ley hipaa sano manejo de la información del paciente

Escuela de Estudios Profesionales y Educación Continua

Módulo Instruccional

Horas Contacto: 4.0 Modalidad: Módulo

Audiencia: Trabajadores Sociales Costo: $20.00

Por: Maria de L. Ortiz Montalbán, JD, BA

Aprobado por: Colegio de Profesionales de Trabajo Social de Puerto Rico (CPTSPR)

Ley HIPAA

Sano Manejo de la Información del Paciente


Módulo Instruccional para Trabajadores Sociales. 2

ÍNDICE PÁGINA

Contenido 3 – 18

Referencias 19

Prueba Diagnóstica 20

Hoja de Evaluación 21



Módulo Instruccional

Ley HIPAA

Sano Manejo de la Información del Paciente

Horas Contacto: 4.0 Modalidad: Módulo

Audiencia: Trabajadores Sociales Costo: $20.00

Por: Maria de L. Ortiz Montalbán, JD, BA

Aprobado por: Colegio de Profesionales de Trabajo Social de Puerto Rico (CPTSPR)

Objetivos: Mediante la lectura y el análisis del contenido del Módulo Instruccional, los

lectores:

1. Conocerán el propósito principal de la ley HIPAA.

2. Reconocerán los conceptos y fundamentos que aplican a la ley HIPAA y las leyes

estatales de Puerto Rico.

3. Identificarán los conceptos básicos y las consideraciones relacionadas con las

leyes asociadas a la salud.

4. Compararán la correlación existente entre la ley HIPAA y las leyes estatales de

Puerto Rico

5. Identificarán los componentes esenciales contenidos la ley HIPAA.

6. Identificarán los factores que determinan el cumplimiento, de las leyes estatales,

la ley HIPAA y las órdenes administrativas del Departamento de Salud.

7. Identificarán los sistemas de seguridad de información aplicables, según la ley

HIPAA,

8. Conocerán el impacto económico del acta conocida como HITECH.

9. Conocerán sobre los nuevos requerimientos incluidos en la nueva reglamentación

de la ley HIPAA y las nuevas sanciones que se han impuesto a los violadores de la ley

en temas de confidencialidad y privacidad.



INTRODUCCIÓN

La Health Insurance Portability and Accountability Act de 21 de agosto de 1996 Ley

Pública Núm. 104-191 es una ley federal conocida por sus siglas HIPAA y aprobada por

el Congreso de los Estados Unidos. La misma contiene y establece:

a. Reglas de privacidad promulgadas por el Departamento de Salud y Recursos

Humanos del Gobierno Federal.

b. Estándares mínimos uniformes para todos los Estados Unidos y Puerto Rico.

c. Protección de la privacidad, confidencialidad y seguridad de la

información de salud.

La Ley HIPAA establece tres principios rectores para el sano manejo de la

información de salud de todo paciente que son:

1. Privacidad - Es un derecho a que la información de salud no sea

divulgada sin el consentimiento o previa autorización del paciente.

2. Confidencialidad- Es una condición "garantizar que la información es accesible

sólo para aquellos autorizados a tener acceso". Certeza de que sólo

personas con una razón válida tienen acceso a la información.

3. Seguridad - Es una protección. Controla el acceso a la información y previene la

alteración, destrucción o pérdida de información.

La meta fundamental de la ley era facilitar a las personas el mantener un seguro

médico, proteger la confidencialidad y la seguridad de la información del cuidado

médico y ayudar a la industria del cuidado de la salud a controlar los costos

administrativos.

Fue creada para atender varios propósitos:

Reducir el fraude

Proteger la integridad de un expediente médico

Proteger la privacidad y la confidencialidad de un paciente

Utilizar sistemas únicos para proteger la información del paciente durante las

transmisiones electrónicas, en los procesos de facturación, en el uso de récord

electrónico o en la administración de información en papel.



Crear organismos para atender las querellas de los pacientes.

I. DEFINICIONES:

1. HIPAA - Health Insurance Portability and Accountability Act

2. Ley federal - ley aprobada por el Congreso de los Estados Unidos de

Norteamérica

3. PHI - información de salud protegida

4. TPO - tratamientos, pago y operación

5. PPS - plan de prácticas y políticas de seguridad

6. Asociado de negocio - cualquier persona o entidad que ofrezca servicios al médico

y que tenga acceso a la información PHI, pero no es empleado.

7. Entidad cubierta - cualquier empresa o institución que procesa información de

salud de un paciente de forma electrónica.

8. Consentimiento- documento que establece una relación permanente entre el

médico y el paciente.

9. Autorización - documento que permite ciertos privilegios (limitados) al médico para

el manejo de la información médica del paciente.

10. Proveedor- médico o entidades que ofrecen servicios de salud autorizadas por las

leyes y reglamentos vigentes (Ej.: hospital, farmacia, laboratorio)

11. Privacidad - métodos o procedimientos que se utilizan para asegurar la

información o impedir el acceso a esta.

12. Confidencialidad - métodos o procedimientos que se utilizan para asegurar que la

información no sea divulgada.

13. Protocolo - plan de acción a seguir ante una situación o tarea definida por las

leyes, reglamentos o procedimientos establecidos.

14. Transmisiones electrónicas - envío de información de salud protegida a través de sistemas electrónicas.

15. Materiales didácticos - recursos autorizados por la Ley HIPAA para la codificación de servicios, diagnósticos y procedimientos médicos.

16. HIPAA Compliance Officer- oficial designado por la entidad para la aplicación del Título II de la Ley HIPAA (Privacidad y Seguridad).

II. APLICABILIDAD:

Planes de Salud



Aseguradores de Salud (planes privados o públicos) Ej. Humana, Triple S,

Cruz Azul, Medicare, Reforma, Programa de Asistencia Médica.

Esta norma no es aplicable a:

Planes de compensación por accidentes del trabajo (Fondo del Seguro del

Estado).

Planes de seguro de vida.

Planes de pago por enfermedad.

III. CUMPLIMIENTO

Clearinghouses Entidades que traducen información de salud recibida de otra

entidad. (Ej. Radiólogos, tecnólogos médicos)

Proveedores de Servicio de Salud

Persona o entidad que provee, factura o es pagada por servicios o suministros

de salud y transmite información electrónicamente, o alguien lo hace por él,

usando una transacción estandarizada por HIPAA.

Acuerdo Organizado de Cuidado de Salud (OHCA).

HIPAA introduce un nuevo concepto o definición incluye a aquellas

dependencias o entidades que son percibidas por el paciente como una sola

unidad (Ejemplos: Centro Médico de Puerto Rico, ASES (Administración de

Servicios de Salud), Programa de Asistencia Médica (PAM) entre otras.

Estas pueden usar una misma política y aviso de privacidad, aunque se

mantiene independencia de responsabilidad legal y administrativa. Sin embrago,

pueden compartir funciones como facturación, evaluación, referidos y cambios

para el mejoramiento de los servicios a los pacientes.

IV. ACCESO A LA LEY (ESTATAL O FEDERAL) DOCTRINA DEL CAMPO OCUPADO La Ley HIPAA aplica a todos los Estados, Puerto Rico y territorios

por disposición expresa del Congreso. La ley persigue uniformizar el derecho

aplicable a los pacientes en cuanto a la protección de

su información de salud. Ocupa el campo estatal, desplaza, sustituye y prevalece

sobre cualquier ley local que sea contraria.



La propia ley establece límites a su ocupación del campo estatal. Dispone que

cualquier legislación local presente o futura que sea más estricta (stringent) prevalecerá

sobre HIPAA (Ej. Ley de Salud Mental de PR).

Se define más estricta aquella legislación que concede mayor acceso y derechos al paciente en cuanto a su información de salud y la protege en mayor amplitud. Se utilizan para evitar confusiones o conflictos entre las leyes y también permiten completar sectores o áreas de alguna ley que no están explicados. Donde existan dos leyes (una federal y una local) con derechos similares, prevalecerá la ley que provea mayores derechos al ciudadano. Sin embargo, la Doctrina del Campo Ocupado no aplica a una ley en su totalidad. Puede ser que algunos artículos o secciones de una ley federal estén sobre una ley local y puede ser que algunos artículos de una ley local estén sobre una ley federal. Depende de la situación y de la totalidad de las circunstancias. De otra parte, la ley HIPAA dispone que determinadas leyes estatales continuarán vigentes. Se trata de legislación relativa a:

Salud Pública (epidemias, registros, etc.)

Menores (abuso, maltrato, derechos, etc.)

Derechos de Representación (patria potestad, etc.)

Seguros (reglamentación seguros, etc.)

Legislación de protección social (sustancias controladas, protección y seguridad

de infantes, etc.)

En Puerto Rico existe una Ley conocida como: Carta de Derechos y Responsabilidades

del Paciente, Ley 194 del 2000 de Puerto Rico. Esta ley de Puerto Rico cubre la

privacidad y la confidencialidad del paciente. También incluye otros derechos como el

derecho a recibir servicios de salud. Es el estado legal de los pacientes en Puerto Rico

e incluye algunos derechos que no son atendidos por HIPAA.

La Carta de Derechos y Responsabilidades de un paciente incluye en su contenido (en

resumen):

El derecho a la salud

El derecho a recibir un trato digno y un servicio de calidad

El derecho a la privacidad y a la confidencialidad



El derecho a decidir y escoger a sus proveedores

El derecho a participar y consentir el tratamiento médico

Incluye también responsabilidades como:

Seguir las instrucciones del médico

Proveer la información correcta para su tratamiento

La Carta de Derechos y Responsabilidades del Paciente contiene una enmienda que

incluye los derechos del paciente sobre su expediente médico, conocida como Ley 309

del 24 de diciembre de 2002.

Algunos derechos contenidos:

El paciente es el dueño del récord médico.

Se puede llevar el récord médico cuando lo desee siempre y cuando lo notifique

con cinco días de anticipación (en la oficina médica) o con quince días de

anticipación en hospital.

Puede terminar la relación con el médico y llevarse el récord de forma gratuita. El

médico puede conservar una copia.

Si el paciente no desea terminar la relación con el médico, pero desea copias del

récord, el proveedor le puede cobrar hasta 75 centavos por copia o un máximo de

$25.00 por copiar el expediente en su totalidad.

V. TITULOS DE HIPAA:

HIPAA se divide en cinco títulos o secciones que contienen un aspecto único de

la reforma del seguro de salud.

El Título I es la movilidad (“portabilidad”). La movilidad permite a las personas

llevar su seguro médico de un trabajo a otro para que no tengan un lapso en la cobertura.

También restringe a los planes médicos de requerir condiciones preexistentes a

personas que cambian un plan médico a otro.

El Titulo II se conoce como la Simplificación Administrativa y tendrá un impacto mayor

para los proveedores. Se diseñó para:

Combatir el fraude y abuso en el cuidado de la salud.

Garantizar la seguridad y la privacidad de la información médica.



Establecer estándares para la información y transacciones médicas.

Reducir el costo del cuidado médico mediante la estandarización de la manera en

que la industria comunica la información.

Los títulos restantes son: Título III - Disposiciones de Salud Relacionadas a Impuestos

Título IV - Aplicación y Cumplimiento de los Requisitos de Planes Grupales de Salud

Título V - Retenciones de Ingresos

VI. SEGURIDAD – (PHI) INFORMACIÓN DE SALUD PROTEGIDA La seguridad es de gran importancia para la Ley HIPAA y una de las principales razones

para su creación. El PHI o Protected Health Information es aquella información personal

de salud que permite identificar a un paciente particular dentro del universo de pacientes

atendidos por las diversas entidades.

Es creada o recibida por la entidad cubierta y es transmitida por cualquier medio, ya sea

oral, escrita o electrónica e incluye información médica, financiera o demográfica, entre

otras informaciones.

Contiene datos relacionados con la condición física o mental pasada, presente o futura,

o a categoría en la que se ofreció una prestación o pago de servicios de salud para un

individuo o paciente particular.

Puede ser usada o divulgada sin autorización para:

Tratamientos

Pagos u operaciones para el cuidado de la salud

Usos y divulgaciones autorizados por ley

Sin embargo, cualquier otro uso o divulgación requiere la autorización del

paciente.

Esta información es conocida como el TPO que se refiere a: Tratamiento:



Referidos a otros proveedores (laboratorios, rayos X, procedimientos de

imágenes)

Anotaciones en el expediente clínico

Recetas para medicamentos o equipos

Pago:

Facturar al asegurador, al plan médico, o a otro proveedor (en caso de un

referido)

Pre autorizaciones, coordinación de beneficios, determinación de necesidad

médica, etc.

Operaciones:

Evaluación del personal, auditorías, estudios y evaluaciones de

calidad de servicios

Discusión de casos por la facultad y/o con residentes.

La persona tiene derecho a una notificación adecuada sobre los usos y divulgaciones de

su PHI que puede hacer la entidad cubierta, sus derechos y las obligaciones legales de

la misma. De ahí que sea indispensable la declaración pública de las prácticas de

seguridad de la entidad cubierta en cuanto al uso y divulgación de PHI. A esto se le

conoce como el Aviso de Prácticas de Seguridad

Esta declaración puede ser considerada un contrato entre las partes, entiéndase

paciente y entidad cubierta y representa una obligación con el paciente cuya violación

acarrea responsabilidad por acción u omisión de las estipulaciones de este contrato.

El Aviso de Prácticas de Seguridad debe contener:

Uso que dará la entidad cubierta al PHI para TPO.

Ejemplos de lo que constituye TPO

Usos y divulgaciones de PHI sin autorización

Derechos del Paciente

Obligaciones de la EC

Derecho de EC a cambiar prácticas

Cómo radicar querellas ante la EC

Persona de Contacto



Qué es un Aviso Resumido (No sustituye el aviso largo y deberán entregarse

ambos)

De otra parte, en términos generales la Ley HIPAA les requiere a los proveedores de servicios de salud que:

Garanticen los derechos a la privacidad del paciente:

Entreguen a los pacientes explicaciones claras, por escrito de cómo el proveedor

podría utilizar y revelar su información de salud.

Aseguren que los pacientes puedan ver y obtener copias de sus expedientes y

solicitar correcciones.

Hagan un historial de revelaciones no rutinarias accesible a los pacientes.

Obtengan el consentimiento del paciente antes de compartir su información para

tratamiento, pago y actividades del cuidado médico.

Obtengan la autorización del paciente para las revelaciones no rutinarias y la

mayoría de los propósitos no relacionados al cuidado médico.

Permitan a los pacientes solicitar restricciones en los usos y revelaciones de su

información.

También les requiere que adopten procedimientos de privacidad por escrito que incluyan:

Control de acceso a la información protegida.

El uso de la información dentro de la agencia.

Control de la divulgación de la información.

Garantizar que los asociados del negocio protejan la privacidad de la información

del paciente.

Enseñar a los empleados los procedimientos de privacidad del proveedor.

Designar un oficial de privacidad que es responsable de asegurarse que los

procedimientos de seguridad se cumplen.

La Regla de Privacidad requiere que el proveedor actúe razonablemente para evitar

divulgaciones innecesarias y no autorizadas. La comunicación entre proveedores, o

de éstos con sus pacientes, está permitida.

Las divulgaciones que ocurran en este proceso constituyen lo que HIPAA denomina

como divulgaciones incidentales Ej. Hablar con un paciente en una habitación semi-

privada, ambiente de terapia física o divulgaciones hechas en el transcurso de

tratamiento.



Las llamadas divulgaciones incidentales están permitidas si se establecen salvaguardas

razonables sin embargo existen otras que carecen de razonabilidad:

Razonable:

Nombre de los pacientes en las puertas

Discutir el caso con el paciente en su habitación

Lista con nombre y hora de llegada

Expediente en estación de enfermeras

Suero con nombre, medicamento y dosis

No Razonable

Diagnósticos de los pacientes en las puertas

Discutir el caso con el paciente en los pasillos o en público

Lista con nombre y queja principal

Expediente en la cama del paciente

Suero con nombre, medicamento y diagnóstico.

De otra parte, existe una serie de divulgaciones que pueden ser autorizadas por el paciente como son:

A representantes del paciente, familiares, relacionados o amigos íntimos

sólo información relevante al apoyo del cuidado del paciente o el pago de los

servicios.

Si el paciente está presente y puede tomar decisiones, se puede divulgar PHI si:

o Se obtiene el consentimiento del paciente

o Razonablemente se infiere de las circunstancias, basado en nuestro juicio

profesional, que el paciente no objetará.

Si el paciente no está presente la entidad cubierta puede utilizar su juicio profesional y su experiencia en la práctica para decidir si es apropiado o no divulgar.

La divulgación en si misma tiene una serie de requisitos adicionales como son:

Que divulga el PHI



A quien se divulga el PHI

Descripción del PHI a divulgarse

Fecha o evento de expiración de la información

Derecho del paciente a revocar una autorización realizada

Indicación de posibilidad de divulgación subsiguiente y que el PHI pierda su

protección

Firma y fecha de autorización

Si la autorización es hecha por un representante requiere descripción de autoridad

De acuerdo a la Ley HIPAA, el paciente tiene derecho a recibir un informe de contabilidad

de las divulgaciones hechas por la entidad cubierta en los 6 años previos a la solicitud

actual.

Establece la ley que estos 6 años se cuentan a partir del 14 de abril de 2003, se pueden

realizar en bitácoras o diarios de papel o de manera electrónica, el departamento o

unidad que hace la divulgación será responsable de contabilizarla y la entidad cubierta

tendrá un plazo de 60 días para hacer la contabilidad con la posibilidad de solicitar 30

días adicionales para presentarla.

Existe un estándar mínimo de divulgaciones que establece que la entidad cubierta debe

realizar una serie de esfuerzos razonables para limita las divulgaciones y tiene como

objetivos:

Mantener la confidencialidad de la información.

Preparar protocolos de divulgaciones frecuentes.

Uso de juicio profesional en caso de divulgaciones recurrentes o no rutinarias.

Identificar el tipo de información que la persona a cargo deberá divulgar. Existen instancias en que la divulgación de información conlleva mayores retos como es

el caso de padres e hijos. La ley estatal establece el que no se requerirá el

consentimiento del padre de un menor para recibir servicios de salud en:

Menores - Se permite que un menor de 14 años pueda obtener consejería

y tratamiento de salud mental, hasta un máximo de 6 sesiones, sin el

consentimiento de sus padres. También puede consentir a los efectos de

examen y tratamiento de enfermedades de transmisión sexual.

Menores, entre 18 y 21 años - Pueden consentir para donar sangre, sin la

necesidad del consentimiento de sus padres o tutores.



Jóvenes embarazadas - Todo menor no emancipada o mentalmente

incapacitada que está embarazada podrá recibir cuidados y servicios de

salud pre y post natales, servicios de orientación, sin que se tenga que

cumplir con el requisito previo del consentimiento de los padres.

Con el desarrollo de los medios de comunicación las medidas de divulgación y protección

de información se han intensificado como son:

Medidas para divulgar PHI por facsímile y ubicación de máquinas de

facsímile (fax)

o De ser posible, se separará las máquinas de facsímiles para uso

regular de la oficina de aquellas que se utilizan para transmitir

información de salud de pacientes.

o La hoja de trámite deberá contener un aviso como: “Esta

Transmisión Incluye Información Confidencial de Salud” o

“DOCUMENTO CONFIDENCIAL”.

o No se transmitirá información de salud mental vía facsímile a menos

que la entidad cubierta cuente con autorización escrita del paciente

para transmitir PHI por fax.

o Se evitará, hasta donde sea posible, transmitir PHI con información

sensitiva.

o En casos de adicciones o dependencias a drogas o alcohol se

tratará de limitar el uso de facsímiles a situaciones urgentes o no

rutinarias. Se coordinará con las personas que envíen facsímiles

con PHI, para evitar que permanezca en la máquina. Se designarán

personas para recibir y distribuir facsímiles.

o Se asegurará que los facsímiles se coloquen en lugares seguros y

su confidencialidad sea mantenida hasta que sean entregados. Se

confirmará que los números de facsímile sean los correctos. Se

llamará y notificará que se está enviando un facsímile.

o Se requerirá confirmación del recibo del facsímile. No se confiará ni

dependerá de número de facsímile listados en guías telefónicas o

directorios.



Medidas para divulgar PHI por teléfono

o La entidad cubierta se asegurará que toda divulgación de PHI

teléfono para TPO se haga confidencialmente y la limitará al mínimo

necesario.

o Verificará la identidad de la persona, pidiéndole información para

identificarlo.

o Verificará si se ha hecho una solicitud de envío de PHI por medios

o lugares alternos antes de divulgar.

o Si es necesario dejar un mensaje en una máquina que toma

mensajes como medidas cautelares se dejará:

El nombre de quién llama

A quién va dirigido el mensaje y una solicitud para devolver la

llamada a un número.

o NO se dejará:

Ninguna información que identifique a la entidad cubierta o

Información relacionada con el paciente.

o NO se divulgará por teléfono información:

Psiquiátrica

Tratamiento de drogas y alcohol

Violencia doméstica

Relacionada con enfermedades de transmisión sexual

Relacionada con embarazos, abortos o contraceptivos

VII. REGLA DE SEGURIDAD Y TECNOLOGÍA El 21 de abril de 2005 entró en vigor la regla de Seguridad de HIPAA. Toda entidad

cubierta que maneje PHI de forma electrónica (ePHI) debe tener en vigor mecanismos

que protejan el acceso, uso y divulgación a la información de pacientes que mantiene en

medios electrónicos.

Algunas medidas recomendadas son:

Eliminar los puertos o salidas (CD / USB)



Establecer una contraseña por cada usuario (password)

Utilizar “screen saver” para evitar la divulgación innecesaria de información.

Destruir o Guardar el disco antes de eliminar una computadora

Hacer “backups” de información continuamente.

Instalar un antivirus seguro y efectivo.

Tener filtros adecuados para el uso de internet.

Encriptar la información cuando se envía a través de medios electrónicos.

La mayoría de los dispositivos están incluidos en las reglamentaciones establecidas por

HIPAA:

Laptop - Notebook

Teléfonos inteligentes

Impresoras y Fotocopiadoras (Smart)

I-Pad / Tablet

Sistemas “Cloud” - Sky - Face

Páginas Públicas

La Regla de Seguridad requiere que las entidades cubiertas tomen salvaguardas

administrativas, técnicas y físicas para proteger la confidencialidad, integridad y

disponibilidad del e PHI.

Las medidas deben ser tomadas basándose en el tamaño y complejidad de la entidad

cubierta como, por ejemplo, las estrategias que usará un médico en su oficina privada

no serán iguales a las que pondrá en vigor un hospital.

VIII. MEDIDAS ADMINISTRATIVAS Son divididas en tres categorías:

GENERALES - Son en general funciones administrativas como políticas y

procedimientos que apoyan el proceso de cumplimiento con los estándares.

Comprenden un conjunto de medidas que protegen el e PHI y que guían la

conducta de la fuerza trabajadora en relación a la protección de la

información. Implica que estén en vigor o se hayan trabajado aspectos como:

Análisis y manejo de riesgos, adiestramientos de seguridad y Política de

sanciones.



FÍSICAS - Se compone de mecanismos para proteger el acceso a lugares,

equipos y sistemas en los que se conserva información de salud protegida en

medios electrónicos. La protección va desde contra amenazas ambientales hasta

el acceso de personas no autorizadas.

TÉCNICAS - Son primordialmente procesos automatizados para controlar el

acceso y uso no autorizado de la información. Incluye el uso de mecanismos de

control de acceso e identificación de usuarios para verificar que el personal que

hace uso del sistema de información, está autorizado para ello.

IX. ASOCIADOS DE NEGOCIOS: ACUERDOS Y MEDIDAS La ley se refiere a cualquier persona natural o jurídica que provee servicios

representando o a nombre de la entidad cubierta. Crea, recibe o divulga PHI para la

entidad cubierta y puede ser una entidad externa que lleve a cabo las siguientes labores,

entre otras:

Facturación

Administración de Reclamaciones

Análisis de Datos

Revisión de Utilización

En aquellos casos que los asociados de negocio no cumplan con sus obligaciones la

entidad cubierta podrá tomar acción para corregir la deficiencia, o terminar el contrato.

X. LEGISLACIÓN RELACIONADA El gobierno de los Estados Unidos estableció una ley para establecer el Récord

Electrónico, conocida como HITECH. Esta ley tiene similitud con la Ley HIPAA en

algunos de sus Títulos / Artículos.

OMNIBUS - Esta reglamentación entró en vigor el 23 de septiembre de 2013. En la actualidad, las multas y penalidades de HIPAA - HITECH pueden superar 1 millón

de dólares y, en algunos escenarios, incluir cárcel.

Algunas de estas penalidades:



Uso indebido de los incentivos para la implementación del Récord Electrónico.

Violación de la Privacidad o Confidencialidad de un paciente

Fuga de información

Incumplimiento - Implica una serie de sanciones y multas

o No cumplir con los estándares desde $100 por persona por violación

hasta $25,000 por persona por violación de un solo estándar en un

año calendario.

o Por el uso y divulgación indebida de información de salud protegida

o por la obtención de esta información, hasta $50,000 de multa y un

año de prisión.

o Si la violación anterior es cometida bajo fraude o engaño (falses

pretenses) la penalidad sería de $100,000 de multa y hasta cinco

años de cárcel.

o Si la violación es con el propósito o intención de vender, transferir o

usar información de salud protegida identificable con propósitos de

obtener ventajas comerciales o de negocio, ganancias personales o

causar daño malicioso, la pena podría ser multa a 10 años de cárcel.

Las normas de privacidad y confidencialidad y medidas de seguridad de la Ley

HIPAA pretenden proteger al paciente y permitir que se controle la divulgación de su

información médica protegida. La ley requiere que cada entidad cubierta tenga un

procedimiento de quejas a fin de que un paciente que crea que sus derechos han sido

violados pueda ser atendido al radicar una queja o querella. Proteger la información del

paciente es su deber y es un derecho de todos y todas las pacientes al recibir servicios

de salud de alta calidad para el desarrollo de una mejor calidad de vida.



Referencia Bibliográfica:

1. Department of Health and Human Services Centers for Medicare &Medicaid Services (2015). ICD -10 (CM) PCS The Next Generation Coding

2. Lex Juris de Puerto Rico - Legislación para el profesional de la salud al 2012- 2018

3. Vincent C, Amalberti R., “Seguridad del paciente. Estrategias para una asistencia sanitaria más segura”. Madrid: Modus Laborandi. 2016.



Prueba Diagnóstica Ley HIPPA: Sano Manejo de la Información

Nombre: _________________________________

Fecha: ___________________________________

Profesión: ________________________________

Licencia: _________________________________

Instrucciones: Seleccione la mejor contestación y conteste las premisas en el formulario provisto. Lea cada una de las siguientes oraciones y conteste Cierto o Falso.

_____1. La ley se caracteriza por ser la sustitución del uso de la fuerza por el orden.

_____2. HIPAA ocupa el campo estatal, desplaza, sustituye y prevalece sobre

cualquier ley local que le sea contraria.

_____3. La persona tiene derecho a una notificación adecuada sobre los usos y

divulgaciones de su información de salud.

_____4. Nunca se podrá enviar información del paciente por fax.

_____5. La Regla de Privacidad requiere que el proveedor actúe razonablemente para

evitar divulgaciones innecesarias y no autorizadas.

_____6. El PHI es aquella información personal de salud que permite identificar a un

paciente particular dentro del universo de pacientes atendidos por las diversas entidades.

_____7. Por regla general, no es requisito obtener el consentimiento informado de los

pacientes para recibir servicios de salud.

_____8. La Ley HIPAA cubre el no revelar diagnóstico, tratamiento y/o laboratorios sin el

consentimiento del paciente.

_____9. Se define más estricta aquella legislación que concede mayor acceso y

derechos al paciente en cuanto a su información de salud y la protege en mayor

amplitud.

_____10. La Regla de Seguridad no requiere que las entidades cubiertas tomen

salvaguardas administrativas, técnicas y físicas para proteger la confidencialidad,

integridad y disponibilidad del e PHI.

Uso Oficial

Correctas ________ Incorrectas ___________

Total, ítems ______ Horas Aprobadas ______



HOJA DE EVALUACIÓN MÓDULO

NOMBRE: ______________________________________ FECHA: ________________________

NOMBRE DEL MÓDULO: _____________________________________________________________

INSTRUCCIONES: INSTRUCCIONES: Haga una sola marca de cotejo (ü) en la columna que mejor refleje su opinión para cada criterio, en una escala del 1 al 5 donde el 5 es excelente y 1 es muy pobre. (5-Excelente, 4-Bueno, 3-Satisfactorio, 2-Pobre, 1-Muy Pobre, N/A-No Aplica)

ASPECTOS GENERALES 5 4 3 2 1 N/A

1. El contenido del módulo fue expuesto de forma clara y sencilla.

2. Metodología en que se presentó el tema del módulo.

3. El contenido es actualizado y es pertinente.

4. La prueba es cónsona con el contenido del módulo.

5. Organización general del módulo.

6. Personal que le brindó servicio y asistencia.

7. Proceso de matrícula y registro.

8. El acceso del módulo por medio de la página web.

9. Le interesaría tomar otro módulo aprobado para su profesión ofrecida por la UAGM - Recinto de Gurabo.

10. Recomendaría el módulo a otros profesionales.

11. Contribución del curso en la actualización de mis competencias profesionales.

El módulo fue adquirido a través de: □ Visita a EC □ Página Web □ Correo Electrónico □ Fax

Lo más provechoso fue..._________________________________________________________________________________ _____________________________________________________________________________________ Recomiendo se mejore lo siguiente: _______________________________________________________ _____________________________________________________________________________________ Me gustaría que incluyan los siguientes cursos en la oferta académica de la Escuela Estudios Profesionales y Educación Continua: _______________________________________________________ _____________________________________________________________________________________

ley hipaa sano manejo de la información del paciente

Documents