Comenzando con la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPPA) en 1996, la nueva legislación ha fortalecido continuamente las regulaciones de privacidad del paciente. En 2009, se aprobó la ley HITECH para garantizar la protección de la información del paciente y se enumeran las acciones que se deben tomar si se viola la información del paciente.
La Oficina de Derechos Civiles (OCR) impone el cumplimiento del correo electrónico a través de la regla de seguridad HIPAA. Se permiten las comunicaciones por correo electrónico entre entidades cubiertas y pacientes siempre que se proporcionen salvaguardias "razonables".
Estas salvaguardas incluyen notificaciones, portales seguros y cifrado de correo electrónico. Las entidades cubiertas incluyen proveedores de atención médica, planes de salud y cámaras de compensación de atención médica.
Aunque el correo electrónico se utiliza desde hace más de veinte años, no se ha considerado una forma segura de comunicación. El uso de correos electrónicos entre proveedores de atención médica y pacientes se ha vuelto cada vez más extendido. Los correos electrónicos no son seguros a menos que estén cifrados.
Además, los correos electrónicos seguros enviados a teléfonos inteligentes pueden perder su cifrado cuando se traducen a clientes de correo electrónico basados en la web (como Google).
La Ley HITECH de 2009 estipula consecuencias embarazosas si incluso un paciente se queja de una violación de la privacidad.
Si se produce una violación de seguridad con un paciente, significa que se están produciendo violaciones con varios pacientes.
Tal violación requiere notificación a varias partes. Primero, se debe notificar al Secretario de Salud y Servicios Humanos.
A continuación, se debe notificar a todos los pacientes de la entidad cubierta. Por último, es posible que la entidad cubierta necesite ponerse en contacto con los medios para cumplir con los requisitos de notificación. Estos requisitos quedan anulados si la información fue cifrada.
Ningún proveedor o entidad de atención médica desea convertirse en el blanco del escrutinio de los medios. Los proveedores de atención médica (y entidades asociadas) pueden tomar medidas para garantizar el cumplimiento del correo electrónico de HIPAA.
Los proveedores de atención médica que utilizan sistemas EMR (registros médicos electrónicos) pueden utilizar portales seguros dentro de sus sistemas para enviar y recibir comunicaciones protegidas de los pacientes.
Este es un método ideal y rentable para comunicarse con los clientes. La seguridad de estos portales debe probarse exhaustivamente antes de su utilización.
Los portales seguros suelen tener direcciones web que comienzan con https (tenga en cuenta la “s” al final). Estas cartas se traducen al protocolo de transferencia de hipertexto seguro.
Cumplimiento de correo electrónico HIPAA requiere que los pacientes sean informados sobre las opciones relacionadas con la correspondencia por correo electrónico de diversas maneras.
En el pasado, el gobierno federal instó a las organizaciones de atención médica a practicar el cumplimiento voluntario. Esta petición voluntaria ha sido sustituida por mandatos y métodos de censura. Las prácticas de correo electrónico que cumplen con HIPAA incluyen una serie de disposiciones.
Todos los correos electrónicos de los pacientes deben contener exenciones de responsabilidad para satisfacer los requisitos de cumplimiento. Esto significa que una entidad cubierta debe proporcionar notificaciones por correo electrónico en línea y notificaciones "físicas" visibles que adviertan a los pacientes sobre los posibles riesgos de seguridad de transmitir "información de salud protegida" (PHI) por correo electrónico.
Si su entidad incluye una página web para enviar preguntas por correo electrónico, pegue una declaración destacada que diga: "Las comunicaciones por correo electrónico no son seguras". Esto no se aplicaría a un portal seguro.
Cree una firma de correo electrónico para todas las comunicaciones por correo electrónico salientes, informando a los pacientes que las comunicaciones por correo electrónico no son seguras y pueden ser interceptadas por partes desconocidas.
Utilice esta misma firma para informar a los pacientes que no revelen información personal como fecha de nacimiento o información médica.
Informe a sus pacientes que no es necesario incluir información médica en las comunicaciones por correo electrónico. Coloque descargos de responsabilidad en múltiples ubicaciones, incluidos sitios web, las paredes de su oficina y en sus comunicaciones por correo electrónico.
Documente el consentimiento de su paciente para recibir comunicaciones por correo electrónico. Utilice “Hojas de contactos de emergencia” para proporcionar áreas para el consentimiento por correo electrónico.
Si está utilizando un sistema EMR, evite ingresar la dirección de correo electrónico del paciente en el sistema. Esto garantizará que los pacientes no reciban recordatorios de citas por correo electrónico ni otras notificaciones.
Los sistemas de registros médicos electrónicos (EHR) permiten el acceso a portales seguros para pacientes. Guíe a sus pacientes para que utilicen estos portales para comunicaciones confidenciales.
Estos portales están diseñados para superar los estándares de seguridad de HIPAA y permitir comunicaciones seguras, incluidos pagos con tarjeta de crédito, resurtidos de recetas e incluso acceso a registros médicos. Como proveedor, debe asegurarse de que su proveedor del portal EHR pruebe adecuadamente estos portales y de que se le proporcionen certificados de seguridad.
Si debe usar correos electrónicos para comunicarse con los clientes, use aplicaciones seguras de encriptación de correo electrónico que cumplan con HIPAA. Hay muchas aplicaciones de este tipo en el mercado. El propósito de las aplicaciones de correo electrónico que cumplen con HIPAA es:
- Utilice servidores de correo electrónico seguros
- Controle quién puede leer, copiar o reenviar correos electrónicos
- Cree límites de "lectura" y establezca fechas de vencimiento en los correos electrónicos enviados
- Cifrar cuentas de correo electrónico
- Permita que se envíen correos electrónicos encriptados desde cualquier computadora
- Permitir la visualización de correos electrónicos encriptados desde cualquier computadora con acceso a Internet
- Cree configuraciones de seguridad avanzadas que deshabiliten las capacidades de impresión y copia
- Cifre no solo el texto del correo electrónico, sino también los archivos adjuntos
La regla de seguridad HIPAA crea estándares para proteger la información médica personal electrónica (ePHI).
La Regla de Seguridad requiere salvaguardias apropiadas para garantizar la confidencialidad de la ePHI. La Regla de Seguridad exige el cumplimiento de los estándares existentes y puede investigar quejas y realizar revisiones de cumplimiento.
Si su organización es una entidad cubierta que debe cumplir con las regulaciones de correo electrónico de HIPAA, es imperativo actuar de acuerdo con la Regla de seguridad. Las sanciones por incumplimiento van desde sanciones civiles de $100.00 por infracción hasta sanciones penales de $250,000.00 y diez años de cárcel por incumplimiento intencional.
En el mejor de los casos, cualquier infracción dará como resultado que se notifique a los pacientes y se haga publicidad negativa. Los controles de cumplimiento son continuos y cada entidad cubierta debe desarrollar e implementar procedimientos de seguridad, incluida la documentación. Las políticas de cumplimiento deben incluir procedimientos de control y verificación.
Para los proveedores de atención médica que no deseen utilizar portales seguros o aplicaciones de correo electrónico compatibles con HIPAA, evite colocar ePHI en el cuerpo de un correo electrónico y cifre manualmente los archivos enviados como archivos adjuntos de correo electrónico. La información médica electrónica del paciente puede enviarse a través de una red electrónica abierta siempre que la información esté adecuadamente protegida.
Las reglas de cumplimiento de correo electrónico de HIPAA requieren que un proveedor de salud o entidad cubierta tome precauciones razonables. Esto incluye verificar la precisión de las direcciones de correo electrónico y enviar correos electrónicos de prueba a los pacientes para confirmar la dirección. Si el paciente inicia el contacto por correo electrónico, el proveedor puede asumir que el contacto por correo electrónico es aceptable para el cliente.
Existen múltiples productos en el mercado para proteger y cifrar la correspondencia por correo electrónico.
Tenga en cuenta las regulaciones, los requisitos y especialmente las sanciones por no proteger la correspondencia por correo electrónico que contenga ePHI.
Si accede a información confidencial a través de teléfonos inteligentes y tabletas, verifique que los correos electrónicos cifrados permanezcan cifrados en estos dispositivos. Cumpla con las regulaciones de correo electrónico de HIPAA y evite ser el centro de atención de la publicidad dañina en los medios.
