Además de las medidas de seguridad ya mostradas en los artículos anteriores, HIPAA solicita que los establecimientos de salud tengan en su organización algunas políticas, procedimientos y documentos, y que todos estén debidamente guardados y actualizados para cumplir con los requisitos de seguridad.
La HIPAA considera como asociado o tercero a cualquier persona o empresa (que no sea un empleado del centro de atención médica en cuestión) que realiza funciones para el centro de atención médica, por ejemplo, seguros y planes de salud.
Contratos de asociados o terceros
HIPAA requiere que todos los asociados o terceros que puedan tener un posible contacto con la información de salud de los pacientes, tengan acuerdos de confidencialidad donde asuman la responsabilidad en caso de filtración, pérdida o alteración de la información.
Los contratos deben dejar en claro que los asociados o terceros:
- Implementar medidas de seguridad administrativas, físicas y técnicas apropiadas y razonables, y que protejan adecuadamente la confidencialidad, integridad y viabilidad de la información de salud de forma electrónica.
- Asegurarse de que cualquier agente, incluso si es un subcontratista, entiende que la información debe ser protegida por él de la misma manera,
- Informar cualquier falla de seguridad que ocurra al establecimiento de salud contratante,
- Que el contrato puede rescindirse si se demuestra que el contratista ha violado la información y otros términos del contrato.
Antes de continuar, necesitamos saber: ¿Usted utiliza software médico seguro para realizar sus citas? Te invitamos a descubrir Ninsaúde Apolo, un software online que se puede utilizar en una tableta, smartphone o de forma tradicional, en computadores. Obtenga más información en nuestro sitio web apolo.app.
Requisitos para planes de salud
Los documentos relacionados con grupos de planes de salud deben incorporar disposiciones que:
- Implementar medidas de seguridad administrativas, físicas y técnicas que protejan adecuadamente la confidencialidad, integridad y viabilidad de los datos de salud ingresados en medios electrónicos que se crean, reciben, mantienen o transmiten en nombre del grupo de seguros de salud;
- Asegurarse de que cualquier empleado, incluidos los subcontratistas y terceros, que tenga acceso a información médica confidencial, acepte tomar las medidas necesarias para garantizar la seguridad de la información;
- Informe cualquier problema de seguridad detectado al plan de salud.
Requisitos de políticas, procedimientos y documentos
Implementar políticas y procedimientos razonables y apropiados que cumplan con los estándares de seguridad establecidos anteriormente y los nuevos requisitos que puedan surgir en el campo de la seguridad de los datos.
Las especificaciones de este tema no se pueden crear para acciones que permitan violar o crear excusas para la violación de datos de salud protegidos por ley. Los planes de salud pueden cambiar sus políticas, procedimientos y documentos según lo consideren necesario, siempre que todos los cambios sigan cumpliendo con las regulaciones.
Documentos
La medida documental pide que, incluso en formato electrónico, los documentos creados deben seguir pautas de seguridad, y si se requiere alguna otra acción, debe documentarse.
Los documentos creados deben conservarse durante 6 años, independientemente de que sigan siendo válidos o no, y este reglamento se denomina "timeout". Estos seis años son el tiempo mínimo para conservar estos documentos, pero se puede extender si el plan de salud lo considera necesario.
La viabilidad de los documentos dice que los empleados que necesitan acceso a los documentos deben tener este acceso siempre que sea necesario, ya sea que estos documentos estén impresos o en medios electrónicos.
Los documentos deben someterse a revisiones periódicas y actualizarse si es necesario, siendo gratuito el período de estas revisiones y actualizaciones para cada plan de salud y establecimiento, a medida que cambian las operaciones internas, manteniendo siempre la seguridad de la información.
Fuente: HHS