27 de noviembre de 2018
La regla de notificación de incumplimiento de HIPAA requiere que las entidades cubiertas por HIPAA y sus socios comerciales notifiquen a los pacientes y otras partes después de una violación de la información de salud protegida (PHI) no segura. Disposiciones similares implementadas y aplicadas por la Comisión Federal de comercio (FTC) se aplican a los vendedores de registros médicos personales y sus proveedores de servicios externos.
una violación se define en la sección 164 de la HIPAA.,402, como se destaca en la guía de supervivencia de HIPAA, como:
«la adquisición, acceso, uso o divulgación de información de salud protegida de una manera no permitida que comprometa la seguridad o privacidad de la información de salud protegida.,se presume que la información de salud protegida es una violación a menos que la entidad cubierta o el asociado comercial demuestre que hay una baja probabilidad de que la PHI se haya comprometido en función de una evaluación de riesgo de al menos los siguientes factores:
- La naturaleza y el alcance de la PHI involucrada, incluidos los tipos de identificadores y la probabilidad de reidentificación;
- La persona no autorizada que usó la PHI o a quien se hizo la divulgación;
- si la PHI fue realmente adquirida o vista; y
- El riesgo para la PHI ha sido mitigado.,
La investigación de Beazley encontró que la razón principal por la que se produjeron infracciones en 2017 fue la divulgación no intencionada. La divulgación involuntaria incluye un correo electrónico que contiene datos confidenciales de salud y se envía al paciente incorrecto, o un incidente en el que un servidor se configura involuntariamente como de acceso público.
¿Qué no se considera una violación de HIPAA?
de acuerdo con las exclusiones especificadas en el HHS.,gov, usted no ha sufrido una violación de HIPAA si:
- LA EXPOSICIÓN DE PHI fue accidental y causada por una acción inapropiada por un miembro de la fuerza laboral o individuo que lleva a cabo tareas en nombre de la compañía que cumple con HIPAA, siempre y cuando el compromiso se produjo dentro de la autoridad adecuada, sin malas intenciones y sin expectativa de repetición.,
- Fue una divulgación accidental por parte de una persona que tiene autorización general (y capacitación) para acceder a la PHI en una organización que cumple con la HIPAA a una persona adicional que también está generalmente autorizada para acceder a la información de la HIPAA.
- La entidad cubierta o el Socio comercial cree de buena fe que la persona no autorizada a la que se hizo la divulgación inadmisible no habría podido retener la información.
el cumplimiento de la HIPAA cambió cuando la regla final omnibus de HIPAA/HITECH entró en vigor en septiembre de 2013., Anteriormente, las infracciones eran responsabilidad exclusiva de las entidades cubiertas por la HIPAA (proveedores de atención médica, planes y centros de intercambio de datos). Cuando la ley americana de recuperación y Reinversión (ARRA) fue aprobada en 2009, su título XIII fue la Ley de tecnología de la información de salud para la salud económica y Clínica (HITECH). HITECH declaró que los socios comerciales (proveedores de servicios que manejan PHI) ahora asumen la responsabilidad de la protección de la información junto con las organizaciones de atención médica.
La prevención de infracciones de HIPAA en un entorno sanitario complejo requiere más que evaluaciones de riesgo rutinarias., Las entidades cubiertas deben garantizar la implementación de políticas sólidas para el establecimiento de protecciones, capacitación, Acuerdos de socios comerciales (BAAs) y otros elementos de un ecosistema centrado en la seguridad que cumpla con HIPAA.