro médico"). El plan de salud no debe aplicar dichas cláusulas. Además, deben reescribirse para que cumplan con la HIPAA. ^[15]

Título II: Prevención del fraude y el abuso en la atención médica; simplificación administrativa; reforma de la responsabilidad médica

El Título II de la HIPAA establece políticas y procedimientos para mantener la privacidad y la seguridad de la información de salud que permite la identificación individual, describe numerosos delitos relacionados con la atención médica y establece sanciones civiles y penales para las violaciones. También crea varios programas para controlar el fraude y el abuso dentro del sistema de atención médica. ^{[16] [17] [18] [19]} Sin embargo, las disposiciones más importantes del Título II son sus reglas de simplificación administrativa. El Título II requiere que el Departamento de Salud y Servicios Humanos (HHS) aumente la eficiencia del sistema de atención médica mediante la creación de estándares para el uso y la difusión de la información sobre atención médica. ^[19]

Estas normas se aplican a las "entidades cubiertas", según la definición de la HIPAA y el HHS. Las entidades cubiertas incluyen planes de salud, centros de intercambio de información sobre atención médica (como servicios de facturación y sistemas de información de salud comunitarios) y proveedores de atención médica que transmiten datos de atención médica de una manera regulada por la HIPAA. ^[20]

De acuerdo con los requisitos del Título II, el HHS ha promulgado cinco reglas sobre simplificación administrativa: la regla de privacidad, la regla de transacciones y conjuntos de códigos, la regla de seguridad, la regla de identificadores únicos y la regla de cumplimiento. ^[21]

Regla de privacidad

La Norma de Privacidad de HIPAA se compone de regulaciones nacionales para el uso y la divulgación de Información Médica Protegida (PHI) en el tratamiento, pago y operaciones de atención médica por parte de "entidades cubiertas" (generalmente, centros de intercambio de información de atención médica, planes de salud patrocinados por empleadores, aseguradoras de salud y proveedores de servicios médicos que participan en ciertas transacciones). ^[22]

La regla de privacidad entró en vigor el 14 de abril de 2003, con una prórroga de un año para determinados "planes pequeños". Mediante una reglamentación, el HHS extendió la regla de privacidad HIPAA a los contratistas independientes de las entidades cubiertas que se ajusten a la definición de "socios comerciales". ^[23] La PHI es cualquier información que tenga una entidad cubierta sobre el estado de salud, la prestación de atención médica o el pago de la atención médica que pueda vincularse a cualquier individuo. ^[20] Esto se interpreta de manera bastante amplia e incluye cualquier parte del historial médico o el historial de pagos de un individuo. Las entidades cubiertas deben divulgar la PHI al individuo dentro de los 30 días posteriores a la solicitud. ^[24] También deben divulgar la PHI cuando lo exija la ley, como informar sobre un presunto abuso infantil a las agencias estatales de bienestar infantil. ^[25]

Las entidades cubiertas pueden divulgar información médica protegida a funcionarios encargados de hacer cumplir la ley para fines de cumplimiento de la ley según lo requiera la ley (incluidas órdenes judiciales, órdenes judiciales, citaciones) y solicitudes administrativas; o para identificar o localizar a un sospechoso, un fugitivo, un testigo material o una persona desaparecida. ^[26]

Una entidad cubierta puede divulgar PHI a ciertas partes para facilitar el tratamiento, el pago o las operaciones de atención médica sin la autorización escrita expresa del paciente. ^[27] Cualquier otra divulgación de PHI requiere que la entidad cubierta obtenga la autorización escrita del individuo para la divulgación. ^[28] En cualquier caso, cuando una entidad cubierta divulga cualquier PHI, debe hacer un esfuerzo razonable para divulgar solo la información mínima necesaria requerida para lograr su propósito. ^[29]

La regla de privacidad otorga a las personas el derecho de solicitar a una entidad cubierta que corrija cualquier PHI inexacta. ^[30] Además, requiere que las entidades cubiertas tomen algunas medidas razonables para garantizar la confidencialidad de las comunicaciones con las personas. ^[31] Por ejemplo, una persona puede solicitar que la llamen a su número de trabajo en lugar de a su número de teléfono de casa o celular.

La regla de privacidad exige que las entidades cubiertas notifiquen a las personas sobre el uso de su PHI. ^[32] Las entidades cubiertas también deben llevar un registro de las divulgaciones de PHI y documentar las políticas y procedimientos de privacidad. ^[33] Deben designar un Funcionario de Privacidad y una persona de contacto ^[34] responsable de recibir quejas y capacitar a todos los miembros de su fuerza laboral en los procedimientos relacionados con la PHI. ^[35]

Cualquier persona que considere que no se está respetando la Norma de Privacidad puede presentar una queja ante la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos. ^{[36] [37]} En 2006, el Wall Street Journal informó que la OCR tenía una larga lista de espera y que ignoraba la mayoría de las quejas. "Las quejas por violaciones de la privacidad se han ido acumulando en el Departamento de Salud y Servicios Humanos. Entre abril de 2003 y noviembre de 2006, la agencia recibió 23.886 quejas relacionadas con las normas de privacidad médica, pero todavía no ha tomado ninguna medida de cumplimiento contra hospitales, médicos, aseguradoras o cualquier otra persona por violaciones de las normas. Un portavoz de la agencia dice que ha cerrado tres cuartas partes de las quejas, normalmente porque no encontró ninguna violación o después de proporcionar orientación informal a las partes implicadas". ^[38] Sin embargo, en julio de 2011, la Universidad de California en Los Ángeles acordó pagar 865.500 dólares en un acuerdo relacionado con posibles violaciones de la HIPAA. Una investigación de la Oficina de Derechos Civiles del HHS mostró que entre 2005 y 2008, empleados no autorizados revisaron repetidamente y sin causa legítima la información médica electrónica protegida de numerosos pacientes de UCLAHS. ^[39]

Es un error pensar que la Regla de Privacidad crea un derecho para que cualquier persona se niegue a revelar cualquier información de salud (como enfermedades crónicas o registros de vacunación) si así lo solicita un empleador o una empresa. Los requisitos de la Regla de Privacidad de HIPAA simplemente imponen restricciones a la divulgación por parte de las entidades cubiertas y sus socios comerciales sin el consentimiento de la persona cuyos registros se solicitan; no imponen ninguna restricción a la solicitud de información de salud directamente al sujeto de esa información. ^{[40] [41] [42]}

Actualización de la regla ómnibus final de 2013

En enero de 2013, la HIPAA se actualizó a través de la Norma Ómnibus Final. ^[43] Las actualizaciones incluyeron cambios en las secciones de la Ley HITECH sobre Normas de Seguridad y Notificación de Infracciones. Los cambios más significativos se relacionaron con la ampliación de los requisitos para incluir a los socios comerciales, cuando originalmente solo las entidades cubiertas debían cumplir con estas secciones de la ley. ^{[ cita requerida ]}

Además, se actualizó la definición de "daño significativo" a una persona en el análisis de una infracción para brindar un mayor escrutinio a las entidades cubiertas con la intención de revelar infracciones que anteriormente no se informaban. Anteriormente, una organización necesitaba una prueba de que se había producido un daño, mientras que ahora las organizaciones deben demostrar que no se había producido ningún daño.

La protección de la PHI pasó de ser indefinida a ser de 50 años después de la muerte. También se aprobaron sanciones más severas por la violación de los requisitos de privacidad de la PHI. ^[44]

La regla de privacidad de HIPAA puede no aplicarse en caso de desastres. Se han emitido exenciones limitadas en casos como el huracán Harvey en 2017. ^[45]

Ley HITECH: requisitos de privacidad

Consulte la sección de Privacidad de la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica ( Ley HITECH ).

Derecho a acceder a la propia PHI

La regla de privacidad exige que los proveedores médicos proporcionen a las personas acceso a su PHI. ^[46] Después de que una persona solicita información por escrito (normalmente utilizando el formulario del proveedor para este fin), un proveedor tiene hasta 30 días para proporcionar una copia de la información a la persona. Una persona puede solicitar la información en formato electrónico o en papel, y el proveedor está obligado a intentar cumplir con el formato solicitado. Para los proveedores que utilizan un sistema de registro médico electrónico ( EHR ) que está certificado utilizando los criterios de la CEHRT (Tecnología de Registro Médico Electrónico Certificado), las personas deben tener permitido obtener la PHI en formato electrónico. Se anima a los proveedores a proporcionar la información de manera expedita, especialmente en el caso de solicitudes de registros electrónicos.

Las personas tienen el amplio derecho de acceder a la información relacionada con su salud, incluidos los registros médicos, notas, imágenes, resultados de laboratorio e información de seguros y facturación. ^[47] Se excluyen explícitamente las notas de psicoterapia privadas de un proveedor y la información recopilada por un proveedor para defenderse de una demanda. ^[48]

Los proveedores pueden cobrar una cantidad razonable relacionada con el costo de proporcionar la copia, sin embargo, no se permite ningún cargo cuando se proporcionan datos electrónicamente desde un EHR certificado utilizando la función "ver, descargar y transferir" que se requiere para la certificación. Cuando se entrega al individuo en forma electrónica, el individuo puede autorizar la entrega utilizando correo electrónico cifrado o no cifrado, la entrega mediante medios (unidad USB, CD, etc., que pueden implicar un cargo), mensajería directa (una tecnología de correo electrónico seguro de uso común en la industria de la atención médica) o posiblemente otros métodos. Cuando se utiliza correo electrónico no cifrado, el individuo debe comprender y aceptar los riesgos para la privacidad utilizando esta tecnología (la información puede ser interceptada y examinada por otros). Independientemente de la tecnología de entrega, un proveedor debe continuar protegiendo completamente la PHI mientras se encuentra en su sistema y puede rechazar el método de entrega si representa un riesgo adicional para la PHI mientras se encuentra en su sistema. ^[49]

Una persona también puede solicitar (por escrito) que su PHI se entregue a un tercero designado, como un proveedor de atención familiar.

Una persona también puede solicitar (por escrito) que el proveedor envíe su PHI a un servicio designado que se utiliza para recopilar o administrar sus registros, como una aplicación de Historial médico personal. Por ejemplo, una paciente puede solicitar por escrito que su proveedor de obstetricia y ginecología transmita digitalmente los registros de su última visita prenatal a una aplicación de autocuidado durante el embarazo que tenga en su teléfono móvil.

Divulgación a familiares

Según sus interpretaciones de la HIPAA, los hospitales no revelarán información por teléfono a los familiares de los pacientes ingresados. Esto, en algunos casos, ha impedido la localización de personas desaparecidas. Después del accidente del vuelo 214 de Asiana Airlines en San Francisco, algunos hospitales se mostraron reacios a revelar la identidad de los pasajeros que estaban tratando, lo que dificultó a Asiana y a los familiares localizarlos. ^[50] En un caso, un hombre del estado de Washington no pudo obtener información sobre su madre herida. ^[51]

Janlori Goldman, directora del grupo de defensa Health Privacy Project, dijo que algunos hospitales están siendo "excesivamente cautelosos" y están aplicando mal la ley, según informa el Times. El Hospital Suburban de Bethesda, Maryland, ha interpretado una normativa federal que exige que los hospitales permitan a los pacientes optar por no ser incluidos en el directorio del hospital como que los pacientes quieren que se les mantenga fuera del directorio a menos que digan específicamente lo contrario. Como resultado, si un paciente está inconsciente o no puede elegir ser incluido en el directorio, sus familiares y amigos podrían no ser capaces de encontrarlo, dijo Goldman. ^[52]

Reglas de transacciones y conjuntos de códigos

La HIPAA tenía como objetivo hacer más eficiente el sistema de atención médica en los Estados Unidos mediante la estandarización de las transacciones de atención médica. La HIPAA agregó una nueva Parte C titulada "Simplificación administrativa" al Título XI de la Ley de Seguridad Social. ^[53] Se supone que esto simplifica las transacciones de atención médica al exigir que todos los planes de salud realicen transacciones de atención médica de manera estandarizada.

La disposición HIPAA/EDI ( intercambio electrónico de datos ) estaba programada para entrar en vigor el 16 de octubre de 2003, con una extensión de un año para ciertos "planes pequeños". Sin embargo, debido a la confusión generalizada y la dificultad para implementar la regla, los Centros de Servicios de Medicare y Medicaid (CMS) otorgaron una extensión de un año a todas las partes. ^[54] El 1 de enero de 2012, las versiones más nuevas, ASC X12 005010 y NCPDP D.0 entran en vigencia, reemplazando el mandato anterior ASC X12 004010 y NCPDP 5.1. ^[55] La versión ASC X12 005010 proporciona un mecanismo que permite el uso de ICD-10-CM, así como otras mejoras.

Según la HIPAA, los planes de salud cubiertos por la HIPAA ahora deben utilizar transacciones electrónicas estandarizadas de la HIPAA. Consulte 42 USC § 1320d-2 y 45 CFR Parte 162. Puede encontrar información sobre esto en la regla final para las normas de transacciones electrónicas de la HIPAA (74 Fed. Reg. 3296, publicada en el Registro Federal el 16 de enero de 2009) y en el sitio web de CMS. ^[56]

El conjunto de transacciones de reclamaciones de atención médica EDI (837) se utiliza para enviar información de facturación de reclamaciones de atención médica, información de encuentros o ambas, excepto las reclamaciones de farmacias minoristas (consulte Transacción de reclamación de farmacia minorista EDI). Puede enviarse desde los proveedores de servicios de atención médica a los pagadores, ya sea directamente o a través de facturadores intermediarios y cámaras de compensación de reclamaciones. También se puede utilizar para transmitir reclamaciones de atención médica e información de pago de facturación entre pagadores con diferentes responsabilidades de pago cuando se requiere la coordinación de beneficios o entre pagadores y agencias regulatorias para monitorear la prestación, facturación y/o pago de servicios de atención médica dentro de un segmento específico de la industria de atención médica/seguros.

Por ejemplo, una agencia estatal de salud mental puede exigir que todos los reclamos de atención médica, proveedores y planes de salud que comercializan reclamos de atención médica (médica) profesional de forma electrónica deben usar el estándar 837 Health Care Claim: Professional para enviar reclamos. Como existen muchas aplicaciones comerciales diferentes para el reclamo de atención médica, puede haber pequeñas derivaciones para cubrir reclamos que involucran reclamos únicos, como para instituciones, profesionales, quiroprácticos, dentistas, etc.

La transacción de reclamos de farmacias minoristas EDI ( NCPDP Telecommunications) se utiliza para enviar reclamos de farmacias minoristas a los pagadores por parte de profesionales de la salud que dispensan medicamentos, ya sea directamente o a través de facturadores intermediarios y cámaras de compensación de reclamos. También se puede utilizar para transmitir reclamos por servicios de farmacias minoristas e información de pago de facturación entre pagadores con diferentes responsabilidades de pago donde se requiere la coordinación de beneficios o entre pagadores y agencias reguladoras para monitorear la prestación, facturación y/o pago de servicios de farmacias minoristas dentro del segmento de la industria de seguros/atención médica farmacéutica.

El conjunto de transacciones de aviso/pago de reclamo de atención médica EDI (835) se puede utilizar para realizar un pago, enviar una Explicación de beneficios (EOB), enviar un aviso de remesa de Explicación de pagos (EOP) o realizar un pago y enviar un aviso de remesa de EOP únicamente desde una aseguradora de salud a un proveedor de atención médica, ya sea directamente o a través de una institución financiera.

El conjunto de inscripción y mantenimiento de beneficios EDI (834) puede ser utilizado por empleadores, sindicatos, agencias gubernamentales, asociaciones o agencias de seguros para inscribir a los miembros en un pagador. El pagador es una organización de atención médica que paga reclamos, administra seguros, beneficios o productos. Algunos ejemplos de pagadores incluyen una compañía de seguros, un profesional de la salud (HMO), una organización de proveedores preferidos (PPO), una agencia gubernamental (Medicaid, Medicare, etc.) o cualquier organización que pueda tener un contrato con uno de estos grupos anteriores.

La nómina deducida por EDI y otro grupo, Pago de primas por productos de seguros (820), es un conjunto de transacciones para realizar un pago de primas por productos de seguros. Se puede utilizar para ordenar a una institución financiera que realice un pago a un beneficiario.

La consulta de elegibilidad/beneficios de atención médica EDI (270) se utiliza para consultar sobre los beneficios y la elegibilidad de atención médica asociados con un suscriptor o dependiente.

La respuesta sobre elegibilidad/beneficios de atención médica EDI (271) se utiliza para responder a una consulta de solicitud sobre los beneficios y la elegibilidad de atención médica asociados con un suscriptor o dependiente.

La solicitud de estado de reclamo de atención médica EDI (276) es un conjunto de transacciones que puede utilizar un proveedor, un receptor de productos o servicios de atención médica o su agente autorizado para solicitar el estado de un reclamo de atención médica.

La notificación del estado de una reclamación de atención médica mediante EDI (277) es un conjunto de transacciones que puede utilizar un pagador de atención médica o un agente autorizado para notificar a un proveedor, destinatario o agente autorizado sobre el estado de una reclamación o un encuentro de atención médica, o para solicitar información adicional al proveedor sobre una reclamación o un encuentro de atención médica. Este conjunto de transacciones no tiene como objetivo reemplazar el conjunto de transacciones de aviso/pago de reclamación de atención médica (835) y, por lo tanto, no se utiliza para la contabilización de pagos de cuentas. La notificación se encuentra en un nivel de resumen o de detalle de línea de servicio. La notificación puede ser solicitada o no solicitada.

La información de revisión de servicios de atención médica EDI (278) es un conjunto de transacciones que se puede utilizar para transmitir información de servicios de atención médica, como datos de suscriptores, pacientes, demográficos, de diagnóstico o tratamiento con el propósito de solicitar revisión, certificación, notificación o informar el resultado de una revisión de servicios de atención médica.

El conjunto de transacciones de acuse de recibo funcional EDI (997) es un conjunto de transacciones que se puede utilizar para definir las estructuras de control de un conjunto de acuses de recibo para indicar los resultados del análisis sintáctico de los documentos codificados electrónicamente. Aunque no se menciona específicamente en la legislación HIPAA o la regla final, es necesario para el procesamiento de conjuntos de transacciones X12. Los documentos codificados son los conjuntos de transacciones, que se agrupan en grupos funcionales, que se utilizan para definir transacciones para el intercambio de datos comerciales. Esta norma no cubre el significado semántico de la información codificada en los conjuntos de transacciones.

Resumen de actualización de reglas de transacciones y conjuntos de códigos 5010

1. El conjunto de transacciones (997) será reemplazado por el conjunto de transacciones (999) "informe de reconocimiento".
2. Se ampliará el tamaño de muchos campos {elementos de segmento}, lo que provocará la necesidad de que todos los proveedores de TI amplíen los campos, elementos, archivos, GUI, medios en papel y bases de datos correspondientes.
3. Se han eliminado algunos segmentos de los conjuntos de transacciones existentes.
4. Se han agregado muchos segmentos a los conjuntos de transacciones existentes, lo que permite un mayor seguimiento y generación de informes sobre costos y encuentros con pacientes.
5. Se ha añadido la capacidad de utilizar las versiones 9 (CIE-9) y 10 (CIE-10-CM) de la "Clasificación Internacional de Enfermedades". ^{[57] [58]}

Regla de seguridad

La regla final sobre estándares de seguridad se emitió el 20 de febrero de 2003. La regla de seguridad complementa la regla de privacidad. Mientras que la regla de privacidad se aplica a toda la información sanitaria protegida (PHI), incluida la información en papel y la electrónica, la regla de seguridad se ocupa específicamente de la información sanitaria protegida electrónica (EPHI). Establece tres tipos de salvaguardas de seguridad necesarias para el cumplimiento: administrativas, físicas y técnicas. ^[59] Para cada uno de estos tipos, la regla identifica varios estándares de seguridad y, para cada estándar, nombra especificaciones de implementación obligatorias y abordables. Las especificaciones obligatorias deben adoptarse y administrarse según lo dicta la regla. Las especificaciones abordables son más flexibles. Las entidades cubiertas individuales pueden evaluar su propia situación y determinar la mejor manera de implementar especificaciones abordables. Algunos defensores de la privacidad han argumentado que esta "flexibilidad" puede proporcionar demasiada libertad a las entidades cubiertas. ^[60] Se han desarrollado herramientas de software para ayudar a las entidades cubiertas en el análisis de riesgos y el seguimiento de las remediaciones. Los estándares y especificaciones son los siguientes:

• Salvaguardias administrativas: políticas y procedimientos diseñados para mostrar claramente cómo la entidad cumplirá con la ley.
  • Las entidades cubiertas (entidades que deben cumplir con los requisitos de HIPAA) deben adoptar un conjunto escrito de procedimientos de privacidad y designar un oficial de privacidad para que sea responsable de desarrollar e implementar todas las políticas y procedimientos requeridos.
  • Las políticas y procedimientos deben hacer referencia a la supervisión de la gerencia y al compromiso organizacional con el cumplimiento de los controles de seguridad documentados.
  • Los procedimientos deben identificar claramente a los empleados o clases de empleados que tienen acceso a la información médica electrónica protegida (EPHI). El acceso a la EPHI debe restringirse únicamente a aquellos empleados que la necesiten para realizar sus funciones laborales.
  • Los procedimientos deben abordar la autorización de acceso, el establecimiento, la modificación y la terminación.
  • Las entidades deben demostrar que se proporciona un programa de capacitación continua adecuado sobre el manejo de PHI a los empleados que desempeñan funciones administrativas del plan de salud.
  • Las entidades cubiertas que subcontratan algunos de sus procesos comerciales a un tercero deben asegurarse de que sus proveedores también tengan un marco establecido para cumplir con los requisitos de la HIPAA. Las empresas suelen obtener esta garantía a través de cláusulas en los contratos que establecen que el proveedor cumplirá con los mismos requisitos de protección de datos que se aplican a la entidad cubierta. Se debe tener cuidado para determinar si el proveedor subcontrata a otros proveedores funciones de manejo de datos y controlar si existen contratos y controles adecuados.
  • Se debe contar con un plan de contingencia para responder a emergencias. Las entidades cubiertas son responsables de realizar copias de seguridad de sus datos y de contar con procedimientos de recuperación ante desastres. El plan debe documentar la prioridad de los datos y el análisis de fallas, las actividades de prueba y los procedimientos de control de cambios.
  • Las auditorías internas desempeñan un papel fundamental en el cumplimiento de la HIPAA, ya que revisan las operaciones con el objetivo de identificar posibles violaciones de seguridad. Las políticas y los procedimientos deben documentar específicamente el alcance, la frecuencia y los procedimientos de las auditorías. Las auditorías deben ser tanto rutinarias como basadas en eventos.
  • Los procedimientos deben documentar instrucciones para abordar y responder a las violaciones de seguridad que se identifiquen durante la auditoría o en el curso normal de las operaciones.
• Medidas de seguridad físicas: control del acceso físico para protegerse contra el acceso inapropiado a los datos protegidos
  • Deben implementarse controles para la introducción y eliminación de hardware y software de la red. (Cuando se retira un equipo, se debe desecharlo de manera adecuada para garantizar que la PHI no se vea comprometida).
  • El acceso a equipos que contienen información sanitaria debe ser controlado y monitoreado cuidadosamente.
  • El acceso al hardware y al software debe estar limitado a personas debidamente autorizadas.
  • Los controles de acceso requeridos consisten en planes de seguridad de las instalaciones, registros de mantenimiento y registro de visitantes y escoltas.
  • Se requieren políticas que aborden el uso adecuado de las estaciones de trabajo. Las estaciones de trabajo deben retirarse de las áreas de alto tráfico y las pantallas de los monitores no deben estar a la vista directa del público.
  • Si las entidades cubiertas utilizan contratistas o agentes, estos también deben recibir capacitación completa sobre sus responsabilidades de acceso físico.
• Salvaguardias técnicas: controlar el acceso a los sistemas informáticos y permitir que las entidades cubiertas protejan las comunicaciones que contienen PHI transmitidas electrónicamente a través de redes abiertas para que no sean interceptadas por nadie que no sea el destinatario previsto.
  • Los sistemas de información que contienen información médica protegida deben estar protegidos contra intrusiones. Cuando la información fluye a través de redes abiertas, se debe utilizar algún tipo de cifrado. Si se utilizan sistemas o redes cerrados, se considera que los controles de acceso existentes son suficientes y el cifrado es opcional.
  • Cada entidad cubierta es responsable de garantizar que los datos dentro de sus sistemas no hayan sido modificados o borrados de manera no autorizada.
  • La corroboración de datos, incluido el uso de suma de comprobación, doble introducción de datos, autenticación de mensajes y firma digital, puede utilizarse para garantizar la integridad de los datos.
  • Las entidades cubiertas también deben autenticar a las entidades con las que se comunican. La autenticación consiste en corroborar que una entidad es quien dice ser. Algunos ejemplos de corroboración son los sistemas de contraseñas, los protocolos de enlace de dos o tres vías, las llamadas telefónicas y los sistemas de tokens.
  • Las entidades cubiertas deben poner a disposición del gobierno la documentación de sus prácticas HIPAA para determinar el cumplimiento.
  • Además de las políticas, los procedimientos y los registros de acceso, la documentación de tecnología de la información también debe incluir un registro escrito de todos los ajustes de configuración de los componentes de la red porque estos componentes son complejos, configurables y siempre cambiantes.
  • Se requieren programas documentados de análisis y gestión de riesgos. Las entidades cubiertas deben considerar cuidadosamente los riesgos de sus operaciones a medida que implementan sistemas para cumplir con la ley. (El requisito de análisis y gestión de riesgos implica que los requisitos de seguridad de la ley son un estándar mínimo y coloca a las entidades cubiertas en la obligación de tomar todas las precauciones razonables necesarias para evitar que la PHI se utilice para fines no relacionados con la salud).

Regla de identificadores únicos (identificador de proveedor nacional)

Las entidades cubiertas por la HIPAA, como los proveedores que realizan transacciones electrónicas, los centros de intercambio de información sanitaria y los grandes planes sanitarios, deben utilizar únicamente el Identificador Nacional de Proveedor (NPI) para identificar a los proveedores sanitarios cubiertos en las transacciones estándar antes del 23 de mayo de 2007. Los planes sanitarios pequeños deben utilizar únicamente el NPI antes del 23 de mayo de 2008. A partir de mayo de 2006 (mayo de 2007 para los planes sanitarios pequeños), todas las entidades cubiertas que utilicen comunicaciones electrónicas (por ejemplo, médicos, hospitales, compañías de seguros sanitarios, etc.) deben utilizar un único NPI nuevo. El NPI sustituye a todos los demás identificadores utilizados por los planes sanitarios, Medicare, Medicaid y otros programas gubernamentales. ^[61] Sin embargo, el NPI no sustituye al número DEA, el número de licencia estatal o el número de identificación fiscal de un proveedor. El NPI tiene 10 dígitos (puede ser alfanumérico), y el último dígito es una suma de comprobación. El NPI no puede contener ninguna inteligencia incorporada; en otras palabras, el NPI es simplemente un número que en sí mismo no tiene ningún significado adicional. El NPI es único y nacional, nunca se reutiliza y, a excepción de las instituciones, un proveedor generalmente puede tener solo uno. Una institución puede obtener múltiples NPI para diferentes "subpartes", como un centro oncológico independiente o un centro de rehabilitación.

Regla de cumplimiento

El 16 de febrero de 2006, el Departamento de Salud y Servicios Humanos (HHS) emitió la Norma Final sobre la aplicación de la HIPAA, que entró en vigor el 16 de marzo de 2006. La Norma de Aplicación establece sanciones civiles monetarias por infringir las normas de la HIPAA y establece procedimientos para las investigaciones y audiencias por infracciones de la HIPAA. Durante muchos años hubo pocos procesos judiciales por infracciones. ^[62]

Esto puede haber cambiado con la multa de $50,000 impuesta al Hospice of North Idaho (HONI), la primera entidad multada por una posible infracción de la Norma de Seguridad de la HIPAA que afectó a menos de 500 personas. Rachel Seeger, portavoz del HHS, declaró: "HONI no realizó un análisis de riesgo preciso y exhaustivo de la confidencialidad de la ePHI [Información Médica Protegida electrónica] como parte de su proceso de gestión de seguridad desde 2005 hasta el 17 de enero de 2012". Esta investigación se inició con el robo del vehículo de un empleado de un ordenador portátil sin cifrar que contenía 441 registros de pacientes. ^[63]

Hasta marzo de 2013, el Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS) ha investigado más de 19.306 casos que se han resuelto exigiendo cambios en las prácticas de privacidad o mediante acciones correctivas. Si el HHS determina que se ha producido un incumplimiento, las entidades deben aplicar medidas correctivas. Se han investigado denuncias contra muchos tipos diferentes de empresas, como cadenas nacionales de farmacias, grandes centros de atención médica, grupos de seguros, cadenas de hospitales y otros pequeños proveedores. Hubo 9.146 casos en los que la investigación del HHS determinó que se había seguido correctamente la HIPAA. Hubo 44.118 casos en los que el HHS no encontró una causa que justificara la aplicación de la ley; por ejemplo, una infracción que comenzó antes de que comenzara la HIPAA; casos retirados por el demandante; o una actividad que en realidad no infringe las Normas.

Título III: Disposiciones de salud en materia fiscal que regulan las cuentas de ahorro médico

El Título III estandariza la cantidad que se puede ahorrar por persona en una cuenta de ahorros médicos antes de impuestos . A partir de 1997, una cuenta de ahorros médicos ("MSA") se puso a disposición de los empleados cubiertos por un plan con deducible alto patrocinado por el empleador, ya sean pequeños empleadores o trabajadores autónomos.

Título IV: Aplicación y cumplimiento de los requisitos del seguro de salud colectivo

El Título IV especifica las condiciones de los planes de salud grupales en relación con la cobertura de personas con enfermedades preexistentes y modifica los requisitos de continuación de la cobertura. También aclara los requisitos de continuación de la cobertura e incluye una aclaración sobre COBRA .

Título V: Compensación de ingresos que regula las deducciones fiscales para los empleadores

El Título V incluye disposiciones relacionadas con el seguro de vida de propiedad de la empresa para los empleadores que ofrecen primas de seguro de vida de propiedad de la empresa, prohibiendo la deducción fiscal de los intereses sobre préstamos de seguros de vida, dotaciones de la empresa o contratos relacionados con la empresa. También deroga la regla de la institución financiera sobre las reglas de asignación de intereses. Finalmente, modifica las disposiciones de la ley relacionadas con las personas que renuncian a la ciudadanía estadounidense o la residencia permanente, ampliando el impuesto de expatriación que se aplica a quienes se considera que renuncian a su estatus estadounidense por razones fiscales y haciendo que los nombres de los ex ciudadanos formen parte del registro público mediante la creación de la Publicación trimestral de personas que han optado por expatriarse . ^[64]

Efectos sobre la investigación y la atención clínica

La promulgación de las Normas de Privacidad y Seguridad ha provocado cambios importantes en la forma en que operan los médicos y los centros médicos. Las complejas cuestiones legales y las sanciones potencialmente severas asociadas con la HIPAA, así como el aumento del papeleo y el costo de su implementación, fueron motivos de preocupación entre los médicos y los centros médicos. Un artículo de agosto de 2006 en la revista Annals of Internal Medicine detallaba algunas de esas preocupaciones sobre la implementación y los efectos de la HIPAA. ^[65]

Efectos sobre la investigación

Las restricciones de la HIPAA a los investigadores han afectado su capacidad para realizar investigaciones retrospectivas basadas en historias clínicas, así como su capacidad para evaluar prospectivamente a los pacientes contactándolos para realizar un seguimiento. Un estudio de la Universidad de Michigan demostró que la implementación de la regla de privacidad de la HIPAA resultó en una caída del 96% al 34% en la proporción de encuestas de seguimiento completadas por los pacientes del estudio que fueron seguidos después de un ataque cardíaco . ^[66] Otro estudio, que detalla los efectos de la HIPAA en el reclutamiento para un estudio sobre la prevención del cáncer, demostró que los cambios exigidos por la HIPAA llevaron a una disminución del 73% en la acumulación de pacientes, una triplicación del tiempo dedicado al reclutamiento de pacientes y una triplicación de los costos medios de reclutamiento. ^[67]

Según la HIPAA, los formularios de consentimiento informado para estudios de investigación deben documentar cómo se mantendrá privada la información de salud protegida, lo que potencialmente aumenta las barreras a la participación. ^[65]

Estos datos sugieren que las normas de privacidad de la HIPAA pueden tener efectos negativos en el costo y la calidad de la investigación médica . El Dr. Kim Eagle, profesor de medicina interna de la Universidad de Michigan, fue citado en el artículo de Annals diciendo: "La privacidad es importante, pero la investigación también es importante para mejorar la atención. Esperamos que podamos resolver esto y hacerlo bien". ^[65]

Efectos sobre la atención clínica

La complejidad de la HIPAA, combinada con las sanciones potencialmente severas para los infractores, puede llevar a los médicos y centros médicos a retener información a quienes podrían tener derecho a ella. Una revisión de la implementación de la Norma de Privacidad de la HIPAA realizada por la Oficina de Responsabilidad Gubernamental de los Estados Unidos concluyó que los proveedores de atención médica "no estaban seguros de sus responsabilidades legales en materia de privacidad y a menudo respondían con un enfoque excesivamente cauteloso a la hora de divulgar información... más de lo necesario para garantizar el cumplimiento de la norma de privacidad". ^[65] Siguen surgiendo informes sobre esta incertidumbre. ^[68]

Costos de implementación

En el período inmediatamente anterior a la promulgación de las Leyes de Privacidad y Seguridad de la HIPAA, los centros y consultorios médicos se encargaron de cumplir con los nuevos requisitos. Muchos de ellos recurrieron a consultores privados para obtener asistencia en materia de cumplimiento. ^{[ cita requerida ]}

Educación y formación

La educación y la capacitación de los proveedores de atención médica es un requisito para la correcta implementación tanto de la Regla de Privacidad como de la Regla de Seguridad de HIPAA. ^{[69] [70]}

Error ortográfico comoHIPAA

"La gente inventa lo que significa ese acrónimo".

Deven McGraw, ex subdirector del HHS , citado en Vox ^[71]

Aunque el acrónimo HIPAA coincide con el título de la Ley Pública 104-191 de 1996, Ley de Portabilidad y Responsabilidad del Seguro Médico , a veces se hace referencia incorrectamente a HIPAA como HIPPA , y se dice que hace referencia a la "Ley de Portabilidad y Privacidad de la Información de Salud", ^{[72] [73]} "Ley de Protección de la Privacidad de la Información de Salud", ^[71] o "Ley de Privacidad y Protección del Seguro Médico". ^[74] Se ha observado el error ortográfico de HIPPA entre los estafadores de COVID-19 . ^[75]

Violaciones

Un desglose de las violaciones de HIPAA que resultaron en la exposición ilegal de información personal.

Según la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de los Estados Unidos, entre abril de 2003 y enero de 2013, recibió 91.000 denuncias de violaciones de la HIPAA, de las cuales 22.000 dieron lugar a acciones de cumplimiento de diversos tipos (desde acuerdos hasta multas) y 521 dieron lugar a remisiones al Departamento de Justicia de los Estados Unidos como acciones penales. ^[76] Algunos ejemplos de infracciones significativas de información protegida y otras violaciones de la HIPAA incluyen:

• La mayor pérdida de datos que afectó a 4,9 millones de personas fue causada por Tricare Management of Virginia en 2011 ^[77]
• Las multas más grandes de $5,5 millones impuestas contra Memorial Healthcare Systems en 2017 por acceder a información confidencial de 115.143 pacientes y de $4,3 millones impuestas contra Cignet Health of Maryland en 2010 por ignorar las solicitudes de los pacientes de obtener copias de sus propios registros e ignorar repetidamente las consultas de los funcionarios federales ^[78]
• La primera acusación penal se presentó en 2011 contra un médico de Virginia que compartió información con el empleador de un paciente "bajo el falso pretexto de que el paciente era una amenaza grave e inminente para la seguridad pública, cuando en realidad sabía que el paciente no era tal amenaza". ^{[ cita requerida ]}

Según Koczkodaj et al., 2018, ^[79] el número total de personas afectadas desde octubre de 2009 es 173.398.820.

Las diferencias entre las sanciones civiles y penales se resumen en la siguiente tabla:

Información legislativa

En 1994, el presidente Clinton expresó sus objetivos de mejorar el sistema de salud. Sin embargo, sus reformas no tuvieron éxito, muy probablemente debido a la falta de apoyo. ^[80] El Almanaque Trimestral del Congreso de 1996 explica cómo dos senadores, Nancy Kassebaum (Republicana de Kansas) y Ted Kennedy (Demócrata de Massachusetts) se unieron y crearon un proyecto de ley llamado Ley de Reforma del Seguro Médico de 1995 o más comúnmente conocido como el Proyecto de Ley Kassebaum-Kennedy. ^[81] Este proyecto de ley se estancó a pesar de haber salido del Senado. En el discurso sobre el Estado de la Unión de 1996, Clinton presionó sobre el tema, y ​​​​resultó en una cooperación bipartidista. ^[80] Después de mucho debate y negociación, hubo un cambio en el impulso una vez que se aceptó un compromiso entre Kennedy y el presidente del Comité de Medios y Arbitrios, Bill Archer , después de que se hicieran modificaciones al Proyecto de Ley Kassebaum-Kennedy original. ^[82] Poco después, el proyecto de ley fue firmado por el presidente Clinton y recibió el nombre de Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA).

• Pub.L.Tooltip Derecho público (Estados Unidos) 104–191 (texto) (PDF), 110  Stat.  1936
• HR 3103; Informe del Senado 104-469, parte 1; Informe del Senado 104-736
• S. 1028; S. 1698; S. Informe 104-156
• Normas de seguridad del HHS , 45 CFR 160 , 45 CFR 162 y 45 CFR 164
• Normas del HHS para la privacidad de la información de salud identificable individualmente, 45 CFR 160 y 45 CFR 164

Referencias

1. Atchinson, Brian K.; Fox, Daniel M. (mayo-junio de 1997). "La política de la Ley de Portabilidad y Responsabilidad del Seguro Médico" (PDF) . Health Affairs . 16 (3): 146–150. doi :10.1377/hlthaff.16.3.146. PMID  9141331. Archivado desde el original (PDF) el 2014-01-16 . Consultado el 2014-01-16 .
2. "104.º Congreso, 1.ª sesión, S.1028" (PDF) . Archivado (PDF) desde el original el 16 de junio de 2012.
3. "Ley de portabilidad y rendición de cuentas del seguro médico de 1996". Derecho público .
4. Edemekong, Peter F.; Annamaraju, Pavan; Haydel, Micelle J. (2023), "Ley de Portabilidad y Responsabilidad del Seguro Médico", StatPearls , Treasure Island (FL): StatPearls Publishing, PMID  29763195 , consultado el 15 de junio de 2023
5. "Su historial médico". 19 de noviembre de 2008.
6. "Planes y beneficios de salud: portabilidad de la cobertura de salud". Departamento de Trabajo de los Estados Unidos . 2015-12-09. Archivado desde el original el 2016-12-20 . Consultado el 2016-11-05 .
7. "Descripción general". www.cms.gov . 13 de septiembre de 2016. Archivado desde el original el 2 de noviembre de 2016 . Consultado el 5 de noviembre de 2016 .
8. Berger, Mark C.; Black, Dan A.; Scott, Frank A. (2004). "¿Existe un bloqueo laboral? Evidencia de la era anterior a la HIPAA". Southern Economic Journal . 70 (4): 953–976. doi :10.2307/4135282. ISSN  0038-4038. JSTOR  4135282.
9. "Información sobre el título de HIPAA". www.dhcs.ca.gov . Consultado el 31 de octubre de 2021 .
10. Título 29 del Código de los Estados Unidos  § 1181(a)(2)
11. Título 29 del Código de los Estados Unidos  § 1181(a)(3)
12. Título 29 del Código de los Estados Unidos  § 1181(c)(1)
13. Título 29 del Código de los Estados Unidos  § 1181(c)(2)(A)
14. (Sub. B, Sección 111)
15. "HIPAA para trabajadores de la salud: la regla de privacidad". 2014. doi :10.4135/9781529727890. {{cite journal}}: Requiere citar revista |journal=( ayuda )
16. Título 42 del Código de los Estados Unidos  § 1320a-7c
17. Título 42 del Código de los Estados Unidos  § 1395ddd
18. Título 42 del Código de los Estados Unidos  § 1395b-5
19. "42 US Code § 1395ddd - Programa de Integridad de Medicare". LII / Instituto de Información Legal . Archivado desde el original el 2018-03-21 . Consultado el 2018-03-21 .
20. 45 CFR 160.103
21. "Otras normas de simplificación administrativa". 4 de diciembre de 2015.
22. Terry, Ken "Patient Privacy - The New Threats" Archivado el 20 de noviembre de 2015 en Wayback Machine. Revista Physicians Practice , volumen 19, número 3, año 2009, fecha de acceso 2 de julio de 2009.
23. Consulte las secciones 160.102 y 160.103 del título 45 del CFR. Archivado el 12 de enero de 2012 en Wayback Machine .
24. Título 45 del Código de Reglamentos Federales 164.524
25. Título 45 del Código de Reglamentos Federales, artículo 164.512
26. (OCR), Oficina de Derechos Civiles (7 de mayo de 2008). «Resumen de la regla de privacidad de la HIPAA». Archivado desde el original el 6 de diciembre de 2015.
27. Título 45 del Código de Reglamentos Federales 164.524
28. Título 45 del Código de Reglamentos Federales, artículo 164.502
29. Título 45 del Código de Reglamentos Federales, artículo 164.502
30. Título 45 del Código de Reglamentos Federales 164.526
31. Título 45 del Código de Reglamentos Federales, artículo 164.522
32. Rowe, Linda (2005). "Lo que los funcionarios judiciales deben saber sobre la regla de privacidad de la HIPAA". Revista NASPA . 42 (4): 498–512. doi :10.2202/0027-6014.1537. ProQuest  62084860.
33. Título 45 del Código de Reglamentos Federales, artículo 164.528
34. Título 45 del Código de Reglamentos Federales 164.530
35. Título 45 del Código de Reglamentos Federales 164.530
36. "Cómo presentar una queja sobre la privacidad de la información médica ante la Oficina de Derechos Civiles" (PDF) . Archivado desde el original (PDF) el 2016-12-21 . Consultado el 2017-10-07 .
37. Título 45 del Código de Reglamentos Federales, artículo 160.306
38. "La difusión de registros genera temores de erosión de la privacidad" Archivado el 10 de julio de 2017 en Wayback Machine , 23 de diciembre de 2006, por Theo Francis, The Wall Street Journal
39. "La Universidad de California resuelve un caso de privacidad y seguridad de HIPAA que involucra a las instalaciones del Sistema de Salud de UCLA". Departamento de Salud y Servicios Humanos. Archivado desde el original el 12 de octubre de 2017.
40. Kavi, Aishvarya (22 de julio de 2021). "Cómo funciona la ley HIPAA y por qué la gente se equivoca". The New York Times . ISSN  0362-4331 . Consultado el 23 de julio de 2021 .
41. Chiu, Allyson (22 de mayo de 2021). "Explicación de la HIPAA: no, no prohíbe las preguntas sobre su estado de vacunación". Washington Post . Consultado el 23 de julio de 2021 .
42. "La legisladora Marjorie Taylor Greene, en diez palabras o menos, se equivoca por completo con respecto a la HIPAA". Ley y delincuencia . 2021-07-21 . Consultado el 2021-07-23 .
43. (OCR), Oficina de Derechos Civiles (30 de octubre de 2015). "Reglamento general HIPAA".
44. Información sanitaria de personas fallecidas Archivado el 19 de octubre de 2017 en Wayback Machine. 2013
45. Cohen, Jessica Kim (30 de agosto de 2017). "HHS publica una exención limitada de HIPAA durante el huracán Harvey: 5 cosas que debe saber". www.beckershospitalreview.com . Consultado el 19 de marzo de 2024 .
46. "Derecho de las personas a acceder a su información de salud conforme a la HIPAA". HHS.gov . 5 de enero de 2016. Archivado desde el original el 2 de diciembre de 2017 . Consultado el 10 de diciembre de 2017 .
47. Derechos Civiles (OCR), Oficina de Derechos Civiles (24 de junio de 2016). "2042-¿A qué información médica personal tienen derecho las personas, conforme a la HIPAA, de sus proveedores de atención médica y planes de salud?". HHS.gov . Consultado el 1 de septiembre de 2021 .
48. "Derecho de las personas a acceder a su información sanitaria en virtud de la HIPAA, 45 CFR § 164.524". Departamento de Salud y Servicios Humanos de Estados Unidos. 5 de enero de 2016. Consultado el 10 de abril de 2021 .
49. Derechos Civiles (OCR), Oficina de Derechos Civiles (2009-11-20). "Resumen de la regla de seguridad de HIPAA". HHS.gov . Consultado el 17 de marzo de 2021 .
50. Ahlers, Mike M. (25 de febrero de 2014). "Asiana multada con 500.000 dólares por no ayudar a las familias - CNN". CNN. Archivado desde el original el 27 de febrero de 2014.
51. "First Amendment Center | Freedom Forum Institute". Archivado desde el original el 5 de junio de 2016. Consultado el 19 de abril de 2016 .
52. "The New York Times examina las 'consecuencias no deseadas' de la reglamentación sobre privacidad de la HIPAA". 3 de junio de 2003. Archivado desde el original el 6 de mayo de 2016.
53. Administración del Seguro Social de Estados Unidos. "TÍTULO XI: Disposiciones generales, revisión por pares y simplificación administrativa". www.ssa.gov . Consultado el 18 de julio de 2020 .
54. Traynor, Kate (2002). "Se ha extendido la fecha de cumplimiento de la HIPAA para las transacciones electrónicas". American Journal of Health-System Pharmacy . 59 (5): 402. doi :10.1093/ajhp/59.5.402. PMID  11887402 . Consultado el 16 de diciembre de 2023 .
55. "Descripción general". www.cms.gov . 26 de julio de 2017. Archivado desde el original el 18 de octubre de 2017.
56. "Descripción general". www.cms.gov . 28 de marzo de 2016. Archivado desde el original el 12 de febrero de 2012.
57. CSM.gov "Servicios de Medicare y Medicaid" "Estándares para transacciones electrónicas: nuevas versiones, nuevos estándares y nuevos códigos: reglas finales"
58. "El inminente problema del intercambio electrónico de datos en el ámbito sanitario: migración a la ICD-10 y la HIPAA 5010" 10 de octubre de 2009 – Shahid N. Shah
59. "Reglamento de seguridad de HIPAA y análisis de riesgos". Asociación Médica Estadounidense. 14 de diciembre de 2023.
60. Wafa, Tim (verano de 2010). "Cómo la falta de granularidad técnica prescriptiva en HIPAA ha comprometido la privacidad del paciente". Revista de Derecho de la Universidad del Norte de Illinois . 30 (3). SSRN  1547425.
61. Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA). Archivado el 8 de enero de 2014 en Wayback Machine . Steve Anderson: HealthInsurance.org.
62. La ley de privacidad médica no genera multas. Archivado el 13 de octubre de 2017 en Wayback Machine . Rob Stein: The Washington Post .
63. "Los federales intensifican la aplicación de la HIPAA con un acuerdo sobre cuidados paliativos - SC Magazine". 7 de enero de 2013. Archivado desde el original el 9 de enero de 2013. Consultado el 9 de enero de 2013 .Los federales intensifican la aplicación de la HIPAA con un acuerdo sobre cuidados paliativos
64. Kirsch, Michael S. (2004). "Sanciones alternativas y la ley tributaria federal: símbolos, humillación y gestión de normas sociales como sustituto de una política tributaria eficaz". Iowa Law Review . 89 (863). SSRN  552730.
65. Wilson J (2006). "La regla de privacidad de la Ley de Portabilidad y Responsabilidad del Seguro Médico genera inquietudes constantes entre los médicos e investigadores". Ann Intern Med . 145 (4): 313–6. doi :10.7326/0003-4819-145-4-200608150-00019. PMID  16908928. S2CID  32140125.
66. Armstrong D, Kline-Rogers E, Jani S, Goldman E, Fang J, Mukherjee D, Nallamothu B, Eagle K (2005). "Potencial impacto de la regla de privacidad de HIPAA en la recopilación de datos en un registro de pacientes con síndrome coronario agudo". Arch Intern Med . 165 (10): 1125–9. doi :10.1001/archinte.165.10.1125. PMID  15911725.
67. Wolf M, Bennett C (2006). "Perspectiva local del impacto de la regla de privacidad HIPAA en la investigación". Cáncer . 106 (2): 474–9. doi : 10.1002/cncr.21599 . PMID  16342254.
68. Gross, Jane (3 de julio de 2007). «Keeping Patients' Details Private, Even From Family» (Mantener la privacidad de los datos de los pacientes, incluso de sus familiares). The New York Times . Archivado desde el original el 12 de agosto de 2017. Consultado el 11 de agosto de 2019 .
69. "Registro Federal:: Solicitud de acceso".
70. "Registro Federal:: Solicitud de acceso".
71. Morrison, Sara (20 de abril de 2021). "HIPAA, la ley de privacidad de la salud que es más limitada de lo que cree, explicada". Vox . Consultado el 31 de octubre de 2023 .
72. "Tribunal de Distrito de los Estados Unidos" (PDF) . 16 de septiembre de 2010. Violación de la Ley de Privacidad y Portabilidad de la Información de Salud ("HIPPA")
73. SE Ross (2003). "Los efectos de promover el acceso de los pacientes a los registros médicos: una revisión". Revista de la Asociación Estadounidense de Informática Médica . 10 (2): 129–138. doi :10.1197/jamia.M1147. PMC 150366 . PMID  12595402. La Ley de Privacidad y Portabilidad del Seguro Médico (HIPPA) estipula que... 
74. "No, preguntar si estás vacunado no es una violación de la HIPAA". wtsp.com . 13 de septiembre de 2021 . Consultado el 31 de octubre de 2023 .
75. LaFraniere, Sharon; Hamby, Chris (5 de abril de 2020). "Otra cosa que temer: los estafadores del coronavirus" . The New York Times . Consultado el 31 de octubre de 2023 .
76. "Aspectos destacados de la aplicación de la ley". Página de inicio de la OCR, Privacidad de la información sanitaria, Actividades y resultados de la aplicación de la ley, Aspectos destacados de la aplicación de la ley . Departamento de Salud y Servicios Humanos de los Estados Unidos. Archivado desde el original el 5 de marzo de 2014 . Consultado el 3 de marzo de 2014 .
77. "Infracciones que afectan a 500 o más personas". OCR Home, Privacidad de la información sanitaria, Estatuto y normas de simplificación administrativa de HIPAA, Norma de notificación de infracciones . Departamento de Salud y Servicios Humanos de EE. UU. Archivado desde el original el 15 de marzo de 2015. Consultado el 3 de marzo de 2014 .
78. "Multa monetaria civil". Sitio oficial del HHS . Departamento de Salud y Servicios Humanos de EE. UU. Octubre de 2010. Archivado desde el original el 8 de octubre de 2017. Consultado el 8 de octubre de 2017 .
79. Koczkodaj, Waldemar W.; Mazurek, Mirosław; Strzałka, Dominik; Wolny-Dominiak, Alicja; Woodbury-Smith, Marc (1 de enero de 2019). "Incumplimientos de registros sanitarios electrónicos como indicadores sociales". Investigación de Indicadores Sociales . 141 (2): 861–871. doi :10.1007/s11205-018-1837-z. ISSN  1573-0921. S2CID  255006896.
80. "Ley de Portabilidad y Responsabilidad del Seguro Médico - LIMSWiki". www.limswiki.org . Consultado el 10 de octubre de 2021 .
81. Cade, Dozier C. (1951). "Reseña de libro: Congressional Quarterly Almanac: 81st Congress, 2nd Session. Vol. VI". Journalism Quarterly . 28 (3): 389–390. doi :10.1177/107769905102800313. ISSN  0022-5533. S2CID  164443756.
82. "Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) | Colleaga". www.colleaga.org . Archivado desde el original el 2021-10-10 . Consultado el 2021-10-10 .

Enlaces externos

• Oficina de Implementación de HIPAA de California Archivado el 1 de noviembre de 2012 en Wayback Machine. (CalOHI)
• "HIPAA", Centros de Servicios de Medicare y Medicaid (CMS)
• Informes del Servicio de Investigación del Congreso (CRS) sobre HIPAA, Bibliotecas de la Universidad del Norte de Texas
• Texto completo de la Ley de Portabilidad y Responsabilidad del Seguro Médico (PDF/TXT) Oficina de Imprenta del Gobierno de EE. UU.
• Página de la Oficina de Derechos Civiles sobre HIPAA