Nos nossos cargos anteriores, discutimos a história da HIPAA, a Lei de Portabilidade e Acessibilidade do Seguro de Saúde. Como mencionamos anteriormente, a HIPAA é um conjunto de legislação que se divide em cinco “títulos”, cada um cobrindo um tópico diferente. Destes, o Título II é o que mais provavelmente lhe será familiar, pois cobre a privacidade. Mas escavar o Título II da HIPAA revela que se trata de muito mais do que apenas privacidade e, na verdade, poderia ser argumentado que tem a maior amplitude de qualquer um dos títulos.
Divisão do Título II do HIPAAA
No Título II do HIPAA você encontrará cinco regras:
- Regra de Privacidade
- Transações e Conjuntos de Códigos Regra
- Regra de Segurança
- Regra de Identificadores Únicos
- Regra de Execução
Cada uma delas é então dividida para cobrir as suas várias partes. Para o propósito deste post, vamos focar nas seções menos conhecidas do Título II, mas contar a história toda exige que falemos também sobre privacidade.
É útil pensar no Título II como se a primeira seção fosse o objetivo principal – Prevenir Fraudes e Abusos nos Cuidados de Saúde. Se você der um passo atrás e olhar para a totalidade do Título II, cada parte se encaixa na prevenção da fraude, e as peças que possam parecer díspares são trazidas de volta ao contexto.
Regra de Privacidade
A maioria da Regra de Privacidade cobre a Informação de Saúde Protegida (PHI). Na maioria dos casos, é claro o que pode e o que não pode ser compartilhado, e com quem. Uma consequência não intencional da Regra de Privacidade é que algumas instalações são, de facto, demasiado restritivas nas suas interpretações. Dito isto, aconselha-se o erro por precaução por causa das graves consequências que estão dispostas na Regra de Aplicação da Lei.
É fácil perder-se no proverbial ervas daninhas da Regra de Privacidade, por isso não nos aventuraremos muito por este caminho. Como uma visão geral, o que você precisa saber é que consentimento e divulgação são ambos fundamentais, e que o uso de DCC é restrito a seis áreas:
- Quando revelado ao indivíduo
- Para tratamento, pagamento e operações
- Quando é dada permissão
- Quando usado incidentalmente
- Em benefício do interesse público
- Quando informação pessoalmente identificável foi removida
Um par desses pode levantar bandeiras vermelhas, então vamos falar sobre eles. A primeira é a exceção que permite o “uso acidental”. Isto é definido como uma revelação que acontece como um incidente a um uso permitido. HHS continua dando um exemplo, citado aqui:
um visitante do hospital pode ouvir a conversa confidencial de um provedor com outro provedor ou um paciente, ou pode vislumbrar as informações de um paciente em uma folha de registro ou quadro branco de uma estação de enfermagem. A Regra de Privacidade HIPAA não pretende impedir estas comunicações e práticas habituais e essenciais e, portanto, não requer que todo o risco de uso ou divulgação acidental seja eliminado para satisfazer seus padrões.
A outra exceção é a de interesse público, e não é tomada de ânimo leve. O interesse público é estritamente definido por 12 regras, entre elas as que são exigidas por lei, vítimas de abuso e fins de aplicação da lei. Basta dizer que a excepção de interesse público não facilita o uso de DCC.
Again, nós poderíamos mergulhar profundamente na Regra de Privacidade, mas a essência das coisas já está bem entendida, então eu não quero passar muito tempo aqui.
Transactions and Code Sets Rule
Here onde as coisas ficam realmente interessantes, especialmente para nós na Eligible. Primeiro, vamos voltar ao entendimento de que todas as áreas do Título II estão focadas na prevenção de fraudes e abusos. Um dos objectivos da HIPAA é tornar o sistema de saúde dos Estados Unidos mais eficiente e, por sua vez, também mais seguro. Eficiência requer padronização, e é isso que as Transações e Regras do Conjunto de Código cobrem. Antes da HIPAA, cada transação requeria papelada ou telefonemas. Após a HIPAA, todas essas informações podem ser transferidas eletronicamente.
De acordo com a AMA, este conjunto de regras foi realmente solicitado pela indústria da saúde a fim de ajudar a lidar com as “despesas adicionais de faturamento de indivíduos para a continuação da cobertura”. A lógica em torno do pedido lida com as formas pelas quais as informações dos pacientes precisavam ser criadas, mantidas e armazenadas em um cenário digital. Além disso, com a mudança para registros de saúde eletrônicos, era importante ter métodos padronizados para esses dados.
A totalidade das transacções e conjuntos de códigos é demasiado complexa para que possamos decompor aqui. Então, para o propósito deste post, aqui está o que você precisa saber:
Todos os primeiros relatos de ferimentos para a elegibilidade do paciente e um pedido de status de reclamação recebem um tipo de transação único com um número correspondente. Por exemplo, se você viu 270/271, esses são os códigos para uma solicitação de elegibilidade e uma resposta a essa solicitação. Cada um desses tipos de transação foi formalizado pelo American National Standards Institute Accredited Standards Committee X12 (ANSI ASC X12, ou simplesmente X12).
Se uma entidade estiver coberta pela HIPAA (e a maioria está), é necessário usar o EDI X12 para transações eletrônicas.
Regra de Segurança
É provavelmente mais fácil pensar na Regra de Segurança no que diz respeito à Regra de Privacidade. Onde a Regra de Privacidade impactou todas as formas de DCC, a Regra de Segurança pertence especificamente aos DCC electrónicos (ePHI). Ela estabelece os requisitos para as salvaguardas que devem estar em vigor se uma entidade coberta pela HIPAA optar por usar ePHI.
Destas salvaguardas dividem-se em três áreas:
- Administrativo
- Físico
- Técnico
Destas áreas, há detalhes para os passos que devem ser dados por uma entidade coberta. Por exemplo, as salvaguardas administrativas exigem que existam procedimentos de privacidade escritos que abranjam autorização, estabelecimento, modificação e rescisão. As salvaguardas físicas requerem controles de acesso como planos de segurança, registros de manutenção e acompanhantes de visitantes. Finalmente, as salvaguardas técnicas estabelecem requisitos para o uso do checksum, criptografia e documentação.
Regra dos Identificadores Únicos
Você provavelmente já ouviu falar de NPIs antes. O National Provider Identifier é uma string alfanumérica de 10 dígitos que é única para cada entidade coberta pelo HIPAA. Ele não substitui um número DEA, número de identificação fiscal ou qualquer outro identificador, e não pode conter nenhuma informação. No entanto, deve estar em vigor para que uma entidade coberta pela HIPAA possa processar e tratar os PHI.
Regra de Cumprimento
Então, agora que estabelecemos todos os requisitos que são estabelecidos no Título II, o que acontece se eles forem quebrados? É aí que entra em jogo a Regra de Execução. Ao invés de apenas dizer que uma violação irá decretar uma multa específica, a Regra de Execução estabelece procedimentos para investigações, penalidades e audiências.
De acordo com a Enforcement Rule, as multas variam de $100 a $250.000 e variam dependendo da gravidade da violação. Há também uma designação entre violações que acontecem acidentalmente e aquelas que são feitas com conhecimento de causa. Como você pode inferir, a multa de $100 aconteceria quando uma pessoa violasse erroneamente a HIPAA, enquanto que as maiores multas são reservadas para infracções que tenham a intenção de vender ou transferir PHI para uso comercial, ganho pessoal ou dano malicioso.
Suffice it to say, Title II is a huge set of rules and it covers a wide range of topics. Mas ao focarmos na ideia de que todas as suas partes têm como objectivo prevenir a fraude e o abuso, podemos obter uma melhor compreensão de como funcionam.