¿Cuándo es un abogado o un contable un asociado comercial de la HIPAA?

El papel de asociado comercial de la HIPAA se basa en los servicios

Por Mike Semel
Blog: 4Medapproved.com/HITSecurity
Twitter: @SemelConsulting

La pregunta sobre si un abogado o un contable es un Asociado de Negocio de la HIPAA está directamente relacionada con varias secciones del marco de la Regla de Seguridad de la HIPAA para proteger la información sanitaria electrónica. Es aún más importante hoy en día con los cambios de HIPAA Business Associate y subcontratista en la Regla Final Omnibus de HIPAA que se aplicará después del 23 de septiembre de 2013. Al igual que la seguridad después del 11 de septiembre, la HIPAA está cambiando el panorama empresarial para siempre. Ya no es necesario ser una empresa sanitaria para ser responsable de la protección de la Información Sanitaria Protegida (PHI). Con las organizaciones sanitarias ahora más responsables que nunca del cumplimiento de sus proveedores, los abogados y contables tienen que dar un paso adelante y cumplir con la HIPAA.

Antecedentes

Las Entidades Cubiertas por la HIPAA son los proveedores de atención sanitaria y los pagadores que procesan ciertas transacciones electrónicamente. Entre ellas se encuentran médicos, dentistas, hospitales, clínicas, farmacias, laboratorios y compañías de seguros.

Un «asociado comercial» es una persona o entidad que realiza ciertas funciones o actividades que implican el uso o la divulgación de información sanitaria protegida en nombre de una entidad cubierta, o que le presta servicios.

Un asociado comercial de la HIPAA debe firmar un acuerdo que limite el uso de la información sanitaria que utiliza. La Regla Final Omnibus de la HIPAA requiere que un Asociado de Negocios de la HIPAA cumpla con la HIPAA como si fuera una Entidad Cubierta, incluyendo las políticas y procedimientos de la HIPAA, un Análisis de Riesgos, la formación del personal y la seguridad de cualquier dato de los pacientes que almacene. La norma fue más allá al exigir que un asociado comercial sea responsable del cumplimiento de la HIPAA de cualquier subcontratista que utilice. Los subcontratistas ahora incluyen los centros de datos, los servicios en la nube y las empresas de copias de seguridad en línea.

Quién es un Asociado de Negocio de la HIPAA es muy importante porque ahora las empresas que les dan servicio también se consideran Asociados de Negocio y tienen que cumplir con la HIPAA. Esto significa que una empresa de informática, una empresa que proporciona software jurídico, una empresa de reparación de fotocopiadoras o un almacén de papel, por mencionar algunas, ahora tendrán que cumplir con la HIPAA aunque no tengan directamente clientes de atención sanitaria. Como sus clientes tienen clientes sanitarios, tienen que cumplir.

Abogados

Cualquier abogado cuyos servicios legales para una Entidad Cubierta impliquen el acceso a datos de pacientes es un Asociado de Negocio de la HIPAA. Algunos servicios legales como los inmobiliarios o los contratos no requieren acceso a los registros de los pacientes. La defensa por negligencia es un claro ejemplo en el que se requieren los registros de los pacientes.

El mero hecho de poseer registros médicos no convierte a un abogado en un Asociado de Negocio de la HIPAA. Por ejemplo, en una demanda por mala praxis, el paciente que demanda a su médico entrega su historial médico a su abogado. Esto no convierte al abogado del demandante en un Asociado de Negocios, porque el paciente puede dar sus registros a cualquiera. El médico demandado entrega la historia clínica del paciente a su abogado. Esto hace que el abogado del demandado sea un Asociado de Negocios de la HIPAA porque el médico es una Entidad Cubierta y está compartiendo los datos del paciente con alguien fuera de su fuerza de trabajo.

La Asociación de Abogados de Dallas dice: «Específicamente, los abogados que representan a Entidades Cubiertas, si reciben PHI de la Entidad Cubierta (o producen PHI en nombre de la Entidad Cubierta), son Asociados de Negocios. Por lo tanto, si usted representa a un plan de salud, proveedor o centro de intercambio de información y recibe la PHI del cliente, debe firmar un BAA con el cliente. Si no lo ha hecho, es probable que su cliente esté violando la HIPAA». El Colegio de Abogados del Estado de Minnesota está de acuerdo: «Los bufetes de abogados con acceso a información sanitaria protegida probablemente se verán clasificados como «socios comerciales» bajo las nuevas normas de la HIPAA y, por lo tanto, estarán sujetos a los nuevos requisitos de privacidad, seguridad y notificación de infracciones que rigen su manejo de dicha información»

Aunque los abogados suelen pensar que el cumplimiento de la HIPAA es un ejercicio de contratos, en realidad es un ejercicio de seguridad informática y protección de datos. Exige que todas las empresas de TI subcontratadas, los centros de datos, los proveedores de software legal en la nube, los proveedores de correo electrónico, los proveedores de almacenamiento de registros en papel, las empresas de trituración y otros firmen Acuerdos de Asociados Comerciales y proporcionen servicios que cumplan con la HIPAA.

Contadores

Un contador que audita los libros de las organizaciones de atención médica a menudo ve la información del paciente. Realizan un seguimiento de las facturas de los tratamientos para seguir el copago del paciente, los pagos del seguro y las cancelaciones, para comprobar que las transacciones se han gestionado correctamente en el sistema contable. Esto significa que el contable es un Asociado de Negocio.

Riesgos

Los abogados y los contables llevan ordenadores portátiles y otros dispositivos portátiles. Se han impuesto grandes multas de la HIPAA por la pérdida de ordenadores portátiles y discos duros que contenían datos de pacientes. Los ordenadores portátiles y cualquier medio de almacenamiento portátil deben estar encriptados, ya que si un dispositivo encriptado se pierde, no es una violación de datos notificable. Los dispositivos deben estar protegidos contra el malware, la pérdida o el robo. Las multas no sólo se imponen a un Asociado de Negocio que vulnera los datos de los pacientes, sino que también pueden imponerse a su cliente que los contrató.

Un bufete de abogados o un contable que sea un Asociado de Negocio requiere políticas de la HIPAA, procedimientos documentados que respalden las políticas, un análisis de riesgos de la HIPAA y formación de la plantilla para su dirección y personal, incluidos los abogados y contables. Debe asegurarse de que todos los registros de pacientes en su software de gestión de casos o de auditoría son seguros. Nunca debe enviar por correo electrónico información de los pacientes sin cifrar fuera de la empresa. Debe tener su red y sus dispositivos protegidos contra el malware y el acceso no autorizado. Su empresa de soporte informático debe tener la certificación HIPAA para conocer las normas. Sólo puede hacer negocios con proveedores de la nube, centros de datos y proveedores de copias de seguridad en línea que firmarán Acuerdos de Asociados de Negocios e implementarán programas de cumplimiento.

Si un abogado o contador no firma un Acuerdo de Asociados de Negocios de HIPAA o implementa el cumplimiento de HIPAA, cualquier información compartida con él sería una violación de datos. Una Entidad Cubierta no tiene más remedio que encontrar a alguien que cumpla con la HIPAA para proporcionar representación legal o servicios de contabilidad.

Mike Semel está certificado en HIPAA y ha sido el CIO de un hospital (Entidad Cubierta) y ha proporcionado soporte de TI para los proveedores de atención médica (como Asociado de Negocios.) Mike está certificado en la planificación de la Continuidad del Negocio y ayudó a desarrollar el CompTIA Security Trustmark. Semel Consulting ofrece un servicio de cumplimiento gestionado llamado HIPAA SOS, auditorías de cumplimiento, análisis de riesgos de seguridad de uso significativo y planificación de la continuidad del negocio. Visite www.semelconsulting.com para obtener más información.