MIEMBROS
PROVEEDORES
ACERCA DE

Línea directa de enfermería

888-516-6166

CONSIGUE UN VIAJE

Umpqua Health

Interoperabilidad

¿Qué exige el CMS?

La norma final de CMS de marzo de 2020 sobre API de acceso de pacientes/interoperabilidad exige que los planes MA y los emisores de QHP Exchange:

Proporcionar en un lugar de fácil acceso de su sitio web público y a través de otros mecanismos apropiados a través de los cuales se comunica normalmente con los afiliados actuales y antiguos que buscan acceder a su información de salud en poder de la organización MA, recursos educativos en un lenguaje no técnico, sencillo y fácil de entender explicando como mínimo:

  • (1) Información general sobre los pasos que la persona puede considerar dar para ayudar a proteger la privacidad y seguridad de su información sanitaria, incluidos los factores a tener en cuenta al seleccionar una aplicación, incluidos los usos secundarios de los datos, y la importancia de comprender las prácticas de seguridad y privacidad de cualquier aplicación a la que vaya a confiar su información sanitaria; y
  • (2) Una visión general de qué tipos de organizaciones o individuos son y no son susceptibles de ser entidades cubiertas por la HIPAA, las responsabilidades de supervisión de la Oficina de Derechos Civiles (OCR) y la Comisión Federal de Comercio (FTC), y cómo presentar una queja a:
    • La Oficina de Derechos Civiles (OCR) del HHS y
    • La Comisión Federal de Comercio (FTC)

Obsérvese la frase «Proporcionar en un lugar de fácil acceso en su sitio web público y a través de otros mecanismos apropiados a través de los cuales se comunica normalmente con los afiliados actuales y antiguos». Se trata de una parte interpretativa de la norma, en la que se alude a que los planes consideren la posibilidad de facilitar esta información en los envíos por correo a los afiliados y en las comunicaciones con los centros de atención telefónica.

Los CMS también han publicado una guía subreguladora con información específica sobre el contenido que los planes pueden proporcionar en los sitios web para asesorar a los afiliados sobre la selección de una aplicación de terceros, que se enumera a continuación y puede consultarse aquí. En este asesoramiento, los CMS sugieren que los planes proporcionen a los afiliados el siguiente tipo de orientación sobre su selección de aplicaciones de terceros y la divulgación de su información sanitaria:

Es importante que los pacientes adopten un papel activo en la protección de su información sanitaria. Ayudar a los pacientes a saber qué buscar al elegir una aplicación puede ayudarles a tomar decisiones más informadas. Los pacientes deben buscar una política de privacidad fácil de leer que explique claramente cómo utilizará la aplicación sus datos. Si una aplicación no tiene una política de privacidad, se debe aconsejar a los pacientes que no la utilicen. Los pacientes deben tener en cuenta:

  • ¿Qué datos de salud recopilará esta aplicación? Recopilará esta aplicación datos no sanitarios de mi dispositivo, como mi ubicación?
  • ¿Se almacenarán mis datos de forma anónima o desidentificada?
  • ¿Cómo utilizará esta aplicación mis datos?
  • ¿Comunicará esta aplicación mis datos a terceros?
  • ¿Venderá esta aplicación mis datos por algún motivo, como publicidad o investigación?
  • ¿Compartirá esta aplicación mis datos por alguna razón? En caso afirmativo, ¿con quién? ¿Con qué fin?
  • ¿Cómo puedo limitar el uso y la divulgación de mis datos por parte de esta aplicación?
  • ¿Qué medidas de seguridad utiliza esta aplicación para proteger mis datos?
  • ¿Qué impacto podría tener compartir mis datos con esta aplicación en otras personas, como mis familiares?
  • ¿Cómo puedo acceder a mis datos y corregir inexactitudes en los datos recuperados por esta aplicación?
  • ¿Dispone esta aplicación de un proceso para recoger y responder a las quejas de los usuarios?
  • Si ya no quiero utilizar esta aplicación, o si ya no quiero que esta aplicación tenga acceso a mi información sanitaria, ¿cómo cancelo el acceso de la aplicación a mis datos?
  • ¿Cuál es la política de la aplicación en cuanto a la eliminación de mis datos una vez que finalizo el acceso? Tengo que hacer algo más que eliminar la aplicación de mi dispositivo?
  • ¿Cómo informa esta aplicación a los usuarios de los cambios que podrían afectar a sus prácticas de privacidad?

Si la política de privacidad de la aplicación no responde claramente a estas preguntas, los pacientes deben reconsiderar el uso de la aplicación para acceder a su información sanitaria. La información sanitaria es muy delicada y los pacientes deben tener cuidado de elegir aplicaciones con normas estrictas de privacidad y seguridad para protegerla.

Medidas adicionales que pueden adoptar los planes

Si los planes desean ir más allá de los requisitos mínimos de la norma de los CMS, el reglamento final de Interoperabilidad y Acceso de los Pacientes anima a los planes a pedir a los desarrolladores de aplicaciones de terceros (que sus miembros tengan intención de utilizar) que certifiquen que cuentan con determinadas disposiciones en sus políticas de privacidad, seguridad y uso de datos. Esta certificación podría incluir una política de privacidad, redactada en un lenguaje sencillo, compartida afirmativamente con el paciente antes de que éste autorice el acceso de la aplicación a su PHI. La política de privacidad de la aplicación incluye la siguiente información:

  • Cómo puede acceder, intercambiar o utilizar la PHI de un paciente cualquier persona u otra entidad, incluido si la PHI puede compartirse o venderse en cualquier momento (incluso en el futuro).
  • El requisito de obtener el consentimiento expreso del paciente antes de acceder, intercambiar o utilizar la información sanitaria protegida, incluido el consentimiento expreso antes de compartir o vender la información sanitaria protegida del paciente (salvo las divulgaciones exigidas por la ley o las divulgaciones necesarias en relación con la venta de la solicitud o una transacción similar).
  • Si una aplicación va a acceder a cualquier otra información del dispositivo del paciente
  • Cómo puede un paciente interrumpir el acceso de la aplicación a sus datos y cuál es la política y el proceso de la aplicación para deshacerse de los datos de un paciente una vez que éste ha retirado su consentimiento.

Las aplicaciones pueden aceptar, revisar o rechazar este certificado. Los planes pueden compartir las decisiones de certificación de cada aplicación con sus miembros, con advertencias sobre las aplicaciones no conformes y la explicación de que tienen la oportunidad de seleccionar qué aplicación utilizar y cambiar de opinión sobre el uso de la aplicación. Si el afiliado sigue adelante con una aplicación que revisa o rechaza la certificación del plan, éste debe seguir proporcionándole acceso a la API de la aplicación, pero el afiliado ha sido advertido.

Esta lista de aplicaciones que dan fe de las políticas de privacidad, seguridad y uso de datos del plan podría figurar en el sitio web del plan, en los correos a los afiliados y en los guiones para los representantes de los centros de llamadas.