febrero 5, 2021

Las infracciones más comunes de la HIPAA de las que debe estar consciente

Las infracciones más comunes de la HIPAA que han dado lugar a sanciones económicas son la falta de análisis de riesgos en toda la organización para identificar riesgos a la confidencialidad e integridad. y disponibilidad de información médica protegida (PHI); la falta de celebrar un acuerdo de socio comercial que cumpla con la HIPAA; divulgaciones no permitidas de PHI; notificaciones de incumplimiento demoradas; y la falta de protección de la PHI.

Los acuerdos perseguidos por la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos son por violaciones atroces de las Reglas de HIPAA. También se buscan acuerdos para resaltar las violaciones comunes de HIPAA para crear conciencia sobre la necesidad de cumplir con aspectos específicos de las Reglas de HIPAA.

Este artículo cubre cinco de las violaciones de HIPAA más comunes que han resultado en acuerdos con entidades cubiertas y sus socios comerciales durante los últimos años.

¿Las filtraciones de datos son violaciones de HIPAA?

Las filtraciones de datos son ahora una realidad. Incluso con defensas de ciberseguridad de varias capas, es probable que se produzcan violaciones de datos de vez en cuando. La OCR entiende que las organizaciones de salud están siendo atacadas por ciberdelincuentes y que no es posible implementar defensas de seguridad inexpugnables.

Cumplir con la HIPAA no se trata de asegurarse de que nunca se produzcan violaciones de datos. El cumplimiento de HIPAA consiste en reducir el riesgo a un nivel apropiado y aceptable. El hecho de que una organización experimente una violación de datos no significa que la violación fue el resultado de una violación de HIPAA.

El portal de violación de OCR ahora refleja esto con mayor claridad. Muchas violaciones de datos son investigadas por OCR y se determina que no involucran violaciones de las Reglas de HIPAA. En consecuencia, las investigaciones se cierran sin que se tome ninguna acción.

¿Cómo se descubren las infracciones de HIPAA?

Las infracciones de HIPAA pueden continuar durante muchos meses, o incluso años, antes de que se descubran. Cuanto más tiempo se les permita persistir, mayor será la penalización cuando finalmente se descubran. Por lo tanto, es importante que las entidades cubiertas por la HIPAA realicen revisiones periódicas del cumplimiento de la HIPAA para asegurarse de que las infracciones de la HIPAA se descubran y corrijan antes de que sean identificadas por los reguladores.

Hay tres formas principales de descubrir las infracciones de la HIPAA:

  1. Investigaciones sobre una violación de datos por parte de OCR (o fiscales generales estatales)
  2. Investigaciones sobre quejas sobre entidades cubiertas y socios comerciales
  3. Auditorías de cumplimiento de HIPAA

Incluso cuando una violación de datos no implica una violación de HIPAA, o una queja resulta ser infundada, OCR puede descubrir violaciones de HIPAA no relacionadas que podrían justificar una sanción financiera.

¿Qué Cuáles son las 10 violaciones de HIPAA más comunes?

A continuación se enumeran 10 de las violaciones de HIPAA más comunes, junto con ejemplos de entidades y socios comerciales cubiertos por HIPAA que se ha descubierto que violan las reglas de HIPAA y tuvo que resolver esas violaciones con la OCR y los fiscales generales estatales. En muchos casos, las investigaciones han descubierto múltiples violaciones de HIPAA. Los montos del acuerdo reflejan la gravedad de la infracción, el tiempo que se ha permitido que persista la infracción, la cantidad de infracciones identificadas y la situación financiera de la entidad o socio comercial cubierto.

Indagación en la atención médica Registros

Acceder a los registros médicos de los pacientes por motivos distintos de los permitidos por la Regla de privacidad (tratamiento, pago y operaciones de atención médica) es una violación de la privacidad del paciente. Espiar los registros de atención médica de familiares, amigos, vecinos, compañeros de trabajo y celebridades es una de las violaciones de HIPAA más comunes cometidas por empleados. Cuando se descubren, estas violaciones generalmente resultan en la terminación del empleo, pero también pueden resultar en cargos criminales para el empleado en cuestión. Las sanciones financieras para las organizaciones de atención médica que no han podido prevenir el espionaje son relativamente poco comunes, pero son posibles, como descubrió el Sistema de Salud de la Universidad de California en Los Ángeles.

El Sistema de Salud de la Universidad de California en Los Ángeles recibió una multa de $ 865,000 por no restringir acceso a registros médicos. El proveedor de atención médica fue investigado tras el descubrimiento de que un médico había accedido a los registros médicos de celebridades y otros pacientes sin autorización. El Dr. Huping Zhou accedió a los registros de los pacientes sin autorización 323 veces después de enterarse de que pronto sería despedido. El Dr. Zhou se convirtió en el primer empleado de atención médica en ser encarcelado por una violación de HIPAA y fue sentenciado a cuatro meses en una prisión federal.

No realizar un análisis de riesgos en toda la organización

El fracaso Realizar un análisis de riesgo en toda la organización es una de las violaciones de HIPAA más comunes que resulta en una sanción financiera.Si el análisis de riesgo no se realiza con regularidad, las organizaciones no podrán determinar si existe alguna vulnerabilidad a la confidencialidad, integridad y disponibilidad de la PHI. Por lo tanto, es probable que los riesgos no se aborden, dejando la puerta abierta a los piratas informáticos.

Los acuerdos de HIPAA con entidades cubiertas por no realizar una evaluación de riesgos en toda la organización incluyen:

  • Premera Blue Cross – Acuerdo de $ 6,850,000 para análisis de riesgos y fallas en la gestión de riesgos, y otras posibles violaciones de HIPAA
  • Plan de salud Excellus – Acuerdo de $ 5,100,000 para análisis de riesgos y fallas en la gestión de riesgos, y otras posibles violaciones de HIPAA
  • Oregon Health & Science University – Acuerdo de $ 2,7 millones por la falta de un análisis de riesgos en toda la empresa.
  • Cardionet – Acuerdo de $ 2,5 millones por un riesgo incompleto análisis y falta de procesos de gestión de riesgos.
  • Cancer Care Group – Acuerdo de $ 750,000 por no realizar un análisis de riesgo en toda la empresa.
  • Lahey Hospital and Medical Center – Acuerdo de $ 850,000 para el no realizar una evaluación de riesgos en toda la organización y ot sus violaciones de HIPAA.
  • Steven A. Porter, MD: multa de $ 100,000 por fallas en el análisis de riesgos y la administración de riesgos.

No administrar los riesgos de seguridad / Falta de una administración de riesgos Proceso

Realizar un análisis de riesgo es esencial, pero no es solo una casilla de verificación para el cumplimiento. Los riesgos que se identifican deben luego someterse a un proceso de gestión de riesgos. Deben priorizarse y abordarse en un plazo razonable. Conocer los riesgos de la PHI y no abordarlos es una de las violaciones de HIPAA más comunes sancionadas por la Oficina de Derechos Civiles.

Los acuerdos de HIPAA con entidades cubiertas por no administrar los riesgos identificados incluyen:

  • Departamento de Salud y Servicios Sociales de Alaska: multa de $ 1.7 millones por no realizar análisis de riesgo y fallas en la administración de riesgos.
  • Universidad de Massachusetts Amherst (UMass): multa de $ 650,000 por fallas en la administración de riesgos .
  • Metro Community Provider Network: multa de $ 400,000 por fallas en la gestión de riesgos.
  • Servicios de salud mental de la comunidad de Anchorage: multa de $ 150,000 por no administrar el riesgo de ePHI.

Denegar a los pacientes el acceso a los registros médicos / Exceder el plazo para brindar acceso

La Regla de privacidad de HIPAA les otorga a los pacientes el derecho a acceder a sus registros médicos y obtener copias a pedido. Esto permite a los pacientes verificar sus registros en busca de errores y compartirlos con otras entidades e individuos. Negarle a los pacientes copias de sus registros médicos, cobrar de más por las copias o no proporcionar esos registros dentro de los 30 días es una violación de la HIPAA. La OCR convirtió las violaciones del derecho de acceso de HIPAA en uno de sus objetivos clave de cumplimiento a fines de 2019.

Los acuerdos de HIPAA con entidades cubiertas por negar a los pacientes el acceso a sus registros o demoras innecesarias en proporcionar acceso incluyen:

  • Cignet Health del condado de Prince George: multa de $ 4,300,000 por negar a los pacientes el acceso a sus registros médicos.
  • Banner Health: multa de $ 200,000 por respuesta tardía a la solicitud del paciente de una copia de sus registros médicos.
  • Dignity Health, dba St. Josephs Hospital and Medical Center: multa de $ 160,000 por respuesta tardía a la solicitud del paciente de una copia de sus registros médicos.
  • NY Spine: multa de $ 100,000 por respuesta tardía al paciente Solicitud de una copia de sus registros médicos.
  • Beth Israel Lahey Health Behavioral Services: multa de $ 70,000 por respuesta tardía a la solicitud del paciente de una copia de sus registros médicos.
  • University of Cincinnati Medical Centro: multa de $ 65,000 por respuesta a la solicitud del paciente de una copia de sus registros médicos.
  • Housing Works Inc: multa de $ 38,000 por respuesta tardía a la solicitud del paciente de una copia de sus registros médicos.
  • Peter Wrobel, MD, PC, dba Elite Primary Care: multa de $ 36,000 por respuesta tardía a la solicitud del paciente de una copia de sus registros médicos.
  • Riverside Psychiatric Medical Group: multa de $ 25,000 por respuesta tardía a la solicitud del paciente de una copia de su registros médicos.
  • Dr. Rajendra Bhayani – multa de $ 15,000 por respuesta tardía a la solicitud del paciente de una copia de sus registros médicos.
  • All Inclusive Medical Services Inc – multa de $ 15,000 por respuesta tardía a solicitud del paciente de una copia de sus registros médicos.
  • Wise Psychiatry, PC: multa de $ 10,000 por respuesta tardía a la solicitud del paciente de una copia de sus registros médicos.
  • King MD: multa de $ 3,500 por respuesta tardía a la solicitud del paciente de una copia de su informe médico ecords.

No celebrar un acuerdo de socio comercial que cumpla con la HIPAA

No celebrar un acuerdo de socio comercial que cumpla con la HIPAA con todos los proveedores que reciben el acceso a la PHI es otra de las violaciones más comunes de HIPAA. Incluso cuando se celebran acuerdos de socios comerciales para todos los proveedores, es posible que no cumplan con la HIPAA, especialmente si no se han revisado después de la Regla Final Ómnibus.

Los acuerdos notables para estas violaciones comunes de la HIPAA incluyen:

  • Clínica Ortopédica Raleigh, PA of North Carolina – Acuerdo de $ 750,000 por no ejecutar un acuerdo de socio comercial que cumple con HIPAA.
  • North Memorial Health Care of Minnesota – Acuerdo de $ 1.55 millones por no firmar un BAA con un contratista principal y otra HIPAA infracciones.
  • Care New England Health System – Acuerdo de $ 400,000 por no actualizar los acuerdos de socios comerciales

Controles de acceso ePHI insuficientes

La seguridad de HIPAA La regla requiere que las entidades cubiertas y sus socios comerciales limiten el acceso a ePHI a personas autorizadas. La falta de implementación de controles de acceso ePHI apropiados es también una de las violaciones más comunes de HIPAA y ha generado varias sanciones económicas.

Las sanciones económicas emitidas a las entidades cubiertas por fallas de control de acceso ePHI incluyen:

  • Anthem Inc.: multa de $ 16,000,000 por fallas en el control de acceso y otras violaciones graves de la HIPAA.
  • Memorial Healthcare System: multa de $ 5,500,000 por controles de acceso ePHI insuficientes.
  • Departamento de Texas of Aging and Disability Services: multa de $ 1,600,000 por fallas en el análisis de riesgos, fallas en el control de acceso y fallas en el monitoreo del sistema de información.
  • Sistema de Salud de la Universidad de California en Los Ángeles: multa de $ 865,500 por no restringir el acceso a los registros médicos.
  • Pagosa Springs Medical Center: multa de $ 111,400 por no cancelar el acceso a ePHI después del despido de un empleado y la falta de un acuerdo de socio comercial.

No usar el cifradoo una medida equivalente para proteger la ePHI en dispositivos portátiles

Uno de los métodos más efectivos para prevenir violaciones de datos es cifrar la PHI. Las infracciones de la PHI cifrada no son incidentes de seguridad notificables a menos que también se robe la clave para descifrar los datos. El cifrado no es obligatorio según las reglas de HIPAA, pero no se puede ignorar. Si se toma la decisión de no utilizar el cifrado, se debe utilizar una medida de seguridad alternativa equivalente en su lugar.

Los acuerdos recientes por no proteger la PHI incluyen:

  • Childrens Medical Center of Dallas: multa monetaria civil de $ 3.2 millones por no tomar medidas para abordar los riesgos conocidos, incluida la falta de uso de cifrado en dispositivos portátiles.
  • Servicios de atención médica católica de la Arquidiócesis de Filadelfia: acuerdo de $ 650,000 por no utilizar el cifrado, por no realizar un análisis de riesgos en toda la empresa y por gestionar los riesgos.
  • Entidad cubierta afiliada al Lifespan Health System: multa de $ 1,040,000 por no cifrar los datos y un dispositivo y medios controles, lo que resulta en la divulgación inadmisible de la ePHI de 20,431 pacientes

Excede el plazo de 60 días para emitir notificaciones de incumplimiento

La regla de notificación de incumplimiento de HIPAA requiere que las entidades cubiertas emitan notificaciones de infracciones sin un retraso innecesario y, ciertamente, a más tardar 60 días después del descubrimiento de una violación de datos. Superar ese período de tiempo es una de las violaciones de HIPAA más comunes, que ha tenido dos multas emitidas este año:

  • Presence Health – $ 475,000 de liquidación por retrasar la emisión de notificaciones de incumplimiento por un mes.
  • CoPilot Provider Support Services Inc. – Acuerdo de $ 130,000 con el Fiscal General de Nueva York por notificaciones de incumplimiento demoradas.

Divulgaciones inadmisibles de información médica protegida

Cualquier divulgación de La información de salud protegida que no está permitida bajo la Regla de Privacidad de HIPAA puede generar una sanción financiera. Esta categoría de infracción incluye la divulgación de PHI al empleador de un paciente, las divulgaciones potenciales después del robo o la pérdida de computadoras portátiles sin cifrar, el manejo descuidado de la PHI, la divulgación innecesaria de PHI, el incumplimiento del estándar mínimo necesario y la divulgación de PHI después de que se hayan obtenido las autorizaciones del paciente. vencido.

Los acuerdos por divulgaciones no permitidas de PHI incluyen:

  • Memorial Hermann Health System – Acuerdo de $ 2.4 millones por divulgar la PHI de un paciente en un comunicado de prensa.
  • New York Presbyterian Hospital: multa de $ 2,200,000 por filmar pacientes sin consentimiento.
  • Massachusetts General Hospital: multa de $ 515,000 por filmar pacientes sin consentimiento.
  • Lukes-Roosevelt Hospital Center – Acuerdo de $ 387,000 por el manejo descuidado de la PHI / Divulgación del estado del VIH de un paciente a su empleador.
  • Brigham and Womens Hospital – Multa de $ 384,000 por filmar pacientes sin consentimiento .
  • Boston Medical Center: multa de $ 100,000 por filmar pacientes sin consentimiento.

Eliminación inadecuada de PHI

Cuando la PHI física y la ePHI ya no están requeridos y los períodos de retención han expirado, las Reglas de HIPAA requieren que la información sea destruida de manera segura y permanente. Para los registros en papel, esto podría implicar triturar o despulpar y para ePHI, desmagnetizar, limpiar de forma segura o destruir los dispositivos electrónicos en los que se almacena el ePHI para evitar divulgaciones no permitidas.

Sanciones financieras emitidas a las entidades cubiertas por desecho inadecuado. de PHI / ePHI incluyen:

  • Parkview Health: multa de $ 800,000 por no desechar de manera segura los registros en papel que contienen PHI.
  • Farmacia de recetas de Cornell: multa de $ 125,000 por desecho indebido de PHI.
  • FileFax Inc. – Multa de $ 100,000 para un negocio desaparecido por la eliminación inadecuada de registros médicos.

Infracciones comunes de HIPAA por parte de empleados de atención médica

Espiar en los registros de atención médica es una violación de HIPAA bastante obvia y una que todos los empleados de atención médica que han recibido capacitación de HIPAA deben saber que es una violación de las políticas de su empleador y las Reglas de HIPAA.

Otras violaciones comunes de HIPAA a menudo ocurren cuando como resultado de malentendidos sobre HIPAA requisitos. Si bien cada una de estas violaciones comunes de HIPAA afecta a un número mucho menor de pacientes que las violaciones anteriores, aún pueden causar una cantidad significativa de daño: Al paciente involucrado y su empleador. También pueden resultar en una acción disciplinaria contra el empleado responsable, incluido el despido.

A continuación se enumeran algunas de las violaciones comunes de HIPAA cometidas por empleados de atención médica. Estas violaciones comunes de HIPAA deben cubrirse como parte de la capacitación de HIPAA que se brinda a los empleados para crear conciencia sobre estas áreas frecuentes de incumplimiento.

Envío de ePHI a cuentas de correo electrónico personales y eliminación de PHI de un centro de atención médica

Puede ser difícil encontrar el tiempo para completar todas las tareas necesarias dentro del horario laboral y puede ser tentador llevar el trabajo a casa para completarlo. Eliminar la información médica protegida de un centro de atención médica pone esa información en riesgo de exposición. Esta es una infracción común de la HIPAA por parte de los empleados y puede incluso ser una práctica de rutina en un centro de atención médica que no tiene suficiente personal. Eso no significa que sea una práctica aceptable.

Lo mismo se aplica al envío de ePHI a cuentas de correo electrónico personales. Independientemente de las intenciones, ya sea para obtener ayuda con las hojas de cálculo, completar el trabajo en casa para avanzar al día siguiente o ponerse al día con un atraso, es una violación de las Reglas de HIPAA. Además, cualquier envío de ePHI a una cuenta de correo electrónico personal podría considerarse un robo, cuyas repercusiones podrían ser mucho más graves que la rescisión de un contrato de trabajo.

Dejar los dispositivos electrónicos portátiles y el papeleo desatendidos

La regla de seguridad de HIPAA requiere que la PHI y la ePHI estén protegidas en todo momento. Si el papeleo se deja desatendido, podría ser visto por una persona no autorizada, ya sea un miembro del personal, un paciente o un visitante del centro de atención médica. Si eso sucediera, se consideraría una divulgación inadmisible de PHI.

Los dispositivos electrónicos que contienen ePHI deben protegerse de manera similar en todo momento. Los dispositivos electrónicos son portátiles y valiosos. Los ladrones oportunistas podrían robar fácilmente un dispositivo desatendido y obtener acceso a ePHI. Ha habido muchos casos de empleados de la salud que retiraron dispositivos no cifrados de las instalaciones de atención médica, solo para que fueran robados de vehículos u hogares. El robo también puede ocurrir fácilmente dentro de un centro de atención médica si los dispositivos no están asegurados. Los empleados de atención médica deben asegurarse de que se sigan las políticas de su empleador y de que no se violen las reglas de HIPAA al dejar dispositivos y papeleo desatendidos.

Divulgación de información del paciente a una persona no autorizada

Se debe incluir un formulario de autorización obtenida de un paciente antes de que su PHI pueda ser divulgada a un tercero para un propósito diferente al expresamente permitido por la Regla de Privacidad HIPAA. Divulgar PHI para fines distintos al tratamiento, el pago de atención médica u operaciones de atención médica (y otros casos limitados) es una violación de HIPAA si no se ha recibido la autorización del paciente por adelantado.

Los empleados de atención médica deben asegurarse de a divulgar PHI a un tercero que se ha obtenido la autorización del paciente y que la información no se divulga a ninguna persona o empresa que no esté incluida en el formulario de autorización. Los formularios de autorización solo son válidos si han sido firmados por el paciente o su representante designado.

Divulgación de información del paciente sin autorización

De manera similar al punto anterior, los empleados de salud también deben tener cuidado con los tipos de información que se divulgan a terceros, incluso si se trata de una autorización Se ha recibido un formulario que permite a una persona, empresa u organización específica recibir PHI.

El formulario de autorización debe incluir qué tipo de información se ha autorizado a divulgar. Cualquier información que no esté detallada en el formulario de autorización debe permanecer privada y confidencial y no debe compartirse. La divulgación de información adicional violaría la Regla de privacidad de HIPAA.

Divulgaciones de PHI a terceros después de la expiración de una autorización

Todos los formularios de autorización de HIPAA deben incluir los nombres o clases de personas quiénes están autorizados a recibir PHI, los tipos de PHI que se divulgarán y los motivos de las divulgaciones. También deben incluir una fecha de vencimiento para la autorización.

La PHI no se debe divulgar a ninguna persona que figure en el formulario de autorización después de que haya pasado la fecha de vencimiento, incluso si se ha otorgado previamente autorización a esa entidad para recibir FI. Se requiere un nuevo formulario de autorización antes de que se lleve a cabo cualquier divulgación adicional. También debe tenerse en cuenta que un formulario de autorización sin fecha de vencimiento no cumple con la HIPAA.

Divulgaciones inadmisibles de los registros médicos del paciente

La Regla de privacidad de la HIPAA permite a los pacientes obtener una copia de sus registros de salud a pedido o que se proporcionen sus registros a un tercero designado, como un representante personal u otra persona. Si el paciente no los recopila en persona, el paciente debe haber dado autorización al tercero, en un formulario de autorización de la HIPAA, para recibir los registros antes de que puedan ser entregados.

Antes de proporcionar copias de los documentos del paciente registros médicos, los empleados de atención médica deben verificar la identidad del paciente o de la persona que recopila los registros y deben asegurarse de que los registros solo se entreguen a una persona autorizada para recibirlos. También se debe tener cuidado para garantizar que se publiquen los registros correctos del paciente.

Descarga de PHI en dispositivos no autorizados

Puede ser difícil para los departamentos de TI de atención médica realizar un seguimiento de todos los dispositivos que se conectan a la red, dada la cantidad de dispositivos diferentes que tienen acceso a la red. Asegurar que esos dispositivos estén protegidos puede ser un problema aún mayor, pero este es un requisito para el cumplimiento de la HIPAA.

Los empleados deben ser conscientes de que existen riesgos de privacidad y seguridad asociados con la descarga de ePHI en dispositivos electrónicos portátiles no autorizados. Esto no solo aumenta el riesgo de una divulgación accidental de ePHI, en caso de que el dispositivo se pierda o sea robado, también podría considerarse un robo y una infracción de la HIPAA.

Proporcionar acceso no autorizado a los registros médicos

Es responsabilidad de la entidad cubierta garantizar que el acceso a la información médica y los registros médicos del paciente solo se otorgue a las personas autorizadas. Esto se logra mediante la implementación de controles de acceso a través de inicios de sesión únicos.

Los empleados tienen la responsabilidad de asegurarse de no dar acceso a la información de salud a compañeros de trabajo que muchos no tienen los mismos derechos de acceso. El intercambio de credenciales de inicio de sesión no solo podría resultar en una divulgación no permitida de ePHI, cualquier acción tomada por ese empleado se atribuiría a la persona cuyas credenciales de inicio de sesión se usaron para obtener acceso.

Preguntas frecuentes

¿Qué significa «reducir el riesgo a un nivel apropiado y aceptable»?

Cuando se identifican riesgos y vulnerabilidades potenciales, las entidades cubiertas y los socios comerciales tienen que decidir qué medidas implementar de acuerdo con el tamaño, complejidad y capacidades de las organizaciones, las medidas existentes ya implementadas y el costo de implementar medidas adicionales en relación con la probabilidad de una violación de datos y la escala de daño que causaría.

¿Cómo es? ¿Es posible evitar que los empleados husmeen en los registros médicos?

Aunque muchos casos de husmear en el cuidado de la salud son atribuibles a la curiosidad más que a la intención malintencionada, todos los casos de husmear en el cuidado de la salud son violaciones de HIPAA. registros, las entidades cubiertas deben implementar un programa de capacitación, garantizar que los privilegios de acceso cumplan con el Estándar Mínimo Necesario, activar los registros de auditoría y hacer cumplir las sanciones.

Si el cifrado no es obligatorio, ¿cómo puede ser una violación de HIPAA si los registros no están cifrados?

Aunque el cifrado no es obligatorio, es una especificación de implementación direccionable de la regla de seguridad. Esto significa que las organizaciones solo pueden evitar implementar el requisito si no es razonable y apropiado en las circunstancias, o si una medida de seguridad alternativa es igualmente efectiva. Si las organizaciones no implementan el cifrado, deben documentar los motivos.

¿Por qué fue tan alta la multa por negar a los pacientes el acceso a los registros médicos?

En este caso particular, la falta de cooperación de la entidad cubierta contribuyó al tamaño de la multa (usted puede leer sobre el caso aquí). Desde este caso, el programa de uso significativo de CMS ha evolucionado hasta convertirse en el programa de promoción de la interoperabilidad y, además de ser sancionado por una infracción de HIPAA, cualquier entidad cubierta que no proporcione registros médicos de manera oportuna ahora también podría perder un porcentaje Pagos de Medicare.

admin
0

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Archivos

Entradas recientes