Subscríbase al boletin de noticias de OpenKM para estar informado

Cumplimiento HIPAA en la gestion documental

Escrito por Paulina Rodríguez en octubre 05, 2018

La ley de Responsabilidad y Portabilidad de Seguros de Salud HIPAA denominada así por sus siglas en Inglés (Health Insurance Portability and Accountability Act) fue promulgada por el Congreso de los Estados Unidos de Norteamérica en agosto 21, 1996, convirtiéndose en el primer acto de defensa de los derechos de los afiliados y sus familias; con el objetivo principal de facilitar la portabilidad de coberturas de los seguros médicos y ejercer un control estricto sobre la confidencialidad e integridad de la información de los usuarios.

La ley HIPAA tiene 5 principios básicos:

• Seguridad.- los prestadores de servicios son responsables de la protección y divulgación no autorizada de la información médica de sus pacientes.
• Control del consumidor.- otorga al consumidor el control sobre la divulgación de su historial médico.
• Límites.- el uso de la información está limitada a los tratamientos y pagos.
• Responsabilidad pública.- equilibra la protección privada y la responsabilidad pública, haciendo énfasis en la lucha contra el fraude y posibles abusos de los prestadores de servicios médicos y sus aliados.
• Sanciones.- incluye sanciones federales que incluyen desde multas y hasta prisión.

La aplicación de la ley HIPAA es extensa; aplica a médicos, enfermeros, laboratorios, farmacias, clínicas, centros de rehabilitación de todas las condiciones médicas, centros geriátricos, aseguradoras de salud, planes de salud generales de patronos, programas gubernamentales como Medicare y Medicaid y en general a cualquier prestador de servicios médicos.

La ley HIPAA tiene una regla general de privacidad que permite a las organizaciones de salud y prestadores relacionados, a utilizar la información de los usuarios únicamente para temas relacionados directamente con el tratamiento médico y los pagos del mismo. Para el resto de usos se requiere una autorización escrita que levante la protección de los datos otorgados por la ley.

Esta ley obliga a las compañías y personal relacionados con servicios de salud en el territorio americano, a cumplir eficazmente con los estándares técnicos especificados por HIPAA, que aseguran la protección de la información de sus clientes, cubriendo tres aspectos indivisibles de garantías: administrativas, físicas y técnicas. Las garantías administrativas se relacionan con el cumplimiento normativo, diseñado para controlar la conducta y carácter ético del personal que ingresa y procesa la información en los sistemas de gestión; así como la distribución electrónica de ésta información. Las garantías físicas están relacionadas con los procesos técnicos establecidos para la protección de inmuebles y equipos físicos, relacionados de alguna manera con la protección de la información ante riesgos de origen natural, ambiental o posibles intrusiones. Y finalmente, las garantías técnicas relacionadas con todos los procesos y flujos de trabajo que se diseñan para proteger, mantener el control y sobre todo monitorear el acceso a la información de los registros médicos.

Además, la ley indica que las garantías deben estar respaldadas por procesos documentados que se deben difundir con todos los asociados y relacionados con el proveedor médico, quien debe garantizar el cumplimiento de las políticas de privacidad de la información médica de sus usuarios. Y dependiendo del tamaño del prestador de servicios médicos, la ley exige la existencia de un oficial de privacidad que es responsable del control del cumplimento de las políticas de privacidad.

HIPAA otorga derechos a los usuarios del sistema de salud que les permite solicitar acceso a su historial médico; conocer cómo y con quién ha sido compartida su información médica, con fechas exactas de la entrega de información, solicitar informes detallados de los motivos por los que se ha compartido su información médica (estos informes se deben entregar a los usuarios de manera gratuita una vez al año). Solicitar revisión y correcciones en sus historias médicas siguiendo un protocolo ya establecido en la ley; presentar quejas e inclusive, solicitar que no se comparta la información médica con destinatarios específicos como empleadores, vendedores u otros, sin la autorización expresa y escrita del usuario.

Los derechos otorgados a los usuarios a través de los estándares de la ley HIPAA, obligan a los prestadores de servicios médicos, personas y empresas relacionadas con los mismos, a mantener gestores documentales confiables que les permitan acceder a la información del historial médico con una recuperación rápida de la misma; mediante el uso de palabras clave, códigos y otros elementos con capacidad detallada de búsqueda.

El acceso a los registros médicos electrónicos en casos de emergencia, pueden significar la diferencia entre la vida y la muerte, por lo que su acceso oportuno se convierte en una prioridad. Estos gestores, además deben contar con una excelente capacidad de transformación digital de toda la información física que se genera en los registros médicos, no solamente por su acceso electrónico, sino como una medida de seguridad frente a amenazas externas que puedan vulnerar los documentos en papel. Los prestadores de servicios médicos están obligados a mantener un registro de control de versiones del historial médico de sus usuarios, de manera especial cuando se realizan solicitudes de corrección de información en los historiales y también cuando se va añadiendo información a cada historial; es decir la seguridad de las historias médicas electrónicas debe mantenerse en las historias estáticas, en tránsito y en uso. Para los prestadores der servicios médicos que utilicen firmas electrónicas, la ley HIPAA les obliga a mantener un sistema que cumpla un estándar que garantice la autenticación del usuario y la integridad del mensaje; si bien la ley no obliga el uso de firmas electrónicas. Así mismo en los casos que aplique, los sistemas utilizados deben tener la capacidad de realizar la destrucción segura de la información médica, de manera que ésta no pueda ser recuperada por terceros con fines no autorizados. La ley HIPAA no obliga al uso de ningún sistema o tecnología específica y su aplicación puede variar en función del tamaño de la organización, las necesidades de cada ubicación y el tipo de servicios médicos que se prestan.

La aparición de registros médicos electrónicos obliga a los prestadores de servicios médicos a blindar la seguridad de la información, y reforzar el control de los procesos de ingreso y divulgación de la información de los pacientes, en especial porque la mayoría de los casos de reclamo de vulneración de la información de pacientes, se producen por errores cometidos por el personal de los servicios médicos. Por lo que los gestores documentales deben ser dinámicos y ofrecer una amplia variedad de opciones que permitan filtrar y detectar errores que puedan generar violaciones en la privacidad de la información de los pacientes; tales como divulgación, modificación, alteración, o destrucción no autorizada de información médica.

Las sanciones por las violaciones a la privacidad de la información médica de pacientes en Estados Unidos establecidas en la ley HIPAA, son de carácter civil y penal, que van desde multas económicas de hasta 25.000 usd por violaciones reiteradas en un mismo año; multas de 250.000 usd o hasta 10 años de prisión por mal uso consciente de la información médica - por lo que el manejo de la información médica debe ser tomada muy en serio -.
La ley HIPAA fue reforzada con la ley HITECH - Health Information Technology for Economic and Clinical Health Act promulgada en febrero de 2009, que promueve el endurecimiento de las sanciones ya establecidas en HIPAA. Adicionalmente HITECH incorporó incentivos económicos a los proveedores de servicios médicos que incorporen las tecnologías de acuerdo a la regulaciones en los tiempos establecidos.

El sistema de gestión documental de OpenKM contribuye a que los prestadores de servicios médicos cumplan con todas las garantías con los requisitos legales recogidos en HIPAA e HITEC. OpenKM atiende en la actualidad clientes del sector médico a nivel internacional. Un sector de actividad altamente regulado, de importancia estrátegica a nivel socio-ecónomico,regional y nacional. 

Como bien se destacada en la descripción de HIPPA, la gestión de expedientes médicos obliga a los prestadores de servicios sanitarios a extremar las medidas de seguridad. OpenKM es un sistema de gestión de documentos y registros electrónicos, por lo que está preparado para asumir la administración de este tipo de contenidos. Para empezar, sólos los usuarios que tenga usuario y contraseña, pueden acceder al sistema. Además la asignación de roles y perfiles, define las áreas de trabajo, las funcionalidades y por lo tanto determinan las tareas y acciones que un usuario puede desempeñar. El tercer nivel de gestión de seguridad de OpenKM se aplica a nivel granular. Cualquier nodo ( carpeta, registro, documento, correo electrónico – archivos adjuntos incluidos - ) presenta en OpenKM su propia sección de seguridad, en la que el administrador puede determinar quién puede ver, editar, descargar, borrar, etc., a nivel grupal o individual. Esta forma de gestionar la seguridad de los contenidos aporta flexibilidad y exactitud para adaptar la gestión documental electrónica a todos los escenarios posibles.

Además, La ley de Responsabilidad y Portabilidad de Seguros de Salud indica que las garantías deben estar respaldadas por procesos documentados, que se deben difundir entre todos los asociados. Desde la pestaña Wiki del panel de propiedades de cualquier archivo, el usuario puede consultar los documentos que definen cada proceso. Si hay alguna duda, los usuarios pueden utilizar el chat online de OpenKM para comunicarse, o pueden abrir una consulta en la sección Forum, donde otros usuarios pueden responder o añadir sus apreciaciones.

Los procesos administrativos y de gestión sanitaria pueden ser automatizados en OpenKM, así se evitan errores humanos, se procura el cumplimiento taxativo de los procedimientos y se evitan desviaciones en el cumplimiento de la política vigente en la organización. El prestador de servicios médicos también puede crear workflows gracias al motor workflow integrado en el gestor documental. Permite agilizar procesos a la vez que garantiza la coordinación de personal, departamentos o áreas involucrados en la consecución de un proceso o servicio.

Estas funcionalidades, se pueden utilizar en combinación con el motor OCR zonal y el cliente scanner de OpenKM. En particular, estos dos elementos permite que la organización implemente la oficina sin papeles en el desarrollo de su actividad diaria, a la vez que que sirve como medio de aplicación de la transformación digital. Si antes médicos, enfermeros o auxiliares de clínica estaban sujetos a la gestión del papel; ahora con OpenKM cualquier profesional sanitario puede acceder a la información necesaria con un click y satisfacer la necesidad del paciente en tiempo real, cumplimentar un informe al momento, o registrar una petición online.

La ley HIPPA también obliga a las organizaciones del sector a mantener un control exhaustivo del historial médico de los pacientes. En OpenKM se puede establecer el control de versiones; a través de la pestaña historial los usuarios pueden ver las versiones por las que ha pasado un documento, quién ha sido el autor, la fecha; pueden incluso descargarse versiones distintas a la vigente. Y lo más importante, las diferencias entre versiones se verán destacadas. Así podremos determinar mejor las aportaciones de cada autor. El Activity log nos permite ejercer una auditoría completa sobre todos los eventos acaecidos sobre la documentación sanitaria, quién ha accedido, cuándo y qué ha hecho sobre el archivo. Cuando un documento, registro o carpeta contiene información especialmente relvante para nosotros, podemos suscribirnos, de forma que recibiremos notificaciones en tiempo real sobre cualquier cambio que se produzca sobre dichos contenidos.

Además las organizaciones podrán hacer uso de funcionalidades más avanzadas para agilizar los procesos y procedimientos, sin menoscabo del cumplimiento de los criterios legales, normativos y de calidad. El sistema de gestión documental puede ser utilzado como sistema de registro de solicitudes, quejas o agradecimientos. A través de automatismos en el gestor documental, el usuario que rellene el formulario podrá ver un asistente que le informe, paso por paso sobre los datos que tendría que añadir. Parte del automatismo podría lanzar un workflow de análisis, gestión, revisión o aprobación de requerimientos realizados por pacientes. Estos datos formarían parte de la información recaba como Informes en OpenKM, ya que el gestor documental es capaz de proporcionar reportes sobre cualquier aspecto relevante.

El plan de archivo puede ser utilizado para garantizar una gestión documental de acuerdo a las políticas organizativas establecidas, asegurando la correcta destrucción de la información y documentación cuando sea necesario.

En resumen; el gestor documental OpenKM puede ayudar en el cumplimiento mediante:

• almacenamiento de la documentación relacionada con los expedientes de pacientes tales como los resultados de pruebas, informes médicos, etc.
• garantiza laseguridad a nivel de acceso: quien puede y quien no, a acceder a los datos
• en todo caso, el administrador puede auditar quien ha accedido y cuando
• ayuda a identificar documentación distribuida por usuarios
• registrar y almacenar las peticiones de los pacientes
• realizar informes detallados sobre quien y cuando ha accedido a los recursos documentales
• modificar acceso de la información de determinados destinatarios sin autorización expresa y escrita
• control de versiones que permite controlar los cambios realizados en los documentos, por quien y cuando.