La regla general de HIPAA, que entró en vigor en 2013, es la regla final en el conjunto de requisitos establecidos en la legislación de HIPAA. Promulgada por la Oficina de Derechos Civiles (OCR) en respuesta a la Ley de Tecnología de Información de Salud para la Economía y la Salud Clínica (HITECH) y la Ley de No Discriminación por Información Genética (GINA), la Regla General incluye enmiendas a las reglas previas de HIPAA para mejorar la confidencialidad y seguridad cuando los datos son compartidos entre proveedores de atención médica. La Regla General proporciona un documento que incluye todos los requisitos para el cumplimiento tanto de HIPAA como de HITECH.

Uno de los puntos clave de la legislación de HIPAA es dar a los pacientes un mayor control sobre quién puede acceder a sus registros médicos y cuándo. Bajo la Regla General, las entidades cubiertas deben cumplir con la solicitud de un paciente de acceder o compartir sus registros médicos.

Además, la Regla General requiere que los proveedores de atención médica mantengan acuerdos actualizados con asociados comerciales para asegurar que estos cumplan con la Regla de Seguridad y la Regla de Privacidad de HIPAA.

Cómo la Regla General afecta a los asociados comerciales

La Ley HITECH hace que los asociados comerciales y subcontratistas sean directamente responsables de su propio cumplimiento de HIPAA. Anteriormente, los asociados comerciales firmaban un acuerdo con el asociado comercial (BAA) para definir claramente lo que podían y no podían hacer con la información de salud protegida (PHI), y las entidades cubiertas eran responsables de cualquier incumplimiento por parte de sus asociados comerciales.

La Regla General hace que estos requisitos de cumplimiento sean aplicables para los asociados comerciales — ahora están sujetos a sus propias auditorías y multas por incumplimiento por parte del Departamento de Salud y Servicios Humanos (HHS) de EE. UU. Las entidades cubiertas aún son responsables de obtener garantías apropiadas de sus asociados comerciales de que están cumpliendo con HIPAA.

Por último, la Regla General requiere que las entidades cubiertas y los asociados comerciales mantengan y distribuyan Avisos de Prácticas de Privacidad actualizados.

Cómo la Regla General afecta a las otras reglas de HIPAA

La Regla General modifica las otras reglas de HIPAA de varias maneras:

La Regla de Privacidad de HIPAA

La Regla General extiende protecciones a la información de salud protegida (PHI) que es:

  • Usada para propósitos de marketing o recaudación de fondos
  • Vendida sin el consentimiento expreso del paciente. La PHI ya no puede ser vendida sin el permiso directo del paciente.
  • Compartida durante el tratamiento o pago de la atención
  • Parte de un registro de inmunización de un estudiante
  • Clasificada como información genética

La Regla General también asegura el derecho del paciente a restringir la divulgación de la PHI a planes de salud y acceder a su propia PHI electrónica (ePHI).

La Regla de Notificación de Violaciones de HIPAA

Bajo las Reglas originales de HIPAA, las organizaciones estaban obligadas a reportar violaciones que afectaran a más de 500 registros. La Regla General modifica esto a cualquier acceso no autorizado a la PHI bajo la Regla de Privacidad, independientemente del número de registros afectados.

Una manera fácil de mantenerse en cumplimiento con las reglas de HIPAA.

La plataforma de automatización de seguridad y privacidad todo-en-uno de Secureframe facilita el cumplimiento de las normas HIPAA. Entrena a tus empleados en las mejores prácticas de HIPAA, rastrea a los proveedores con acceso a PHI y monitorea automáticamente tus salvaguardias de HIPAA. Aprende más sobre cómo simplificar el cumplimiento de HIPAA con Secureframe.