HIPAA
HIPAA Compliance Summary
HIPAA means:
Health Insurance Portability and Accountability Act for 1996 (yo tenía 16 añitos, así me acuerdo)
PHI means:
Protected Health Information y es toda la información personal de un paciente: Nombre, fecha de nacimiento, datos demográficos, datos de salud como peso, altura, signos vitales, recetas médicas, resúmenes de sesión, historial médico, etc. Me sorprendió al respecto la importancia que tiene por ejemplo entregar la COPIA y quedarse con el ORIGINAL, porque de esa manera, si el paciente pierde su copia el CE (covered entiti) se exime de la responsabilidad… 
La HIPAA cuenta con dos figuras principales:
Covered Entity (CE) Los intérpretes 100% Autónomos que se tienen que rascar con sus propias uñas, Hospitales, Clínicas, Gimnacios de terapia física, un grupo de doctores o dentistas que tienen su propio consultorio, solos o en equipo, etc.
Business Associate (BA) Nosotros!! 
Los doctores, enfermeras, terapeutas y toooodos los que trabajan en un hospital, clínica, o para algún CE (Covered Entity).
Existen 4 reglas generales en la HIPAA
Security Rule:
Significa que los involucrados debemos seguir los estándares para la administración, privacidad e infraestructura técnica como entidad dentro de la HIPAA para proteger los PHI (Protected Health Information).
Privacy Rule:
Esta regla habla de los estándares de todas las CE (Covered Entities como hospitales, clínicas, intérpretes 100% autónomos, etc.) y las limitantes que cada individuo que trabaja en esta entidad tiene para el acceso a los PHI (Protected Health Information). O sea: por ejemplo si eres de intendencia no puedes abrir los archiveros, pero la secretaria sí.
Omnibus Rule:
Significa que todos nosotros los BA (Business Asociate) tenemos la obligación de conocer las reglas y estatutos de la HIPAA, porque trabajamos o podemos llegar a toparnos con información de salud protegida (PHI).
Enforcement Rule:
Establece las normas de simplificación administrativa.
¡La regla más importante para el examen! ¡Atención!
Breach Notificacion Rule:
Esta regla es parte del acto HITECH (otro día lo vemos), y trata de cómo la HIPAA maneja y controla los incumplimientos a aquellas entidades que hayan incumplido, sin querer o por negligencia, con los estándares de la HIPAA en la protección de los PHI (Información de Salud Protegida).
OCR (Office for Civil Rights):
Este departamento asegura el acceso igualitario a los servicios de salud y humanitarios, además protege la PHI (Información de Salud Protegida). (También viene en el examen, qué tipo de servicio accede el paciente, pero lo vemos otro día).
Este departamento es muy importante porque asegura que se cumpla el Objetivo Principal de la Interpretación Médica que es asegurar que todos los pacientes, sin importar qué idioma hablen, reciban la misma calidad en el servicio de salud
La HIPAA cuenta con 6 componentes que hacen que el cumplimiento de sus reglas se lleve a cabo de manera efectiva:
1.- Auditoría (Audit)
No se trata de si se va a auditar sino de cuándo se va a auditar. La auditoría se realiza a cualquier CE (Covered Entiti), no es un castigo, ni algo que se realice como una multa o consecuencia de un incumplimiento (breanch), se trata de una revisión general para revisar que el cumplimiento se lleve a cabo en tiempo y forma, pero también para descubrir juntos qué se puede mejorar.
Cada CE (Entidad con cobertura) o sea, hospitales, clínicas, intérpretes 100% autónomos, agencias de interpretación, etc., tienen la obligación de tener un manual de procedimientos y seguirlo para cualquier auditoría.
2.- Plan de solución (Remediation Plan)
Cuando se lleva a cabo la auditoría siempre habrá algo que mejorar, a eso se le llama, plan de solución o de mejora, la HIPAA hará las sugerencias correspondientes y la entidad con cobertura (CE) tendrá que tomar las medidas necesarias para cubrirlas en su totalidad.
3.- Control de proveedores (Vendor management)
Por medio de un contrato tipo BAA (Business Associate Agreement), la CE (covered entiti), tiene que tener al tanto a los proveedores con respecto a las leyes de cumplimiento HIPAA, por ejemplo, el proveedor que lava las toallas y sábanas de un hospital, cualquiera diría… ellos no necesitan conocer nada sobre la HIPAA, pero qué pasa con los brazaletes de identificación que se pierden entre las sábanas, alguien puede encontrarlos y con todos los datos privados de un paciente (PHI), esa persona podría hacer mal uso o tirarlos sin poner cuidado. Por eso todos los proveedores deben conocer el cumplimiento de la HIPAA, obviamente mucho más los que llevan sistemas computacionales etc.
4.- Políticas, Procedimientos y Entrenamiento
Todas las CE (covered entities) necesitan tener sus propias políticas, procedimientos y ofrecer entrenamiento a sus BA (Business associates), para asegurarse de que la confidencialidad de los pacientes se siga al pie de la letra.
5.- Documentación
Cada CE (covered entiti) tiene la responsabilidad de manejar la documentación con PHI (información de salud protegida), de manera confiable y guardarla hasta por 6 años.
Es responsabilidad de cada BA (Business associate) manejar la documentación correctamente, o sea pónganse busos terpies! El no conocimiento de las leyes no nos exime de ellas, si en algún momento algún BA (Business associate) o sea nosotros, se encuentra por casualidad o error algún documento con PHI (información de salud protegida), esto incluye nuestros apuntes!!! Correos electrónicos, imagen compartida en algún lugar, etc., tenemos que deshecharla de inmediato o hacer caso omiso de ella.
Para desechar cualquier información en papel debemos romper el papel en fracciones de 3cm x 3cm o menores, por lo que les recomiendo comprar una trituradora de papel. Por cierto, nuestros apuntes por sí mismos contienen información PHI, no importa si creo o no que la contiene, los apuntes del intérprete siempre son PHI y debe destruirse bajo los términos indicados anteriormente. De hecho se considera que una trituradora sólo es segura cuando es de corte cruzado.
Para desechar cualquier información en digital debemos eliminarla y luego vaciar la papelera. En caso de que sea información realmente delicada el departamento de Sistemas estará capacitado para su eliminación total y permanente.
Finalmente la 6! Esta es la más importante para el examen!! Ojo memoricen bien la palabra Breach, seguro viene en el examen!
6.- Manejo de Infracciones (Breach management)
Existen 2 grados diferentes para infracciones
Minor Breach: Cuando una infracción afecta a menos de 500 pacientes en una misma jurisdicción (estado o condado).
En el momento en que un BA (business associate) detecta que se cometió una infracción menor de inmediato se avisa a las autoridades correspondientes, esto va subiendo en el escalafón de la CE (covered entity) hasta que la persona indicada avisa a las autoridades correspondientes y todo este proceso no debe tardar más de 60 días naturales.
Mayor Breach: Cuando una infracción afecta a más de 500 pacientes en una misma jurisdicción (estado o condado).
** Todo igual que en el Minor breach = En el momento en que un BA (business associate) detecta que se cometió una infracción menor de inmediato se avisa a las autoridades correspondientes, esto va subiendo en el escalafón de la CE (covered entity) hasta que la persona indicada avisa a las autoridades correspondientes y todo este proceso no debe tardar más de 60 días naturales.
Pero además: Se avisa a las autoridades legales correspondientes.
Ni la Minor ni la Mayor Breach exime al infractor de cualquier culpa, monto, fianza o multa, o de cualquier seguimiento legal que corresponda a la infracción. (Esto significa que no es que una infracción menor implique menor pena, sólo se trata de la cantidad de personas afectadas, pero si el paciente demandara, por poner un ejemplo, la pena que decida el juez no exime ni una, ni la otra).
Aquí abajo les dejo el link de la HIPAA, son muchas leyes, pero les recomiendo ir leyendo una diaria. Van cambiando cada año (o no, depende de si se hicieron enmiendas), así que recién terminando podemos volver a empezar otra vez a leer desde la primera.
