Lei de Portabilidade e Responsabilidade de Seguro Saúde - Health Insurance Portability and Accountability Act

Lei de Portabilidade e Responsabilidade de Seguro Saúde de 1996
Grande Selo dos Estados Unidos
Outros títulos curtos Lei Kassebaum – Kennedy, Lei Kennedy – Kassebaum
Título longo Uma lei para alterar o Código da Receita Federal de 1996 para melhorar a portabilidade e a continuidade da cobertura de seguro de saúde nos mercados de grupo e individuais, para combater o desperdício, fraude e abuso no seguro de saúde e na prestação de cuidados de saúde, para promover o uso de contas de poupança médicas , para melhorar o acesso a serviços e cobertura de cuidados de longo prazo, para simplificar a administração do seguro saúde e para outros fins.
Siglas (coloquial) HIPAA (pronunciado / h ɪ p ə / , HIP-uh)
Promulgado por o 104º Congresso dos Estados Unidos
Citações
Lei pública Pub.L.  104-191 (texto) (pdf)
Estatutos em geral 110  Stat.  1936
História legislativa
  • Apresentado na Câmara como H.R. 3103 por Bill Archer ( R - TX ) em 18 de março de 1996
  • Consideração do comitê pela Câmara dos meios e meios
  • Foi aprovado na Câmara em 28 de março de 1996 ( 267–151 )
  • Aprovado no Senado em 23 de abril de 1996 ( 100–0 , no lugar de S. 1028 )
  • Reportado pelo comitê da conferência conjunta em 31 de julho de 1996; acordado pela Câmara em 1 de agosto de 1996 ( 421–2 ) e pelo Senado em 2 de agosto de 1996 ( 98–0 )
  • Assinado como lei pelo presidente Bill Clinton em 21 de agosto de 1996

O Health Insurance Portability and Accountability Act de 1996 ( HIPAA ou Kennedy - Kassebaum Act) é um estatuto federal dos Estados Unidos promulgado pelo 104º Congresso dos Estados Unidos e sancionado pelo presidente Bill Clinton em 21 de agosto de 1996. Ele modernizou o fluxo de informações de saúde, estipula como as informações de identificação pessoal mantidas pelos setores de saúde e seguro de saúde devem ser protegidas contra fraude e roubo, e abordou algumas limitações na cobertura de seguro saúde . Geralmente, proíbe os prestadores de serviços de saúde e empresas de saúde, chamadas entidades cobertas , de divulgar informações protegidas a qualquer pessoa que não seja um paciente e os representantes autorizados do paciente sem seu consentimento. Com poucas exceções, ele não impede que os pacientes recebam informações sobre si mesmos. Não os proíbe de compartilhar voluntariamente suas informações de saúde da forma que escolherem, ou - se eles revelarem informações médicas a parentes, amigos ou outros indivíduos que não façam parte de uma entidade coberta - exige legalmente que mantenham a confidencialidade.

O ato consiste em cinco títulos. O Título I da HIPAA protege a cobertura de seguro saúde para trabalhadores e suas famílias quando mudam ou perdem seus empregos. O Título II da HIPAA, conhecido como disposições de Simplificação Administrativa (AS), exige o estabelecimento de padrões nacionais para transações eletrônicas de saúde e identificadores nacionais para provedores, planos de seguro saúde e empregadores. O Título III estabelece diretrizes para contas de despesas médicas antes de impostos, o Título IV estabelece diretrizes para planos de saúde em grupo e o Título V rege as apólices de seguro de vida de propriedade da empresa.

Títulos

O ato contém cinco seções, conhecidas como títulos.

Título I: Acesso, portabilidade e renovação de cuidados de saúde

O Título I da HIPAA regula a disponibilidade e amplitude de planos de saúde em grupo e certas apólices de seguro saúde individual. Emendou a Lei de Segurança de Renda de Aposentadoria do Empregado, a Lei de Serviço de Saúde Pública e o Código de Receita Interna.

O Título I exige a cobertura e também limita as restrições que um plano de saúde em grupo pode impor aos benefícios para doenças preexistentes. Os planos de saúde em grupo podem se recusar a fornecer benefícios em relação a doenças preexistentes por 12 meses após a inscrição no plano ou 18 meses no caso de inscrição tardia. O Título I permite que os indivíduos reduzam o período de exclusão pela quantidade de tempo que eles tiveram "cobertura com crédito" antes de se inscrever no plano e após quaisquer "interrupções significativas" na cobertura. "Cobertura creditável" é definida de forma bastante ampla e inclui quase todos os planos de saúde individuais e em grupo, Medicare e Medicaid. Uma "interrupção significativa" na cobertura é definida como qualquer período de 63 dias sem qualquer cobertura creditável. Junto com uma exceção, permitindo que os empregadores associem prêmios ou co-pagamentos ao uso do tabaco, ou índice de massa corporal.

O Título I também exige que as seguradoras emitam apólices sem exclusão para aqueles que deixam planos de saúde em grupo com cobertura creditável (veja acima) superior a 18 meses, e renovem apólices individuais enquanto forem oferecidas ou forneçam alternativas para planos descontinuados enquanto a seguradora permanece no mercado sem exclusão, independentemente do estado de saúde.

Alguns planos de saúde estão isentos dos requisitos do Título I, como planos de saúde de longo prazo e planos de escopo limitado, como planos odontológicos ou oftalmológicos oferecidos separadamente do plano geral de saúde. No entanto, se esses benefícios fizerem parte do plano geral de saúde, a HIPAA ainda se aplica a esses benefícios. Por exemplo, se o novo plano oferece benefícios odontológicos, ele deve contabilizar a cobertura contínua creditável do antigo plano de saúde para qualquer um de seus períodos de exclusão de benefícios odontológicos.

Um método alternativo de cálculo da cobertura contínua com crédito está disponível para o plano de saúde sob o Título I. Ou seja, 5 categorias de cobertura de saúde podem ser consideradas separadamente, incluindo cobertura odontológica e oftalmológica. Qualquer coisa fora dessas 5 categorias deve usar o cálculo geral (por exemplo, o beneficiário pode ser contado com 18 meses de cobertura geral, mas apenas 6 meses de cobertura odontológica, porque o beneficiário não tinha um plano geral de saúde com cobertura odontológica até 6 meses antes da data de aplicação). Uma vez que os planos de cobertura limitada estão isentos dos requisitos da HIPAA, o caso estranho existe em que o candidato a um plano de saúde geral de grupo não pode obter certificados de cobertura contínua credível para planos independentes de escopo limitado, como odontológico para aplicar para períodos de exclusão do novo plano que inclui essas coberturas.

Os períodos de exclusão ocultos não são válidos sob o Título I (por exemplo, "O acidente, a ser coberto, deve ter ocorrido enquanto o beneficiário estava coberto exatamente por este mesmo contrato de seguro saúde"). Essas cláusulas não devem ser objeto de ação do plano de saúde. Além disso, eles devem ser reescritos para que possam estar em conformidade com a HIPAA.

Título II: Prevenção de fraude e abuso no atendimento à saúde; Simplificação Administrativa; Reforma de Responsabilidade Médica

O Título II da HIPAA estabelece políticas e procedimentos para manter a privacidade e a segurança de informações de saúde individualmente identificáveis, descreve vários crimes relacionados a cuidados de saúde e estabelece penalidades civis e criminais para violações. Também cria vários programas para controlar fraudes e abusos no sistema de saúde. No entanto, as disposições mais significativas do Título II são as suas regras de simplificação administrativa. O Título II exige que o Departamento de Saúde e Serviços Humanos (HHS) aumente a eficiência do sistema de saúde criando padrões para o uso e disseminação de informações de saúde.

Essas regras se aplicam a "entidades cobertas", conforme definido pela HIPAA e o HHS. As entidades cobertas incluem planos de saúde, câmaras de compensação de saúde (como serviços de cobrança e sistemas de informação de saúde da comunidade) e provedores de saúde que transmitem dados de saúde de uma forma regulamentada pela HIPAA.

De acordo com os requisitos do Título II, o HHS promulgou cinco regras relativas à Simplificação Administrativa: a Regra de Privacidade, a Regra de Transações e Conjuntos de Códigos, a Regra de Segurança, a Regra de Identificadores Únicos e a Regra de Execução.

Regra de Privacidade

A regra de privacidade da HIPAA é composta por regulamentações nacionais para o uso e divulgação de informações de saúde protegidas (PHI) em tratamento de saúde, pagamento e operações por entidades cobertas.

A data de cumprimento efetivo da Regra de Privacidade foi 14 de abril de 2003, com uma extensão de um ano para certos "planos pequenos". A Regra de Privacidade da HIPAA regula o uso e divulgação de informações de saúde protegidas (PHI) mantidas por "entidades cobertas" (geralmente, câmaras de compensação de saúde, planos de saúde patrocinados pelo empregador, seguradoras de saúde e prestadores de serviços médicos que participam de certas transações). Por regulamento, o HHS estendeu a regra de privacidade da HIPAA a contratantes independentes de entidades cobertas que se enquadram na definição de "associados de negócios". PHI é qualquer informação mantida por uma entidade coberta em relação ao estado de saúde, prestação de cuidados de saúde ou pagamento de cuidados de saúde que pode estar ligada a qualquer indivíduo. Isso é interpretado de forma bastante ampla e inclui qualquer parte do registro médico ou histórico de pagamento de um indivíduo . As entidades cobertas devem divulgar as PHI ao indivíduo dentro de 30 dias, mediante solicitação. Além disso, eles devem divulgar as PHI quando exigido por lei, como relatar suspeitas de abuso infantil às agências estaduais de bem-estar infantil.

As entidades cobertas podem divulgar informações protegidas de saúde aos encarregados da aplicação da lei para fins de aplicação da lei, conforme exigido por lei (incluindo ordens judiciais, ordens judiciais, intimações) e solicitações administrativas; ou para identificar ou localizar um suspeito, um fugitivo, uma testemunha importante ou uma pessoa desaparecida.

Uma entidade coberta pode divulgar PHI a certas partes para facilitar o tratamento, pagamento ou operações de saúde sem a autorização expressa por escrito do paciente. Quaisquer outras divulgações de PHI exigem que a entidade coberta obtenha autorização por escrito do indivíduo para a divulgação. Em qualquer caso, quando uma entidade coberta divulga qualquer PHI, ela deve fazer um esforço razoável para divulgar apenas as informações mínimas necessárias para atingir seu objetivo.

A regra de privacidade dá aos indivíduos o direito de solicitar que uma entidade coberta corrija qualquer PHI incorreta. Além disso, exige que as entidades cobertas tomem algumas medidas razoáveis ​​para garantir a confidencialidade das comunicações com os indivíduos. Por exemplo, uma pessoa pode pedir para ser chamada no número do trabalho em vez de no telefone residencial ou celular.

A regra de privacidade exige que as entidades cobertas notifiquem os indivíduos sobre o uso de suas PHI. As entidades cobertas também devem acompanhar as divulgações de PHI e documentar as políticas e procedimentos de privacidade. Eles devem nomear um Oficial de Privacidade e uma pessoa de contato responsável por receber reclamações e treinar todos os membros de sua força de trabalho nos procedimentos relativos a PHI.

Um indivíduo que acredita que a Regra de Privacidade não está sendo mantida pode registrar uma reclamação no Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos (OCR). Em 2006, o Wall Street Journal relatou que o OCR tinha um longo acúmulo e ignora a maioria das reclamações. "Reclamações de violações de privacidade têm se acumulado no Departamento de Saúde e Serviços Humanos. Entre abril de 2003 e novembro de 2006, a agência recebeu 23.886 reclamações relacionadas às regras de privacidade médica, mas ainda não tomou nenhuma medida de coação contra hospitais, médicos, seguradoras ou qualquer outra pessoa por violações de regras. Um porta-voz da agência disse que encerrou três quartos das reclamações, normalmente porque não encontrou nenhuma violação ou depois de fornecer orientação informal às partes envolvidas. " No entanto, em julho de 2011, a Universidade da Califórnia, em Los Angeles, concordou em pagar US $ 865.500 em um acordo sobre possíveis violações da HIPAA. Uma investigação do HHS Office for Civil Rights mostrou que, de 2005 a 2008, funcionários não autorizados repetidamente e sem causa legítima examinaram as informações de saúde protegidas eletrônicas de vários pacientes da UCLAHS.

É um equívoco que a regra de privacidade cria o direito de qualquer indivíduo se recusar a divulgar qualquer informação de saúde (como condições crônicas ou registros de imunização) se solicitado por um empregador ou empresa. Os requisitos da Regra de Privacidade da HIPAA apenas colocam restrições à divulgação por entidades cobertas e seus associados comerciais sem o consentimento do indivíduo cujos registros estão sendo solicitados; eles não impõem quaisquer restrições à solicitação de informações de saúde diretamente ao sujeito dessas informações.

Atualização final da regra geral de 2013

Em janeiro de 2013, a HIPAA foi atualizada por meio da Regra Omnibus Final. As atualizações incluíram mudanças nas partes de Regra de Segurança e Notificação de Violação da Lei HITECH. As alterações mais significativas estão relacionadas com a expansão dos requisitos para incluir parceiros de negócios, onde apenas as entidades abrangidas foram originalmente detidas para cumprir estas seções da lei.

Além disso, a definição de "dano significativo" a um indivíduo na análise de uma violação foi atualizada para fornecer mais escrutínio às entidades cobertas com a intenção de divulgar violações que anteriormente não foram relatadas. Anteriormente, uma organização precisava de prova de que o dano ocorreu, enquanto agora as organizações devem provar que o dano não ocorreu.

A proteção do PHI foi alterada de indefinida para 50 anos após a morte. Penalidades mais severas por violação dos requisitos de privacidade do PHI também foram aprovadas.

A regra de privacidade da HIPAA pode ser dispensada durante desastres naturais. Esse foi o caso do furacão Harvey em 2017.

Lei HITECH: Requisitos de privacidade

Consulte a seção Privacidade da Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica ( Lei HITECH ).

Direito de acessar seu PHI

A regra de privacidade exige que os provedores de serviços médicos forneçam aos indivíduos acesso às suas PHI. Depois que um indivíduo solicita informações por escrito (normalmente usando o formulário do provedor para esse fim), o provedor tem até 30 dias para fornecer uma cópia das informações ao indivíduo. Um indivíduo pode solicitar as informações em formato eletrônico ou em papel, e o provedor é obrigado a tentar se adequar ao formato solicitado. Para provedores que usam um sistema de registro eletrônico de saúde ( EHR ) que é certificado usando os critérios CEHRT (Tecnologia de Registro Eletrônico de Saúde Certificado), os indivíduos devem ter permissão para obter o PHI em formato eletrônico. Os provedores são encorajados a fornecer as informações de maneira expedita, especialmente no caso de solicitações de registros eletrônicos.

Os indivíduos têm amplo direito de acessar suas informações relacionadas à saúde, incluindo registros médicos, anotações, imagens, resultados de laboratórios e informações de seguro e cobrança. Excluem-se explicitamente as notas de psicoterapia privada de um provedor e as informações coletadas por um provedor para se defender contra uma ação judicial.

Os provedores podem cobrar uma quantia razoável relacionada ao custo de fornecimento da cópia, no entanto, nenhuma cobrança é permitida ao fornecer dados eletronicamente de um EHR certificado usando o recurso "visualizar, baixar e transferir" que é necessário para a certificação. Quando entregue ao indivíduo em formato eletrônico, o indivíduo pode autorizar a entrega usando e-mail criptografado ou não criptografado, entrega usando mídia (unidade USB, CD, etc., que pode envolver uma cobrança), mensagens diretas (uma tecnologia de e-mail segura de uso comum no setor de saúde), ou possivelmente outros métodos. Ao usar e-mail não criptografado, o indivíduo deve compreender e aceitar os riscos à privacidade usando essa tecnologia (as informações podem ser interceptadas e examinadas por terceiros). Independentemente da tecnologia de entrega, um provedor deve continuar a proteger totalmente a PHI enquanto estiver em seu sistema e pode negar o método de entrega se ele representar risco adicional para a PHI enquanto estiver em seu sistema.

Um indivíduo também pode solicitar (por escrito) que suas PHI sejam entregues a um terceiro designado, como um provedor de cuidados familiares.

Um indivíduo também pode solicitar (por escrito) que o provedor envie PHI para um serviço designado usado para coletar ou gerenciar seus registros, como um aplicativo de Registro de Saúde Pessoal. Por exemplo, uma paciente pode solicitar por escrito que seu provedor de obstetrícia transmita digitalmente os registros de sua última consulta pré-natal para um aplicativo de autocuidado de gravidez que ela possui em seu telefone celular.

Divulgação para parentes

De acordo com suas interpretações do HIPAA, os hospitais não revelam informações por telefone para parentes de pacientes internados. Em alguns casos, isso impediu a localização de pessoas desaparecidas. Após a queda do voo 214 da Asiana Airlines em San Francisco, alguns hospitais relutaram em revelar a identidade dos passageiros que estavam tratando, o que dificultou a localização de Asiana e seus parentes. Em um caso, um homem no estado de Washington não conseguiu obter informações sobre sua mãe ferida.

Janlori Goldman, diretora do grupo de defesa Health Privacy Project, disse que alguns hospitais estão sendo "excessivamente cautelosos" e aplicando erroneamente a lei, informa o Times. O Hospital Suburban em Bethesda, Maryland, interpretou um regulamento federal que exige que os hospitais permitam que os pacientes optem por não serem incluídos no diretório do hospital, o que significa que os pacientes querem ser mantidos fora do diretório, a menos que especificamente digam o contrário. Como resultado, se um paciente estiver inconsciente ou de outra forma incapaz de escolher ser incluído no diretório, parentes e amigos podem não ser capazes de encontrá-lo, disse Goldman.

Regra de transações e conjuntos de códigos

O objetivo do HIPAA era tornar o sistema de saúde nos Estados Unidos mais eficiente por meio da padronização das transações de saúde. A HIPAA adicionou uma nova Parte C intitulada "Simplificação Administrativa" ao Título XI da Lei da Previdência Social. Supõe-se que isso simplifique as transações de saúde ao exigir que todos os planos de saúde se envolvam em transações de saúde de forma padronizada.

A disposição HIPAA / EDI ( intercâmbio eletrônico de dados ) estava programada para entrar em vigor a partir de 16 de outubro de 2003, com prorrogação de um ano para certos "pequenos planos". No entanto, devido à confusão generalizada e à dificuldade em implementar a regra, o CMS concedeu uma extensão de um ano a todas as partes. Em 1º de janeiro de 2012, as versões mais recentes ASC X12 005010 e NCPDP D.0 entraram em vigor, substituindo o mandato anterior ASC X12 004010 e NCPDP 5.1. A versão ASC X12 005010 fornece um mecanismo que permite o uso do ICD-10-CM , bem como outras melhorias.

Depois de 1º de julho de 2005, a maioria dos provedores de serviços médicos que registram eletronicamente tiveram que registrar suas reivindicações eletrônicas usando os padrões da HIPAA para serem pagos.

De acordo com a HIPAA, os planos de saúde cobertos pela HIPAA agora são obrigados a usar transações eletrônicas HIPAA padronizadas. Ver, 42 USC § 1320d-2 e 45 CFR Parte 162. Informações sobre isso podem ser encontradas na regra final para padrões de transação eletrônica HIPAA (74 Fed. Reg. 3296, publicado no Federal Register em 16 de janeiro de 2009), e no site do CMS.

As principais transações EDI (X12) usadas para conformidade com HIPAA são:

O conjunto de transações de solicitação de assistência médica EDI (837) é usado para enviar informações de cobrança de solicitação de assistência médica, informações de encontro ou ambos, exceto para solicitações de reivindicação de farmácia de varejo (consulte Transação de solicitação de farmácia de varejo EDI). Ele pode ser enviado por prestadores de serviços de saúde aos pagadores, diretamente ou por meio de cobradores intermediários e câmaras de compensação de sinistros. Também pode ser usado para transmitir reclamações de assistência médica e informações de pagamento de cobrança entre pagadores com diferentes responsabilidades de pagamento onde a coordenação de benefícios é necessária ou entre pagadores e agências reguladoras para monitorar a prestação, cobrança e / ou pagamento de serviços de saúde em um determinado segmento da indústria de saúde / seguros.

Por exemplo, uma agência estadual de saúde mental pode exigir que todas as reivindicações de assistência médica, Provedores e planos de saúde que negociam reivindicações de assistência médica profissional (médica) eletronicamente devem usar a reivindicação de assistência médica 837: padrão profissional para enviar reivindicações. Como existem muitas aplicações de negócios diferentes para o pedido de assistência médica, pode haver pequenas derivações para cobrir reivindicações envolvendo reivindicações exclusivas, como para instituições, profissionais, quiropráticos e dentistas, etc.

A Transação de Reivindicação de Farmácia de Varejo EDI ( NCPDP Telecommunications Standard version 5.1) é usada para enviar reivindicações de farmácia de varejo aos pagadores por profissionais de saúde que dispensam medicamentos, diretamente ou por meio de cobradores intermediários e câmaras de compensação de reivindicações. Também pode ser usado para transmitir pedidos de serviços de farmácia de varejo e informações de pagamento de faturamento entre pagadores com responsabilidades de pagamento diferentes, onde a coordenação de benefícios é necessária ou entre pagadores e agências reguladoras para monitorar a prestação, faturamento e / ou pagamento de serviços de farmácia de varejo dentro o segmento de indústria farmacêutica de saúde / seguros.

O conjunto de transações de aviso / pagamento de reivindicação de assistência médica EDI (835) pode ser usado para fazer um pagamento, enviar uma explicação de benefícios (EOB), enviar uma explicação de pagamentos (EOP) aviso de remessa ou fazer um pagamento e enviar um aviso de remessa de EOP apenas de uma seguradora de saúde para um provedor de saúde, diretamente ou por meio de uma instituição financeira.

O Conjunto de Inscrição e Manutenção de Benefícios EDI (834) pode ser usado por empregadores, sindicatos, agências governamentais, associações ou agências de seguros para inscrever membros em um pagador. O pagador é uma organização de saúde que paga sinistros, administra seguros ou benefícios ou produtos. Exemplos de pagadores incluem uma seguradora, profissional de saúde (HMO), organização de provedor preferencial (PPO), agência governamental (Medicaid, Medicare etc.) ou qualquer organização que possa ser contratada por um desses grupos anteriores.

Folha de pagamento EDI deduzida e outro grupo Pagamento de prêmio para produtos de seguro (820) é uma transação definida para fazer um pagamento de prêmio para produtos de seguro. Pode ser usado para ordenar a uma instituição financeira que faça um pagamento a um beneficiário.

A Consulta de Elegibilidade / Benefícios para Assistência Médica EDI (270) é usada para perguntar sobre os benefícios e elegibilidade de assistência médica associados a um assinante ou dependente.

A resposta de elegibilidade / benefício de assistência médica EDI (271) é usada para responder a uma consulta de solicitação sobre os benefícios de assistência médica e elegibilidade associada a um assinante ou dependente.

Solicitação de status de solicitação de assistência médica EDI (276) Este conjunto de transações pode ser usado por um provedor, destinatário de produtos ou serviços de saúde ou seu agente autorizado para solicitar o status de uma solicitação de assistência médica.

Notificação de status de reivindicação de assistência médica EDI (277) Este conjunto de transações pode ser usado por um pagador de assistência médica ou agente autorizado para notificar um provedor, destinatário ou agente autorizado sobre o status de uma reivindicação ou encontro de assistência médica, ou para solicitar informações adicionais do provedor em relação a uma reclamação ou encontro de cuidados de saúde. Este conjunto de transações não se destina a substituir o Conjunto de transações de pagamento / aconselhamento de solicitação de assistência médica (835) e, portanto, não é usado para lançamento de pagamento de conta. A notificação está em um resumo ou nível de detalhe da linha de serviço. A notificação pode ser solicitada ou não solicitada.

Informações de revisão de serviços de saúde EDI (278) Este conjunto de transações pode ser usado para transmitir informações de serviços de saúde, como assinante, paciente, dados demográficos, diagnósticos ou de tratamento para fins de solicitação de revisão, certificação, notificação ou relatório do resultado de uma revisão de serviços de saúde.

EDI Functional Acknowledgment Transaction Set (997) este conjunto de transações pode ser usado para definir as estruturas de controle para um conjunto de confirmações para indicar os resultados da análise sintática dos documentos codificados eletronicamente. Embora não seja especificamente nomeado na Legislação HIPAA ou Regra Final, é necessário para o processamento do conjunto de transações X12. Os documentos codificados são os conjuntos de transações, que são agrupados em grupos funcionais, usados ​​na definição de transações para intercâmbio de dados de negócios. Este padrão não cobre o significado semântico das informações codificadas nos conjuntos de transações.

Breve 5010 Transações e Resumo da Atualização de Regras de Conjuntos de Códigos
  1. O conjunto de transações (997) será substituído pelo conjunto de transações (999) "relatório de confirmação".
  2. O tamanho de muitos campos {elementos de segmento} será expandido, causando a necessidade de todos os provedores de TI expandirem os campos, elementos, arquivos, GUI, mídia de papel e bancos de dados correspondentes.
  3. Alguns segmentos foram removidos dos Conjuntos de transações existentes.
  4. Muitos segmentos foram adicionados aos Conjuntos de transações existentes, permitindo maior rastreamento e relatórios de custos e encontros com pacientes.
  5. Foi adicionada a capacidade de usar as versões 9 (CID-9) e 10 (CID-10-CM) da "Classificação Internacional de Doenças".

Regra de Segurança

A Regra Final sobre Padrões de Segurança foi emitida em 20 de fevereiro de 2003. Ela entrou em vigor em 21 de abril de 2003, com data de cumprimento de 21 de abril de 2005, para a maioria das entidades cobertas e 21 de abril de 2006, para "pequenos planos". A regra de segurança complementa a regra de privacidade. Embora a regra de privacidade se refira a todas as informações de saúde protegidas (PHI), incluindo papel e eletrônico, a regra de segurança lida especificamente com informações de saúde protegidas eletrônicas (EPHI). Ele apresenta três tipos de proteções de segurança exigidas para conformidade: administrativa, física e técnica. Para cada um desses tipos, a regra identifica vários padrões de segurança e, para cada padrão, nomeia as especificações de implementação obrigatórias e endereçáveis. As especificações exigidas devem ser adotadas e administradas conforme ditado pela Regra. As especificações endereçáveis ​​são mais flexíveis. As entidades cobertas individuais podem avaliar sua própria situação e determinar a melhor maneira de implementar especificações endereçáveis. Alguns defensores da privacidade argumentaram que essa "flexibilidade" pode fornecer muita latitude para as entidades cobertas. Ferramentas de software foram desenvolvidas para auxiliar as entidades cobertas na análise de risco e rastreamento de remediação. Os padrões e especificações são os seguintes:

  • Salvaguardas Administrativas - políticas e procedimentos projetados para mostrar claramente como a entidade cumprirá a lei
    • As entidades cobertas (entidades que devem cumprir os requisitos da HIPAA) devem adotar um conjunto escrito de procedimentos de privacidade e designar um oficial de privacidade para ser responsável pelo desenvolvimento e implementação de todas as políticas e procedimentos necessários.
    • As políticas e procedimentos devem fazer referência à supervisão da gestão e adesão organizacional para conformidade com os controles de segurança documentados.
    • Os procedimentos devem identificar claramente os funcionários ou classes de funcionários que têm acesso a informações eletrônicas de saúde protegidas (EPHI). O acesso ao EPHI deve ser restrito apenas aos funcionários que precisam dele para completar sua função de trabalho.
    • Os procedimentos devem abordar a autorização de acesso, estabelecimento, modificação e rescisão.
    • As entidades devem demonstrar que um programa de treinamento contínuo adequado sobre o manuseio de PHI é fornecido aos funcionários que desempenham funções administrativas de planos de saúde.
    • As entidades cobertas que terceirizam alguns de seus processos de negócios para terceiros devem garantir que seus fornecedores também tenham uma estrutura em vigor para cumprir os requisitos da HIPAA. Normalmente, as empresas obtêm essa garantia por meio de cláusulas nos contratos declarando que o fornecedor atenderá aos mesmos requisitos de proteção de dados que se aplicam à entidade coberta. Deve-se tomar cuidado para determinar se o fornecedor terceiriza quaisquer funções de manuseio de dados para outros fornecedores e monitorar se os contratos e controles apropriados estão em vigor.
    • Deve haver um plano de contingência para responder a emergências. As entidades cobertas são responsáveis ​​por fazer backup de seus dados e implementar procedimentos de recuperação de desastres. O plano deve documentar a prioridade dos dados e análise de falhas, atividades de teste e procedimentos de controle de mudanças.
    • As auditorias internas desempenham um papel fundamental na conformidade com a HIPAA, revisando as operações com o objetivo de identificar possíveis violações de segurança. As políticas e procedimentos devem documentar especificamente o escopo, a frequência e os procedimentos das auditorias. As auditorias devem ser rotineiras e baseadas em eventos.
    • Os procedimentos devem documentar as instruções para abordar e responder às violações de segurança que são identificadas durante a auditoria ou no curso normal das operações.
  • Proteções físicas - controlando o acesso físico para proteger contra o acesso inadequado a dados protegidos
    • Os controles devem governar a introdução e remoção de hardware e software da rede. (Quando o equipamento é retirado, ele deve ser descartado de forma adequada para garantir que o PHI não seja comprometido.)
    • O acesso a equipamentos contendo informações de saúde deve ser cuidadosamente controlado e monitorado.
    • O acesso ao hardware e software deve ser limitado a pessoas devidamente autorizadas.
    • Os controles de acesso necessários consistem em planos de segurança das instalações, registros de manutenção e entrada e acompanhantes de visitantes.
    • As políticas são necessárias para abordar o uso adequado da estação de trabalho. As estações de trabalho devem ser removidas das áreas de tráfego intenso e as telas dos monitores não devem ficar à vista direta do público.
    • Se as entidades cobertas utilizarem empreiteiros ou agentes, eles também devem ser totalmente treinados em suas responsabilidades de acesso físico.
  • Salvaguardas técnicas - controlando o acesso a sistemas de computador e permitindo que entidades cobertas protejam comunicações contendo PHI transmitidas eletronicamente por redes abertas de serem interceptadas por qualquer pessoa que não seja o destinatário pretendido.
    • Os sistemas de informação que abrigam as PHI devem ser protegidos contra intrusões. Quando as informações fluem por redes abertas, alguma forma de criptografia deve ser utilizada. Se sistemas / redes fechadas são utilizados, os controles de acesso existentes são considerados suficientes e a criptografia é opcional.
    • Cada entidade coberta é responsável por garantir que os dados em seus sistemas não sejam alterados ou apagados de maneira não autorizada.
    • A corroboração de dados, incluindo o uso de uma soma de verificação, digitação dupla, autenticação de mensagem e assinatura digital pode ser usada para garantir a integridade dos dados.
    • As entidades cobertas também devem autenticar as entidades com as quais se comunicam. A autenticação consiste em comprovar que uma entidade é quem afirma ser. Exemplos de corroboração incluem sistemas de senha, handshakes de duas ou três vias, chamada de retorno por telefone e sistemas de token.
    • As entidades cobertas devem disponibilizar a documentação de suas práticas HIPAA ao governo para determinar a conformidade.
    • Além de políticas e procedimentos e registros de acesso, a documentação de tecnologia da informação também deve incluir um registro escrito de todas as definições de configuração nos componentes da rede porque esses componentes são complexos, configuráveis ​​e estão sempre mudando.
    • Análise de risco documentada e programas de gerenciamento de risco são necessários. As entidades cobertas devem considerar cuidadosamente os riscos de suas operações à medida que implementam sistemas para cumprir a lei. (O requisito de análise de risco e gerenciamento de risco implica que os requisitos de segurança da lei são um padrão mínimo e coloca a responsabilidade sobre as entidades cobertas para tomar todas as precauções razoáveis ​​necessárias para evitar que as PHI sejam usadas para fins não relacionados à saúde.)

Regra de identificadores únicos (identificador de provedor nacional)

Entidades cobertas pela HIPAA, como provedores que concluem transações eletrônicas, câmaras de compensação de saúde e grandes planos de saúde, devem usar apenas o National Provider Identifier (NPI) para identificar provedores de saúde cobertos em transações padrão até 23 de maio de 2007. Pequenos planos de saúde devem usar apenas o NPI até 23 de maio de 2008. A partir de maio de 2006 (maio de 2007 para pequenos planos de saúde), todas as entidades cobertas que usam comunicações eletrônicas (por exemplo, médicos, hospitais, seguradoras de saúde e assim por diante) devem usar um único NPI novo. O NPI substitui todos os outros identificadores usados ​​por planos de saúde, Medicare, Medicaid e outros programas governamentais. No entanto, o NPI não substitui o número DEA de um provedor, número de licença estadual ou número de identificação fiscal. O NPI tem 10 dígitos (pode ser alfanumérico), com o último dígito sendo uma soma de verificação. O NPI não pode conter nenhuma inteligência embutida; em outras palavras, o NPI é simplesmente um número que não possui nenhum significado adicional. O NPI é único e nacional, nunca reutilizado e, exceto para instituições, um provedor geralmente pode ter apenas um. Uma instituição pode obter vários NPIs para diferentes "subpartes", como um centro autônomo de câncer ou clínica de reabilitação.

Regra de aplicação

Em 16 de fevereiro de 2006, o HHS emitiu a regra final sobre a aplicação da HIPAA. Entrou em vigor em 16 de março de 2006. A regra de execução define penalidades de dinheiro civil para violar as regras da HIPAA e estabelece procedimentos para investigações e audiências para violações da HIPAA. Por muitos anos, houve poucos processos por violações.

Isso pode ter mudado com a multa de US $ 50.000 para o Hospice of North Idaho (HONI) como a primeira entidade a ser multada por uma possível violação das Regras de Segurança da HIPAA que afetou menos de 500 pessoas. Rachel Seeger, porta-voz do HHS, afirmou: "A HONI não conduziu uma análise de risco precisa e completa quanto à confidencialidade do ePHI [Informações eletrônicas protegidas de saúde] como parte de seu processo de gerenciamento de segurança de 2005 a 17 de janeiro de 2012." Esta investigação foi iniciada com o furto de um veículo de um funcionário de um laptop não criptografado contendo 441 prontuários de pacientes.

Em março de 2013, o Departamento de Saúde e Serviços Humanos dos Estados Unidos (HHS) investigou mais de 19.306 casos que foram resolvidos exigindo mudanças na prática de privacidade ou por ação corretiva. Se a não conformidade for determinada pelo HHS, as entidades devem aplicar medidas corretivas. As reclamações foram investigadas contra muitos tipos diferentes de negócios, como redes nacionais de farmácias, grandes centros de saúde, grupos de seguros, redes de hospitais e outros pequenos fornecedores. Houve 9.146 casos em que a investigação do HHS descobriu que o HIPAA foi seguido corretamente. Houve 44.118 casos em que o HHS não encontrou causa elegível para aplicação; por exemplo, uma violação que começou antes do início do HIPAA; casos retirados pelo perseguidor; ou uma atividade que não viole as Regras. De acordo com o site do HHS, o seguinte lista os problemas que foram relatados de acordo com a frequência:

  1. Uso indevido e divulgações de PHI
  2. Sem proteção no lugar das informações de saúde
  3. Paciente incapaz de acessar suas informações de saúde
  4. Usar ou divulgar mais do que o mínimo necessário de informações protegidas de saúde
  5. Sem salvaguardas de informações de saúde protegidas eletronicamente.

As entidades mais comuns necessárias para tomar medidas corretivas para estar em conformidade voluntária de acordo com o HHS estão listadas por frequência:

  1. Práticas Privadas
  2. Hospitais
  3. Ambulatório
  4. Planos de grupo, como grupos de seguros
  5. Farmácias

Título III: Disposições de saúde relacionadas a impostos que regem contas de poupança médicas

O Título III padroniza a quantia que pode ser economizada por pessoa em uma conta de poupança médica antes dos impostos . A partir de 1997, contas de poupança médica ("MSA") estão disponíveis para funcionários cobertos por um plano de alta franquia patrocinado pelo empregador de um pequeno empregador e indivíduos autônomos.

Título IV: Aplicação e aplicação dos requisitos de seguro saúde em grupo

O Título IV especifica as condições para planos de saúde em grupo com relação à cobertura de pessoas com doenças pré-existentes e modifica a continuação dos requisitos de cobertura. Ele também esclarece os requisitos de cobertura de continuação e inclui esclarecimento COBRA .

Título V: Compensação de receita que rege as deduções fiscais para empregadores

O Título V inclui disposições relacionadas a seguro de vida de propriedade da empresa para empregadores que fornecem prêmios de seguro de vida de propriedade da empresa, proibindo a dedução fiscal de juros sobre empréstimos de seguro de vida, doações da empresa ou contratos relacionados à empresa. Também revoga a regra da instituição financeira para regras de alocação de juros. Por fim, altera as disposições da lei relativas a pessoas que desistem da cidadania dos Estados Unidos ou residência permanente, expandindo o imposto de expatriação a ser cobrado daqueles considerados desistindo de seu status nos Estados Unidos por motivos fiscais, e tornando os nomes de ex-cidadãos parte do o registro público por meio da criação da Publicação Trimestral de Pessoas que Escolheram Expatriar .

Efeitos na pesquisa e cuidados clínicos

A promulgação das Regras de Privacidade e Segurança causou grandes mudanças na forma como os médicos e centros médicos operam. As complexas legalidades e as penalidades potencialmente severas associadas ao HIPAA, bem como o aumento da papelada e o custo de sua implementação, eram motivos de preocupação entre médicos e centros médicos. Um artigo de agosto de 2006 na revista Annals of Internal Medicine detalhou algumas dessas preocupações sobre a implementação e os efeitos do HIPAA.

Efeitos na pesquisa

As restrições da HIPAA aos pesquisadores afetaram sua capacidade de realizar pesquisas retrospectivas baseadas em gráficos, bem como sua capacidade de avaliar os pacientes prospectivamente, entrando em contato com eles para acompanhamento. Um estudo da Universidade de Michigan demonstrou que a implementação da regra de privacidade da HIPAA resultou em uma queda de 96% para 34% na proporção de pesquisas de acompanhamento concluídas pelos pacientes do estudo sendo acompanhados após um ataque cardíaco . Outro estudo, detalhando os efeitos do HIPAA no recrutamento para um estudo sobre a prevenção do câncer, demonstrou que as mudanças exigidas pelo HIPAA levaram a uma redução de 73% no recrutamento de pacientes, triplicar o tempo gasto no recrutamento de pacientes e triplicar os custos médios de recrutamento.

Além disso, os formulários de consentimento informado para estudos de pesquisa agora são obrigados a incluir muitos detalhes sobre como as informações de saúde protegidas do participante serão mantidas em sigilo. Embora essas informações sejam importantes, o acréscimo de uma seção longa e legalista sobre privacidade pode tornar esses documentos já complexos ainda menos amigáveis ​​para os pacientes que são solicitados a lê-los e assiná-los.

Esses dados sugerem que a regra de privacidade da HIPAA, conforme implementada atualmente, pode estar tendo impactos negativos sobre o custo e a qualidade da pesquisa médica . A Dra. Kim Eagle, professora de medicina interna da Universidade de Michigan, foi citada no artigo do Annals como dizendo: "A privacidade é importante, mas a pesquisa também é importante para melhorar o atendimento. Esperamos descobrir isso e fazer da maneira certa . "

Efeitos no atendimento clínico

A complexidade da HIPAA, combinada com penalidades potencialmente rígidas para os infratores, pode levar médicos e centros médicos a reter informações daqueles que possam ter direito a elas. Uma revisão da implementação da Regra de Privacidade HIPAA pelo Gabinete de Responsabilidade do Governo dos EUA concluiu que os prestadores de cuidados de saúde estavam "incertos sobre as suas responsabilidades legais de privacidade e muitas vezes responderam com uma abordagem excessivamente protegida para divulgar informações ... do que o necessário para garantir a conformidade com o Regra de privacidade ". Relatos dessa incerteza continuam.

Custos de implementação

No período imediatamente anterior à promulgação dos Atos de Privacidade e Segurança da HIPAA, centros médicos e consultórios médicos foram acusados ​​de "estar em conformidade". Com uma ênfase inicial nas penalidades potencialmente severas associadas à violação, muitas práticas e centros voltaram-se para "consultores HIPAA" privados com fins lucrativos que estavam intimamente familiarizados com os detalhes da legislação e ofereceram seus serviços para garantir que os médicos e centros médicos estivessem totalmente "em conformidade". Além dos custos de desenvolvimento e renovação de sistemas e práticas, o aumento da papelada e do tempo da equipe necessário para atender aos requisitos legais da HIPAA pode impactar as finanças dos centros médicos e práticas em um momento em que o reembolso das seguradoras e do Medicare também está diminuindo .

Educação e treinamento

Educação e treinamento de provedores de saúde é um requisito significativo para a implementação correta das Leis de Privacidade e Segurança da HIPAA. O treinamento eficaz deve descrever os antecedentes estatutários e regulamentares e a finalidade da HIPAA e um resumo geral dos princípios e disposições-chave da Regra de Privacidade. Embora cada curso de treinamento da HIPAA deva ser adaptado para as funções dos funcionários que frequentam o curso, existem alguns elementos vitais que deve ser incluído: [de acordo com quem? ]

  • O que é HIPAA?
  • Por que HIPAA é importante?
  • Definições HIPAA
  • Direitos do paciente
  • Regra de privacidade da HIPAA
  • Divulgações de PHI
  • Notificações de violação
  • Acordos BA
  • Regra de segurança HIPAA
  • Protegendo ePHI
  • Potenciais violações
  • Sanções de funcionários

Acrônimo HIPAA

Embora a sigla HIPAA corresponda ao título da Lei Pública 104-191 de 1996, Lei de Portabilidade e Responsabilidade de Seguros de Saúde , às vezes a HIPAA é incorretamente referida como "Lei de Privacidade e Portabilidade de Informações de Saúde (HIPPA)".

Violações

Gráfico HIPAA ilustrando violações HIPAA por tipo
Uma análise das violações da HIPAA que resultou na exposição ilegal de informações pessoais.

De acordo com o Departamento de Saúde e Serviços Humanos dos Estados Unidos para Direitos Civis, entre abril de 2003 e janeiro de 2013, recebeu 91.000 reclamações de violações da HIPAA, nas quais 22.000 levaram a ações de coação de vários tipos (de acordos a multas) e 521 levaram a encaminhamentos ao Departamento de Justiça dos EUA como ações criminais. Exemplos de violações significativas de informações protegidas e outras violações da HIPAA incluem:

  • A maior perda de dados que afetou 4,9 milhões de pessoas pela Tricare Management of Virginia em 2011
  • As maiores multas de $ 5,5 milhões cobradas contra o Memorial Healthcare Systems em 2017 para acessar informações confidenciais de 115.143 pacientes e $ 4,3 milhões cobradas da Cignet Health de Maryland em 2010 por ignorar os pedidos dos pacientes para obter cópias de seus próprios registros e ignorar repetidamente funcionários federais ' inquéritos
  • A primeira acusação criminal foi apresentada em 2011 contra um médico da Virgínia que compartilhou informações com o empregador de um paciente "sob a falsa pretensão de que o paciente era uma ameaça séria e iminente à segurança do público, quando na verdade ele sabia que o paciente não era tal ameaça. "

De acordo com Koczkodaj et al., 2018, o número total de indivíduos afetados desde outubro de 2009 é de 173.398.820.

As diferenças entre as penalidades civis e criminais estão resumidas na tabela a seguir:

Tipo de Violação Penalidade CIVIL (min) Penalidade CIVIL (máx.)
O indivíduo não sabia (e, ao exercer uma diligência razoável, não saberia) que violou a HIPAA US $ 100 por violação, com um máximo anual de US $ 25.000 para violações repetidas $ 50.000 por violação, com um máximo anual de $ 1,5 milhão
Violação HIPAA devido a uma causa razoável e não devido a negligência intencional $ 1.000 por violação, com um máximo anual de $ 100.000 para violações repetidas $ 50.000 por violação, com um máximo anual de $ 1,5 milhão
Violação HIPAA devido a negligência intencional, mas a violação é corrigida dentro do período de tempo exigido $ 10.000 por violação, com um máximo anual de $ 250.000 para violações repetidas $ 50.000 por violação, com um máximo anual de $ 1,5 milhão
A violação HIPAA é devido a negligência intencional e não é corrigida $ 50.000 por violação, com um máximo anual de $ 1.000.000 $ 50.000 por violação, com um máximo anual de $ 1,5 milhão
Tipo de Violação Pena CRIMINAL
Entidades cobertas e indivíduos especificados que "conscientemente" obtêm ou divulgam informações de saúde individualmente identificáveis Uma multa de até $ 50.000

Prisão até 1 ano

Ofensas cometidas sob falsos pretextos Uma multa de até $ 100.000

Pena de prisão até 5 anos

Ofensas cometidas com a intenção de vender, transferir ou usar informações de saúde individualmente identificáveis ​​para obter vantagem comercial, ganho pessoal ou dano malicioso Uma multa de até $ 250.000

Prisão até 10 anos

Informação Legislativa

Referências

links externos