Presentación HIPAA
Clinical Health Act (HITECH) and
Overview of the HIPAA Omnibus Rule
(Jan. 25, 2013)
Sally Montes Colon, MPH, RHIA, CCHP
President
SM & Associates Inc.
787‐306‐1149
smontes@sm‐asociados.com
1
HITECH‐ Descripción General
• HITECH es parte de la Ley de Recuperación y Reinversión
Estadounidense de 2009
•Es una ley federal que afecta a la industria de la salud
• La ley asignó $20 billones para proyectos de tecnología de la
información en la salud, ampliando el alcance de la ley HIPAA,
ampliando algunas de las obligaciones de los socios de negocio e
impuso una ley a nivel nacional para notificar las violaciones a la
seguridad.
HITECH‐Descripción General
• Fortalece la Ley de HIPAA Privacidad & Seguridad
• Aumenta Refuerzos
• Extiende las reglasde la ley HIPAA a los asociados comerciales
• Aumenta las penalidades
• Requisitos más estrictos para la notificación de incumplimiento de
información médica protegida (PHI)
• Restricciones y Responsabilidades a las comunicaciones de mercadeo.
• Acceso al Récord Médico Electrónico y rendición de cuentas a las
divulgaciones.
• Uso significativo (Meaningful Use)
Time to Jump on the OmniBus –Fecha de
Cuplimiento
The Omnibus Rule
• Implementa la Ley de HITECH.
• Implementa la Ley de No Discriminación por Información Genética
(GINA) suscripción.
• Modifica las normas de incumplimiento, privacidad, seguridad y su
aplicación
• Permanece bastante de acuerdo con la norma propuesta ‐ con pocas
diferencias significativas.
• Fecha General de Cumplimiento : 23 de septiembre de 2013 (con algunas excepciones).
No olvides otras ampliaciones a la ley
HIPAA/OCR ha estado ocupado.
• Orienta sobre la desidentificación.
• Orienta sobre los dispositivos móviles.(Celulares, Tabs, etc..)
Consejos de Seguridad para Dispositivos Móviles
• OCR y ONC sugieren las siguientes medidas para garantizar que su PHI está segura en dispositivos móviles, incluyendo:
• Utilizar una contraseña u otrosmetodos de autenticación de usuario. También puede activar un bloqueo de la pantalla
después de que el dispositivo no se ha utilizado durante un período de tiempo.
• Instalar o activar el cifrado.
• Instalar o activar borrado remoto y/o inhabilitación.
• Deshabilitar o no utilizar aplicaciones de archivos compartidos.
• Instalar o activar cortafuegos (Firewalls).
• Instalar o activar aplicacionesde seguridad.
• Mantenga el la aplicacion de seguridad actualizada.
• Investigue aplicaciones antes de realizar la descarga.
• Mantener control físico.
• Utilizar controles adecuados durante el uso de Wi‐Fi .
• Eliminar todos los PHI antes de reutilizar o desechar un dispositivo.
• Considere la posibilidad de aplicar estas precauciones de seguridad como parte de su desarrollo de políticas y de formación de los trabajadores. Aunque los cambios no son requeridos por HIPAA, sientan las bases de las mejores
prácticas y por lo menos debe ser analizado y documentado como parte de una Evaluación de Riesgos (Risk Assessment)
de acuerdo con la regla de seguridad HIPAA.
¿Qué nos falta?
• Informe de las divulgaciones/Informes de acceso.
• Orientación (p. ej., mínimo necesario) y la Reglade Omnibus promete
más orientaciones
• Distribución de penas/pagos a las personas que han recibido daños.
Notificación de Incumplimiento
• "Incumplimiento"
• Adquisición no autorizada, acceso, uso, divulgación no segura de Información
Protegida del Paciente (PHI)
• De manera no permitida en la Regla de Privacidad de HIPAA.
• Eso compromete la seguridad o la privacidad de la PHI.
“Hello Presumption”
•La adquisición, acceso, uso o divulgación de PHI sin autorización es:
• Se presume que es un incumplimiento o “Breach” que debe informarse.
• Al MENOS que la entidad demuestre que existe una baja probabilidad de que
la PHI esté en peligro.
Documentación de Riesgo o Risk Assessment
• Para demostrar una baja probabilidad de que PHI esta en peligro.
• Una evaluación Documentada del Riesgo...
Regístrate para leer el documento completo.