Ley de Responsabilidad y Portabilidad del Seguro de Salud

Ley federal de los Estados Unidos sobre información de salud

La Ley de Responsabilidad y Portabilidad del Seguro Médico de 1996 (HIPAA o Ley Kennedy - Kassebaum ^{[1] [2] ) es una} ley del Congreso de los Estados Unidos promulgada por el 104º Congreso de los Estados Unidos y promulgada por el presidente Bill Clinton el 21 de agosto de 1996. ^[3] Su objetivo era alterar la transferencia de información de atención médica, estipuló las pautas mediante las cuales la información de identificación personal mantenida por las industrias de atención médica y seguros de salud debe protegerse contra fraude y robo, ^[4] y abordó algunas limitaciones en la cobertura del seguro de atención médica. . Por lo general, prohíbe a los proveedores de atención médica y a las empresas denominadas entidades cubiertas revelar información protegida a cualquier persona que no sea el paciente y los representantes autorizados del paciente sin su consentimiento. El proyecto de ley no impide que los pacientes reciban información sobre ellos mismos (con excepciones limitadas). ^[5] Además, no prohíbe a los pacientes compartir voluntariamente su información de salud como quieran, ni exige confidencialidad cuando un paciente revela información médica a familiares, amigos u otras personas que no son empleados de una entidad cubierta.

El acto consta de 5 títulos:

1. El Título I protege la cobertura de seguro médico para los trabajadores y sus familias cuando cambian o pierden sus trabajos. ^[6]
2. El Título II, conocido como disposiciones de Simplificación Administrativa (AS), requiere el establecimiento de estándares nacionales para transacciones electrónicas de atención médica e identificadores nacionales para proveedores, planes de seguro médico y empleadores. ^[7]
3. El Título III establece pautas para las cuentas de gastos médicos antes de impuestos.
4. El Título IV establece pautas para los planes de salud grupales.
5. El Título V regula las pólizas de seguro de vida propiedad de las empresas.

Títulos

La ley consta de cinco secciones, conocidas como títulos.

Título I: Acceso, portabilidad y renovación de la atención médica

El Título I de HIPAA regula la disponibilidad y amplitud de los planes de salud grupales y ciertas pólizas de seguro de salud individuales. Modificó la Ley de Seguridad de los Ingresos de Jubilación de los Empleados, la Ley del Servicio de Salud Pública y el Código de Rentas Internas. Además, el Título I aborda la cuestión del "bloqueo laboral", que es la imposibilidad de que un empleado deje su trabajo porque perdería su cobertura médica. ^[8] Para combatir el problema del bloqueo laboral, el Título protege la cobertura de seguro médico para los trabajadores y sus familias si pierden o cambian de trabajo. ^[9]

El Título I requiere la cobertura y también limita las restricciones que un plan de salud grupal puede imponer a los beneficios por condiciones preexistentes. Los planes de salud grupales pueden negarse a brindar beneficios en relación con condiciones preexistentes durante los 12 meses posteriores a la inscripción en el plan o los 18 meses en caso de inscripción tardía. ^[10] El Título I permite a las personas reducir el período de exclusión por la cantidad de tiempo que hayan tenido "cobertura acreditable" antes de inscribirse en el plan y después de cualquier "interrupción significativa" en la cobertura. ^[11] La "cobertura acreditable" se define de manera bastante amplia e incluye casi todos los planes de salud grupales e individuales, Medicare y Medicaid. ^[12] Una "interrupción significativa" en la cobertura se define como cualquier período de 63 días sin ninguna cobertura acreditable. ^[13] Junto con una excepción, permite a los empleadores vincular las primas o copagos al consumo de tabaco o al índice de masa corporal.

El Título I exige que los proveedores de seguros emitan pólizas sin exclusiones para las personas que abandonan los planes de salud grupales, siempre que hayan mantenido una cobertura continua y creíble. (ver arriba) superior a 18 meses, y ^[14] renovar pólizas individuales mientras se ofrezcan o brindar alternativas a planes discontinuados mientras la aseguradora permanezca en el mercado sin exclusión independientemente de su condición de salud.

Algunos planes de atención médica están exentos de los requisitos del Título I, como los planes de salud a largo plazo y los planes de alcance limitado, como los planes dentales o de la vista, que se ofrecen por separado del plan de salud general. Sin embargo, si dichos beneficios son parte del plan de salud general, entonces HIPAA aún se aplica a dichos beneficios. Por ejemplo, si el nuevo plan ofrece beneficios dentales, entonces debe contar la cobertura continua acreditable del plan de salud anterior para cualquiera de sus períodos de exclusión de beneficios dentales.

Un método alternativo para calcular la cobertura continua acreditable está disponible para el plan de salud según el Título I. Es decir, se pueden considerar 5 categorías de cobertura de salud por separado, incluida la cobertura dental y de la vista. Todo lo que no esté bajo esas 5 categorías debe usar el cálculo general (por ejemplo, se puede contar al beneficiario con 18 meses de cobertura general, pero solo 6 meses de cobertura dental, porque el beneficiario no tenía un plan de salud general que cubriera servicios dentales hasta los 6 meses). antes de la fecha de solicitud). Dado que los planes de cobertura limitada están exentos de los requisitos de HIPAA, existe el caso extraño en el que el solicitante de un plan de salud grupal general no puede obtener certificados de cobertura continua acreditable para planes independientes de alcance limitado, como los dentales, para aplicar a los períodos de exclusión del nuevo plan que sí incluya esas coberturas.

Los períodos de exclusión ocultos no son válidos bajo el Título I (por ejemplo, "El accidente, para ser cubierto, debe haber ocurrido mientras el beneficiario estaba cubierto exactamente por este mismo contrato de seguro médico"). El plan de salud no debe aplicar dichas cláusulas. Además, deben reescribirse para que puedan cumplir con HIPAA. ^[15]

Título II: Prevención del fraude y abuso en la atención médica; Simplificación Administrativa; Reforma de Responsabilidad Médica

El Título II de HIPAA establece políticas y procedimientos para mantener la privacidad y la seguridad de la información de salud de identificación individual, describe numerosos delitos relacionados con la atención médica y establece sanciones civiles y penales por violaciones. También crea varios programas para controlar el fraude y el abuso dentro del sistema de atención médica. ^{[16] [17] [18] [19]} Sin embargo, las disposiciones más significativas del Título II son sus normas de Simplificación Administrativa. El Título II requiere que el Departamento de Salud y Servicios Humanos (HHS) aumente la eficiencia del sistema de atención médica mediante la creación de estándares para el uso y difusión de información sobre atención médica. ^[19]

Estas reglas se aplican a las "entidades cubiertas", según lo definen HIPAA y HHS. Las entidades cubiertas incluyen planes de salud, cámaras de compensación de atención médica (como servicios de facturación y sistemas de información de salud comunitarios) y proveedores de atención médica que transmiten datos de atención médica de una manera regulada por HIPAA. ^[20]

Según los requisitos del Título II, el HHS ha promulgado cinco reglas con respecto a la simplificación administrativa: la regla de privacidad, la regla de transacciones y conjuntos de códigos, la regla de seguridad, la regla de identificadores únicos y la regla de cumplimiento. ^[21]

Regla de privacidad

La Regla de Privacidad HIPAA se compone de regulaciones nacionales para el uso y divulgación de Información de Salud Protegida (PHI) en tratamientos, pagos y operaciones de atención médica por parte de "entidades cubiertas" (generalmente, cámaras de compensación de atención médica, planes de salud patrocinados por empleadores, aseguradoras de salud y proveedores de servicios médicos que realizan determinadas transacciones). ^[22]

La Regla de Privacidad entró en vigor el 14 de abril de 2003, con una extensión de un año para ciertos "planes pequeños". Por regulación, el HHS extendió la regla de privacidad de HIPAA a los contratistas independientes de entidades cubiertas que se ajustan a la definición de "socios comerciales". ^[23] PHI es cualquier información que posee una entidad cubierta con respecto al estado de salud, la prestación de atención médica o el pago de la atención médica que puede vincularse a cualquier individuo. ^[20] Esto se interpreta de manera bastante amplia e incluye cualquier parte del registro médico o del historial de pagos de un individuo. Las entidades cubiertas deben divulgar su PHI al individuo dentro de los 30 días posteriores a su solicitud. ^[24] También deben divulgar PHI cuando así lo exija la ley, como denunciar sospechas de abuso infantil a las agencias estatales de bienestar infantil. ^[25]

Las entidades cubiertas pueden divulgar información de salud protegida a funcionarios encargados de hacer cumplir la ley para fines de cumplimiento de la ley según lo exige la ley (incluidas órdenes judiciales, órdenes judiciales, citaciones) y solicitudes administrativas; o para identificar o localizar a un sospechoso, un fugitivo, un testigo material o una persona desaparecida. ^[26]

Una entidad cubierta puede divulgar PHI a determinadas partes para facilitar el tratamiento, el pago o las operaciones de atención médica sin la autorización expresa por escrito del paciente. ^[27] Cualquier otra divulgación de PHI requiere que la entidad cubierta obtenga una autorización por escrito del individuo para su divulgación. ^[28] En cualquier caso, cuando una entidad cubierta divulga cualquier PHI, debe hacer un esfuerzo razonable para divulgar solo la información mínima necesaria para lograr su propósito. ^[29]

La Regla de Privacidad otorga a las personas el derecho de solicitar a una entidad cubierta que corrija cualquier PHI inexacta. ^[30] Además, exige que las entidades cubiertas tomen algunas medidas razonables para garantizar la confidencialidad de las comunicaciones con las personas. ^[31] Por ejemplo, una persona puede solicitar que la llamen a su número de trabajo en lugar de a su casa o a su teléfono celular.

La Regla de Privacidad requiere que las entidades cubiertas notifiquen a las personas sobre los usos de su PHI. ^[32] Las entidades cubiertas también deben realizar un seguimiento de las divulgaciones de PHI y documentar las políticas y procedimientos de privacidad. ^[33] Deben nombrar un funcionario de privacidad y una persona de contacto ^[34] responsable de recibir quejas y capacitar a todos los miembros de su fuerza laboral en procedimientos relacionados con la PHI. ^[35]

Una persona que crea que no se cumple la Regla de Privacidad puede presentar una queja ante la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos. ^{[36] [37]} En 2006, el Wall Street Journal informó que la OCR tenía un largo retraso e ignora la mayoría de las quejas. "Las quejas por violaciones de la privacidad se han estado acumulando en el Departamento de Salud y Servicios Humanos. Entre abril de 2003 y noviembre de 2006, la agencia recibió 23,886 quejas relacionadas con reglas de privacidad médica, pero aún no ha tomado ninguna acción coercitiva contra los hospitales. "Médicos, aseguradoras o cualquier otra persona por violaciones de las reglas. Un portavoz de la agencia dice que ha cerrado tres cuartas partes de las quejas, generalmente porque no encontró ninguna violación o después de brindar orientación informal a las partes involucradas". ^[38] Sin embargo, en julio de 2011, la Universidad de California en Los Ángeles acordó pagar 865.500 dólares en un acuerdo sobre posibles violaciones de HIPAA. Una investigación de la Oficina de Derechos Civiles del HHS mostró que entre 2005 y 2008, empleados no autorizados examinaron repetidamente y sin causa legítima la información de salud electrónica protegida de numerosos pacientes de UCLAHS. ^[39]

Es un error pensar que la Regla de Privacidad crea el derecho de cualquier individuo a negarse a revelar cualquier información de salud (como enfermedades crónicas o registros de vacunación) si lo solicita un empleador o una empresa. Los requisitos de la Regla de Privacidad de HIPAA simplemente imponen restricciones a la divulgación por parte de entidades cubiertas y sus socios comerciales sin el consentimiento del individuo cuyos registros se solicitan; no imponen ninguna restricción al solicitar información de salud directamente al sujeto de esa información. ^{[40] [41] [42]}

Actualización de la regla general final de 2013

En enero de 2013, HIPAA se actualizó mediante la Regla Ómnibus Final. ^[43] Las actualizaciones incluyeron cambios en las partes de Reglas de seguridad y Notificación de infracciones de la Ley HITECH. Los cambios más significativos se relacionaron con la ampliación de los requisitos para incluir a los socios comerciales, donde originalmente solo las entidades cubiertas debían respetar estas secciones de la ley. ^{[ cita necesaria ]}

Además, se actualizó la definición de "daño significativo" a un individuo en el análisis de una infracción para proporcionar un mayor escrutinio a las entidades cubiertas con la intención de revelar infracciones que anteriormente no se habían informado. Anteriormente, una organización necesitaba pruebas de que se había producido un daño, mientras que ahora las organizaciones deben demostrar que no se había producido ningún daño.

La protección de la PHI se cambió de indefinida a 50 años después de la muerte. También se aprobaron sanciones más severas por violación de los requisitos de privacidad de la PHI. ^[44]

La regla de privacidad de HIPAA puede no aplicarse durante un desastre natural. Este fue el caso del huracán Harvey en 2017. ^{[ cita necesaria ]}

Ley HITECH: requisitos de privacidad

Consulte la sección Privacidad de la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica ( Ley HITECH ).

Derecho a acceder a su PHI

La Regla de Privacidad requiere que los proveedores médicos brinden a las personas acceso a su PHI. ^[45] Después de que un individuo solicita información por escrito (generalmente utilizando el formulario del proveedor para este propósito), un proveedor tiene hasta 30 días para proporcionar una copia de la información al individuo. Un individuo puede solicitar la información en formato electrónico o en copia impresa, y el proveedor está obligado a intentar ajustarse al formato solicitado. Para los proveedores que utilizan un sistema de registros médicos electrónicos ( EHR ) certificado según los criterios CEHRT (Tecnología de registros médicos electrónicos certificados), se debe permitir a las personas obtener la PHI en formato electrónico. Se anima a los proveedores a proporcionar la información de manera oportuna, especialmente en el caso de solicitudes de registros electrónicos.

Las personas tienen el amplio derecho a acceder a su información relacionada con la salud, incluidos registros médicos, notas, imágenes, resultados de laboratorio e información de facturación y seguros. ^[46] Quedan explícitamente excluidas las notas de psicoterapia privadas de un proveedor y la información recopilada por un proveedor para defenderse de una demanda. ^[47]

Los proveedores pueden cobrar una cantidad razonable relacionada con el costo de proporcionar la copia; sin embargo, no se permite ningún cargo cuando se proporcionan datos electrónicamente de un EHR certificado utilizando la función "ver, descargar y transferir" que se requiere para la certificación. Cuando se entrega a la persona en formato electrónico, la persona puede autorizar la entrega mediante correo electrónico cifrado o no cifrado, la entrega mediante medios (unidad USB, CD, etc., que pueden implicar un cargo), mensajería directa (una tecnología de correo electrónico segura de uso común). en la industria de la salud), o posiblemente otros métodos. Al utilizar correo electrónico no cifrado, la persona debe comprender y aceptar los riesgos para la privacidad al utilizar esta tecnología (la información puede ser interceptada y examinada por otros). Independientemente de la tecnología de entrega, un proveedor debe continuar asegurando completamente la PHI mientras esté en su sistema y puede negar el método de entrega si representa un riesgo adicional para la PHI mientras esté en su sistema. ^[48]

Una persona también puede solicitar (por escrito) que su PHI se entregue a un tercero designado, como un proveedor de atención familiar.

Una persona también puede solicitar (por escrito) que el proveedor envíe su PHI a un servicio designado utilizado para recopilar o administrar sus registros, como una aplicación de Registro médico personal. Por ejemplo, una paciente puede solicitar por escrito que su obstetra y ginecólogo transmita digitalmente los registros de su última visita prenatal a una aplicación de autocuidado durante el embarazo que tiene en su teléfono móvil.

Divulgación a familiares

Según sus interpretaciones de HIPAA, los hospitales no revelarán información por teléfono a los familiares de los pacientes ingresados. En algunos casos, esto ha impedido la localización de personas desaparecidas. Después del accidente del vuelo 214 de Asiana Airlines en San Francisco, algunos hospitales se mostraron reacios a revelar las identidades de los pasajeros que estaban tratando, lo que dificultó para Asiana y sus familiares localizarlos. ^[49] En un caso, un hombre en el estado de Washington no pudo obtener información sobre su madre herida. ^[50]

Janlori Goldman, directora del grupo de defensa Health Privacy Project, dijo que algunos hospitales están siendo "demasiado cautelosos" y están aplicando mal la ley, informa el Times. Suburban Hospital en Bethesda, Maryland, ha interpretado una regulación federal que requiere que los hospitales permitan a los pacientes optar por no ser incluidos en el directorio del hospital en el sentido de que los pacientes quieren permanecer fuera del directorio a menos que digan específicamente lo contrario. Como resultado, si un paciente está inconsciente o no puede elegir ser incluido en el directorio, es posible que sus familiares y amigos no puedan encontrarlo, dijo Goldman. ^[51]

Regla de transacciones y conjuntos de códigos

HIPAA tenía como objetivo hacer que el sistema de atención médica en los Estados Unidos fuera más eficiente al estandarizar las transacciones de atención médica. HIPAA agregó una nueva Parte C titulada "Simplificación administrativa" al Título XI de la Ley del Seguro Social. ^[52] Se supone que esto simplificará las transacciones de atención médica al exigir que todos los planes de salud realicen transacciones de atención médica de manera estandarizada.

La disposición HIPAA/EDI ( intercambio electrónico de datos ) estaba programada para entrar en vigor el 16 de octubre de 2003, con una extensión de un año para ciertos "planes pequeños". Sin embargo, debido a la confusión generalizada y la dificultad para implementar la regla, los Centros de Servicios de Medicare y Medicaid (CMS) otorgaron una extensión de un año a todas las partes. ^[53] El 1 de enero de 2012, las versiones más nuevas, ASC X12 005010 y NCPDP D.0 entran en vigencia, reemplazando el mandato anterior de ASC X12 004010 y NCPDP 5.1. ^[54] La versión ASC X12 005010 proporciona un mecanismo que permite el uso de ICD-10-CM , así como otras mejoras.

Según HIPAA, los planes de salud cubiertos por HIPAA ahora deben utilizar transacciones electrónicas estandarizadas de HIPAA. Consulte 42 USC § 1320d-2 y 45 CFR Parte 162. Puede encontrar información sobre esto en la regla final para los estándares de transacciones electrónicas HIPAA (74 Fed. Reg. 3296, publicada en el Registro Federal el 16 de enero de 2009), y en el sitio web de la CMS. ^[55]

El Conjunto de transacciones de reclamaciones de atención médica de EDI (837) se utiliza para enviar información de facturación de reclamaciones de atención médica, información de encuentros o ambas, excepto para reclamaciones de farmacias minoristas (consulte Transacción de reclamaciones de farmacias minoristas de EDI). Puede ser enviado desde los proveedores de servicios de atención médica a los pagadores, ya sea directamente o a través de facturadores intermediarios y cámaras de compensación de reclamaciones. También se puede utilizar para transmitir reclamos de atención médica e información de pago de facturación entre pagadores con diferentes responsabilidades de pago cuando se requiere coordinación de beneficios o entre pagadores y agencias reguladoras para monitorear la prestación, facturación y/o pago de servicios de atención médica dentro de un área específica. segmento de la industria de atención médica/seguros.

Por ejemplo, una agencia estatal de salud mental puede exigir que todos los reclamos de atención médica. Los proveedores y planes de salud que intercambian reclamos de atención médica profesional (médica) electrónicamente deben utilizar el estándar 837 Health Care Claim: Professional para enviar reclamos. Como existen muchas aplicaciones comerciales diferentes para el reclamo de Atención Médica, puede haber ligeras derivaciones para cubrir reclamos que involucran reclamos únicos, como para instituciones, profesionales, quiroprácticos, dentistas, etc.

Transacción de reclamo de farmacia minorista EDI ( NCPDP Telecomunicaciones se utiliza para presentar reclamos de farmacia minorista a los pagadores por parte de profesionales de la salud que dispensan medicamentos, ya sea directamente o a través de facturadores intermediarios y cámaras de compensación de reclamos. También se puede usar para transmitir reclamos por servicios de farmacia minorista y pago de facturación. información entre pagadores con diferentes responsabilidades de pago donde se requiere coordinación de beneficios o entre pagadores y agencias reguladoras para monitorear la prestación, facturación y/o pago de servicios de farmacia minorista dentro del segmento de la industria de seguros/atención médica farmacéutica.

El conjunto de transacciones de asesoramiento/pago de reclamaciones de atención médica de EDI (835) se puede utilizar para realizar un pago, enviar una Explicación de beneficios (EOB), enviar un aviso de remesa de Explicación de pagos (EOP) o realizar un pago y enviar una remesa EOP. asesoramiento únicamente de una aseguradora de salud a un proveedor de atención médica, ya sea directamente o a través de una institución financiera.

El Conjunto de inscripción y mantenimiento de beneficios de EDI (834) puede ser utilizado por empleadores, sindicatos, agencias gubernamentales, asociaciones o agencias de seguros para inscribir miembros en un pagador. El pagador es una organización de atención médica que paga reclamos, administra seguros, beneficios o productos. Ejemplos de pagadores incluyen una compañía de seguros, un profesional de la salud (HMO), una organización de proveedores preferidos (PPO), una agencia gubernamental (Medicaid, Medicare, etc.) o cualquier organización que pueda ser contratada por uno de estos grupos anteriores.

EDI Nómina deducida y otro grupo, Pago de primas para productos de seguros (820), es un conjunto de transacciones para realizar un pago de primas para productos de seguros. Se puede utilizar para ordenar a una institución financiera que realice un pago a un beneficiario.

La consulta de elegibilidad/beneficios de atención médica de EDI (270) se utiliza para consultar sobre los beneficios de atención médica y la elegibilidad asociados con un suscriptor o dependiente.

EDI Elegibilidad de atención médica/Respuesta de beneficios (271) se utiliza para responder a una solicitud de consulta sobre los beneficios de atención médica y la elegibilidad asociados con un suscriptor o dependiente.

La Solicitud de estado de reclamo de atención médica de EDI (276) es un conjunto de transacciones que puede utilizar un proveedor, un destinatario de productos o servicios de atención médica o su agente autorizado para solicitar el estado de un reclamo de atención médica.

La notificación de estado de reclamo de atención médica EDI (277) es un conjunto de transacciones que puede ser utilizado por un pagador de atención médica o un agente autorizado para notificar a un proveedor, destinatario o agente autorizado sobre el estado de un reclamo o encuentro de atención médica, o para solicitar información adicional de al proveedor con respecto a un reclamo o encuentro de atención médica. Este conjunto de transacciones no pretende reemplazar el Conjunto de transacciones de asesoramiento/pago de reclamaciones de atención médica (835) y, por lo tanto, no se utiliza para la contabilización de pagos de cuentas. La notificación es a nivel de detalle de línea de servicio o resumen. La notificación podrá ser solicitada o no solicitada.

La información de revisión del servicio de atención médica de EDI (278) es un conjunto de transacciones que se puede utilizar para transmitir información del servicio de atención médica, como datos demográficos, de diagnóstico o de tratamiento, del suscriptor, del paciente, con el fin de solicitar revisión, certificación, notificación o generación de informes. el resultado de una revisión de los servicios de atención médica.

El conjunto de transacciones de reconocimiento funcional EDI (997) es un conjunto de transacciones que se puede utilizar para definir las estructuras de control de un conjunto de reconocimientos para indicar los resultados del análisis sintáctico de los documentos codificados electrónicamente. Aunque no se menciona específicamente en la legislación HIPAA ni en la regla final, es necesario para el procesamiento del conjunto de transacciones X12. Los documentos codificados son conjuntos de transacciones, que se agrupan en grupos funcionales, que se utilizan para definir transacciones para el intercambio de datos comerciales. Este estándar no cubre el significado semántico de la información codificada en los conjuntos de transacciones.

Breve resumen de actualización de las reglas de conjuntos de códigos y transacciones 5010

1. El conjunto de transacciones (997) será reemplazado por el "informe de acuse de recibo" del conjunto de transacciones (999).
2. El tamaño de muchos campos {elementos de segmento} se ampliará, lo que provocará la necesidad de que todos los proveedores de TI amplíen los campos, elementos, archivos, GUI, soportes en papel y bases de datos correspondientes.
3. Algunos segmentos se han eliminado de los conjuntos de transacciones existentes.
4. Se han agregado muchos segmentos a los conjuntos de transacciones existentes, lo que permite un mayor seguimiento e informes de costos y encuentros con los pacientes.
5. Se ha agregado la capacidad de utilizar las versiones 9 (CIE-9) y 10 (CIE-10-CM) de la "Clasificación Internacional de Enfermedades". ^{[56] [57]}

Regla de seguridad

La Norma Final sobre Estándares de Seguridad se emitió el 20 de febrero de 2003. La Norma de Seguridad complementa la Norma de Privacidad. Si bien la Regla de Privacidad se aplica a toda la Información Médica Protegida (PHI), incluida la impresa y la electrónica, la Regla de Seguridad trata específicamente la Información Médica Protegida Electrónica (EPHI). Establece tres tipos de salvaguardias de seguridad necesarias para el cumplimiento: administrativas, físicas y técnicas. ^[58] Para cada uno de estos tipos, la Regla identifica varios estándares de seguridad, y para cada estándar, nombra especificaciones de implementación tanto requeridas como direccionables. Las especificaciones requeridas deben adoptarse y administrarse según lo dicta la Regla. Las especificaciones direccionables son más flexibles. Las entidades cubiertas individuales pueden evaluar su propia situación y determinar la mejor manera de implementar especificaciones abordables. Algunos defensores de la privacidad han argumentado que esta "flexibilidad" puede dar demasiada libertad a las entidades cubiertas. ^[59] Se han desarrollado herramientas de software para ayudar a las entidades cubiertas en el análisis de riesgos y el seguimiento de las medidas correctivas. Los estándares y especificaciones son los siguientes:

• Salvaguardias administrativas: políticas y procedimientos diseñados para mostrar claramente cómo la entidad cumplirá con la ley.
  • Las entidades cubiertas (entidades que deben cumplir con los requisitos de HIPAA) deben adoptar un conjunto escrito de procedimientos de privacidad y designar a un funcionario de privacidad responsable de desarrollar e implementar todas las políticas y procedimientos requeridos.
  • Las políticas y procedimientos deben hacer referencia a la supervisión de la administración y la aceptación organizacional del cumplimiento de los controles de seguridad documentados.
  • Los procedimientos deben identificar claramente a los empleados o clases de empleados que tienen acceso a información médica protegida electrónica (EPHI). El acceso a EPHI debe restringirse únicamente a aquellos empleados que lo necesiten para completar su función laboral.
  • Los procedimientos deberán abordar la autorización de acceso, establecimiento, modificación y terminación.
  • Las entidades deben demostrar que se proporciona un programa de capacitación continuo apropiado sobre el manejo de la PHI a los empleados que desempeñan funciones administrativas del plan de salud.
  • Las entidades cubiertas que subcontratan algunos de sus procesos comerciales a un tercero deben asegurarse de que sus proveedores también tengan un marco establecido para cumplir con los requisitos de HIPAA. Las empresas suelen obtener esta garantía a través de cláusulas en los contratos que establecen que el proveedor cumplirá con los mismos requisitos de protección de datos que se aplican a la entidad cubierta. Se debe tener cuidado para determinar si el proveedor subcontrata cualquier función de manejo de datos a otros proveedores y monitorear si existen contratos y controles adecuados.
  • Debe existir un plan de contingencia para responder a las emergencias. Las entidades cubiertas son responsables de realizar copias de seguridad de sus datos y de contar con procedimientos de recuperación ante desastres. El plan debe documentar la prioridad de los datos y el análisis de fallas, las actividades de prueba y los procedimientos de control de cambios.
  • Las auditorías internas desempeñan un papel clave en el cumplimiento de HIPAA al revisar las operaciones con el objetivo de identificar posibles violaciones de seguridad. Las políticas y procedimientos deben documentar específicamente el alcance, la frecuencia y los procedimientos de las auditorías. Las auditorías deben ser tanto rutinarias como basadas en eventos.
  • Los procedimientos deben documentar instrucciones para abordar y responder a las violaciones de seguridad que se identifiquen durante la auditoría o durante el curso normal de las operaciones.
• Salvaguardias físicas: controlar el acceso físico para proteger contra el acceso inapropiado a los datos protegidos.
  • Los controles deben regir la introducción y eliminación de hardware y software de la red. (Cuando se retira el equipo, se debe eliminar de manera adecuada para garantizar que la PHI no se vea comprometida).
  • El acceso a equipos que contienen información de salud debe controlarse y monitorearse cuidadosamente.
  • El acceso al hardware y al software debe limitarse a personas debidamente autorizadas.
  • Los controles de acceso requeridos consisten en planes de seguridad de las instalaciones, registros de mantenimiento y registro de visitantes y escoltas.
  • Se requieren políticas para abordar el uso adecuado de las estaciones de trabajo. Las estaciones de trabajo deben retirarse de las zonas de mucho tránsito y las pantallas de los monitores no deben estar a la vista directa del público.
  • Si las entidades cubiertas utilizan contratistas o agentes, ellos también deben estar completamente capacitados sobre sus responsabilidades de acceso físico.
• Salvaguardias técnicas: controlar el acceso a los sistemas informáticos y permitir que las entidades cubiertas protejan las comunicaciones que contienen PHI transmitidas electrónicamente a través de redes abiertas para que no sean interceptadas por nadie que no sea el destinatario previsto.
  • Los sistemas de información que albergan PHI deben estar protegidos contra intrusiones. Cuando la información fluye a través de redes abiertas, se debe utilizar alguna forma de cifrado. Si se utilizan sistemas/redes cerrados, los controles de acceso existentes se consideran suficientes y el cifrado es opcional.
  • Cada entidad cubierta es responsable de garantizar que los datos dentro de sus sistemas no hayan sido modificados ni eliminados de manera no autorizada.
  • Para garantizar la integridad de los datos se puede utilizar la corroboración de datos, incluido el uso de una suma de verificación, doble clave, autenticación de mensajes y firma digital.
  • Las entidades cubiertas también deben autenticar las entidades con las que se comunican. La autenticación consiste en corroborar que una entidad es quien dice ser. Ejemplos de corroboración incluyen sistemas de contraseñas, apretones de manos de dos o tres vías, devolución de llamadas telefónicas y sistemas de tokens.
  • Las entidades cubiertas deben poner a disposición del gobierno la documentación de sus prácticas HIPAA para determinar el cumplimiento.
  • Además de las políticas, los procedimientos y los registros de acceso, la documentación de tecnología de la información también debe incluir un registro escrito de todos los ajustes de configuración de los componentes de la red porque estos componentes son complejos, configurables y siempre cambian.
  • Se requieren análisis de riesgos documentados y programas de gestión de riesgos. Las entidades cubiertas deben considerar cuidadosamente los riesgos de sus operaciones a medida que implementan sistemas para cumplir con la ley. (El requisito de análisis y gestión de riesgos implica que los requisitos de seguridad de la ley son un estándar mínimo y asigna la responsabilidad a las entidades cubiertas de tomar todas las precauciones razonables necesarias para evitar que la PHI se utilice con fines no relacionados con la salud).

Regla de Identificadores Únicos (Identificador Nacional de Proveedor)

Las entidades cubiertas por HIPAA, como proveedores que completan transacciones electrónicas, cámaras de compensación de atención médica y grandes planes de salud, deben usar solo el Identificador Nacional de Proveedor (NPI) para identificar a los proveedores de atención médica cubiertos en transacciones estándar antes del 23 de mayo de 2007. Los planes de salud pequeños deben usar solo el NPI antes del 23 de mayo de 2007. 23 de mayo de 2008. A partir de mayo de 2006 (mayo de 2007 para planes de salud pequeños), todas las entidades cubiertas que utilizan comunicaciones electrónicas (por ejemplo, médicos, hospitales, compañías de seguros de salud, etc.) deben utilizar un único NPI nuevo. El NPI reemplaza todos los demás identificadores utilizados por los planes de salud, Medicare, Medicaid y otros programas gubernamentales. ^[60] Sin embargo, el NPI no reemplaza el número DEA, el número de licencia estatal o el número de identificación fiscal de un proveedor. El NPI tiene 10 dígitos (puede ser alfanumérico), siendo el último dígito una suma de verificación. El NPI no puede contener ninguna inteligencia incorporada; en otras palabras, el NPI es simplemente un número que en sí mismo no tiene ningún significado adicional. El NPI es único y nacional, nunca se reutiliza y, salvo en el caso de las instituciones, un proveedor normalmente sólo puede tener uno. Una institución puede obtener múltiples NPI para diferentes "subpartes", como un centro oncológico independiente o un centro de rehabilitación.

Regla de cumplimiento

El 16 de febrero de 2006, el HHS emitió la regla final sobre la aplicación de la HIPAA. Entró en vigor el 16 de marzo de 2006. La Regla de Cumplimiento establece sanciones monetarias civiles por violar las reglas de HIPAA y establece procedimientos para investigaciones y audiencias por violaciones de HIPAA. Durante muchos años hubo pocos procesamientos por violaciones. ^[61]

Esto puede haber cambiado con la multa de $50,000 al Hospice of North Idaho (HONI) como la primera entidad en ser multada por una posible violación de la Regla de Seguridad HIPAA que afecta a menos de 500 personas. Rachel Seeger, portavoz del HHS, declaró: "HONI no realizó un análisis de riesgo preciso y exhaustivo para la confidencialidad de la ePHI [información médica protegida electrónica] como parte de su proceso de gestión de seguridad desde 2005 hasta el 17 de enero de 2012". Esta investigación se inició con el robo de un vehículo de empleados de una computadora portátil no cifrada que contenía 441 registros de pacientes. ^[62]

Hasta marzo de 2013, el Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS) ha investigado más de 19.306 casos que se han resuelto exigiendo cambios en las prácticas de privacidad o mediante medidas correctivas. Si el HHS determina un incumplimiento, las entidades deben aplicar medidas correctivas. Se han investigado quejas contra muchos tipos diferentes de empresas, como cadenas nacionales de farmacias, importantes centros de atención médica, grupos de seguros, cadenas de hospitales y otros pequeños proveedores. Hubo 9,146 casos en los que la investigación del HHS encontró que se siguió correctamente la HIPAA. Hubo 44,118 casos en los que el HHS no encontró causa elegible para la aplicación de la ley; por ejemplo, una infracción que comenzó antes de que comenzara HIPAA; casos retirados por el perseguidor; o una actividad que en realidad no viola las Reglas.

Título III: Disposiciones sanitarias relacionadas con impuestos que rigen las cuentas de ahorro médico

El Título III estandariza la cantidad que se puede ahorrar por persona en una cuenta de ahorro médico antes de impuestos . A partir de 1997, una cuenta de ahorro médico ("MSA") estuvo disponible para los empleados cubiertos por un plan con deducible alto patrocinado por el empleador, ya sean pequeños empleadores y trabajadores por cuenta propia.

Título IV: Aplicación y cumplimiento de los requisitos del seguro médico colectivo

El Título IV especifica las condiciones para los planes de salud grupales con respecto a la cobertura de personas con condiciones preexistentes y modifica los requisitos de continuación de la cobertura. También aclara los requisitos de continuación de la cobertura e incluye aclaraciones sobre COBRA .

Título V: Compensación de ingresos que rigen las deducciones fiscales para los empleadores

El Título V incluye disposiciones relacionadas con los seguros de vida de la empresa para los empleadores que proporcionan primas de seguros de vida de la empresa, prohibiendo la deducción fiscal de intereses sobre préstamos de seguros de vida, dotaciones de empresas o contratos relacionados con la empresa. También deroga la regla de institución financiera a las reglas de asignación de intereses. Finalmente, modifica las disposiciones de la ley relativas a las personas que renuncian a la ciudadanía estadounidense o a la residencia permanente, ampliando el impuesto de expatriación que se aplicará a aquellos que se considera que están renunciando a su estatus estadounidense por razones fiscales, y haciendo que los nombres de los ex ciudadanos formen parte de el registro público a través de la creación de la Publicación Trimestral de Personas que Han Elegido Expatriarse . ^[63]

Efectos sobre la investigación y la atención clínica.

La promulgación de las Normas de Privacidad y Seguridad ha provocado cambios importantes en la forma en que operan los médicos y los centros médicos. Las complejas legalidades y las sanciones potencialmente severas asociadas con HIPAA, así como el aumento del papeleo y el costo de su implementación, fueron motivos de preocupación entre los médicos y los centros médicos. Un artículo de agosto de 2006 en la revista Annals of Internal Medicine detalló algunas de estas preocupaciones sobre la implementación y los efectos de HIPAA. ^[64]

Efectos en la investigación

Las restricciones de HIPAA sobre los investigadores han afectado su capacidad para realizar investigaciones retrospectivas basadas en gráficos, así como su capacidad para evaluar prospectivamente a los pacientes contactándolos para realizar un seguimiento. Un estudio de la Universidad de Michigan demostró que la implementación de la regla de privacidad HIPAA resultó en una caída del 96% al 34% en la proporción de encuestas de seguimiento completadas por los pacientes del estudio que fueron seguidos después de un ataque cardíaco . ^[65] Otro estudio, que detalla los efectos de HIPAA en el reclutamiento para un estudio sobre prevención del cáncer, demostró que los cambios exigidos por HIPAA condujeron a una disminución del 73 % en la acumulación de pacientes, a triplicar el tiempo dedicado a reclutar pacientes y a triplicar el reclutamiento medio. costos. ^[66]

Además, ahora se requiere que los formularios de consentimiento informado para estudios de investigación incluyan detalles extensos sobre cómo se mantendrá privada la información de salud protegida del participante. Si bien dicha información es importante, la adición de una sección larga y legalista sobre privacidad puede hacer que estos documentos, ya complejos, sean aún menos fáciles de usar para los pacientes a quienes se les pide que los lean y firmen.

Estos datos sugieren que la regla de privacidad HIPAA, tal como se implementa actualmente, puede estar teniendo impactos negativos en el costo y la calidad de la investigación médica . El Dr. Kim Eagle, profesor de medicina interna de la Universidad de Michigan, fue citado en el artículo de Annals diciendo: "La privacidad es importante, pero la investigación también es importante para mejorar la atención. Esperamos resolver esto y hacerlo bien". ". ^[64]

Efectos sobre la atención clínica.

La complejidad de HIPAA, combinada con sanciones potencialmente severas para los infractores, puede llevar a los médicos y centros médicos a ocultar información a quienes puedan tener derecho a ella. Una revisión de la implementación de la Regla de Privacidad HIPAA realizada por la Oficina de Responsabilidad Gubernamental de EE. UU. encontró que los proveedores de atención médica estaban "inseguros acerca de sus responsabilidades legales de privacidad y a menudo respondieron con un enfoque demasiado cauteloso a la hora de revelar información... de lo necesario para garantizar el cumplimiento de la Regla de privacidad". ^[64] Continúan los informes sobre esta incertidumbre. ^[67]

Costos de implementación

En el período inmediatamente anterior a la promulgación de las Leyes de Seguridad y Privacidad de HIPAA, los centros médicos y los consultorios médicos estaban encargados de "cumplirlas". Con un énfasis temprano en las sanciones potencialmente severas asociadas con la violación, muchos consultorios y centros recurrieron a "consultores de HIPAA" privados con fines de lucro que estaban íntimamente familiarizados con los detalles de la legislación y ofrecieron sus servicios para garantizar que los médicos y los centros médicos estuvieran plenamente "de conformidad".

Educación y entrenamiento

La educación y capacitación de los proveedores de atención médica es un requisito para la implementación correcta tanto de la Regla de Privacidad como de la Regla de Seguridad de HIPAA. ^{[68] [69]}

Error ortográfico como HIPPA

"La gente inventa lo que significa ese acrónimo".

Deven McGraw, ex subdirector del HHS , citado en Vox ^[70]

Aunque el acrónimo HIPAA coincide con el título de la Ley Pública 104-191 de 1996, Ley de Responsabilidad y Portabilidad del Seguro Médico , a veces se hace referencia incorrectamente a HIPAA como HIPPA , y se dice que se refiere a la "Ley de Portabilidad y Privacidad de la Información Médica", ^{[71] [72]} "Ley de Protección de la Privacidad de la Información de Salud", ^[70] o "Ley de Protección y Privacidad de los Seguros de Salud". ^[73] Se ha observado un error ortográfico de HIPPA entre los estafadores de COVID-19 . ^[74]

Violaciones

Un desglose de las violaciones de HIPAA que resultaron en la exposición ilegal de información personal.

Según la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de EE. UU., entre abril de 2003 y enero de 2013 recibió 91.000 denuncias de violaciones de la HIPAA, de las cuales 22.000 condujeron a acciones coercitivas de diversos tipos (desde acuerdos hasta multas) y 521 condujeron a remisiones al Departamento de Justicia de Estados Unidos como acciones criminales. ^[75] Ejemplos de violaciones importantes de información protegida y otras violaciones de HIPAA incluyen:

• La mayor pérdida de datos que afectó a 4,9 millones de personas la sufrió Tricare Management de Virginia en 2011 ^[76]
• Las multas más grandes de $5,5 millones impuestas contra Memorial Healthcare Systems en 2017 por acceder a información confidencial de 115,143 pacientes y de $4,3 millones impuestas contra Cignet Health of Maryland en 2010 por ignorar las solicitudes de los pacientes de obtener copias de sus propios registros e ignorar repetidamente a los funcionarios federales. ' consultas ^[77]
• La primera acusación penal se presentó en 2011 contra un médico de Virginia que compartió información con el empleador de un paciente "bajo el falso pretexto de que el paciente era una amenaza grave e inminente para la seguridad del público, cuando en realidad sabía que el paciente no era tal amenaza." ^{[ cita necesaria ]}

Según Koczkodaj et al., 2018, ^[78] el número total de personas afectadas desde octubre de 2009 es 173.398.820.

Las diferencias entre sanciones civiles y penales se resumen en la siguiente tabla:

Información legislativa

En 1994, el presidente Clinton expresó sus objetivos de mejorar el sistema de salud. Sin embargo, sus reformas no tuvieron éxito, probablemente por falta de apoyo. ^[79] El Almanaque Trimestral del Congreso de 1996 explica cómo dos senadores, Nancy Kassebaum (R-KS) y Ted Kennedy (D-MA) se unieron y crearon un proyecto de ley llamado Ley de Reforma del Seguro Médico de 1995 o más comúnmente conocida como Kassebaum. -Kennedy Bill. ^[80] Este proyecto de ley quedó estancado a pesar de haber salido del Senado. En el discurso sobre el Estado de la Unión de 1996, Clinton insistió en la cuestión y el resultado fue una cooperación bipartidista. ^[79] Después de mucho debate y negociación, hubo un cambio de impulso una vez que se aceptó un compromiso entre Kennedy y el presidente del Comité de Medios y Arbitrios, Bill Archer , después de que se hicieran modificaciones al proyecto de ley Kassebaum-Kennedy original. ^[81] Poco después, el presidente Clinton promulgó el proyecto de ley y lo denominó Ley de Responsabilidad y Portabilidad del Seguro Médico de 1996 (HIPAA).

• Pub. l.Información sobre herramientas sobre derecho público (Estados Unidos) 104–191 (texto) (PDF), 110  Stat.  1936
• HR 3103; H. Rep. 104–469, parte 1; H. Rep. 104-736
• S. 1028; S. 1698; S. Rep. 104-156
• Estándares de seguridad del HHS , 45 CFR 160 , 45 CFR 162 y 45 CFR 164
• Estándares del HHS para la privacidad de la información de salud de identificación individual, 45 CFR 160 y 45 CFR 164

Referencias

1. Atchinson, Brian K.; Fox, Daniel M. (mayo-junio de 1997). "La política de la Ley de Responsabilidad y Portabilidad del Seguro Médico" (PDF) . Asuntos de Salud . 16 (3): 146-150. doi :10.1377/hlthaff.16.3.146. PMID  9141331. Archivado desde el original (PDF) el 16 de enero de 2014 . Consultado el 16 de enero de 2014 .
2. "104.º Congreso, 1.ª sesión, S.1028" (PDF) . Archivado (PDF) desde el original el 16 de junio de 2012.
3. "Ley de rendición de cuentas y portabilidad de seguros médicos de 1996". Ley Pública .
4. Edemekong, Peter F.; Annamaraju, Pavan; Haydel, Micelle J. (2023), "Ley de responsabilidad y portabilidad de seguros médicos", StatPearls , Treasure Island (FL): StatPearls Publishing, PMID  29763195 , consultado el 15 de junio de 2023
5. "Sus registros médicos". 19 de noviembre de 2008.
6. "Planes de salud y beneficios: portabilidad de la cobertura de salud". Departamento de Trabajo de Estados Unidos . 2015-12-09. Archivado desde el original el 20 de diciembre de 2016 . Consultado el 5 de noviembre de 2016 .
7. "Descripción general". www.cms.gov . 2016-09-13. Archivado desde el original el 2 de noviembre de 2016 . Consultado el 5 de noviembre de 2016 .
8. Berger, Mark C.; Negro, Dan A.; Scott, Frank A. (2004). "¿Existe un bloqueo laboral? Evidencia de la era anterior a HIPAA". Revista Económica del Sur . 70 (4): 953–976. doi :10.2307/4135282. ISSN  0038-4038. JSTOR  4135282.
9. "Información del título HIPAA". www.dhcs.ca.gov . Consultado el 31 de octubre de 2021 .
10. 29 USC  § 1181 (a) (2)
11. 29 USC  § 1181 (a) (3)
12. 29 USC  § 1181 (c) (1)
13. 29 USC  § 1181 (c) (2) (A)
14. (Sub B Sección 111)
15. "HIPAA para trabajadores de la salud: la regla de privacidad". 2014. doi : 10.4135/9781529727890. {{cite journal}}: Citar diario requiere |journal=( ayuda )
16. 42 USC  § 1320a-7c
17. 42 USC  § 1395ddd
18. 42 USC  § 1395b-5
19. "42 Código de EE. UU. § 1395ddd - Programa de integridad de Medicare". LII / Instituto de Información Jurídica . Archivado desde el original el 21 de marzo de 2018 . Consultado el 21 de marzo de 2018 .
20. 45 CFR 160.103
21. "Otras normas de simplificación administrativa". 4 de diciembre de 2015.
22. Terry, Ken "Privacidad del paciente: las nuevas amenazas" Archivado el 20 de noviembre de 2015 en la revista Wayback Machine Physicians Practice , volumen 19, número 3, año 2009, fecha de acceso 2 de julio de 2009.
23. Consulte las secciones 160.102 y 160.103 del 45 CFR Archivado el 12 de enero de 2012 en Wayback Machine .
24. 45 CFR 164.524
25. 45 CFR 164.512
26. (OCR), Oficina de Derechos Civiles (7 de mayo de 2008). "Resumen de la regla de privacidad HIPAA". Archivado desde el original el 6 de diciembre de 2015.
27. 45 CFR 164.524
28. 45 CFR 164.502
29. 45 CFR 164.502
30. 45 CFR 164.526
31. 45 CFR 164.522
32. Rowe, Linda (2005). "Lo que los funcionarios judiciales deben saber sobre la regla de privacidad HIPAA". Revista NASPA . 42 (4): 498–512. doi :10.2202/0027-6014.1537. ProQuest  62084860.
33. 45 CFR 164.528
34. 45 CFR 164.530
35. 45 CFR 164.530
36. "Cómo presentar una queja sobre privacidad de la información médica ante la Oficina de Derechos Civiles" (PDF) . Archivado desde el original (PDF) el 21 de diciembre de 2016 . Consultado el 7 de octubre de 2017 .
37. 45 CFR 160.306
38. "La difusión de registros despierta temores de erosión de la privacidad" Archivado el 10 de julio de 2017 en Wayback Machine , el 23 de diciembre de 2006, por Theo Francis, The Wall Street Journal.
39. "La Universidad de California resuelve un caso de privacidad y seguridad de HIPAA que involucra instalaciones del Sistema de Salud de UCLA". Departamento de Salud y Servicios Humanos. Archivado desde el original el 12 de octubre de 2017.
40. Kavi, Aishvarya (22 de julio de 2021). "Cómo funciona la ley HIPAA y por qué la gente se equivoca". Los New York Times . ISSN  0362-4331 . Consultado el 23 de julio de 2021 .
41. Chiu, Allyson (22 de mayo de 2021). "Explicación de HIPAA: No, no prohíbe preguntas sobre su estado de vacunación". El Correo de Washington . Consultado el 23 de julio de 2021 .
42. "La legisladora Marjorie Taylor Greene, en diez palabras o menos, se equivoca en términos de HIPAA". Ley y crimen . 2021-07-21 . Consultado el 23 de julio de 2021 .
43. (OCR), Oficina de Derechos Civiles (30 de octubre de 2015). "Reglamentación ómnibus HIPAA".
44. Información de salud de personas fallecidas Archivada el 19 de octubre de 2017 en Wayback Machine 2013
45. (OCR), División de Privacidad de la Información Médica, Oficina de Derechos Civiles (5 de enero de 2016). "Derecho de las personas según HIPAA a acceder a su información de salud". HHS.gov . Archivado desde el original el 2 de diciembre de 2017 . Consultado el 10 de diciembre de 2017 . {{cite news}}: |first=tiene nombre genérico ( ayuda )Mantenimiento CS1: varios nombres: lista de autores ( enlace )
46. Derechos (OCR), Oficina de Asuntos Civiles (24 de junio de 2016). "2042-¿A qué información de salud personal tienen derecho las personas según HIPAA a acceder de sus proveedores de atención médica y planes de salud?". HHS.gov . Consultado el 1 de septiembre de 2021 .
47. "Derecho de las personas según HIPAA a acceder a su información médica 45 CFR § 164.524". Departamento de Salud y Servicios Humanos de EE. UU. 5 de enero de 2016 . Consultado el 10 de abril de 2021 .
48. Derechos (OCR), Oficina de Asuntos Civiles (20 de noviembre de 2009). "Resumen de la regla de seguridad HIPAA". HHS.gov . Consultado el 17 de marzo de 2021 .
49. Ahlers, Mike M. (25 de febrero de 2014). "Asiana multada con 500.000 dólares por no ayudar a las familias - CNN". CNN. Archivado desde el original el 27 de febrero de 2014.
50. "Centro de la Primera Enmienda | Instituto Freedom Forum". Archivado desde el original el 5 de junio de 2016 . Consultado el 19 de abril de 2016 .
51. "El New York Times examina las 'consecuencias no deseadas' de la regla de privacidad HIPAA". 3 de junio de 2003. Archivado desde el original el 6 de mayo de 2016.
52. Administración de la Seguridad Social de EE. UU. "TÍTULO XI—Disposiciones generales, revisión por pares y simplificación administrativa". www.ssa.gov . Consultado el 18 de julio de 2020 .
53. Traynor, Kate (2002). "Se amplía la fecha de cumplimiento de HIPAA para transacciones electrónicas". Revista estadounidense de farmacia del sistema de salud . 59 (5): 402. doi :10.1093/ajhp/59.5.402. PMID  11887402 . Consultado el 16 de diciembre de 2023 .
54. "Descripción general". www.cms.gov . 26 de julio de 2017. Archivado desde el original el 18 de octubre de 2017.
55. "Descripción general". www.cms.gov . 28 de marzo de 2016. Archivado desde el original el 12 de febrero de 2012.
56. CSM.gov "Servicios de Medicare y Medicaid" "Estándares para transacciones electrónicas: nuevas versiones, nuevo estándar y nuevo conjunto de códigos: reglas finales"
57. "El problema inminente en el EDI sanitario: migración ICD-10 y HIPAA 5010" 10 de octubre de 2009 - Shahid N. Shah
58. "Reglas de seguridad y análisis de riesgos de HIPAA". Asociación Médica de Estados Unidos. 14 de diciembre de 2023.
59. Wafa, Tim (verano de 2010). "Cómo la falta de granularidad técnica prescriptiva en HIPAA ha comprometido la privacidad del paciente". Revista de derecho de la Universidad del Norte de Illinois . 30 (3). SSRN  1547425.
60. Ley de Responsabilidad y Portabilidad del Seguro Médico de 1996 (HIPAA). Archivado el 8 de enero de 2014 en Wayback Machine Steve Anderson: HealthInsurance.org.
61. La ley de privacidad médica no genera multas. Archivado el 13 de octubre de 2017 en Wayback Machine Rob Stein: The Washington Post .
62. "Los federales intensifican la aplicación de la HIPAA con un acuerdo sobre cuidados paliativos - Revista SC". 7 de enero de 2013. Archivado desde el original el 9 de enero de 2013 . Consultado el 9 de enero de 2013 .Los federales intensifican la aplicación de la HIPAA con un acuerdo sobre cuidados paliativos
63. Kirsch, Michael S. (2004). "Sanciones alternativas y la Ley Fiscal Federal: símbolos, vergüenza y gestión de normas sociales como sustituto de una política fiscal eficaz". Revisión de la ley de Iowa . 89 (863). SSRN  552730.
64. Wilson J (2006). "La regla de privacidad de la Ley de Responsabilidad y Portabilidad del Seguro Médico genera preocupaciones constantes entre los médicos e investigadores". Ann Intern Med . 145 (4): 313–6. doi :10.7326/0003-4819-145-4-200608150-00019. PMID  16908928. S2CID  32140125.
65. Armstrong D, Kline-Rogers E, Jani S, Goldman E, Fang J, Mukherjee D, Nallamothu B, Eagle K (2005). "Posible impacto de la regla de privacidad HIPAA en la recopilación de datos en un registro de pacientes con síndrome coronario agudo". Médico Interno de Arco . 165 (10): 1125–9. doi :10.1001/archinte.165.10.1125. PMID  15911725.
66. Lobo M, Bennett C (2006). "Perspectiva local del impacto de la norma de privacidad HIPAA en la investigación". Cáncer . 106 (2): 474–9. doi : 10.1002/cncr.21599 . PMID  16342254.
67. Gross, Jane (3 de julio de 2007). "Mantener la privacidad de los detalles de los pacientes, incluso de los familiares". Los New York Times . Archivado desde el original el 12 de agosto de 2017 . Consultado el 11 de agosto de 2019 .
68. "Registro Federal :: Solicitar acceso".
69. "Registro Federal :: Solicitar acceso".
70. Morrison, Sara (20 de abril de 2021). "HIPAA, la ley de privacidad de la salud que es más limitada de lo que crees, explicó". Vox . Consultado el 31 de octubre de 2023 .
71. "Tribunal de Distrito de los Estados Unidos" (PDF) . 16 de septiembre de 2010. violación de la Ley de Portabilidad y Privacidad de la Información de Salud. ("HIPPA")
72. SE Ross (2003). "Los efectos de promover el acceso de los pacientes a los registros médicos: una revisión". Revista de la Asociación Estadounidense de Informática Médica . 10 (2): 129-138. doi :10.1197/jamia.M1147. PMC 150366 . PMID  12595402. La Ley de Portabilidad y Privacidad de Seguros Médicos (HIPPA) estipula que... 
73. "No, preguntar si está vacunado no es una infracción de HIPAA". wtsp.com . 13 de septiembre de 2021 . Consultado el 31 de octubre de 2023 .
74. LaFraniere, Sharon; Hamby, Chris (5 de abril de 2020). "Otra cosa que temer: los estafadores del coronavirus" . Los New York Times . Consultado el 31 de octubre de 2023 .
75. "Aspectos destacados de la aplicación". Inicio de OCR, Privacidad de la información de salud, Actividades y resultados de aplicación de la ley, Aspectos destacados de la aplicación de la ley . Departamento de Salud y Servicios Humanos de EE. UU. Archivado desde el original el 5 de marzo de 2014 . Consultado el 3 de marzo de 2014 .
76. "Infracciones que afectan a 500 o más personas". Inicio de OCR, Privacidad de la información de salud, Estatuto y reglas de simplificación administrativa de HIPAA, Regla de notificación de infracciones . Departamento de Salud y Servicios Humanos de EE. UU. Archivado desde el original el 15 de marzo de 2015 . Consultado el 3 de marzo de 2014 .
77. "Sanción monetaria civil". Sitio oficial del HHS . Departamento de Salud y Servicios Humanos de EE. UU. Octubre de 2010. Archivado desde el original el 8 de octubre de 2017 . Consultado el 8 de octubre de 2017 .
78. Koczkodaj, Waldemar W.; Mazurek, Mirosław; Strzałka, Dominik; Wolny-Dominiak, Alicja; Woodbury-Smith, Marc (1 de enero de 2019). "Incumplimientos de registros sanitarios electrónicos como indicadores sociales". Investigación de Indicadores Sociales . 141 (2): 861–871. doi :10.1007/s11205-018-1837-z. ISSN  1573-0921. S2CID  255006896.
79. "Ley de Responsabilidad y Portabilidad del Seguro Médico - LIMSWiki". www.limswiki.org . Consultado el 10 de octubre de 2021 .
80. Cade, Dozier C. (1951). "Reseña del libro: Almanaque trimestral del Congreso: 81.º Congreso, 2.ª sesión. Vol. VI". Periodismo Trimestral . 28 (3): 389–390. doi :10.1177/107769905102800313. ISSN  0022-5533. S2CID  164443756.
81. "Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) | Colleaga". www.colleaga.org . Consultado el 10 de octubre de 2021 .

enlaces externos

• Oficina de implementación de HIPAA de California Archivado el 1 de noviembre de 2012 en Wayback Machine (CalOHI)
• "HIPAA", Centros de Servicios de Medicare y Medicaid (CMS)
• Informes del Servicio de Investigación del Congreso (CRS) sobre HIPAA, Bibliotecas de la Universidad del Norte de Texas
• Texto completo de la Ley de Responsabilidad y Portabilidad del Seguro Médico (PDF/TXT) Imprenta del Gobierno de EE. UU.
• Página de la Oficina de Derechos Civiles en HIPAA