Declaración de HIPAA

Índice analítico

1. HIPAA-Regra de Privacidade 

2. Entidades cubertas

3. Responsables e encargados do tratamento

4. Usos e divulgacións permitidas.

5. HIPAA -Regra de Seguridade

6. Que información está protexida?

7. Como se protexe esta información?

8. Que dereitos me concede a regra de privacidade sobre a miña información sanitaria?

9. Contacte connosco

1. HIPAA -Regra de Privacidade.

A Lei de Portabilidade e Responsabilidade do Seguro de Saúde de 1996 (HIPAA) é unha lei federal que esixía a creación de normas nacionais para protexer a información sensible sobre a saúde do paciente contra a divulgación sen o consentimento ou o coñecemento do paciente. O Departamento de Saúde e Servizos Humanos dos Estados Unidos (HHS) emitiu o HIPAA Norma de privacidade para implementar os requisitos de HIPAA. O HIPAA A regra de seguridade protexe un subconxunto de información cuberto pola regra de privacidade. Os estándares da Regra de privacidade abordan o uso e a divulgación da información sanitaria das persoas (coñecida como información de saúde protexida ou PHI) por parte das entidades suxeitas á Regra de privacidade. Estas persoas e organizacións chámanse "entidades cubertas".

2. Entidades Cubertas.

Os seguintes tipos de persoas e organizacións están suxeitos á regra de privacidade e considéranse entidades cubertas:

Provedores de coidados de saúde: todos os provedores de coidados de saúde, independentemente do tamaño da práctica, que transmiten electrónicamente información sanitaria en relación coa nosa Plataforma en Cruz Médika. 

Estes servizos inclúen:

o Consultas

o Consultas

o Solicitudes de autorización de derivación

o Outras transaccións para as que establecemos estándares baixo o HIPAA Regra de transaccións.

Plans de saúde:

Os plans de saúde inclúen:

o Aseguradoras de saúde e medicamentos recetados

o Organizacións de mantemento da saúde (HMO)

o Medicare, Medicaid, Medicare + Choice e aseguradoras complementarias de Medicare

o Aseguradoras de coidados de longa duración (excluídas as pólizas de indemnización fixa de residencias de anciáns)

o Plans de saúde colectivos patrocinados polo empresario

o Plans de saúde patrocinados polo goberno e a igrexa

o Plans de saúde multiempresarial

Excepción: 

Non é unha entidade cuberta un plan de saúde grupal con menos de 50 participantes que é administrado unicamente polo empresario que estableceu e mantén o plan.

• Centros de compensación sanitaria: entidades que procesan información non estándar que reciben doutra entidade nun estándar (é dicir, formato estándar ou contido de datos) ou viceversa. Na maioría dos casos, os centros de atención sanitaria recibirán información de saúde identificable individualmente só cando estean proporcionando estes servizos de procesamento a un plan de saúde ou a un proveedor de atención sanitaria como socio comercial.

• Socios comerciais: unha persoa ou organización (que non sexa un membro da forza de traballo dunha entidade cuberta) que utiliza ou divulga información de saúde identificable individualmente para realizar ou proporcionar funcións, actividades ou servizos para unha entidade cuberta. Estas funcións, actividades ou servizos inclúen:

o Tramitación de reclamacións

o Análise de datos

o Revisión da utilización

o Facturación

3. Responsables e encargados do tratamento.

As novas leis requiren que os dous controladores de datos (como Cruz Médika) e Procesadores de datos (socios afiliados e empresas provedoras de saúde) para actualizar os seus procesos e tecnoloxía para cumprir os requisitos especificados. Somos os controladores dos datos relacionados con usuarios. O controlador de datos é a persoa ou organización que determina que datos se extraen, para que finalidade se usan e quen está autorizado a procesar os datos. GDPR aumenta a responsabilidade que temos de informar aos usuarios e membros sobre como se utilizan os seus datos e por quen.

4. Usos e divulgacións permitidas.

A lei permite, pero non esixe, que unha entidade cuberta use e divulgue a PHI, sen a autorización dun individuo, para os seguintes fins ou situacións:

• Divulgación ao individuo (se a información é necesaria para o acceso ou a contabilidade das divulgacións, a entidade DEBE divulgala ao individuo)

• Operacións de tratamento, pagamento e asistencia sanitaria

• Oportunidade de aceptar ou opoñerse á divulgación da PHI

o Unha entidade pode obter un permiso informal pedíndolle directamente ao individuo ou por circunstancias que claramente lle dan a oportunidade de aceptar, aceptar ou opoñerse.

• Incidente dun uso e divulgación permitidos

• Conxunto de datos limitado para operacións de investigación, saúde pública ou asistencia sanitaria

• Actividades de interese público e beneficios: a Regra de privacidade permite o uso e a divulgación da PHI, sen a autorización ou o permiso dunha persoa, para 12 propósitos prioritarios nacionais: incluíndo:

a. Cando o requira a lei

b. Actividades de saúde pública

c. Vítimas de abuso ou abandono ou violencia doméstica

d. Actividades de vixilancia sanitaria

e. Procedementos xudiciais e administrativos

f. A aplicación da lei

g. Funcións (como a identificación) relativas ás persoas falecidas

h. Doazón de órganos, ollos ou tecidos cadáveres

i. Investigación, baixo determinadas condicións

j. Para previr ou diminuír unha ameaza grave para a saúde ou a seguridade

k. Funcións gobernamentais esenciais

l. Compensación dos traballadores

5. HIPAA -Regra de Seguridade.

Mentres que o HIPAA A regra de privacidade protexe a PHI, a regra de seguridade protexe un subconxunto de información cuberta pola regra de privacidade. Este subconxunto é toda a información sanitaria identificable individualmente que unha entidade cuberta crea, recibe, mantén ou transmite en formato electrónico. Esta información chámase información sanitaria protexida electrónica ou e-PHI. A Regra de Seguridade non se aplica á PHI transmitida oralmente ou por escrito.

Para cumprir o HIPAA – Norma de Seguridade, todas as entidades cubertas deben:

• Garantir a confidencialidade, integridade e dispoñibilidade de todas as e-PHI

• Detectar e salvagardar contra as ameazas previstas para a seguridade da información

• Protexer contra usos inadmisibles previstos ou divulgacións que non estean permitidas pola norma

• Certificar o seu cumprimento polo seu persoal laboral

As entidades cubertas deben confiar na ética profesional e no mellor criterio cando consideren solicitudes para estes usos e divulgacións permisivas. A Oficina de Dereitos Civís do HHS fai cumprir HIPAA normas, e todas as queixas deben ser comunicadas a esa oficina. HIPAA as infraccións poden dar lugar a sancións civís pecuniarias ou penais.

6. Que información está protexida?.

Protexemos a información persoal proporcionada en relación coa nosa prestación de servizos, como:

• Información que os seus médicos, enfermeiras e outros provedores de coidados de saúde poñan na súa historia clínica

• Conversas que o seu médico manteña sobre o seu coidado ou tratamento con enfermeiras e outras persoas

• Información sobre vostede no sistema informático da súa aseguradora de saúde

• Información de facturación sobre vostede na súa clínica

• A maioría da información sanitaria sobre ti en poder dos que deben seguir estas leis

7. Como se protexe esta información?.

A continuación móstranse as medidas postas en marcha para protexer os datos de cada usuario

• As entidades cubertas deben poñer en marcha garantías para protexer a súa información de saúde e garantir que non usan nin divulgan a súa información de saúde de forma inadecuada.

• As entidades cubertas deben limitar razoablemente os usos e divulgacións ao mínimo necesario para lograr o propósito previsto.

• As entidades cubertas deben ter procedementos establecidos para limitar quen pode ver e acceder á súa información de saúde, así como implementar programas de formación para os empregados sobre como protexer a súa información de saúde.

• Os socios comerciais tamén deben poñer en marcha garantías para protexer a súa información de saúde e asegurarse de que non usen ou divulguen a súa información de saúde de forma inadecuada.

8. Que dereitos me concede a regra de privacidade sobre a miña información sanitaria?

As aseguradoras de saúde e os provedores que son entidades cubertas aceptan cumprir co seu dereito a: 

• Solicitar ver e obter unha copia dos seus rexistros de saúde

• Dereito a solicitar correccións da súa información sanitaria

• Dereito a ser notificado sobre como se pode usar e compartir a súa información sanitaria

• Dereito a decidir se quere dar o seu permiso antes de que a súa información de saúde poida ser usada ou compartida para determinados fins, como para comercializar

• Dereito a solicitar que unha entidade cuberta restrinxa como se usa ou se divulga a súa información sanitaria.

• Obter un informe sobre cando e por que se compartiu a súa información de saúde para determinados fins

• Se cre que se lle están denegando os seus dereitos ou que non se protexe a súa información sanitaria, pode facelo

o Presentar unha queixa co seu provedor ou aseguradora de saúde

o Presentar unha queixa ante o HHS

Deberías coñecer estes dereitos importantes, que che axudan a protexer a túa información sanitaria.

Podes facerlle preguntas ao teu provedor ou aseguradora de saúde sobre o teu dereito.

9. Contacte connosco.

Para enviarnos as súas preguntas, comentarios ou queixas ou para recibir comunicacións nosas, envíenos un correo electrónico usando info@Cruzmedika.com. Con. 

(En vigor o 1 de xaneiro de 2023)