¿Cuál es la relación entre EHR y la implementación de HIPAA?

La idea de los registros de salud electrónicos se introdujo a fines de la década de 1960 por el Dr. Larry Weed, y el primer sistema de registro de salud completamente electrónico fue desarrollado por el Instituto Regenstreif en 1972. No fue hasta la promulgación de la Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996. sin embargo, los EHR se hicieron ampliamente utilizados. Los propietarios de pequeñas empresas en la industria del cuidado de la salud, especialmente los proveedores y subcontratistas, deben entender la relación entre los EHR y HIPAA.

Significado historico

La Administración de Salud de Veteranos, una serie de compañías de desarrollo de software y dos presidentes fueron las fuerzas impulsoras detrás de la amplia aceptación de los sistemas de HME. La legislación federal, incluida la Ley de tecnología de la información de salud para la salud económica y clínica de 2009 y las modificaciones descritas en la Regla general de HIPAA alentaron simultáneamente el uso de EHR en instalaciones de atención médica y reforzaron las reglas de HIPAA sobre privacidad, seguridad, notificación de incumplimiento y cumplimiento.

Cómo evolucionó la relación

La implementación de la Ley HITECH de 2009 comenzó a cambiar la relación entre los EHR y HIPAA. El cambio más significativo se centró en empresas de terceros que trabajan con agencias de atención médica. Antes de la implementación de la ley, las empresas de terceros, denominadas socios comerciales, no cumplían con los mismos estándares de cumplimiento de seguridad de la información HIPAA que los empleados de las empresas de atención médica. Por ejemplo, hasta 2009, una regla que exige que las empresas informen una infracción de seguridad que lleva a la divulgación de información de salud protegida no se aplica a los socios comerciales.

Seguridad de información

La Regla de seguridad de HIPAA ahora requiere que las empresas de atención médica y los socios comerciales, incluidos los proveedores, los intercambios de información de salud y las pasarelas electrónicas, protejan la información almacenada en los EHR mediante la implementación de medidas de seguridad físicas, administrativas y técnicas de seguridad de la información. Estos incluyen controles de acceso a la computadora, como una política que requiere una contraseña segura y un número de identificación personal, un sistema de encriptación para proteger la información electrónica almacenada y un sistema para crear una pista de auditoría automática para registrar quién accede y trabaja con información de salud electrónica.

Notificación de Infracción y Cumplimiento

Los requisitos de cumplimiento de la revelación completa de HIPAA y las consecuencias por el incumplimiento se han hecho más estrictos desde 2009. Las empresas de atención médica y los socios comerciales tienen la obligación legal no solo de informar a un cliente, paciente o representante del paciente y al gobierno que se ha producido una violación de seguridad, sino también a explicar las circunstancias El incumplimiento de esta norma puede dar lugar a sanciones económicas importantes, de acuerdo con la Regla de cumplimiento de HIPAA. La regla describe cuatro categorías de violaciones y cuatro niveles correspondientes de montos de penalización. La multa máxima es de $ 1.5 millones anuales por todas las violaciones de un reglamento idéntico.