He dudado en escribir sobre este tema porque me abruma. El hecho de que lleve algún tiempo prestando teleservicios, esté bastante involucrado en el tema y, aun así, siga sin entenderlo del todo, significa que quizá alguno de ustedes tampoco lo entienda. Este post es para ti y para mí, las dos personas completamente desconcertadas por mantener el cumplimiento mientras se transmite vídeo.
Con toda honestidad, sospecho que hay algunos otros por ahí, aparte de usted y yo, que han tenido preguntas sobre el cumplimiento de la HIPAA y la telepráctica. Ha habido numerosos correos electrónicos entre los miembros del Grupo de Interés Especial 18 sobre Telepráctica (SIG18) de la ASHA acerca de qué plataformas de transmisión de vídeo son compatibles. Parece que todos usamos algo diferente. Y entonces me encontré con esta gran infografía de The Connected Clinician que afirma: "No hay tal cosa como una aplicación compatible con HIPAA". Es suficiente para confundir a cualquiera. En este post, Voy a compartir con ustedes lo que he recogido de mis conversaciones sobre el tema, y de mi propia investigación.
Ante todo, debemos comprender que la HIPAA aborda dos elementos importantes: la seguridad y privacidad.
Seguridad
ASHA tiene información útil, como de costumbre, relacionada con la seguridad:
"Las sesiones de tratamiento proporcionadas a través de programas informáticos de videoconferencia no están cubiertas por la Norma de Seguridad. En la norma final se afirma específicamente que "dado que los faxes "papel a papel", las llamadas telefónicas de persona a persona, las videoconferencias o los mensajes dejados en el buzón de voz no estaban en formato electrónico antes de la transmisión, esas actividades no están cubiertas por esta norma" (página 8342). Sin embargo, si el proveedor graba la sesión y guarda una copia, la versión guardada estaría sujeta a las disposiciones de la Norma de Seguridad para datos en reposo. En cualquier caso, la sesión de tratamiento y toda la información y documentación relacionadas están sujetas a las disposiciones de la Norma de confidencialidad. Para garantizar la privacidad del paciente durante las sesiones de tratamiento, los clínicos deberían considerar el uso de redes privadas o software de videoconferencia encriptado."
- Preguntas frecuentes sobre la norma de seguridad HIPAA, American Speech Language Hearing Association
Eso parece ayudar un poco. Estamos seguros a menos que grabemos, cosa que hacemos a veces. Pensemos en la seguridad de las grabaciones un poco más adelante, en otro post. Por ahora, seguiremos con la privacidad.
Privacidad
Hay un montón de cosas que pueden afectar a la privacidad de la telepráctica y, por tanto, hacer o deshacer su cumplimiento. He aquí algunos:
Dónde estás. Si prestas servicios dentro de un complejo de ordenadores conectados en red con cientos de usuarios que acceden a Internet, tus necesidades serán muy distintas de las mías. Yo estoy en casa usando mi portátil. Si estás en el primer grupo, pregunta a alguien de informática.
La plataforma. Aquí es donde las empresas pueden informarle sobre las características de seguridad que pueden o no contribuir al cumplimiento de la HIPAA. Aunque el servicio en sí no puede garantizar la conformidad de toda la experiencia de teleservicio, sí puede darte detalles sobre la seguridad y, al final, esta información puede compartirse con los clientes para ayudarles a entender los pasos que estás dando para garantizar la privacidad. Por ejemplo, el amable representante en línea de GoTo Meeting estuvo encantado de contarme lo siguiente:
"GoToMeeting y GoToWebinar incluyen cifrado AES de 128 bits de extremo a extremo y otras funciones de seguridad que permiten a cualquier empresa mantener el cumplimiento de la HIPAA mientras utiliza las soluciones."
Dónde está su cliente. Esto es similar a la primera parte. Si su cliente está en un SNF, escuela o casa, los riesgos cambian dependiendo del lugar. Por ejemplo, si está transmitiendo en una residencia asistida, es posible que haya ordenadores conectados en red o incluso un lugar al que otras personas tengan acceso. Estos factores pueden afectar a la privacidad y deben discutirse con los clientes con antelación.
Recuerde que la conformidad incluye el uso de una plataforma segura como uno de los elementos de una práctica conforme. Una estrategia de gestión de riesgos que identifique y aborde todos los puntos de posible acceso es lo que se necesita para una teleasistencia conforme.
Esta es la conclusión: hasta la fecha, no parece haber ninguna solución mágica para garantizar que su telepráctica cumpla la HIPAA. Lo que hay que hacer para garantizar la privacidad de los clientes es, más bien, un proceso de comprensión y mitigación de los riesgos, y luego explicar este proceso a los clientes.
Espero que otros SLP se unan a esta conversación. Ciertamente, este post no cubre todos los elementos del cumplimiento. Déjanos un comentario, dinos lo que sabes y cuáles son tus preguntas. Al fin y al cabo, todos navegamos juntos por estos mares tormentosos.
