Derecho a sus expedientes médicos

Derecho de las personas bajo la HIPAA para acceder a su información de salud 45 CFR § 164,524

Introducción

Proporcionar a las personas con fácil acceso a su información de salud les faculta para estar más en control de las decisiones con respecto a su salud y bienestar. Por ejemplo, las personas con acceso a su información de salud son más capaces de monitorear las condiciones crónicas, adherirse a los planes de tratamiento, encontrar y corregir errores en sus registros de salud, seguimiento del progreso en el bienestar o programas de manejo de enfermedades, y directamente aportar su información a la investigación. Con el creciente uso de y los continuos avances en la tecnología de la información sanitaria, los individuos siempre han ampliado e innovó oportunidades para acceder a su información de salud electrónicamente, más rápida y fácilmente, en tiempo real y bajo demanda. Poner a las personas "en el asiento del conductor" con respecto a su salud también es un componente clave de la reforma de la salud y el movimiento hacia un sistema de atención médica más centrado en el paciente.

Las regulaciones de la ley de portabilidad y responsabilidad del seguro de salud de 1996 (HIPAA), que protegen la privacidad y seguridad de la información de salud identificable de las personas y establecen una serie de derechos individuales con respecto a la información de salud, siempre han reconocido la importancia de proporcionar a las personas la capacidad de acceder y obtener una copia de su información de salud. Con excepciones limitadas, la regla de privacidad de la HIPAA (la regla de privacidad) proporciona a las personas un derecho legal y exigible para ver y recibir copias a petición de la información en sus registros médicos y de otros de salud mantenidos por sus proveedores de atención médica y planes de salud.

Derecho general

La regla de privacidad generalmente requiere que las entidades cubiertas por la HIPAA (planes de salud y la mayoría de los proveedores de atención médica) proporcionen a las personas, previa solicitud, acceso a la información sanitaria protegida (PHI) sobre ellos en uno o más "conjuntos de registros designados" mantenidos por o para la entidad cubierta. Esto incluye el derecho a inspeccionar u obtener una copia, o ambos, de la PHI, así como a dirigir la entidad cubierta para transmitir una copia a una persona designada o entidad de la elección del individuo. Las personas tienen derecho a acceder a esta PHI durante el tiempo que la información sea mantenida por una entidad cubierta, o por un socio comercial en nombre de una entidad cubierta, independientemente de la fecha en que se haya creado la información; Si la información se mantiene en los sistemas de papel o electrónicos en el sitio, de forma remota o está archivada; o de dónde se originó la PHI (p. ej., si la entidad cubierta, otro proveedor, el paciente, etc.).

Información incluida en el derecho de acceso: el "conjunto de registros designados

Las personas tienen derecho a acceder a la PHI en un "conjunto de registros designados." Un "conjunto de registro designado" se define en 45 CFR 164,501 como un grupo de registros mantenidos por o para una entidad cubierta que comprende:

  • Registros médicos y registros de facturación sobre individuos mantenidos por o para un proveedor de atención médica cubierto;
  • Inscripción, pago, adjudicación de siniestros y sistemas de registro de casos o de gestión médica mantenidos por o para un plan de salud, o
  • otros registros que se utilizan, en su totalidad o en parte, por o para la entidad cubierta para tomar decisiones sobre individuos. Esta última categoría incluye registros que se utilizan para tomar decisiones sobre cualquier persona, si los registros se han utilizado o no para tomar una decisión sobre el individuo particular que solicita acceso.

El término "registro" significa cualquier artículo, recopilación o agrupación de información que incluya PHI y se mantiene, recopila, utiliza o difunde por o para una entidad cubierta.

Por lo tanto, las personas tienen derecho a una amplia gama de información de salud sobre sí mismos mantenidos por o para entidades cubiertas, incluyendo: expedientes médicos; registros de facturación y pago; información del seguro; resultados de pruebas de laboratorio clínico; imágenes médicas, como radiografías; archivos de programas de salud y gestión de enfermedades; y notas de caso clínico; entre otra información utilizada para tomar decisiones sobre individuos. No obstante, al responder a una solicitud de acceso, una entidad cubierta no está obligada a crear nueva información, como materiales explicativos o análisis, que no exista ya en el conjunto de registros designado.

Información excluida del derecho de acceso

Una persona no tiene derecho a acceder a la PHI que no forma parte de un conjunto de registros designado porque la información no se utiliza para tomar decisiones sobre individuos. Esto puede incluir ciertos registros de evaluación o mejora de la calidad, registros de actividad de seguridad del paciente, o registros de planificación, desarrollo y gestión de negocios que se utilizan para las decisiones comerciales en general, en lugar de tomar decisiones sobre individuos. Por ejemplo, los archivos de revisión por pares de un hospital o las evaluaciones de rendimiento de un profesional o proveedor, o los registros de control de calidad de un plan de salud que se utilizan para mejorar el servicio al cliente o los registros de desarrollo del formulario, pueden generarse e incluir un PHI del individuo, pero podría no estar en el conjunto de registros designados de la entidad cubierta y sujeto al acceso de la persona.

Además, se excluyen expresamente dos categorías de información del derecho de acceso:

  • Notas de psicoterapia, que son las notas personales de un proveedor de atención de salud mental que documentan o analizan el contenido de una sesión de consejería, que se mantienen separadas del resto del expediente médico del paciente. Véase 45 CFR 164.524 (a) (1) (i) y 164,501.
  • Información recopilada en previsión razonable o para su uso en una acción o procedimiento civil, criminal o administrativo. Véase 45 CFR 164.524 (a) (1) (II).

Sin embargo, la PHI subyacente de los registros médicos o de pago de la persona u otros registros utilizados para generar los tipos de registros o información excluidos, sigue siendo parte del conjunto de registros designados y está sujeto al acceso de la persona.

Representantes personales

El representante personal de un individuo (generalmente, una persona con autoridad bajo la ley estatal para tomar decisiones de atención médica para el individuo) también tiene el derecho de acceder a la PHI sobre la persona en un conjunto de registros designado (así como para dirigir la entidad cubierta a transmitir una copia de la PHI a una persona o entidad designada de la elección del individuo), previa solicitud, de conformidad con el alcance de dicha representación y los requisitos que se examinan a continuación. Véase 45 CFR 164.502 (g) http://www.hhs.gov/ocr/privacy/hipaa/understanding/
coveredentities/personalreps.html
para obtener más información sobre los derechos que pueden ejercer los representantes personales.

Las solicitudes de acceso

Requerir una solicitud por escrito

Una entidad cubierta puede exigir a las personas que soliciten el acceso por escrito, siempre que la entidad cubierta informa a los individuos de este requisito. Véase 45 CFR 164.524 (b) (1). Las entidades cubiertas también pueden ofrecer a las personas la opción de utilizar medios electrónicos (p. ej., correo electrónico, portal web seguro) para realizar solicitudes de acceso. Además, una entidad cubierta puede exigir a las personas que utilicen el formulario suministrado por la entidad, siempre y cuando el uso del formulario no cree una barrera o un retraso injustificado del individuo de obtener acceso a su PHI, como se describe a continuación.

Verificación

La regla de privacidad requiere que una entidad cubierta tome las medidas razonables para verificar la identidad de una persona que realiza una solicitud de acceso. Véase 45 CFR 164.514 (h). La regla no impone ninguna forma particular de verificación (como la obtención de una copia de una licencia de conducir), sino que generalmente deja el tipo y la forma de la verificación a la discreción y el juicio profesional de la entidad cubierta, siempre que los procesos y medidas de verificación no crean barreras o retrasan injustificadamente a la persona de obtener acceso a su PHI, como se describe a continuación. La verificación se puede hacer oralmente o por escrito y, en muchos casos, el tipo de verificación puede depender de cómo la persona está solicitando y/o recibiendo acceso – ya sea en persona, por teléfono (si lo permite la entidad cubierta), por fax o por correo electrónico la solicitud en el formulario suministrado por la entidad cubierta, mediante un portal web seguro o por otros medios. Por ejemplo, si la entidad cubierta requiere que las solicitudes de acceso se hagan en su propio formulario suministrado, el formulario podría solicitar información básica sobre la persona que permitiría a la entidad cubierta verificar que la persona que solicita acceso es el sujeto de la información solicitada o es el representante personal del individuo. Para aquellas entidades cubiertas que proporcionan a las personas acceso a su PHI a través de portales web, esos portales ya deben establecerse con los controles de autenticación apropiados, según lo requiera el 45 CFR 164.312 (d) de la regla de seguridad de la HIPAA, para garantizar que la persona en busca de acceso es el individuo o el representante personal del individuo.

Medidas irrazonables

Mientras que la regla de privacidad permite a las entidades cubiertas exigir que las personas soliciten el acceso por escrito y requiere la verificación de la identidad de la persona que solicita el acceso, una entidad cubierta no puede imponer medidas irrazonables a un individuo que solicita acceso que sirven como barreras o retrasan injustificadamente a la persona de obtener acceso. Por ejemplo, un médico puede no requerir una persona:

  • Quién quiere que una copia de su expediente médico se envíe por correo a su domicilio para llegar físicamente al consultorio del médico para solicitar acceso y proporcionar una prueba de identidad en persona.
  • Utilizar un portal web para solicitar el acceso, ya que no todas las personas tendrán acceso listo al portal.
  • Enviar una solicitud de acceso, ya que esto retrasaría injustificadamente la recepción de la solicitud por la entidad cubierta y, por tanto, el acceso del individuo.

Si bien una entidad cubierta puede no exigir a las personas que soliciten acceso de estas maneras, una entidad cubierta puede permitir que una persona lo haga, y se anima a las entidades cubiertas a ofrecer a las personas varias opciones para solicitar acceso.

Proporcionar acceso

Forma y formato y forma de acceso

La regla de privacidad requiere que una entidad cubierta proporcione al individuo acceso a la PHI en el formulario y formato solicitados, si se producible fácilmente en esa forma y formato, o si no, en un formulario de copia impresa legible u otra forma y formato según lo acordado por la entidad cubierta un d individual. Véase 45 CFR 164.524 (c) (2) (i). Si la persona solicita acceso electrónico a la PHI que la entidad cubierta mantiene electrónicamente, la entidad cubierta debe proporcionar al individuo acceso a la información en el formulario y formato electrónico solicitados, si es fácilmente producible en esa forma y formato, o si no, en un formato electrónico de lectura alternativa y legible. Véase 45 CFR 164.524 (c) (2) (II). Los términos "forma y formato" se refieren a cómo se transmite la PHI a la persona (por ejemplo, en papel o electrónicamente, tipo de archivo, etc.) Así:

  • Solicitudes de copias en papel: cuando una persona solicita una copia impresa de la PHI mantenida por la entidad cubierta, ya sea electrónicamente o en papel, se espera que la entidad cubierta pueda proporcionar al individuo la copia impresa solicitada.
  • Solicitudes de copias electrónicas 
  • Cuando una persona solicita una copia electrónica de PHI que una entidad cubierta mantiene únicamente en papel, la entidad cubierta está obligada a proporcionar a la persona una copia electrónica si es fácilmente producible electrónicamente (por ejemplo, la entidad cubierta puede fácilmente escanear el registro en papel en un formato electrónico) y en el formato electrónico solicitado si se producible fácilmente en ese formato, o si no, en un formato electrónico alternativo legible o formato de copia impresa según lo acordado por la entidad cubierta y el individuo.
  • Cuando una persona solicita una copia electrónica de la PHI que una entidad cubierta mantiene electrónicamente, la entidad cubierta debe proporcionar al individuo acceso a la información en el formato electrónico solicitado y en la forma en que se producible en ese forma y formato. Cuando la PHI no se producible fácilmente en el formato y formulario electrónico solicitados, la entidad cubierta debe proporcionar acceso a un formato electrónico de lectura alternativa acordado. Véase 45 CFR 164.524 (c) (2) (II). Esto significa que, si bien una entidad cubierta no está obligada a comprar nuevo software o equipo con el fin de acomodar todas las solicitudes individuales posibles, la entidad cubierta debe tener la capacidad de proporcionar alguna forma de copia electrónica de PHI mantenida Electrónicamente. Sólo si la persona rechaza aceptar cualquiera de los formatos electrónicos fácilmente producible por la entidad cubierta, la entidad cubierta puede satisfacer la solicitud de acceso proporcionándole a la persona una copia impresa legible de la PHI

La entidad cubierta también puede proporcionar al individuo un resumen de la PHI solicitada, en lugar de proporcionar acceso a la PHI, o puede proporcionar una explicación de la PHI a la que se ha proporcionado el acceso, además de esa PHI, siempre y cuando el individuo por adelantado : (1) elige recibir el resumen o la explicación (incluso en el formulario electrónico o impreso que ofrece la entidad cubierta); y (2) acepta cualquier tarifa (como se explica a continuación en la sección que describe las tarifas permitidas para copias) que puede ser cargada por la entidad cubierta para el resumen o explicación. Véase 45 CFR 164.524 (c) (2) (III).

Una entidad cubierta también debe proporcionar acceso en la forma solicitada por el individuo, que incluye la organización con el individuo para un tiempo conveniente y lugar para recoger una copia de la PHI o para inspeccionar la PHI (si esa es la forma de acceso solicitada por el individuo) , o tener una copia de la PHI enviada por correo o por correo electrónico, o de otra manera transferida o transmitida a la persona en la medida en que la copia sería fácilmente producible de tal manera. Si un modo particular de transmisión o transferencia es fácilmente producible se basará en las capacidades de la entidad cubierta y el nivel de riesgo de seguridad que el modo de transmisión o transferencia puede introducir a la PHI en los sistemas de la entidad cubierta (como opuesto a los riesgos de seguridad para la PHI una vez que ha salido de los sistemas). No se espera que una entidad cubierta tolere niveles inaceptables de riesgo para la seguridad de la PHI en sus sistemas en respuesta a las solicitudes de acceso; Si el modo de transferencia o transmisión solicitado por la persona presenta un nivel de riesgo tan inaceptable dependerá del análisis de riesgo de la regla de seguridad de la entidad cubierta. Véanse 45 CFR 164.524 (c) (2) y (3), y 164.308 (a) (1). Sin embargo, el correo y el correo electrónico generalmente se consideran fácilmente producible por todas las entidades cubiertas. Se espera que todas las entidades cubiertas tengan la capacidad de transmitir PHI por correo o correo electrónico (excepto en el caso limitado en que el correo electrónico no puede acomodar el tamaño de archivo de las imágenes solicitadas), y la transmisión de PHI de tal manera no presenta una seguridad inaceptable riesgos para los sistemas de las entidades cubiertas, aunque puede haber riesgos de seguridad para la PHI durante el tránsito (por ejemplo, cuando una persona ha solicitado recibir su PHI y aceptado los riesgos asociados con el correo electrónico no cifrado). Por lo tanto, una entidad cubierta puede no exigir que un individuo viaje a la ubicación física de la entidad cubierta para recoger una copia de su PHI si la persona solicita que la copia sea enviada por correo o por correo electrónico.

Puntualidad en el acceso

Al proporcionar acceso a la persona, una entidad cubierta debe proporcionar acceso a la PHI solicitada, en su totalidad o en parte (si se puede denegar cierto acceso como se explica a continuación), a más tardar 30 días naturales desde la recepción de la solicitud del individuo. Véase 45 CFR 164.524 (b) (2). Los 30 días naturales son un límite externo y se anima a las entidades cubiertas a responder lo antes posible. De hecho, una entidad cubierta puede tener la capacidad de proporcionar a las personas acceso electrónico casi instantáneo o muy rápido a la PHI solicitada a través de registros de salud personales, portales web o medios electrónicos similares. Además, las personas pueden razonablemente esperar que una entidad cubierta pueda responder en un período de tiempo mucho más rápido cuando la entidad cubierta está utilizando la tecnología de información de salud en sus operaciones del día a día

Si una entidad cubierta no puede proporcionar acceso en un plazo de 30 días naturales, por ejemplo, cuando la información se archiva fuera del sitio y no es fácilmente accesible, la entidad cubierta puede ampliar el tiempo no más de 30 días adicionales. Para prolongar el tiempo, la entidad cubierta debe, dentro de los 30 días iniciales, informar al individuo por escrito de las razones de la demora y la fecha en que la entidad cubierta proporcionará acceso. Solo se permite una extensión por solicitud de acceso.

Honorarios por copias

La regla de privacidad permite que una entidad cubierta imponga una tarifa razonable basada en costos si la persona solicita una copia de la PHI (o acepta recibir un resumen o una explicación de la información). La tarifa puede incluir sólo el costo de: (1) mano de obra para copiar la PHI solicitada por el individuo, ya sea en papel o en forma electrónica; (2) suministros para la creación de copias en papel o medios electrónicos (p. ej., CD o unidad USB) si la persona solicita que la copia electrónica se suministre en soportes portátiles; (3) franqueo, cuando la persona solicite que se envíe por correo la copia, o el resumen o la explicación; y (4) la preparación de una explicación o Resumen de la PHI, si la persona lo acuerda. Véase 45 CFR 164.524 (c) (4). La tarifa no puede incluir los costos asociados con la verificación; documentación buscar y recuperar la PHI; mantenimiento de los sistemas; recuperación del capital para el acceso a los datos, el almacenamiento o la infraestructura; u otros costos no mencionados anteriormente, incluso si dichos costos están autorizados por la ley estatal.

Denegación de acceso

Motivos de denegación

En determinadas circunstancias limitadas, una entidad cubierta puede denegar la solicitud de acceso de una persona a la totalidad o a una parte de la PHI solicitada. En algunas de estas circunstancias, una persona tiene derecho a que la denegación se revise por un profesional de atención médica autorizado designado por la entidad cubierta que no participó en la decisión original de denegar.

Motivos no revisables de denegación (45 CFR 164.524 (a) (2)):

  • La solicitud es para las notas de psicoterapia, o información recopilada en previsión razonable de, o para el uso en, un procedimiento legal.
  • Un recluso solicita una copia de su PHI que posea una entidad cubierta que sea una institución correccional, o un proveedor de atención médica que actúe bajo la dirección de la institución, y que proporcione la copia pondría en peligro la salud, la seguridad, la seguridad, la custodia o la rehabilitación del recluso u otros reclusos, o la seguridad de los funcionarios correccionales, empleados u otra persona en la institución o responsable del transporte del recluso. Sin embargo, en estos casos, un recluso retiene el derecho a inspeccionar su PHI.
  • La PHI solicitada se encuentra en un conjunto de registros designado que forma parte de un estudio de investigación que incluye tratamiento (p. ej., ensayo clínico) y que aún está en curso, siempre y cuando el individuo haya acordado la suspensión temporal del acceso cuando consientes en participar en el Investigación. El derecho de acceso del individuo se restablece al finalizar la investigación.
  • La PHI solicitada está en los registros protegidos de la ley de privacidad (es decir, ciertos registros bajo el control de una agencia federal, que pueden ser mantenidos por una agencia federal o un contratista a una agencia federal), si la denegación de acceso es consistente con los requisitos de la ley.
  • La PHI solicitada fue obtenida por alguien que no sea un proveedor de atención médica (por ejemplo, un miembro de la familia de la persona) bajo una promesa de confidencialidad, y proporcionar acceso a la información sería razonablemente probable que revele la fuente de la información.

Motivos de denegación reexaminarse (45 CFR 164.524 (a) (3)). Un profesional sanitario autorizado ha determinado en el ejercicio del criterio profesional que:

  • El acceso solicitado es razonablemente probable que ponga en peligro la vida o la seguridad física del individuo o de otra persona. Este motivo de denegación no se extiende a las preocupaciones sobre el daño psicológico o emocional (por ejemplo, preocupaciones de que el individuo no será capaz de entender la información o puede ser molesto por ella).
  • El acceso solicitado es razonablemente probable que cause un daño sustancial a una persona (que no sea un proveedor de atención médica) a la que se hace referencia en la PHI.
  • La provisión de acceso a un representante personal de la persona que solicita dicho acceso es razonablemente probable que cause un daño sustancial a la persona o a otro individuo.

Tenga en cuenta que una entidad cubierta puede no exigir a una persona que proporcione una razón para solicitar acceso, y la justificación del individuo para solicitar acceso, si la entidad o el asociado de negocios que se le ha ofrecido o conoce voluntariamente, no es una razón permitida para negar Acceso. Además, una entidad cubierta no puede denegar el acceso porque un asociado de negocios de la entidad cubierta, en lugar de la propia entidad cubierta, mantiene la PHI solicitada por el individuo (por ejemplo, la PHI es mantenida por el registro de salud electrónico de la entidad cubierta proveedor o es mantenida por una empresa de almacenamiento de registros fuera del sitio).

Llevar a cabo la negación

Si la entidad cubierta deniega el acceso, en su totalidad o en parte, a la PHI solicitada por el individuo, la entidad cubierta debe proporcionar una denegación por escrito a la persona a más tardar dentro de los 30 días naturales de la solicitud (o a más tardar en el plazo de 60 días calendario si el e ntity notificó al individuo de una prórroga). Véase 45 CFR 164.524 (b) (2). La negación debe ser en lenguaje sencillo y describir la base para la negación; Si procede, el derecho del individuo a que se revise la decisión y cómo solicitar dicha revisión; y cómo la persona puede presentar una queja a la entidad cubierta o a la oficina de derechos civiles de HHS. Véase 45 CFR 164.524 (d).

Si la entidad cubierta (o uno de sus socios comerciales) no mantiene la PHI solicitada, pero sabe dónde se mantiene la información, la entidad cubierta debe informar al individuo dónde dirigir la solicitud de acceso. Véase 45 CFR 164.524 (d) (3).

La entidad cubierta debe, en la medida de lo posible y dentro de los plazos anteriores, proporcionar al individuo acceso a cualquier otra PHI solicitada, después de excluir la PHI a la que la entidad tiene un motivo para denegar el acceso. Véase 45 CFR 164.524 (d) (1). La complejidad en la segregación de la PHI no excusa la obligación de proporcionar acceso a la PHI a la que no se aplica el motivo de denegación.

Revisión de la negación

Si la denegación se basó en una base revisable para la denegación y la revisión de las solicitudes individuales, la entidad cubierta debe remitir inmediatamente la solicitud al funcionario de revisión designado. El funcionario de revisión debe determinar, dentro de un período de tiempo razonable, si desea reafirmar o revertir la denegación. La entidad cubierta deberá, a continuación, proporcionar inmediatamente una notificación por escrito a la persona de la determinación del funcionario de revisión, así como tomar otras medidas necesarias para llevar a cabo la determinación. Véase 45 CFR 164.524 (d) (4).

Derecho del individuo a dirigir la PHI a otra persona

Un individuo también tiene derecho a dirigir la entidad cubierta para transmitir la PHI sobre el individuo directamente a otra persona o entidad designada por el individuo. La solicitud del individuo de dirigir la PHI a otra persona debe ser por escrito, firmada por el individuo, y claramente identificar a la persona designada y dónde enviar la PHI. Una entidad cubierta puede aceptar una copia electrónica de una solicitud firmada (p. ej., PDF), así como una solicitud ejecutada electrónicamente (por ejemplo, a través de un portal web seguro) que incluya una firma electrónica. Los mismos requisitos para proporcionar la PHI a la persona, como las limitaciones de la tarifa y los requisitos para proporcionar la PHI en la forma y el formato y la manera solicitados por el individuo, se aplican cuando un individuo ordena que la PHI sea enviada a otra persona. Véase 45 CFR 164.524 (c) (3).

Leyes estatales

Las leyes estatales que proporcionan a las personas mayores derechos de acceso a su PHI que la regla de privacidad, o que no son contrarias a la regla de privacidad, no son adelantadas por la HIPAA y por lo tanto siguen siendo aplicables. Por ejemplo, una entidad cubierta sujeta a una ley estatal que requiere que el acceso a la PHI se proporcione a un individuo en un período de tiempo más corto que el requerido en la regla de privacidad debe proporcionar dicho acceso dentro del plazo más corto porque la ley estatal no es contraria a t la regla de privacidad.

A menos que exista una exención en las reglas de la HIPAA, las leyes estatales que son contrarias a las disposiciones de acceso a la regla de privacidad, como las que prohíben a ciertos laboratorios divulgar informes de pruebas directamente a un individuo, son adelantadas por la HIPAA. Véase 45 CFR 160,203. Por lo tanto, estas leyes estatales no se aplican cuando una persona ejerce su derecho de acceso de la HIPAA. Véase 45 CFR parte 160, Subparte B.

Preguntas y respuestas sobre el derecho de acceso de HIPAA

Alcance de la información cubierta por el derecho de acceso

¿Qué información de salud personal tienen los individuos un derecho bajo la HIPAA para acceder desde sus proveedores de atención médica y planes de salud?

Con excepciones limitadas, la regla de privacidad de la HIPAA otorga a las personas el derecho de acceder, previa solicitud, a la información médica y de salud (información sanitaria protegida o PHI) sobre ellos en uno o más conjuntos de registros designados mantenidos por o para los individuos ' proveedores de atención médica y planes de salud (entidades cubiertas por la HIPAA). Véase 45 CFR 164,524. Los conjuntos de registro designados incluyen registros médicos, registros de facturación, registros de pagos y reclamaciones, registros de inscripción del plan de salud, registros de gestión de casos, así como otros registros utilizados, en su totalidad o en parte, por o para una entidad cubierta para tomar decisiones sobre individuos. Véase 45 CFR 164,501. Por lo tanto, las personas tienen derecho a acceder a una amplia gama de información de salud sobre sí mismas, ya sea mantenida por una entidad cubierta o por un socio comercial en nombre de la entidad cubierta, incluyendo registros médicos, registros de facturación y pago, seguros información, informes de pruebas de laboratorio clínico, radiografías, información sobre el programa de gestión del bienestar y la enfermedad, y notas (como notas de casos clínicos o notas "SOAP" (un método para hacer notas en el gráfico de un paciente) pero sin incluir notas de psicoterapia como se explica a continuación), entre otra información generada por el tratamiento de la persona o el pago de la atención del individuo o de otra manera utilizado para tomar decisiones sobre individuos.

No obstante, al responder a una solicitud de acceso, una entidad cubierta no está obligada a crear nueva información, como materiales explicativos o análisis, que no exista ya en el conjunto de registros designado. Además, mientras que las personas tienen derecho a una amplia gama de PHI sobre sí mismas en un conjunto de registros designado, una entidad cubierta sólo se requiere para proporcionar acceso a la PHI a la que la persona solicita acceso. Las personas no tienen derecho a acceder a la PHI que no forma parte de un conjunto de registros designado porque esta información no se utiliza para tomar decisiones sobre individuos. Esto puede incluir ciertos registros de evaluación o mejora de la calidad, registros de actividad de seguridad del paciente, o registros de planificación, desarrollo y gestión de negocios que se utilizan para las decisiones comerciales en general, en lugar de tomar decisiones sobre individuos. Por ejemplo, los archivos de revisión por pares, las evaluaciones de rendimiento de los profesionales o proveedores, los registros de control de calidad utilizados para mejorar el servicio al cliente y los registros de desarrollo del formulario pueden generarse e incluir la PHI de un individuo, pero pueden no estar en el conjunto (s) de registros designados de la entidad al que tiene acceso el individuo. Sin embargo, la PHI subyacente de los registros médicos o de pago de la persona utilizada para generar dicha información sigue siendo parte del conjunto de registros designados y está sujeto al acceso de la persona. Por ejemplo, una persona no tendría derecho a acceder a memorandos internos relacionados con el desarrollo de un formulario; sin embargo, un individuo tiene el derecho de acceder a la información sobre los medicamentos recetados que se prescribieron para ella, y los registros de reclamos relacionados con el pago de esos medicamentos, incluso si esa información se basó en, o ayudó a informar, el desarrollo de la Formulario.

Los individuos tampoco tienen derecho a acceder a las notas de psicoterapia que un profesional de salud mental mantiene por separado del expediente médico del individuo y que documenta o analiza el contenido de una sesión de consejería con el individuo. Además, las personas no tienen derecho a acceder a información sobre la persona compilada en previsión razonable o para su uso en un procedimiento legal (pero la persona retiene el derecho a acceder a la PHI subyacente desde el conjunto de registros designado (s) sobre el individuo utilizado para generar la información del litigio). Sin embargo, una entidad cubierta tiene la discreción de compartir esta información con la persona si así lo decide. Véase 45 CFR 164.524 (a) (1) – (a) (3) para una lista completa de excepciones al derecho de acceso.

¿El derecho de una persona bajo la HIPAA de acceder a su información de salud se aplica sólo a la información que un proveedor de atención médica mantiene sobre la persona en un expediente médico electrónico (EHR), o un expediente medico en papel?

No. Un individuo tiene un derecho amplio bajo la regla de privacidad de la HIPAA para acceder a la PHI sobre el individuo en todos los conjuntos de registros designados mantenidos por o para una entidad cubierta, ya sea en formato electrónico o en papel, no sólo el conjunto de registros designados que comprende el "médico registro. ” Véase 45 CFR 164.524 (a). (Sin embargo, si se mantiene la misma PHI en más de un conjunto de registros designados, una entidad cubierta solo necesita producir la información una vez en respuesta a una solicitud de acceso.) Un conjunto de registro designado también incluye registros de facturación y pago, reclamaciones e información de seguros, así como otros registros que se utilizan, en su totalidad o en parte, por o para la entidad cubierta para tomar decisiones sobre individuos. Vea la definición de "conjunto de registros designados" en 45 CFR 164,501.

¿Tiene el individuo derecho a acceder a la PHI sobre sí misma mantenida por una entidad cubierta que es muy antigua o está archivada?

Sí. Una persona tiene derecho a acceder a la PHI sobre sí misma en un expediente médico u otro conjunto de registros designados que mantenga una entidad cubierta, independientemente de la fecha en que se haya creado la información o de si la información se mantiene en el sitio, remotamente o se archiva. Sólo hay motivos muy limitados en virtud de los cuales una entidad cubierta puede denegar un acceso individual a la PHI sobre sí misma en un conjunto de registros designados, que no incluyen la edad o ubicación de la información. Véase 45 CFR 164.524 (a) (2) – (a) (3).

¿Tiene un individuo derecho a acceder a toda la información que una entidad cubierta mantiene en el expediente médico del individuo?

Sí. Excepto en circunstancias muy limitadas, una persona tiene derecho a acceder a toda la PHI sobre la persona que una entidad cubierta (o su asociado de negocios) mantiene en uno o más conjuntos de registros designados. Se define un conjunto de registros designado para incluir el expediente médico sobre el individuo. Por lo tanto, un individuo generalmente tiene derecho a acceder a toda la información sobre la persona que una entidad cubierta mantiene en el expediente médico del individuo, incluyendo la información que el individuo proporcionó a la entidad cubierta, así como la PHI sobre el individuo contribuyó al registro por otros proveedores de atención médica o entidades cubiertas. Consulte 45 CFR 164.524 (a) (2) – (a) (3) para los motivos limitados en los que una entidad cubierta puede denegar un acceso individual a la PHI en un conjunto de registros designado.

¿En qué circunstancias puede una entidad cubierta denegar la solicitud de acceso de una persona a la PHI de la persona?

Una entidad cubierta puede denegar un acceso individual a la totalidad o una parte de la PHI solicitada en circunstancias muy limitadas. Por ejemplo, una entidad cubierta puede denegar un acceso individual si la información solicitada no forma parte de un conjunto de registros designado mantenido por la entidad cubierta (o por un asociado de negocios para una entidad cubierta), o la información está exceptuada del derecho de acceso porque se trata de notas de psicoterapia o información compilada en anticipación razonable, o para su uso en, un procedimiento legal (pero la persona retiene el derecho a acceder a la PHI subyacente desde el conjunto de registros designados sobre el individuo utilizado para generar este información).

Existe otro motivo limitado para la denegación Si un profesional de la salud autorizado determina en el ejercicio del juicio profesional que el acceso solicitado es razonablemente probable que ponga en peligro la vida o la seguridad física de la persona o de otro individuo. Por ejemplo, una entidad cubierta puede negar a un paciente suicida el acceso a la información que un proveedor determina en su juicio profesional es razonablemente probable que lleve al paciente a tomar su propia vida. Sin embargo, subrayamos que este motivo se interpreta estrechamente con el fin de proteger los intereses de autonomía de las personas y su derecho en virtud de la norma de privacidad para obtener información sobre sí mismos, que es fundamental para facilitar la participación activa de las personas en su propia atención médica. Las preocupaciones generales sobre el daño psicológico o emocional no son suficientes para negar un acceso individual (por ejemplo, preocupaciones de que la persona no pueda entender la información o puede estar molesta por ella). Además, el acceso solicitado debe ser razonablemente probable que cause daño o ponga en peligro la vida física o la seguridad. Por lo tanto, las preocupaciones basadas en la mera posibilidad de daño no son suficientes para denegar el acceso. Como resultado, esperamos que este motivo de denegación se aplique en circunstancias extremadamente raras. Además, un individuo al que se le niega el acceso basado en estos motivos tiene derecho a que el rechazo sea revisado por un profesional de la salud autorizado designado por la entidad cubierta como funcionario de revisión que no participó en la decisión original de denegar el acceso.

Para obtener una lista completa de los terrenos y condiciones para la denegación de acceso, véase 45 CFR 164.524 (a) (2)-(4). Tenga en cuenta que una persona puede no estar obligada a proporcionar una razón para solicitar acceso, y la justificación de la persona para solicitar el acceso, si la entidad cubierta o el asociado de negocios lo ofrece o conoce voluntariamente, no es una razón permitida para denegar el acceso.

Si una entidad cubierta deniega el acceso, en todo o en parte, a la PHI solicitada por la persona en base a uno o más motivos permitidos, la entidad cubierta debe proporcionar una denegación por escrito a la persona a más tardar 30 días naturales después de la solicitud (o no más de 60 calen dar días si la entidad cubierta notificó al individuo de una prórroga). Véase 45 CFR 164.524 (b) (2). La negación debe ser en lenguaje sencillo y describir la base para la negación; Si procede, el derecho del individuo a que se revise la decisión y cómo solicitar dicha revisión; y cómo la persona puede presentar una queja a la entidad cubierta o a la oficina de derechos civiles de HHS. Véase 45 CFR 164.524 (d).

La entidad cubierta debe, en la medida de lo posible, proporcionar al individuo acceso a cualquier otra PHI solicitada, después de excluir la PHI a la que la entidad tiene un motivo para denegar el acceso. Véase 45 CFR 164.524 (d) (1).

¿Tiene una persona un derecho bajo la HIPAA para acceder a la PHI sobre el individuo mantenido por un socio comercial de una entidad cubierta?

Sí. El derecho de una persona bajo la regla de privacidad de la HIPAA de acceder a la PHI sobre sí mismo se extiende a la PHI en un conjunto de registros designado mantenido por un socio comercial en nombre de una entidad cubierta. Por lo tanto, si una persona presenta una solicitud de acceso a la PHI, la entidad cubierta es responsable de proporcionar al individuo acceso no solo a la PHI que posea, sino también a la PHI que posea uno o más de sus socios comerciales. Sin embargo, si la misma PHI que es objeto de una solicitud de acceso se mantiene tanto en el conjunto de registros designado de la entidad cubierta como en el conjunto de registros designado del socio comercial, la PHI solo debe producirse una vez en respuesta a la solicitud de acceso. Véase 45 CFR 164.524 (c) (1).

Con respecto a la PHI en un conjunto de registros designado mantenido por un socio comercial, el acuerdo de socio comercial entre la entidad cubierta y el socio comercial regirá si el asociado de negocios proporcionará acceso directamente a la persona o proporcionará la PHI que es el sujeto de la solicitud de acceso del individuo a la entidad cubierta para la entidad cubierta para entonces proporcionar acceso a la persona. Sin embargo, independientemente de cómo y en qué medida un asociado de negocios apoya o cumple la obligación de una entidad cubierta de proporcionar acceso a un individuo, una solicitud de acceso todavía debe ser actuada dentro de 30 días calendario (o 60 días calendario si una extensión es aplicable) de la recepción de la solicitud por la entidad cubierta, o por un socio comercial si la solicitud se hizo directamente al socio comercial porque la entidad cubierta instruyó a las personas a través de su notificación de prácticas de privacidad (o de otro modo) para enviar solicitudes de acceso directamente al asociado de negocios. Además, todos los requisitos de acceso que se aplican con respecto a la PHI en poder de la entidad cubierta (por ejemplo, limitaciones en las tasas que se pueden cobrar) se aplican con respecto a la PHI en poder del socio comercial.

¿Tiene un individuo derecho bajo la HIPAA para acceder desde un laboratorio clínico la información genómica que el laboratorio ha generado sobre el individuo?

Sí. Una persona tiene derecho bajo la regla de privacidad de la HIPAA a acceder, previa solicitud, a la PHI sobre el individuo en un conjunto de registros designado mantenido por o para un laboratorio clínico que es una entidad cubierta. El conjunto de registros designado incluye no sólo los informes de pruebas de laboratorio, sino también la información subyacente generada como parte de la prueba, así como otra información relativa a las pruebas que un laboratorio ejecuta en un individuo. Por ejemplo, un laboratorio clínico que es una entidad cubierta por la HIPAA y que lleva a cabo la secuenciación de próxima generación (NGS) de ADN en una persona debe proporcionar al individuo, a petición de la persona para PHI en relación con el NGS, con una copia del informe de prueba completado , la información de la variante genética completa generada por la prueba, así como cualquier otra información en el conjunto de registros designados con respecto a la prueba.

¿Tiene un individuo derecho bajo la HIPAA para acceder a más que sólo los resultados de la prueba de un laboratorio clínico?

Sí. Bajo la regla de privacidad de la HIPAA, una persona tiene un derecho general a acceder, previa solicitud, a la PHI sobre el individuo en un conjunto de registros designado mantenido por o para un laboratorio clínico que es una entidad cubierta. Un resultado de la prueba o un informe de prueba es solo una parte del conjunto de registros designados que puede contener un laboratorio clínico. En la medida en que una persona solicite el acceso a toda su información en el laboratorio, el laboratorio debe proporcionar acceso a toda la PHI sobre el individuo en su conjunto de registros designado. Esto podría incluir, por ejemplo, los informes de prueba completados y los datos subyacentes utilizados para generar los informes, los pedidos de prueba, la información del proveedor de pedidos, la información de facturación y la información del seguro.

Líneas de tiempo para proporcionar acceso

¿Cuán oportuna debe ser una entidad cubierta para responder a las solicitudes de acceso de sus personas a su PHI?

En virtud de la regla de privacidad de la HIPAA, una entidad cubierta debe actuar según la solicitud de acceso de una persona a más tardar 30 días naturales después de la recepción de la solicitud. Si la entidad cubierta no puede actuar dentro de este plazo, la entidad puede tener hasta 30 días naturales adicionales, siempre que proporcione al individuo, dentro de ese período inicial de 30 días, una declaración por escrito de los motivos del retraso y la fecha en que t entidad completará su acción en la solicitud. Véase 45 CFR 164.524 (b) (2).

Estos plazos se aplican independientemente de si:

  • La PHI que es el sujeto de la solicitud es mantenida por la entidad cubierta o por un socio comercial en nombre de la entidad cubierta, o la entidad cubierta utiliza un asociado de negocios para satisfacer las solicitudes individuales de acceso. El reloj de 30 días comienza en la fecha en que la entidad cubierta recibe una solicitud de acceso, por lo que cualquier demora en obtener la información necesaria de un asociado de negocios o reenviar la solicitud al socio comercial para la acción "utiliza" parte del tiempo asignado. Alternativamente, el reloj de 30 días comienza cuando, en lugar de la entidad cubierta, un socio comercial recibe una solicitud directamente de un individuo porque la entidad cubierta instruyó a la persona a través de su notificación de prácticas de privacidad (o de otro modo) para enviar la solicitud de acceso directamente a su asociado de negocios para su procesamiento.
  • La entidad cubierta negocia con el individuo en el formato de la respuesta. Las entidades cubiertas que pasan un tiempo significativo antes de llegar a un acuerdo con los individuos en formato están agotando los 30 días asignados para la respuesta por ese monto de tiempo.
  • La PHI que es el sujeto de la solicitud es antigua, archivada y/o no de otro modo fácilmente accesible.

Estos plazos son límites externos, y se espera que muchas entidades cubiertas puedan responder a las solicitudes de acceso mucho antes de que se alcancen estos límites externos. Sin embargo, en los casos en que una entidad cubierta es consciente de que una solicitud de acceso puede tomar cerca de estos límites de tiempo externos para cumplir, se anima a la entidad a proporcionar la información solicitada en pedazos a medida que esté disponible, si el individuo indica un deseo de recibir la información de tal manera.

Bajo el programa de incentivos EHR, los proveedores participantes están obligados a proporcionar a las personas acceso a cierta información en plazos mucho más rápidos (por ejemplo, un resumen de la descarga dentro de 36 horas de descarga, un resultado de laboratorio dentro de 4 días hábiles después de la proveedor ha recibido los resultados) que en la HIPAA. ¿Cómo funcionan juntos estos requisitos?

Los proveedores de atención médica que participan en el programa de incentivos de EHR pueden usar las herramientas de participación del paciente de su tecnología certificada de EHR para poner cierta información a disposición de los pacientes rápidamente y satisfacer sus objetivos del programa de incentivos de EHR. Si lo hace, también tiene el beneficio adicional de satisfacer la solicitud de acceso de una persona en virtud de la HIPAA, donde la PHI solicitada por el individuo está disponible a través de la tecnología EHR certificada, y el individuo acepta acceder a la información de esta manera. Si bien la regla de privacidad permite que una entidad cubierta tome hasta 30 días naturales desde la recepción de una solicitud para proporcionar acceso (con una extensión para hasta 30 días naturales adicionales cuando sea necesario), se recomienda encarecidamente a las entidades cubiertas que proporcionen a las personas con acceso a su información de salud mucho antes, y aprovechar las tecnologías que permiten a las personas tener un acceso más rápido o incluso inmediato a la información.

¿Por qué la HIPAA da a las entidades cubiertas 30 días para responder a las solicitudes de acceso de sus personas a su PHI? En la era digital, permitir que las entidades cubiertas 30 días proporcionen a las personas acceso a su información de salud parece demasiado larga; los individuos necesitan esta información rápidamente para administrar su salud y atención médica.  

Si bien algunas solicitudes de acceso individuales deben ser bastante fáciles de cumplir (por ejemplo, aquellas que pueden satisfacerse mediante el uso de la tecnología EHR certificada), la regla de privacidad de la HIPAA reconoce que puede haber otras circunstancias en las que el tiempo y el esfuerzo adicionales pueden ser necesario para localizar y obtener la PHI que es objeto de la solicitud, o para proporcionar la PHI en el formato solicitado o acordado por el individuo, o de otra manera para actuar en la solicitud. La regla de privacidad está destinada a establecer el límite de tiempo externo para proporcionar acceso, no indicar el resultado deseado o mejor, y se espera que muchas entidades cubiertas deben ser capaces de responder a las solicitudes de acceso bien antes del límite exterior de 30 días. Además, a medida que la tecnología evoluciona y la PHI se vuelve más fácilmente disponible a través de tecnologías digitales fáciles de usar, aumentará la capacidad de proporcionar un acceso muy rápido o casi instantáneo a las personas. El Departamento continuará supervisando estos desarrollos.

En algunos casos, el plazo de 30 días desde una solicitud para proporcionar a una persona con acceso a su PHI puede no ser suficiente tiempo para que un laboratorio clínico complete el informe de prueba que es el sujeto de la solicitud del individuo. ¿Qué puede hacer un laboratorio clínico en estos casos?

En aquellos casos limitados en los que, debido a la naturaleza de la prueba y al momento de la solicitud del individuo, 30 días naturales no sean suficientes para completar un informe de prueba al que el individuo haya solicitado el acceso, el laboratorio podrá notificar al individuo por escrito dentro del período de 30 días de la necesidad y la razón específica de la demora en proporcionar acceso al resultado de la prueba completada y la fecha en que el laboratorio completará su acción en la solicitud, de acuerdo con § 164.524 (b) (2) (III) de la regla de privacidad de HIPAA. La regla de privacidad permite solo una extensión en una solicitud de acceso y la extensión no puede exceder de 30 días calendario adicionales. En la rara circunstancia en que 60 días naturales no sean suficientes para proporcionar al individuo acceso al informe de prueba completado solicitado por la persona, el laboratorio cubierto podrá, al final del período de 60 días, satisfacer la solicitud de acceso proporcionando la persona con acceso a la PHI que existe en el momento (p. ej., solicitudes de prueba, los datos subyacentes que se utilizan para generar los informes, otros informes de pruebas completados) en el conjunto de registros designado.

Sin embargo, para evitar esta situación en la medida de lo posible, en los casos en que el laboratorio sabe que un informe de prueba en particular tomará más tiempo que los plazos de acceso de la HIPAA, esperamos que el laboratorio explique esta circunstancia a la persona. Al informar a las personas de esta situación cuando soliciten el acceso, los individuos pueden estar dispuestos a retirar o mantener su solicitud hasta un momento posterior para asegurarse de que tienen acceso a lo que quieren o necesitan. Si una persona opta por no retirar su solicitud de acceso, el individuo tendrá entonces el derecho sólo de obtener la PHI en el registro designado en el momento en que se cumpla la solicitud, lo que puede no incluir el informe de prueba en particular solicitado porque es n OT todavía completo.

Forma y formato y forma de acceso

En virtud de la norma de privacidad de la HIPAA, ¿las personas tienen derecho a una copia electrónica de su PHI?

Sí, en la mayoría de los casos. Si la PHI es mantenida por una entidad cubierta electrónicamente, una persona tiene derecho a recibir una copia electrónica de la información a petición (suponiendo que la entidad cubierta no tiene un motivo de denegación bajo 45 CFR 164.524 (a) (2) o (a) (3)). La entidad cubierta debe proporcionar al individuo acceso a la PHI en forma electrónica y formato solicitado por el individuo, si es fácilmente producible en esa forma y formato, o si no, en un formato electrónico alternativo legible según lo acordado por el individuo y la entidad cubierta. Véase 45 CFR 164.524 (c) (2) (II). Cuando una persona solicita acceso a la PHI que es mantenida electrónicamente por una entidad cubierta, la entidad cubierta puede proporcionar al individuo una copia impresa de la PHI para satisfacer la solicitud solo en los casos en que la persona declina aceptar cualquiera de los formatos electrónicos fácilmente producible por la entidad cubierta.

Si la persona solicita una copia electrónica de PHI que la entidad cubierta mantiene únicamente en papel, la entidad cubierta debe proporcionar al individuo la copia electrónica Si la copia se producible electrónicamente (por ejemplo, la entidad cubierta puede escanear fácilmente el registro en papel en formato electrónico) y en el formato electrónico solicitado si se producible fácilmente en ese formato, o si no, en un formato electrónico alternativo legible según lo acordado por la entidad cubierta y el individuo. Si la copia no es fácilmente producible en forma electrónica, o el individuo declina aceptar los formatos electrónicos producible fácilmente por la entidad cubierta, a continuación, una copia impresa legible de la PHI puede ser proporcionada para satisfacer la solicitud de acceso. Véase 45 CFR 164.524 (c) (2) (i).

Si un individuo solicita una copia electrónica de la PHI del individuo que la entidad cubierta mantiene sólo en papel, ¿es la entidad cubierta requerida para escanear los registros en papel para crear una copia electrónica de la PHI para el individuo?

Mientras que una entidad cubierta no está obligada a comprar un escáner para crear copias electrónicas, si una entidad cubierta puede producir fácilmente una copia electrónica de la PHI para el individuo escaneando los registros, debe hacerlo. En particular, si una persona solicita una copia electrónica de PHI en un formato específico, y una entidad cubierta mantiene que la PHI sólo en papel, la entidad cubierta debe proporcionar al individuo la copia electrónica, en el formato solicitado, si la copia es fácilmente producible electrónicamente y fácilmente producible en el formato electrónico solicitado. Si la copia es fácilmente producible electrónicamente pero no en el formato específico solicitado, la entidad cubierta puede ofrecer al individuo la copia en un formato electrónico legible alternativo. Si la copia no es fácilmente producible en forma electrónica, o el individuo declina aceptar los formatos electrónicos que son fácilmente producible por la entidad cubierta, entonces la entidad cubierta puede proporcionar al individuo con una copia impresa legible de la PHI para satisfacer la solicitud de acceso. Véase el § 164.524 (c) (2) (i). Por ejemplo, una entidad cubierta que mantiene la PHI solicitada solo en papel puede producir fácilmente una versión escaneada en PDF de la PHI, pero no la versión de Word solicitada. En este caso, la entidad cubierta puede proporcionar al individuo la versión PDF si el individuo acepta aceptar la versión PDF. Si el individuo rechaza aceptar la versión en PDF, o si la entidad cubierta no puede producir fácilmente un PDF u otra versión electrónica de la PHI, la entidad cubierta puede proporcionarle a la persona una copia impresa, como una fotocopia, de la PHI.

Cuando una persona ejerce su derecho de la HIPAA para obtener una copia electrónica de su PHI, ¿puede el individuo elegir el formato electrónico de la copia?

Mientras que las personas no tienen una opción ilimitada en forma de copia electrónica solicitada, y las entidades cubiertas no están obligadas a comprar nuevo software u otro equipo con el fin de acomodar todas las solicitudes individuales posibles, el individuo tiene un derecho recibir la copia en el formulario y formato solicitados por el individuo si la copia es fácilmente producible en esa forma y formato. Por ejemplo, una persona puede solicitar que se le provea una copia electrónica de su PHI en Microsoft (MS) Word; MS Excel; Formato de documento portable (PDF); o como datos estructurados, legibles por máquina (p. ej., un documento que sigue la norma de arquitectura de documentos clínicos consolidados (CCDA) utilizando LOINC (para representar pruebas de laboratorio) y RxNorm (para representar medicamentos)); u otro formato electrónico; y la entidad cubierta deben proporcionar la copia en el formato solicitado si producible fácilmente en ese formato.   Further, Además, si la PHI que es objeto de la solicitud es mantenida electrónicamente por una entidad cubierta, la entidad está obligada a tener la capacidad de proporcionar alguna forma de copia electrónica  (ver 78 FR 5633, https://www.gpo.gov/fdsys/pkg/FR-2013-01-25/pdf/2013-01073.pdf) – y esto significa que algunas entidades cubiertas pueden necesitar hacer algunas inversiones (que no se pueden cobrar a los individuos) con el fin de cumplir con este requisito de línea de base. Si una persona solicita una forma de copia electrónica que la entidad cubierta no puede producir, la entidad cubierta debe ofrecer otros formatos electrónicos que estén disponibles en sus sistemas. Si el individuo rechaza aceptar cualquiera de los formatos electrónicos que son fácilmente producible por la entidad cubierta, sólo entonces puede la entidad cubierta proporcionar una copia impresa para cumplir con la solicitud de acceso. Por lo tanto, las personas que soliciten acceso electrónico a la PHI mantenida electrónicamente pueden ser desviadas a recibir una copia impresa sólo en circunstancias en las que todas las capacidades existentes de las entidades cubiertas para la producción de copias electrónicas se hayan presentado con facilidad a la persona, pero el individuo ha determinado que esos formatos no son aceptables para ella.

Cuando una persona solicita acceso a la PHI en una forma o formato particular, la pregunta para la entidad cubierta es si la entidad es capaz o no de producir fácilmente la copia en ese formato, que es una cuestión de capacidad, no de "voluntad." Por lo tanto, si una entidad cubierta tiene la capacidad de producir fácilmente el formato solicitado, no es permisible para la entidad cubierta denegar el acceso individual a ese formato porque la entidad preferiría que la persona reciba un formato diferente, o utilizar otros procesos de acceso a registros habituales de la entidad.

¿Cuál es la intersección del derecho de acceso de la HIPAA y las disposiciones de "ver, descargar y transmitir" del programa de incentivos del registro de salud electrónico de Medicare y Medicaid de la ley HITECH?

Bajo la regla de privacidad de la HIPAA, una persona tiene el derecho de acceder a la PHI mantenida sobre la persona por una entidad cubierta en un conjunto de registros designado. Esto puede contener una PHI electrónica o no electrónica. Véase 45 CFR 164.524 (a) (1). Bajo el programa de incentivos de la ley de salud electrónica (EHR, por sus siglas en inglés), los profesionales elegibles, los hospitales elegibles y los hospitales de acceso crítico (CAHs) pueden recibir pagos de incentivos bajo Medicare y Medicaid y evitar reducciones de pago bajo Medicare para demostrar con éxito el uso significativo de la tecnología certificada de EHR, que incluye proporcionar a los pacientes la capacidad de ver en línea, descargar y transmitir su información de salud. Es importante tener en cuenta que en algunos aspectos el programa de incentivos de EHR contiene estándares más exigentes que los requisitos de línea de base de la regla de privacidad de HIPAA, mientras que la regla de privacidad de HIPAA contiene requisitos más integrales que el programa de incentivos de EHR ( por ejemplo, el derecho de acceso a la regla de privacidad de HIPAA se aplica a los registros electrónicos y en papel, mientras que el programa de incentivos EHR se aplica a ciertos registros electrónicos).

A continuación, se presentan algunas distinciones clave entre el derecho de acceso de la HIPAA y las oportunidades de acceso individual que se pueden ofrecer a través del programa de incentivos de EHR:

 EHR Incentive Program
El programa de incentivos de EHR profesional u hospital pone a disposición de manera proactiva cierta información para que el paciente vea, Descargue o transmita (más del 50% de los pacientes tienen acceso oportuno en la etapa 2; más del 80% en la etapa 3)
El acceso es a un conjunto específico de datos (p. ej., resultados recientes de pruebas de laboratorio, lista de medicamentos actual e historial de medicamentos, lista de problemas) * mantenidos en tecnología EHR certificada (para la etapa 3, el conjunto específico de datos se conoce como el conjunto de datos clínicos comunes (CCDS), según se define en la 2015 Edition Health IT Regla de certificación * *)
El acceso debe ser proporcionado oportunamente (por ejemplo, en la etapa 2, los profesionales deben hacer que la información esté disponible dentro de los 4 días hábiles de su disponibilidad al profesional, y los hospitales deben hacer que la información sobre las estadías hospitalarias esté disponible dentro de las 36 horas de la descarga; para Etapa 3, la información debe estar disponible para el paciente dentro de las 48 horas de su disponibilidad a un profesional y 36 horas de su disponibilidad a un hospital)
administrados por los centros de servicios de Medicare y Medicaid (con respecto al programa de incentivos EHR) y el Oficina del Coordinador Nacional para la TI de salud (con respecto al programa de certificación de TI de salud)
Norma de privacidad de la HIPAA
la entidad cubierta requerida por la ley para proporcionar a las personas con acceso a solicitud de acceso
Acceso para solicitar PHI que se encuentra en un conjunto de registros designados que es la PHI que se mantiene electrónicamente (por ejemplo, en el EHR) u otra información médica que se no se almacena en el EHR (por ejemplo, PHI que se almacena en papel, registros de facturación y otros registros utilizados para tomar decisiones sobre individuos)
Se alienta el acceso rápido, pero las entidades cubiertas pueden tardar no más de 30 días desde la recepción para actuar en una solicitud de acceso (y puede Tak e otros 30 días para responder si el individuo es notificado por escrito de la razón de demora durante el período inicial de 30 días)
Administrado por la oficina de derechos civiles de HHS

Aunque el programa de incentivos de EHR y la regla de privacidad de HIPAA son distintos, es posible que un proveedor u hospital aproveche su tecnología de EHR certificada para cumplir con sus obligaciones de la regla de privacidad de la HIPAA con respecto al acceso individual en circunstancias en las que el individuo: (1) solicita acceso a la PHI que se mantiene en la tecnología certificada de EHR; o (2) solicita el acceso a su PHI, el profesional de la entidad cubierta o el hospital informa a la persona que la PHI solicitada está disponible a través de la tecnología certificada de EHR, y el individuo acuerda acceder a la PHI solicitada a través de la EHR certificada Tecnología.

En el escenario 1, el individuo es consciente del programa de incentivos EHR y específicamente solicita acceso a su PHI a través de la funcionalidad de la tecnología certificada de EHR. Por ejemplo, al ejercer su derecho de acceso en virtud de la regla de privacidad de la HIPAA, una persona podría solicitar una copia de su información que constituya la CCDS a través del portal de tecnología de EHR certificada del proveedor o que se envíe desde la tecnología certificada de EHR a la dirección directa del individuo (una dirección electrónica para intercambiar de forma segura la información de salud mediante el estándar técnico directo). Si el proveedor está usando la tecnología certificada de EHR, la regla de privacidad de HIPAA requiere que el proveedor conceda esta solicitud a la persona, ya que el formato solicitado es "fácilmente producible" utilizando la tecnología certificada de EHR del proveedor. Al mismo tiempo, el proveedor debe ser capaz de contar este acceso por el individuo con el fin de cumplir con sus objetivos del programa de incentivos del EHR, siempre y cuando el acceso se proporcionó dentro de los plazos requeridos por el programa de incentivos EHR. Debido a que la regla de privacidad proporciona hasta 30 días para actuar en una solicitud de acceso, cumplir con los plazos más rápidos del programa de incentivos de EHR cumple claramente con los plazos de la regla de privacidad.

En el escenario 2, el individuo ha solicitado una copia de cierta de su PHI, y el proveedor reconoce que la PHI solicitada por el individuo estaría fácilmente disponible a través de la tecnología certificada de EHR. El individuo pide la información en formato PDF; el proveedor en su lugar ofrece a configurar una cuenta para el individuo para que el individuo puede acceder a esta información directamente a través del portal en la tecnología EHR certificada. Si la persona acepta el acceso al portal, el proveedor podrá satisfacer la solicitud de acceso HIPAA del individuo mediante el portal de tecnología EHR certificada, al mismo tiempo que podrá contar el acceso con el fin de cumplir con el programa de incentivos de EHR objetivos (siempre y cuando el acceso se haya proporcionado dentro de los plazos requeridos por el programa de incentivos EHR). Si el individuo rechaza la oferta y en su lugar mantiene su solicitud de recibir una copia de su PHI en formato PDF, la regla de privacidad de la HIPAA requiere que el proveedor proporcione a la persona una copia en formato PDF, si la PHI se producible fácilmente en ese formato o , si no, en un formato electrónico alternativo que sea aceptable para el paciente. Además, el individuo en todo momento se mantiene el derecho a acceder a su PHI en un conjunto de registros designados que no es parte de o disponible a través de la tecnología certificada EHR.

¿Tiene un individuo derecho bajo la HIPAA para acceder a su PHI en una norma técnica en particular?

En algunas circunstancias, un individuo puede solicitar acceso a una copia electrónica de su PHI en una norma técnica en particular, por ejemplo, una copia de los datos de medicación de la persona representada en RxNorm o una prueba de laboratorio representada en LOINC. Un individuo puede solicitar PHI en un estándar particular para usar esa información en otro software que el individuo está utilizando. Si la entidad cubierta es capaz de producir fácilmente la PHI en el formato estándar solicitado, la entidad cubierta debe hacerlo (a menos que la entidad tenga un motivo de denegación como se especifica en la regla de privacidad en 45 CFR 164.524 (a). (Observamos que los individuos, en el ejercicio de sus derechos de acceso en virtud de la regla de privacidad, no están obligados a indicar su propósito para solicitar el acceso, independientemente de si se especifica o no una forma o formato particular para la solicitud, y la justificación de un individuo para solicitar acceso no es una razón para denegar el acceso.)

¿Tienen los individuos un derecho bajo la HIPAA para obtener copias de sus radiografías u otras imágenes de diagnóstico, y si es así, en qué formato?

Sí. Una persona tiene derecho a recibir PHI sobre el individuo mantenido por una entidad cubierta en un conjunto de registros designado, como un expediente médico. Véase 45 CFR 164.524 (a) (1). Esto incluye radiografías u otras imágenes en el registro. Al igual que con otras PHI en un conjunto de registros designados, el individuo tiene derecho a acceder a la información en el formulario y formato que solicita, siempre que la entidad cubierta pueda producirlo fácilmente en esa forma y formato. Véase 45 CFR 164.524 (c). El tamaño de archivo grande de algunos rayos x u otras imágenes puede afectar el mecanismo de acceso (por ejemplo, el formato acordado por el individuo y la entidad cubierta debe acomodar el tamaño del archivo).

¿Tienen los individuos el derecho bajo la HIPAA de tener copias de su PHI transferidas o transmitidas a ellos de la manera que soliciten, incluso si el modo solicitado de transferencia o transmisión no es seguro?

Sí, siempre y cuando la PHI sea "fácilmente producible" en la forma solicitada, basándose en las capacidades de la entidad cubierta y la transmisión o transferencia de tal manera no presentaría un nivel inaceptable de riesgo para la seguridad de la PHI en los sistemas de la entidad cubierta , como los riesgos que pueden presentarse conectando un sistema externo, aplicación o dispositivo directamente a los sistemas de una entidad cubierta (en contraposición a los riesgos de seguridad para la PHI una vez que ha salido de los sistemas). Por ejemplo, las personas generalmente tienen derecho a recibir copias de su PHI por correo o correo electrónico, si así lo solicitan. Se espera que todas las entidades cubiertas tengan la capacidad de transmitir PHI por correo o correo electrónico y transmitir PHI de tal manera que no presenten riesgos de seguridad inaceptables para los sistemas de entidades cubiertas, aunque puede haber riesgos de seguridad para la PHI una vez que ha abandonado los sistemas. Por lo tanto, una entidad cubierta puede no exigir que una persona viaje a la ubicación física de la entidad cubierta para recoger una copia de su PHI si la persona solicita que la copia sea enviada por correo o por correo electrónico. En el caso limitado en que una entidad cubierta no pueda hacer un correo electrónico a la PHI según lo solicitado, como en el caso de que se soliciten imágenes de diagnóstico y el correo electrónico no pueda acomodar el tamaño de archivo de las imágenes, la entidad cubierta debe ofrecer los medios alternativos individuales de recibir la PHI, como en los medios portátiles que se pueden enviar por correo a la persona.

Además, mientras que las entidades cubiertas son requeridas por las reglas de privacidad y seguridad para implementar salvaguardias razonables para proteger la PHI mientras están en tránsito, las personas tienen el derecho de recibir una copia de su PHI por correo electrónico sin cifrar si la persona solicita acceso en este Manera. En tales casos, la entidad cubierta debe proporcionar una breve advertencia a la persona de que existe cierto nivel de riesgo de que la PHI del individuo pueda ser leída o accedida por un tercero mientras está en tránsito, y confirmar que el individuo todavía quiere recibir su PHI por correo electrónico no cifrado. Si el individuo dice que sí, la entidad cubierta debe cumplir con la solicitud. Observamos que los proveedores que utilizan la edición 2015 de la tecnología EHR certificada tendrán la capacidad de enviar transmisiones de correo electrónico sin cifrar directamente desde esa tecnología. .

Si una persona tiene derecho a recibir una copia de su PHI a través de otros modos de transmisión o transferencia no seguros (suponiendo que el individuo solicita el modo y acepta el riesgo) depende de la medida en que el modo de transmisión o transferencia esté dentro del capacidades de la entidad cubierta y el modo no presentarían un nivel inaceptable de riesgo para la seguridad de la PHI en los sistemas de la entidad cubierta (como se explicó anteriormente), basándose en el análisis de riesgo de la regla de seguridad de la entidad cubierta. Por ejemplo, el análisis de riesgo de una entidad cubierta puede proporcionar que la conexión de un dispositivo externo (externo), como una unidad USB, directamente a los sistemas de la entidad presenta un nivel inaceptable de riesgo para la PHI en los sistemas. En este caso, la entidad cubierta no está obligada a aceptar la solicitud de una persona para transferir la PHI de esta manera, pero la entidad debe ofrecer otros medios para proporcionar acceso electrónico a la PHI.

Tenga en cuenta que mientras que un individuo puede recibir copias de su PHI por métodos no seguros si esa es su preferencia, como se describe con más detalle arriba, una entidad cubierta no está autorizada a exigir que una persona acepte métodos de transmisión inseguros para recibir copias de su información de salud.

Es una entidad cubierta responsable si cumple con la solicitud de acceso de una persona para recibir PHI de manera no segura (p. ej., correo electrónico sin cifrar) y la información se intercepta mientras está en tránsito?

No. Mientras que las entidades cubiertas son responsables de adoptar salvaguardias razonables en la implementación de la solicitud del individuo (por ejemplo, introducir correctamente la dirección de correo electrónico), las entidades cubiertas no son responsables de la divulgación de la PHI mientras se transmitan a la individuo en base a la solicitud de acceso del individuo para recibir la PHI de una manera no segura (suponiendo que el individuo fue advertido y aceptó los riesgos asociados con la transmisión no segura). Esto incluye obligaciones de notificación de incumplimiento y responsabilidad por las divulgaciones que ocurren en tránsito. Además, las entidades cubiertas no son responsables de salvaguardar la información una vez entregada a la persona. Las entidades cubiertas son responsables de la notificación de incumplimiento para transmisiones no garantizadas y pueden ser responsables de divulgaciones inadmisibles de PHI que ocurren en todos los contextos, excepto cuando se cumple el derecho de acceso de un individuo bajo 45 CFR 164,524 para recibir su PHI o dirigir la PHI a un tercero de manera no segura.

¿Tienen los individuos un derecho bajo la HIPAA para que su PHI se descargue en medios portátiles que proporcionan?

Si la PHI es "fácilmente producible" con el fin de proporcionar acceso dependerá de la medida en que el método solicitado de copia, transferencia o transmisión esté dentro de las capacidades de la entidad cubierta y no presentaría un nivel inaceptable de riesgo para la seguridad de la PHI en los sistemas de la entidad cubierta, en función del análisis de riesgo de la regla de seguridad de la entidad cubierta.

Con respecto a los medios portátiles suministrados por un individuo, las entidades cubiertas son requeridas por la regla de seguridad para realizar un análisis de riesgo relacionado con el uso potencial de medios portátiles externos y no están obligados a aceptar los medios externos si determinan que hay un nivel inaceptable de riesgo para la PHI en sus sistemas. Sin embargo, no se permite a las entidades cubiertas exigir a las personas que compren un dispositivo de soporte portátil de la entidad cubierta si el individuo no desea hacerlo. En tales casos, el individuo puede optar por recibir una forma alternativa de la copia electrónica de la PHI, como por ejemplo a través del correo electrónico. .

¿Tienen los individuos un derecho bajo la HIPAA de que una entidad cubierta establezca una conexión directa entre el sistema de la entidad cubierta y la aplicación o dispositivo del individuo con el fin de proporcionar a las personas acceso a su PHI?

Si la PHI es "fácilmente producible" a los fines de proporcionar acceso dependerá de la medida en que el establecimiento de la conexión esté dentro de las capacidades de la entidad cubierta y no presentará un nivel inaceptable de riesgo para la seguridad de la PHI en un sistemas de la entidad cubierta, según el análisis de riesgo de la regla de seguridad de la entidad cubierta.

Una entidad cubierta puede determinar que tiene la capacidad de establecer el tipo de conexión solicitada de manera consistente con las medidas de seguridad aplicables implementadas de acuerdo con su proceso de gestión de la seguridad. En ese caso, la entidad cubierta debe proporcionar acceso en la forma solicitada por el individuo. Además, observamos que a partir de 2018, en la etapa 3 del programa de incentivos del EHR, los profesionales elegibles, los hospitales elegibles y los hospitales de acceso crítico (CAHs) que utilizan tecnología de EHR certificada deben habilitar la interfaz de programación de aplicaciones (API) funcionalidad que permitiría a los pacientes utilizar la aplicación de su elección para acceder a sus datos. Además, observamos que muchos sistemas de proveedores ya están utilizando la funcionalidad de la API para proporcionar a los pacientes acceso a sus datos hoy de manera segura. Esperamos que las entidades cubiertas evalúen y solucionen las consideraciones de seguridad asociadas con la conexión de sus sistemas con aplicaciones o dispositivos individuales, incluso a través de la tecnología EHR certificada (si corresponde), como parte de su HIPAA proceso de gestión de seguridad.

¿Tiene un individuo un derecho bajo la HIPAA para acceder a su información de salud en forma legible para humanos?

Sí. En general, una entidad cubierta debe proporcionar a una persona con acceso a la PHI sobre la persona en un registro designado establecido en la forma y formato solicitados por el individuo, si es fácilmente producible en tal forma y formato. En los casos en que la PHI no se producible fácilmente en la forma y el formato solicitados, la entidad cubierta debe proporcionar la PHI en una forma y formato alternativos legibles según lo acordado por la entidad cubierta y el individuo. Véase 45 CFR 164.524 (c) (2). Por lo tanto, las personas tienen un derecho bajo la HIPAA para acceder a PHI sobre sí mismos en forma legible para humanos. En los casos en que una entidad cubierta esté proporcionando a una persona una copia electrónica de la PHI, también esperamos que la entidad cubierta proporcione la copia en forma legible por máquina (es decir, en un formulario capaz de ser procesado por un ordenador), en la medida de lo posible y cuando sea consistente con t petición del individuo.

Otras preguntas sobre el derecho de acceso

¿Se le permite a un proveedor de atención médica negar la solicitud de acceso de una persona porque la persona no ha pagado por los servicios de atención médica que se le brindaron?

No. Una entidad cubierta puede cobrarle a una persona que ha solicitado una copia de su PHI una tarifa razonable basada en el costo de la copia. Ver 45 CFR 164.524 (c) (4). Sin embargo, una entidad cubierta no puede retener o denegar un acceso individual a su PHI debido a que la persona no ha pagado la factura por los servicios de atención médica que la entidad cubierta le brindó.

Si el médico de un individuo ordena una prueba de un laboratorio clínico que puede tomar múltiples pasos o una serie de pruebas para completar, ¿en qué punto el informe de la prueba se convierte en parte del conjunto de registros designados del laboratorio al cual un individuo tiene un derecho de acceso?

Para los propósitos de la norma de privacidad de la HIPAA, los informes de pruebas de laboratorio clínico pasan a formar parte del conjunto de registros designados del laboratorio cuando son "completos", lo que significa que todos los resultados asociados con una prueba ordenada están terminados y listos para su liberación.

¿Se requiere un laboratorio clínico para proporcionar a una persona acceso a un informe de prueba que aún no está completo?

No. Para los propósitos de la norma de privacidad de la HIPAA, los informes de pruebas de laboratorio clínico pasan a formar parte del conjunto de registros designados del laboratorio cuando son "completos", lo que significa que todos los resultados asociados con una prueba ordenada están terminados y listos para su liberación. Sin embargo, otra información relacionada con el examen puede ser parte del conjunto de registros designados y, por lo tanto, accesible a la persona, incluso si el informe de prueba aún no se ha completado, como órdenes de prueba, información del proveedor de pedidos, información de facturación y información del seguro.

Si una persona solicita el acceso de un laboratorio clínico a un informe de prueba sobre el individuo, ¿es necesario el laboratorio para interpretar los resultados de la prueba para el individuo?

No. No hay ningún requisito en la norma de privacidad HIPAA que los laboratorios clínicos interpretan los resultados de las pruebas para los pacientes. Una persona tiene un derecho bajo la regla de privacidad de la HIPAA meramente para inspeccionar o recibir una copia (o dirigir la copia a un tercero designado), previa solicitud, de los informes de prueba completados (así como otra información en el conjunto de registros designados) mantenida por un laboratorio que es una entidad cubierta. Los laboratorios pueden seguir remiendo a los pacientes con preguntas sobre los resultados de las pruebas de nuevo a sus proveedores de pedidos o de tratamiento. Sin embargo, si bien no es necesario, un laboratorio que proporcione un informe de prueba a una persona que haya solicitado el acceso al informe también puede proporcionar materiales educativos o explicativos sobre los resultados de las pruebas a las personas si así lo decide. Del mismo modo, un laboratorio que desee incluir un descargo de responsabilidad, una advertencia u otra declaración explicando las limitaciones de los datos de laboratorio para el diagnóstico o tratamiento u otros fines puede hacerlo.

El programa del sueño

¿Cuál es tu sueño? quizás puedo ayudarte.

Ver mas

EN VIRGINIA

Tyson's Corner, VA

8230 Old Courthouse Rd. #430

Vienna, VA 22182

Teléfono: 703-761-4343

DIRECCIONES

 

Baltimore, MD

3604 Eastern Avenue, 1st Floor,

Baltimore, MD 21224

Teléfono: 410-779-3585

DIRECCIONES

EN MARYLAND

Wheaton, MD

2730 University Blvd. #504

Wheaton, MD 20902

Teléfono: 301-949-1515

DIRECCIONES

Nuevo número

1-800-NUMERO 1