HIPAA/Hitech

HIPAA/Hitech

Final Rules – HIPAA & HITECH

Reglas Finales – HIPAA & HITECH
(Efectivo del 26 de marzo 2013; cumplimiento comienza el 23 de septiembre de 2013)

El departamento de Salud y Servicios Humanos (HHS o “el Departamento”) esta emitiendo esta regla final para: Modificar las reglas de privacidad, seguridad y cumplimiento de la Ley de portabilidad y responsabilidad de seguro Medico (HIPAA) reglas de privacidad, seguridad y aplicación para implementar las enmiendas bajo la ley de tecnología de la información de salud para la salud económica y clínica (“la Ley HITECH” O “la ley”) para fortalecer la protección de la privacidad y la seguridad de la información medica de las personas; modificar la regla de notificación de incumplimiento para información de salud protegida no asegurada (regla de notificación de incumplimiento) según la Ley HITECH para abordar los comentarios públicos recibidos sobre la regla final provisional; modificar la Regla de privacidad de HIPAA para fortalecer las protecciones de privacidad de la información genética al implementar la sección 105 del Titulo I de la Ley de No Discriminación por Información Genética de 2008 (GINA); y hacer algunos otros modificaciones a (las reglas de privacidad, seguridad, notificación de infracciones y cumplimiento de la HIPAA) para mejorar su viabilidad y eficacia y para aumentar la flexibilidad y disminuir la carga sobre las entidades reguladas.

Privacy, Security, Enforcement, and Breach Notification Rules

Regla de privacidad de HIPAA

Los Estándares para la privacidad de la información medica identificable individualmente (“Regla de privacidad”) establecen, por primera vez, un conjunto de normas nacionales para la protección de determinada información sanitaria. El Departamento de Salud Y Servicios Humanos de EE. UU. (“HHS”) emitió la Regla de Privacidad para implementar el requisito de la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA”). 1 los estándares de la Regla de Privacidad abordan el uso y la divulgación de la información medica de las personas, denominada información de salud” por organizaciones sujetas a la Regla de Privacidad – llamada “entidades cubiertas”, así como estándares para los derechos de privacidad de las personas para comprender y controlar como se utiliza su información médica. Dentro del HHS, la Oficina de Derechos Civiles (“OCR”) tiene la responsabilidad de implementar y hacer cumplir la Regla de Privacidad con respecto a las actividades de cumplimiento voluntario y las sanciones monetarias civiles.

Unos de los principales objetivos de la Regla de privacidad es asegurar que la información medica de las personas este debidamente protegida y, al mismo tiempo, permitir el flujo de información. La Regla logra un equilibrio que permite usos importantes de la información, al tiempo que protege la privacidad de las personas que buscan atención y cicatrización. Dado que el mercado de la atención medica es diverso, la Regla esta diseñada para ser flexible y completa para cubrir la variedad de usos y divulgaciones que deben abordarse.

Fuente: www.hhs.gov/ocr/privacy/hipaa/understanding/summary/index.html

Regla de seguridad de HIPAA

La Regla Final sobre Normas de Seguridad fue emitida el 20 de febrero de 2003. Entro en vigencia el 21 de abril de 2002 con una fecha de complimiento del 21 abril de 2005 para la mayoría de las entidades cubiertas y del 21 de abril de 2006 para los “planes pequeños”. La regla de seguridad complementa la privacidad Regla. Si bien la Regla de privacidad se aplica a toda la Información medica protegida (PHI), incluidos los impresos y electrónicos, la Regla de seguridad se ocupa específicamente de la información medica protegida electrónica (EPHI). Establece tres tipos de salvaguardas de seguridad requeridas para cumplimiento: administrativo, físico y técnico. Para cada uno de estos tipos, la Regla identifica varios estándares de seguridad y para cada estándar, nombra especificaciones de implementación requeridas y direccionables. Las especificaciones requeridas deben ser adoptada y administrada según lo dictado por la Regla.

Regla final provisional de aplicación de la ley HITECH

La Ley de Tecnología de la Información de la Salud para la Salud Económica y Clínica (HITECH), promulgada como parte de la Recuperación Estadounidense y la Ley de Reinversión de 2009, se convirtió en ley el 17 de febrero de 2009, para promover la adopción y el uso significativo de tecnología de la información sanitaria. El Subtitulo D de la Ley HITECH aborda las preocupaciones de privacidad y seguridad asociadas con la transmisión electrónica de información médica, en parte, a través de varias disposiciones que fortalecen la aplicación civil y penal de las reglas de HIPAA.

La sección 13410 (d) de la Ley HITECH, que entro en vigencia el 18 de febrero de 2009, reviso la sección 1176 (a) de la Ley del Seguro Social (la Ley) al establecer:

  • Cuatro categorías de violaciones que reflejan niveles crecientes de culpabilidad;
  • Cuatro niveles correspondientes de montos de penalización que aumentan significativamente el monto mínimo de penalización por cada infracción;
  • Una multa máxima de $ 1.5 millones por todas las violaciones de una disposición idéntica.

 

También enmendó la sección 11767 (b) de la Ley al:

  • Rechazar la barra anterior sobre la imposición de sanciones si la entidad cubierta no sabia y con el ejercicio de una diligencia razonable no habría sabido de la infracción (tales infracciones ahora se castigan con el nivel mas bajo de sanciones);
  • Proporcionar una prohibición sobre la imposición de sanciones por cualquier infracción que se corrija dentro de un periodo de tiempo de 30 días, siempre que la infracción no se deba a negligencia intencional.

Fuente: www.hhs.gov/ocr/privacy/hipaa/administrative/enforcementrule/hitechenforcementifr.html

 

Privacy, Security, Enforcement, and Breach Notification Rules

Regla de privacidad de HIPAA

Los Estándares para la privacidad de la información medica identificable individualmente (“Regla de privacidad”) establecen, por primera vez, un conjunto de normas nacionales para la protección de determinada información sanitaria. El Departamento de Salud Y Servicios Humanos de EE. UU. (“HHS”) emitió la Regla de Privacidad para implementar el requisito de la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA”). 1 los estándares de la Regla de Privacidad abordan el uso y la divulgación de la información medica de las personas, denominada información de salud” por organizaciones sujetas a la Regla de Privacidad – llamada “entidades cubiertas”, así como estándares para los derechos de privacidad de las personas para comprender y controlar como se utiliza su información médica. Dentro del HHS, la Oficina de Derechos Civiles (“OCR”) tiene la responsabilidad de implementar y hacer cumplir la Regla de Privacidad con respecto a las actividades de cumplimiento voluntario y las sanciones monetarias civiles.

Unos de los principales objetivos de la Regla de privacidad es asegurar que la información medica de las personas este debidamente protegida y, al mismo tiempo, permitir el flujo de información. La Regla logra un equilibrio que permite usos importantes de la información, al tiempo que protege la privacidad de las personas que buscan atención y cicatrización. Dado que el mercado de la atención medica es diverso, la Regla esta diseñada para ser flexible y completa para cubrir la variedad de usos y divulgaciones que deben abordarse.

Fuente: www.hhs.gov/ocr/privacy/hipaa/understanding/summary/index.html

Regla de seguridad de HIPAA

La Regla Final sobre Normas de Seguridad fue emitida el 20 de febrero de 2003. Entro en vigencia el 21 de abril de 2002 con una fecha de complimiento del 21 abril de 2005 para la mayoría de las entidades cubiertas y del 21 de abril de 2006 para los “planes pequeños”. La regla de seguridad complementa la privacidad Regla. Si bien la Regla de privacidad se aplica a toda la Información medica protegida (PHI), incluidos los impresos y electrónicos, la Regla de seguridad se ocupa específicamente de la información medica protegida electrónica (EPHI). Establece tres tipos de salvaguardas de seguridad requeridas para cumplimiento: administrativo, físico y técnico. Para cada uno de estos tipos, la Regla identifica varios estándares de seguridad y para cada estándar, nombra especificaciones de implementación requeridas y direccionables. Las especificaciones requeridas deben ser adoptada y administrada según lo dictado por la Regla.

Regla final provisional de aplicación de la ley HITECH

La Ley de Tecnología de la Información de la Salud para la Salud Económica y Clínica (HITECH), promulgada como parte de la Recuperación Estadounidense y la Ley de Reinversión de 2009, se convirtió en ley el 17 de febrero de 2009, para promover la adopción y el uso significativo de tecnología de la información sanitaria. El Subtitulo D de la Ley HITECH aborda las preocupaciones de privacidad y seguridad asociadas con la transmisión electrónica de información médica, en parte, a través de varias disposiciones que fortalecen la aplicación civil y penal de las reglas de HIPAA.

La sección 13410 (d) de la Ley HITECH, que entro en vigencia el 18 de febrero de 2009, reviso la sección 1176 (a) de la Ley del Seguro Social (la Ley) al establecer:

  • Cuatro categorías de violaciones que reflejan niveles crecientes de culpabilidad;
  • Cuatro niveles correspondientes de montos de penalización que aumentan significativamente el monto mínimo de penalización por cada infracción;
  • Una multa máxima de $ 1.5 millones por todas las violaciones de una disposición idéntica.

 

También enmendó la sección 11767 (b) de la Ley al:

  • Rechazar la barra anterior sobre la imposición de sanciones si la entidad cubierta no sabia y con el ejercicio de una diligencia razonable no habría sabido de la infracción (tales infracciones ahora se castigan con el nivel mas bajo de sanciones);
  • Proporcionar una prohibición sobre la imposición de sanciones por cualquier infracción que se corrija dentro de un periodo de tiempo de 30 días, siempre que la infracción no se deba a negligencia intencional.

Fuente: www.hhs.gov/ocr/privacy/hipaa/administrative/enforcementrule/hitechenforcementifr.html

 

[/vc_column_text][/vc_column][/vc_row]