La Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) proporciona protección federal para la privacidad de la información personal relacionada con la salud. El programa HIPAA es competencia del Departamento de Salud y Servicios Humanos de Estados Unidos. La ley no permite la divulgación de información en algunas circunstancias, como al proveedor de seguros de una persona y de otros profesionales de la salud. HIPAA tiene una regla especial de seguridad que establece las normas para la protección de la información médica que se almacena electrónicamente.
Información personal de salud electrónica
información personal de salud electrónica (e-PHI) está protegida por la "regla de seguridad." información E-PHI no se puede proporcionar a las personas que no están autorizadas para verlo o revelar ninguna información de los registros al tiempo que simultáneamente los registros disponibles por personas autorizadas a revisar los registros. La regla de seguridad también protege contra el cambio o la destrucción de los datos por medios no autorizados.
¿Cómo no se regula esta regla se implementa. clínicas pequeñas pueden tener una forma diferente de mantener registros en lugar de un hospital que tiene sucursales en todo el país.
Restringir el acceso físico
Se requieren medidas de seguridad para estar en el lugar que limite el acceso a los registros de personal no autorizado. Esto se denomina "Fondo para el Acceso y Control."
La "entidad cubierta", que es el lugar que tiene los registros tal como la oficina de un doctor, debe utilizar las políticas y procedimientos para la "utilización adecuada y el acceso a las estaciones de trabajo y los medios electrónicos", según la HIPAA. Esto también se aplica al envío de registros, la eliminación de archivos, la destrucción de los archivos e incluso la reutilización de los medios electrónicos, como un CD de lectura / escritura.
Seguridad electrónica
Políticas deben ser creados y utilizados para hardware y software para crear un registro de quién ha accedido a la información. Un procedimiento debe estar en su lugar para la revisión de quién ha tenido acceso a los registros. Los sistemas deben estar en su lugar para proteger los registros sean modificados o destruidos. Por ejemplo, un sistema de copia de seguridad puede ser utilizado para proteger los datos electrónicos. La protección también se debe proporcionar en el transcurso de envío de los datos electrónicamente. Esto es típicamente un sistema de seguridad de tecnología de la información.
Responsabilidad empresarial
La entidad cubierta debe abordar cualquier violación por ejemplo, si una persona no autorizada hace a obtener acceso a los registros confidenciales. "Medidas razonables" deben tomar medidas para resolver la situación, de acuerdo con la HIPAA. Se considera una violación si la entidad cubierta no tiene garantías tales como el control de acceso en su lugar.
Gestión de registros
Las políticas y procedimientos deben estar en su lugar para mantener los registros. En la actualidad, la norma HIPAA es mantener registros de políticas y procedimientos, así como cualquier acción requerida por escrito para seis años a partir de la fecha de creación o la "última fecha efectiva." La entidad cubierta también debe llevar a cabo una revisión de sus registros e implementar nuevas directrices, según sea necesario. La regla de seguridad no establece reglas de retención para los registros médicos.