In English

Todo el personal y otras personas que regularmente tienen acceso a la PHI mantenida en la Clínica Médica Primaria de Rising Sun deben leer, comprender y adherirse a lo siguiente:

Definiciones

  1. PHI: información médica protegida. Esta es información de salud que puede identificarse a esa persona. Esto incluye la tabla de papel, los registros de facturación, los registros computarizados y las comunicaciones orales específicas para la salud de esa persona. No incluye conversaciones con esa persona que no estén relacionadas con la salud, únicamente su nombre o información médica que no sea específica de esa persona.
  2. TPO: operaciones de tratamiento, pago y atención médica. Estas son las áreas en las que la PHI se puede transmitir sin la autorización previa del paciente.
  3. Entidades cubiertas: aquellas personas o instituciones que están bajo la jurisdicción de las regulaciones de HIPAA. Estos incluyen médicos, consultorios médicos, hospitales, farmacias, quiroprácticos, servicios de facturación, departamentos de revisión de utilización, compañías de seguros de salud, departamento de salud y otros a quienes se les brinda información médica sobre los pacientes. Aquellos no incluidos incluyen representantes farmacéuticos, agencias de marketing, abogados, escuelas y otros que no reciben información médica directamente de un paciente.

Mantener la seguridad de la PHI durante las comunicaciones orales.

  1. El personal de la clínica estará atento a que el “número mínimo de oídos” escuche cualquier conversación que pueda haber discutido información médica protegida (PHI).
  2. Cuando sea posible, solo se utilizará el nombre o apellido o ningún nombre durante la comunicación oral. Esto es para evitar identificar personalmente cualquier conversación relacionada con la atención médica.
  3. Anime a quienes no necesitan escuchar una conversación telefónica o una discusión a que se mantengan a una distancia segura de la conversación, fuera del alcance del oído.
  4. Mantendremos las puertas cerradas en las salas de examen cuando un paciente esté adentro para no solo evitar una violación de la seguridad en las discusiones que ocurran en la sala de examen, sino también para evitar que las conversaciones en el pasillo y la estación de enfermería sean escuchadas por los pacientes en esas habitaciones.
  5. Los mensajes que contienen PHI generalmente no se dejarán en los contestadores automáticos, el correo de voz o con los miembros de la familia. Preferiríamos dejar toda la PHI con el individuo. Solo en el caso de que sea necesaria una intervención oportuna o urgente, no se transmitirá un mensaje directamente. En esos momentos, solo se transmitirá la información que sea mínimamente necesaria y solo a juicio del personal clínico o del proveedor.
  6. Cada paciente revisará la hoja de detalles del paciente en la primera visita y pondrá sus iniciales para indicar la exactitud de la información demográfica y de seguro presentada.

Mantener la seguridad de la PHI durante la transmisión electrónica o digital.

  1. No enviaremos PHI por fax a una entidad no cubierta. Enviaremos por fax a aquellas entidades cubiertas por las regulaciones de HIPAA solo la PHI mínimamente necesaria. Enviaremos faxes a faxes personales solo cuando el paciente individual lo indique específicamente y nos aseguremos de que se mantendrá la confidencialidad. Toda la información enviada por fax tendrá una declaración en la portada detallando la seguridad de la PHI confidencial que se espera del destinatario.
  2. Como utilizamos un servidor y sistema de fax compartido, solo el personal de la Clínica Médica Primaira de Rising Sun, Stone Run Family Medicine y Neil Lattin, MD, L.L.C accederá a la PHI enviada por fax. Ellos determinarán a qué personal de la oficina irá.
  3. Haremos todo lo posible para asegurarnos de que la PHI transmitida cumpla con la HIPAA. Esto incluye proveedores de software y compañías de seguros a quienes transmitimos información electrónicamente.

Mantener la seguridad de la PHI durante la transmisión física de la PHI.

  1. Permitiremos que personas que no sean el paciente recojan recetas, comprobantes de laboratorio, referencias en papel y otra PHI para garantizar el tratamiento adecuado de los pacientes y las operaciones de atención médica sin problemas.
  2. Se desalentará a los pacientes de ver o escuchar la PHI de otros, tanto de forma directa como indirecta, por los hábitos mantenidos por el personal de la oficina y los protocolos establecidos por esta práctica.
  3. Imprimiremos “Confidencial” en cada sobre enviado que contenga PHI.

Mantener la seguridad de la PHI escrita.

  1. Ciertas áreas de la oficina serán designadas como PHI seguras y PHI no seguras.
  2. Las áreas indicadas como no seguras incluyen los pasillos, las salas de examen de los pacientes, los baños, el área del escritorio de derivación, las áreas de registro y salida, la sala de espera, la sala de educación del paciente, la oficina del gerente de la oficina y cualquier área en la que se pueda ver la PHI escrita desde una de estas áreas. Estas son áreas de la oficina que los pacientes frecuentan.
  3. En estas áreas no seguras, se ocultará cualquier PHI. Superbills, formularios de pruebas de laboratorio, otros formularios clínicos o formularios en áreas no seguras pueden ocultarse al pasar a una página posterior en blanco o al eliminar la PHI. La PHI no se almacenará en estas áreas no seguras.
  4. Los nombres de los pacientes sin ninguna PHI reveladora no necesariamente se ocultarán.
  5. Las áreas donde no hay acceso de pacientes se consideran áreas seguras. Solo aquellos que hayan firmado un acuerdo de confidencialidad, comprendan la divulgación mínima necesaria y tengan conocimiento y capacitación sobre las regulaciones de HIPAA y estas políticas tendrán acceso a estas áreas seguras. Las personas que tendrán este acceso incluyen personal de oficina, médicos y otros proveedores, y personal de oficina de inquilinos compartidos. El personal de limpieza y mantenimiento que tiene acceso a la PHI pero que no maneja la PHI de manera rutinaria no firmará un acuerdo de confidencialidad ya que su exposición a la PHI es accidental, si es que ocurre alguna vez.
  6. El almacenamiento de gráficos estará en el área de gráficos o en el estante de gráficos móvil, no accesible para los pacientes, detrás de puertas cerradas después de que se vaya el último personal o persona de limpieza. Las cerraduras solo serán abiertas por quienes tengan acceso a áreas seguras.
  7. El personal que tenga acceso a cualquier sistema computarizado utilizará las contraseñas adecuadas y para cualquier otro sistema informático que tenga PHI. Los protectores de pantalla se utilizarán dentro de 1 minuto de la salida de una computadora. Los programas que contienen PHI se reducirán al mínimo cuando un miembro del personal se retire de una terminal de computadora. La copia de seguridad de rutina de la fecha computarizada que contiene PHI se mantendrá en áreas seguras.
  8. Trituramos cualquier papel que contenga PHI que, de lo contrario, esté a punto de ser desechado de manera adecuada.
  9. Será necesaria la autorización médica mediante la firma del paciente o su fax para divulgar la PHI a otras entidades que la soliciten, con la excepción de aquellos que la necesiten para fines de tratamiento, pago u operaciones de atención médica.
  10. La presencia infrecuente de otras personas en las áreas seguras de PHI de la práctica solo se realizará con la observación directa de alguien que tenga acceso y solo con el entendimiento explícito de que no debe ocurrir ninguna divulgación de PHI.

Mantener políticas con respecto a la divulgación de cantidades de información mínimamente necesarias.

  1. Los proveedores y asistentes clínicos serán el único personal que tendrá acceso a la tabla completa. Se le indicará al personal de la clínica que vea el material clínico solo para establecer un diagnóstico para operaciones de pago o de atención médica. Todo el personal de la clínica tendrá acceso a los datos demográficos de los pacientes para garantizar operaciones de atención médica eficientes. El personal de limpieza y otras personas que ingresen a las áreas seguras no tendrán ni deben intentar tener acceso directo a la PHI. Cualquier PHI divulgada a cualquier miembro del personal, persona de limpieza u otras personas que utilicen adecuadamente la PHI, ya sea directa o incidentalmente, no debe compartirse con otras personas que no tengan acceso a la PHI. En otras palabras, toda la PHI debe mantenerse confidencial.
  2. Cualquier desviación de esta política debe informarse de inmediato a Joseph K Weidner, Jr. MD. Como implementar esto será un proceso educativo, los informes de desviación de esta política se manejarán sin represalias para el individuo que informe o se desvíe de la política, con la excepción de una desviación intencional o negligente grave.

Privacy Policies

All staff and others who regularly have access to PHI maintained at Clinica Medica Primaria de Rising Sun must read, understand and adhere to the following:

Definitions:

  1. PHI – protected health information. This is health information that can be identified to that individual. This includes the paper chart, billing records, computerized records, and oral communications specific to the health of that individual. It does not include discussions with that individual that are not health related, solely their name, or health information that is not specific to that individual.
  2. TPO – treatment, payment, and health care operations. These are the areas that PHI can be transmitted without prior authorization from the patient.
  3. Covered entities – those individuals or institutions that are under the jurisdiction of the HIPAA regulations. These include physicians, physicians’ offices, hospitals, pharmacies, chiropractors, billing services, utilization review departments, health insurance companies, health department and others who are given patients health information. Those not included include pharmaceutical representatives, marketing agencies, lawyers, schools, and others who are not directly given health information from a patient.

Maintaining security of PHI during oral communications.

  1. Clinic staff will be vigilant about having the “minimal number of ears” hear any conversation that may have protected health information (PHI) discussed.
  2. When possible, only the first or last name or no name at all, will be used during oral communication. This is in order to avoid personally identifying any health care related conversations.
  3. Encourage those who have no need to hear phone conversation or discussion to maintain a safe distance from the conversation, out of earshot.
  4. We will keep the doors closed on exam rooms when a patient is inside to not only prevent a breach of security in discussions that occur in the exam room, but also to prevent conversations in the hallway and nurse’s station from being overheard by the patients in those rooms.
  5. Messages containing PHI will generally not be left on answering machines, voice mail, or with family members. We would prefer to leave all PHI with the individual. Only in the event that a timely or urgent intervention is necessary will a message not be conveyed directly. At those times, only that information that is minimally necessary will be conveyed, and only in the judgment of the clinical staff or provider.
  6. Each patient will review the patient detail sheet at the first visit and initial it to indicate the accuracy of the demographic and insurance information presented.

Maintaining security of PHI during electronic or digital transmission.

  1. We will not fax PHI to a non-covered entity. We will fax to those entities covered by the HIPAA regulations only minimally necessary PHI. We will fax to personal faxes only when specifically indicated by the individual patient and assured that confidentiality will be maintained. All faxed information will have a statement on the cover sheet detailing the security of confidential PHI expected from the recipient.
  2. As we utilized a shared fax server and system, only the staff of Clinica Medica Primaira de Rising Sun, Stone Run Family Medicine and Neil Lattin, MD, L.L.C will access incoming faxed PHI. They will determine which office staff it will go to.
  3. We will make every effort to ensure that transmitted PHI will be HIPAA compliant. This includes software vendors and insurance companies that we transmit information electronically.

Maintaining security of PHI during physical transmission of PHI.

  1. We will allow pick up, by persons other than the patient, of prescriptions, lab slips, paper referrals, and other PHI to ensure appropriate treatment of the patients and smooth health care operations.
  2. Patients will be discouraged from viewing or listening to other’s PHI both directly, but also indirectly, by the habits maintained by the office staff and the protocols established by this practice.
  3. We will print “Confidential” on each envelope sent that contains PHI.

Maintaining the security of written PHI.

  1. Certain areas of the office will be designated as PHI secure and PHI non-secure.
  2. Those areas indicated as non-secure include the hallways, patient exam rooms, bathrooms, referral desk area, check-in and checkout areas, waiting room, patient education room, office manager’s office and any area in which written PHI may be viewed from one of these areas. These are areas of the office that patients frequent.
  3. In these non-secure areas, any PHI will be concealed. Superbills, lab test forms, other clinical slips or forms in non-secure areas, may be concealed by turning to a blank back page or by removal of the PHI. PHI will not be stored in these non-secure areas.
  4. Patient’s names without any revealing PHI will not necessarily be concealed.
  5. Areas where there is no patient access are considered secure areas. Only those who have signed a confidentiality agreement, understand minimal necessary disclosure, and have knowledge and training of HIPAA regulations and these policies will have access to these secure areas. Persons who will have this access include office staff, physicians and other providers, and office staff of shared tenants. Janitorial and maintenance personnel who have access to PHI but do not routinely handle PHI will not sign a confidentially agreement as their exposure to PHI is incidental if ever.
  6. Chart storage will be in the chart area or mobile chart rack, not accessible to patients, behind locked doors after the last staff or cleaning person leaves. Locks will only be opened by those who have access to secure areas.
  7. Staff having access to any computerized system will use appropriate passwords and for any other computer system that has PHI. Screen savers will be utilized within 1 minute of departure from a computer. Programs containing PHI will be minimized at the departure of a staff member from a computer terminal. Routine backup of computerized date containing PHI will be maintained in secure areas.
  8. We shred any paper containing PHI that is otherwise about to be appropriately discarded.
  9. Medical authorization by signature of the patient or it’s facsimile will be necessary in order to release PHI to other entities who request PHI with the exception of those who need it for treatment, payment, or health care operations purposes.
  10. The infrequent presence of others in the PHI secure areas of the practice will only be made with the direct observation of one who has access and only with the explicit understanding that no disclosure of PHI should occur.

Maintaining policies regarding the disclosure of minimally necessary amounts of information.

  1. Providers and clinical assistants will be the only staff to have access to the entire chart. Clinic staff will be instructed to view clinical material only in order to establish a diagnosis for payment or health care operations. All clinic staff will have access to patient demographics in order to ensure efficient health care operations. Cleaning personnel and others entering the secure areas will not have and should not attempt to have direct access to PHI. Any PHI disclosed to any staff member, cleaning person, or others appropriately utilizing PHI, either directly or incidentally, should not be shared with others who do not have access to PHI. In other words, all PHI is to be kept confidential.
  2. Any deviance from this policy should be promptly reported to Joseph K Weidner, Jr. MD. As implementing this will be an educational process, reports of deviance from this policy will be handled without retribution to the individual reporting or deviating from the policy, with the exception of intentional or grossly negligent deviation.