Por Jordan MacAvoy, vicepresidente de marketing de Reciprocity Labs.
Hay varios requisitos de cumplimiento normativo que las organizaciones de salud deben seguir. Aun así, es la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) la que recibe el mayor reconocimiento. Si su organización está involucrada en la industria de la salud, debe asegurarse de que cumple también con la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (HITECH).
Estos dos requisitos de cumplimiento están de alguna manera interrelacionados. Sin embargo, HITECH tiene como objetivo mejorar la tecnología de la información en la industria de la salud, al tiempo que protege las preocupaciones de seguridad y privacidad con respecto a la ePHI. HITECH modificó significativamente la HIPAA y la Ley de Seguridad Social. Por lo tanto, puede ser difícil entender cómo se complementan estos marcos de cumplimiento normativo.
Cómo se parecen HITECH e HIPAA
El cumplimiento de HITECH e HIPAA es supervisado por el Departamento de Salud y Servicios Humanos (HHS). Normalmente, las organizaciones sanitarias tienden a centrarse en el cumplimiento de la HIPAA, ya que es la columna vertebral de la Regla de Privacidad que establece las normas nacionales relativas a la PHI y la protección de los registros médicos. La Regla de Privacidad se adoptó en el año 2000. Desde entonces, el HHS sólo ha realizado una modificación. Fue en 2002, cuando la Regla de Privacidad se modificó para convertirse en uno de los reglamentos iniciales de privacidad y seguridad de la información.
La Oficina del Coordinador Nacional para la Tecnología de la Información de la Salud (ONC) tiene el mandato de promover la calidad de la asistencia sanitaria mediante el avance de la TI de la salud. La ONC también tiene la función de asegurar la ePHI y establecer procedimientos para que los registros sanitarios electrónicos (EHR) promuevan la privacidad.
Por lo tanto, aunque HITECH e HIPAA se complementan, son diferentes. HITECH se centra en la tecnología de la información, así como en la preservación de la información electrónica, mientras que HIPAA se detiene en la protección de la privacidad, así como en la expansión más allá de los sistemas de información.
Cómo difieren HITECH e HIPAA
Aunque HITECH e HIPAA tienen muchas similitudes, las dos regulaciones también difieren en varios detalles vitales. HITECH pretendía ampliar la HIPAA. Aun así, esta última sigue centrándose en abordar los problemas de privacidad y notificación de infracciones para protegerse contra el robo de identidad y el fraude. Por otro lado, HITECH se diferencia de HIPAA porque estableció sanciones de cumplimiento penal y civil reestructuradas. Además, HITECH amplió el requisito de notificación de infracciones de la HIPAA más allá de las organizaciones cubiertas para incluir también a los asociados comerciales.
Desde el punto de vista de las tecnologías de la información, los responsables del cumplimiento deberían centrarse en la importancia de un cifrado sólido. En caso de que actores maliciosos infrinjan la ePHI, un cifrado eficaz mitigará las violaciones de las normas. Por lo tanto, si el cifrado hace que la información sea ilegible, la organización no será multada. No obstante, demostrar un cifrado eficaz significa cumplir con la Norma Federal de Proceso de Información del NIST. Por lo tanto, el cumplimiento de la normativa sanitaria sólo puede llevarse a cabo si se comprende plenamente la infraestructura de TI de la organización.
Cómo afecta el cumplimiento de Medicaid y Medicare de HITECH a los asociados comerciales de HIPAA
Sólo se puede comprender el cumplimiento de la normativa sanitaria después de entender los solapamientos que existen entre los asociados comerciales, así como su información y cómo esto afecta a toda la cadena de suministro. Los asociados comerciales son personas u organizaciones que prestan servicios a las entidades cubiertas o realizan actividades o funciones en nombre de las entidades.
Típicamente, la definición de asociados comerciales de la Regla Omnibus incluye a las empresas de gestión de la asistencia sanitaria, las organizaciones de pago de la asistencia sanitaria y los planes de asistencia sanitaria bajo el paraguas de HITECH e HIPAA. No obstante, para aquellos que trabajan con Medicaid, los servicios adicionales pueden incorporarse a los requisitos de cumplimiento.
Por ejemplo, la HIPAA y la HITECH consideran que el transporte médico no urgente (NEMT) de Medicaid es un asociado comercial que entra en la Regla Ómnibus. Por lo tanto, a pesar de ser una red de intermediarios de transporte, la información recopilada sigue estando sujeta a la normativa sanitaria necesaria.
Las organizaciones deben determinar su ubicación dentro de la cadena de suministro, ya que esto minimizará las infracciones de HITRUST e HIPAA. Además, una organización debe decidir si quiere o no asumir los riesgos de cumplimiento si decide escalar.
¿Qué deben saber los consejos de administración?
Las organizaciones que pretenden entrar en el sector sanitario deben asegurarse de que sus consejos reconocen las implicaciones del cumplimiento. Proporcionar el nivel necesario de supervisión de la junta directiva requiere una visibilidad profunda del panorama sanitario, así como del entorno de cumplimiento de la organización. Además, si una organización decide incluir a sus vendedores o proveedores de atención sanitaria como parte de su estructura corporativa, la junta directiva debe ser consciente de cómo estas partes encajan en la cadena de suministro.
En virtud de los requisitos normativos de la HIPAA, el riesgo de los proveedores puede crear un riesgo corporativo. Por lo tanto, ya sea que su organización se encuentre en la parte inferior, de la cadena de suministro, en el timón o en el medio, cualquier interacción que realice con entidades reguladas por la HIPAA significa que debe cumplir con todos los requisitos reglamentarios necesarios.
Debe pensar en las violaciones de la HITECH y la HIPAA como fichas de dominó colocadas en fila. En caso de que una ficha de dominó caiga, las demás caerán automáticamente. Por lo tanto, la importancia de la gestión de proveedores podría aumentar, especialmente si usted decide expandirse más en la industria de la salud.
Las organizaciones de la industria de la salud no sólo deben centrarse en el cumplimiento de la HIPAA. Incorporar el cumplimiento de HITECH le ayuda a proteger la información que está en su privacidad. Al mantener el cumplimiento, también evitará sanciones en caso de que se produzca una infracción. Por lo tanto, es crucial entender cómo se complementan HIPAA y HITECH.
Trabajos en el sector sanitario