La fase 2 de las auditorías de cumplimiento de la HIPAA ya está en marcha.

Marzo 23, 2016

La Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (DHHS) de los Estados Unidos anunció recientemente que ha iniciado la fase 2 de su programa de auditoría para evaluar el cumplimiento por parte de las entidades cubiertas y los socios comerciales de las normas de privacidad, seguridad y notificación de infracciones de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) (el Programa de Auditoría HIPAA).

La OCR ha sido objeto de escrutinio en los últimos años por su falta de supervisión y actividad de cumplimiento. En septiembre de 2015, la Oficina del Inspector General (OIG) del DHHS publicó un informe en el que se concluía que la OCR debía aumentar su supervisión del cumplimiento de la Norma de Privacidad de la HIPAA por parte de las entidades cubiertas y los socios comerciales. La OCR respondió intensificando sus actividades de cumplimiento, incluida la puesta en marcha de la fase 2 de su programa de auditoría de la HIPAA.

En 2011 y 2012, la OCR implementó la fase 1 del Programa de Auditoría HIPAA, evaluando los controles y procesos implementados por una pequeña muestra de entidades cubiertas. La fase 2 del Programa de Auditoría HIPAA se extenderá a los socios comerciales.

Las entidades cubiertas y los socios comerciales seleccionados para la auditoría recibirán un correo electrónico de la OCR en el que se les solicitará que faciliten sus datos de contacto a la OCR. A continuación, la OCR enviará un cuestionario previo a la auditoría para recopilar información sobre la entidad cubierta o el socio comercial, que se utilizará para crear grupos de posibles sujetos de auditoría. La OCR ha indicado que una entidad cubierta o un socio comercial pueden ser seleccionados para una auditoría o sometidos a una revisión de cumplimiento, incluso si no verifican su información de contacto o no envían el cuestionario previo a la auditoría.

La OCR notificará a las entidades cubiertas y a los socios comerciales que hayan sido seleccionados para una auditoría. La OCR realizará dos tipos de auditorías: una «auditoría documental» y una «auditoría in situ». Si una entidad está sujeta a una «auditoría documental», la OCR enviará una solicitud de documentación a la entidad cubierta o al socio comercial, y la entidad tendrá diez días hábiles para presentar la documentación solicitada por la OCR. Si una entidad está sujeta a una «auditoría in situ», la OCR llevará a cabo una auditoría in situ de la entidad de tres a cinco días de duración. La OCR aún no ha publicado en su sitio web el protocolo de auditoría actualizado que refleja la normativa general de la HIPAA, pero afirma que lo hará antes de realizar las auditorías de 2016. La OCR redactará un informe con las conclusiones de la auditoría documental o la auditoría in situ, y las entidades cubiertas y los socios comerciales tendrán la oportunidad de revisar y comentar el borrador del informe. El auditor completará un informe de auditoría final para cada entidad en un plazo de treinta días hábiles a partir del inicio de la auditoría. En caso de que un informe de auditoría indique un problema grave de cumplimiento, la OCR podrá iniciar una revisión de cumplimiento para investigar más a fondo a la entidad cubierta o al socio comercial. Las entidades cubiertas y los socios comerciales pueden ser multados por incumplimiento.

Lo que debes hacer ahora

Las entidades cubiertas y los socios comerciales deben prepararse ahora para responder a las solicitudes de auditoría de la OCR y abordar de forma proactiva cualquier problema pendiente relacionado con el cumplimiento de la HIPAA dentro de su organización. Algunas áreas clave de cumplimiento incluyen:

Realizar evaluaciones periódicas de los riesgos de seguridad y documentar las medidas correctivas para abordar los riesgos identificados.
Garantizar que la organización cuente con políticas y procedimientos adecuados y documentados para el cumplimiento de la HIPAA (incluidas las protecciones para computadoras portátiles y dispositivos móviles y otras áreas clave con riesgo de violaciones), y
Impartir formación sobre la HIPAA a los empleados.

La OCR ha publicado recientemente una tabla comparativa, elaborada en colaboración con el Instituto Nacional de Estándares y Tecnología (NIST) y la Oficina del Coordinador Nacional de Tecnología de la Información Sanitaria (ONC), que establece una correspondencia entre el Marco del NIST para la mejora de la ciberseguridad de las infraestructuras críticas y la Norma de Seguridad de la HIPAA. Las entidades cubiertas y los socios comerciales deben evaluar sus políticas y procedimientos de seguridad en el contexto de este marco recientemente publicado y del Protocolo de Auditoría de la HIPAA a la hora de considerar la adecuación de su postura de seguridad.

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.

La fase 2 de las auditorías de cumplimiento de la HIPAA ya está en marcha.

Información relacionada

Gender Affirming Care for Minors: CMS and HHS Propose Limits on “Sex Rejection Procedures” and Expanded Enforcement Pathways

Prohibition to Prescription: What Trump’s Marijuana Executive Order Really Means

Actualización de Foley Automotive