Información Hipaa

Cumplimiento de correo electrónico HIPAA

HIPPA

Comenzando con la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPPA) en 1996, la nueva legislación ha fortalecido continuamente las regulaciones de privacidad del paciente. En 2009, se aprobó la ley HITECH para garantizar la protección de la información del paciente y se enumeran las acciones que se deben tomar si se viola la información del paciente.

La Oficina de Derechos Civiles (OCR) impone el cumplimiento del correo electrónico a través de la regla de seguridad HIPAA. Las comunicaciones por correo electrónico entre las entidades cubiertas y los pacientes están permitidas siempre que se proporcionen garantías "razonables". Estas medidas de seguridad incluyen notificaciones, portales seguros y cifrado de correo electrónico. Las entidades cubiertas incluyen proveedores de atención médica, planes de salud y cámaras de compensación de atención médica.

Aunque los correos electrónicos se han utilizado durante más de veinte años, no se han considerado una forma segura de comunicación. El uso de correos electrónicos entre proveedores de atención médica y pacientes se ha generalizado cada vez más. Los correos electrónicos no son seguros a menos que estén encriptados. Además, los correos electrónicos seguros enviados a teléfonos inteligentes pueden perder su encriptación a medida que se traducen a clientes de correo electrónico basados ​​en la web (como Google).

Programas de Ley HITECH de 2009 estipula consecuencias vergonzosas si incluso un paciente se queja de una violación de la privacidad. Si se produce una infracción de seguridad con un paciente, significa que se están produciendo infracciones con varios pacientes. Tal violación requiere la notificación de varias partes. Primero, se debe notificar al Secretario de Salud y Servicios Humanos. A continuación, se debe notificar a todos los pacientes de la entidad cubierta. Finalmente, la entidad cubierta podría necesitar contactar a los medios para cumplir con los requisitos de notificación. Estos requisitos quedan anulados si la información fue encriptada.

Ningún proveedor o entidad de atención médica desea convertirse en el blanco del escrutinio de los medios. Los proveedores de atención médica (y las entidades asociadas) pueden tomar medidas para garantizar Cumplimiento de correo electrónico HIPAA.

Proveedores de atención médica que usan EMR (historia clínica electrónica) pueden utilizar portales seguros dentro de sus sistemas para enviar y recibir comunicaciones protegidas del paciente. Este es un método ideal y rentable para comunicarse con los clientes. La seguridad de estos portales debe probarse exhaustivamente antes de su utilización. Los portales seguros suelen tener direcciones web que comienzan con https (tenga en cuenta la "s" al final). Estas letras se traducen en protocolo de transferencia de hipertexto seguro.

El cumplimiento del correo electrónico de HIPAA requiere que los pacientes estén informados sobre las opciones relacionadas con la correspondencia por correo electrónico en una variedad de formas. En el pasado, el gobierno federal instó a las organizaciones de atención médica a practicar el cumplimiento voluntario. Esta solicitud voluntaria ha sido sustituida por mandatos y métodos de censura. Las prácticas de correo electrónico que cumplen con HIPAA incluyen una serie de disposiciones.

Todos los correos electrónicos de los pacientes deben contener renuncias de responsabilidad para satisfacer los requisitos de cumplimiento. Esto significa que una entidad cubierta debe proporcionar notificaciones por correo electrónico en línea y notificaciones "físicas" visibles que adviertan a los pacientes sobre los posibles riesgos de seguridad de transmitir "información de salud protegida" (PHI) por correo electrónico. Si su entidad incluye una página web para enviar preguntas por correo electrónico, pegue una declaración destacada que diga: "Las comunicaciones por correo electrónico no son seguras". Esto no se aplicaría a un portal seguro.

Cree una firma de correo electrónico para todas las comunicaciones de correo electrónico salientes que informe a los pacientes que las comunicaciones por correo electrónico no son seguras y pueden ser interceptadas por personas desconocidas. Use esta misma firma para informar a los pacientes que no divulguen información personal como fecha de nacimiento o información médica. Aconseje a sus pacientes que no es necesario incluir información médica en las comunicaciones por correo electrónico. Coloque renuncias de responsabilidad en varios lugares, incluidos sitios web, las paredes de su oficina y en sus comunicaciones por correo electrónico.

Documente el consentimiento de su paciente para recibir comunicaciones por correo electrónico. Use "Hojas de contacto de emergencia" para proporcionar áreas para el consentimiento por correo electrónico. Si está utilizando un sistema EMR, evite ingresar la dirección de correo electrónico del paciente en el sistema. Esto asegurará que los pacientes no reciban recordatorios de citas por correo electrónico y otras notificaciones.

Los sistemas de registros de salud electrónicos (EHR, por sus siglas en inglés) permiten el acceso a portales seguros para pacientes. Guíe a sus pacientes a usar estos portales para comunicaciones confidenciales. Estos portales están diseñados para superar los estándares de seguridad de HIPAA y permiten comunicaciones seguras, incluidos pagos con tarjeta de crédito, recargas de recetas e incluso acceso a registros médicos. Como proveedor, debe asegurarse de que su proveedor del Portal EHR pruebe adecuadamente estos portales y de que se le proporcionen certificados de seguridad.

Si debe usar correos electrónicos para comunicarse con los clientes, use aplicaciones seguras de encriptación de correo electrónico que cumplan con HIPAA. Hay muchas aplicaciones de este tipo en el mercado. El propósito de las aplicaciones de correo electrónico que cumplen con HIPAA es:

  • Utilice servidores de correo electrónico seguros
  • Controle quién puede leer, copiar o reenviar correos electrónicos
  • Cree límites de "lectura" y establezca fechas de vencimiento en los correos electrónicos enviados
  • Cifrar cuentas de correo electrónico
  • Permita que se envíen correos electrónicos encriptados desde cualquier computadora
  • Permitir la visualización de correos electrónicos encriptados desde cualquier computadora con acceso a Internet
  • Cree configuraciones de seguridad avanzadas que deshabiliten las capacidades de impresión y copia
  • Cifre no solo el texto del correo electrónico, sino también los archivos adjuntos

La regla de seguridad de HIPAA crea estándares para proteger la información de salud personal electrónica (ePHI). La regla de seguridad requiere medidas de seguridad adecuadas para garantizar la confidencialidad de ePHI. La regla de seguridad exige el cumplimiento de los estándares existentes y puede investigar quejas y realizar revisiones de cumplimiento.

Si su organización es una entidad cubierta que debe cumplir con las regulaciones de correo electrónico de HIPAA, es imperativo actuar de acuerdo con la Regla de seguridad. Las sanciones por incumplimiento van desde sanciones civiles de $100.00 por infracción hasta sanciones penales de $250,000.00 y diez años de cárcel por incumplimiento intencional.

En el mejor de los casos, cualquier infracción dará como resultado que se notifique a los pacientes y se haga publicidad negativa. Los controles de cumplimiento son continuos y cada entidad cubierta debe desarrollar e implementar procedimientos de seguridad, incluida la documentación. Las políticas de cumplimiento deben incluir procedimientos de control y verificación.

Para los proveedores de atención médica que no deseen utilizar portales seguros o aplicaciones de correo electrónico compatibles con HIPAA, evite colocar ePHI en el cuerpo de un correo electrónico y cifre manualmente los archivos enviados como archivos adjuntos de correo electrónico. La información médica electrónica del paciente puede enviarse a través de una red electrónica abierta siempre que la información esté adecuadamente protegida.

Las reglas de cumplimiento de correo electrónico de HIPAA requieren que un proveedor de salud o entidad cubierta tome precauciones razonables. Esto incluye verificar la precisión de las direcciones de correo electrónico y enviar correos electrónicos de prueba a los pacientes para confirmar la dirección. Si el paciente inicia el contacto por correo electrónico, el proveedor puede asumir que el contacto por correo electrónico es aceptable para el cliente.

Existen múltiples productos en el mercado para proteger y cifrar la correspondencia por correo electrónico. Tenga en cuenta las reglamentaciones, los requisitos y especialmente las sanciones por no asegurar la correspondencia de correo electrónico que contenga ePHI. Si accede a información confidencial a través de teléfonos inteligentes y tabletas, verifique que los correos electrónicos encriptados permanezcan encriptados en estos dispositivos. Cumpla con las regulaciones de correo electrónico de HIPAA y evite ser el centro de atención de la publicidad dañina en los medios.