La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) de 1996 estableció normas para proteger la seguridad y privacidad de los datos sensibles de los pacientes. La ley se aplica a las entidades cubiertas y sus asociados de negocios.
Pero hay una manera más simple de responder la pregunta: ¿necesito cumplir con HIPAA?
Si su organización crea, almacena, procesa o transmite información de salud protegida, debe adherirse a las regulaciones de HIPAA.
Bajo HIPAA, la información de salud protegida — comúnmente conocida como PHI — incluye cualquier dato personal que pueda ser vinculado directa o indirectamente a un individuo específico.
Las normas HIPAA se aplican tanto a las entidades cubiertas como a los asociados de negocios, pero la forma en que se administra la ley varía ligeramente según la categoría en la que se encuentre la organización.
¿Cuál es la diferencia entre una entidad cubierta y un asociado de negocios?
Las entidades cubiertas incluyen:
- Proveedores de atención médica: consultorios médicos, clínicas, psicólogos, dentistas, quiroprácticos, hogares de ancianos, farmacias, laboratorios
- Planes de salud: compañías de seguros de salud, HMOs, planes de salud de empresas y programas gubernamentales que pagan por la atención médica incluyendo Medicare/Medicaid y programas de atención médica para veteranos
- Casas de compensación de atención médica: organizaciones que procesan información de salud no estándar para ajustarse a los estándares de contenido o formato de datos en nombre de otra organización
Los asociados de negocios son individuos u organizaciones que brindan servicios en nombre de una entidad cubierta y también interactúan con PHI o ePHI. Ejemplos de asociados de negocios incluyen:
- Proveedores de software cuyos productos interactúan con sistemas que contienen ePHI, así como proveedores de servicios en la nube, plataformas en la nube y empresas de almacenamiento de archivos
- Servicios de procesamiento de reclamaciones
- Servicios de análisis de datos
- Servicios de aseguramiento de calidad
- Servicios de facturación
- Abogados o servicios de consultoría legal
- Firmas de CPA
- Servicios de contabilidad
Consultores empleados por una entidad cubierta son considerados parte de la fuerza laboral de esa entidad cubierta y no se consideran asociados de negocios.
Requisitos de cumplimiento de HIPAA para entidades cubiertas y asociados de negocios
La Regla de Privacidad de HIPAA requiere que las entidades cubiertas obtengan "garantías satisfactorias" de los asociados comerciales de que tomarán las medidas necesarias para salvaguardar cualquier información de salud protegida que puedan recibir o crear en nombre de la entidad cubierta. Estas garantías deben hacerse por escrito en forma de un Acuerdo de Asociación Comercial (más sobre BAAs a continuación).
Los asociados comerciales solo pueden usar información de salud protegida para los propósitos expresos definidos por la entidad cubierta. También deben proteger esa información del mal uso siguiendo los requisitos establecidos en la Regla de Privacidad de HIPAA. Los asociados comerciales son responsables de asegurar que cualquier subcontratista también acepte cumplir con las reglas de HIPAA en forma de un BAA.
Si una entidad cubierta descubre que un asociado comercial ha sufrido una violación de datos o ha manejado incorrectamente la PHI, debe tomar medidas razonables para abordar la violación y poner fin a la violación de HIPAA o terminar su contrato con el asociado comercial. Si ninguna de esas medidas es posible, la entidad cubierta está obligada a informar el problema a la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS) de los Estados Unidos.
Qué incluir en un acuerdo de asociación comercial de HIPAA (BAA)
Los Acuerdos de Asociación Comercial definen las responsabilidades del asociado comercial con respecto a la PHI y los pasos que tomarán para cumplir con las reglas de HIPAA. Estos acuerdos incluyen algunos elementos clave:
- Una descripción de los usos permitidos y requeridos de la PHI por parte del asociado comercial
- Disposiciones de que el asociado comercial no usará ni divulgará PHI más allá de lo permitido o requerido por el contrato o por la ley
- Requisitos de que el asociado comercial implementará las salvaguardas adecuadas para prevenir el uso o divulgación no autorizados de información de salud protegida
Existen algunas situaciones en las que las entidades cubiertas no están obligadas a tener un acuerdo de asociación comercial en vigor antes de divulgar la PHI. Estas incluyen:
- Cuando una entidad cubierta divulga PHI para facilitar el tratamiento de un paciente individual. Por ejemplo, transmitir el historial médico de un paciente a un especialista o laboratorio externo.
- Cuando un plan de salud público como Medicare divulga PHI a un administrador para determinar la elegibilidad para la inscripción
- Cuando una entidad cubierta divulga PHI a un plan de salud con fines de pago
- Cuando los servicios del asociado comercial no implican el uso o divulgación de PHI, como un electricista o fontanero, o cuando el asociado comercial actúa como un conducto para la PHI, como el Servicio Postal de los EE. UU. o mensajeros privados
- Cuando la PHI se divulga entre las entidades cubiertas que son parte de un arreglo de atención médica de la organización (OHCA), como cuando un plan de salud de grupo compra un seguro de un emisor de seguros de salud o HMO
- Cuando la PHI se divulga a un investigador con fines de investigación, ya sea con autorización del paciente o como un conjunto de datos limitados
- Cuando una institución financiera procesa transacciones con tarjetas de pago, liquida cheques o procesa transferencias electrónicas de fondos