¿Qué Es HIPAA y Qué Regula?
En lo que respecta a TI, el cumplimiento de la HIPAA significa adherirse al Título II. También se conoce como disposiciones de «Simplificación administrativa» e incluye seguir los requisitos de cumplimiento de la HIPAA anteriores:
- Estándar Nacional de Identificación del proveedor: Requiere que cada entidad de atención médica, como empleadores, individuos, proveedores de atención médica y planes de salud, deba tener un código único de identificación del proveedor de 10 dígitos: su NPI (Identificador Nacional del Proveedor).
- Normas de conjuntos de códigos y transacciones: Requiere que las organizaciones sigan un mecanismo estándar para el intercambio electrónico de datos (EDI) al procesar o presentar reclamaciones de seguros.
- Regla de privacidad HIPAA: Establece estándares nacionales que protegen la información de salud de los pacientes y se asegura de que cualquier información identificable individualmente sea segura.
- Regla de seguridad HIPAA: Establece estándares para la seguridad de los datos de los pacientes.
- Regla de cumplimiento de la HIPAA: Establece las pautas para investigar violaciones de la HIPAA.
En el año 2013, el HHS puso en marcha la Regla HIPAA Omnbius, con el fin de implementar algunas modificaciones a la versión anterior, de acuerdo con ciertas pautas, que se establecieron en 2009 por la Ley HITECH. Se refiere principalmente a la responsabilidad de los socios comerciales de las entidades cubiertas. Esta regla también hace cambios en las sanciones por violaciones al cumplimiento de la HIPAA, aumentándolas a un máximo de 1 1.5 millones por incidente.
Las violaciones a la HIPAA pueden ser muy costosas para una organización de atención médica. En primer lugar, la Regla de Notificación de violaciones, establecida en elibusnibus, requiere que las entidades cubiertas, así como cualquiera de sus socios comerciales, notifiquen a los pacientes que están siguiendo una violación de datos. Además de estos costos, las organizaciones pueden encontrar multas después de que las auditorías sean realizadas por la Oficina de Derechos Civiles (OCR, por sus siglas en inglés). Los proveedores pueden incluso enfrentar cargos penales por violación de tales reglas.
Las organizaciones pueden reducir el riesgo de acción regulatoria mediante la práctica en programas de capacitación para el cumplimiento de HIPAA. El OCR ofrece seis programas en total que tienen como objetivo educar a los empleados sobre las reglas de seguridad y privacidad. Muchos otros grupos de capacitación y consultorías también ofrecen programas. Los proveedores incluso pueden crear sus propios programas, que abarcan otras áreas, como las políticas actuales de HIPAA,la Ley HITECH y los procesos de administración de dispositivos móviles y otras pautas aplicables.
No existe un programa oficial de certificación para el cumplimiento de la HIPAA, pero muchas empresas de capacitación ofrecen credenciales que indican la comprensión de las directrices y regulaciones que especifica la ley.