La regla general de HIPAA, que entró en vigor en 2013, es la regla final en el conjunto de requisitos establecidos en la legislación de HIPAA. Promulgada por la Oficina de Derechos Civiles (OCR) en respuesta a la Ley de Tecnología de Información de Salud para la Economía y la Salud Clínica (HITECH) y la Ley de No Discriminación por Información Genética (GINA), la Regla General incluye enmiendas a las reglas previas de HIPAA para mejorar la confidencialidad y seguridad cuando los datos son compartidos entre proveedores de atención médica. La Regla General proporciona un documento que incluye todos los requisitos para el cumplimiento tanto de HIPAA como de HITECH.
Uno de los puntos clave de la legislación de HIPAA es dar a los pacientes un mayor control sobre quién puede acceder a sus registros médicos y cuándo. Bajo la Regla General, las entidades cubiertas deben cumplir con la solicitud de un paciente de acceder o compartir sus registros médicos.
Además, la Regla General requiere que los proveedores de atención médica mantengan acuerdos actualizados con asociados comerciales para asegurar que estos cumplan con la Regla de Seguridad y la Regla de Privacidad de HIPAA.
Cómo la Regla General afecta a los asociados comerciales
La Ley HITECH hace que los asociados comerciales y subcontratistas sean directamente responsables de su propio cumplimiento de HIPAA. Anteriormente, los asociados comerciales firmaban un acuerdo con el asociado comercial (BAA) para definir claramente lo que podían y no podían hacer con la información de salud protegida (PHI), y las entidades cubiertas eran responsables de cualquier incumplimiento por parte de sus asociados comerciales.
La Regla General hace que estos requisitos de cumplimiento sean aplicables para los asociados comerciales — ahora están sujetos a sus propias auditorías y multas por incumplimiento por parte del Departamento de Salud y Servicios Humanos (HHS) de EE. UU. Las entidades cubiertas aún son responsables de obtener garantías apropiadas de sus asociados comerciales de que están cumpliendo con HIPAA.
Por último, la Regla General requiere que las entidades cubiertas y los asociados comerciales mantengan y distribuyan Avisos de Prácticas de Privacidad actualizados.
Cómo la Regla General afecta a las otras reglas de HIPAA
La Regla General modifica las otras reglas de HIPAA de varias maneras:
La Regla de Privacidad de HIPAA
La Regla General extiende protecciones a la información de salud protegida (PHI) que es:
- Usada para propósitos de marketing o recaudación de fondos
- Vendida sin el consentimiento expreso del paciente. La PHI ya no puede ser vendida sin el permiso directo del paciente.
- Compartida durante el tratamiento o pago de la atención
- Parte de un registro de inmunización de un estudiante
- Clasificada como información genética
La Regla General también asegura el derecho del paciente a restringir la divulgación de la PHI a planes de salud y acceder a su propia PHI electrónica (ePHI).
La Regla de Notificación de Violaciones de HIPAA
Bajo las Reglas originales de HIPAA, las organizaciones estaban obligadas a reportar violaciones que afectaran a más de 500 registros. La Regla General modifica esto a cualquier acceso no autorizado a la PHI bajo la Regla de Privacidad, independientemente del número de registros afectados.
Una manera fácil de mantenerse en cumplimiento con las reglas de HIPAA.
La plataforma de automatización de seguridad y privacidad todo-en-uno de Secureframe facilita el cumplimiento de las normas HIPAA. Entrena a tus empleados en las mejores prácticas de HIPAA, rastrea a los proveedores con acceso a PHI y monitorea automáticamente tus salvaguardias de HIPAA. Aprende más sobre cómo simplificar el cumplimiento de HIPAA con Secureframe.
Preguntas frecuentes
¿Qué incluye la regla Ómnibus?
La regla Ómnibus incluye una serie de disposiciones de la Ley de Tecnología de la Información de Salud para la Economía y la Salud Clínica (HITECH, por sus siglas en inglés), promulgada como parte de la Ley de Recuperación y Reinversión de América de 2009, para fortalecer las protecciones de privacidad y seguridad para la información de salud establecidas bajo HIPAA.
¿Cuál es el propósito de la regla Ómnibus?
El propósito de la regla Ómnibus es modificar las reglas de privacidad, seguridad y aplicación de HIPAA para mejorar su funcionamiento y efectividad, y aumentar la flexibilidad y disminuir la carga sobre las entidades reguladas, según la Oficina de Derechos Civiles (“OCR”) del Departamento de Salud y Servicios Humanos (“HHS”) de EE. UU..
¿Cuál es uno de los cambios más importantes en la regla Ómnibus final?
Uno de los cambios más importantes en la regla Ómnibus final es cómo aclaró el alcance de HIPAA. Por ejemplo, dejó claro que los asociados comerciales y sus subcontratistas deben cumplir con los requisitos de HIPAA, o serán considerados directamente responsables por no hacerlo. También abarcó más entidades que deben cumplir con la ley, incluyendo las redes de intercambio de información de salud y los registros de salud personales (PHRs, por sus siglas en inglés) que se ofrecen a través del registro de salud electrónico de una entidad cubierta.
¿Cuándo se aprobó la regla Ómnibus?
La regla Ómnibus fue publicada por el HHS el 17 de enero de 2013 y entró en vigor el 26 de marzo de 2013. Combinó y reemplazó cuatro reglas propuestas e informes finales interinos emitidos previamente.
