HR

PROPÓSITO:  El condado de Larimer es una entidad híbrida que ha designado ciertas funciones cubiertas y planes de atención médica como componentes de atención médica bajo la Ley de Responsabilidad y Portabilidad de Seguros de Salud (HIPAA) (referencia A). Este procedimiento tiene como objetivo garantizar que los componentes de atención médica designados por el condado de Larimer cumplan con la HIPAA, sus reglamentos y las leyes aplicables (referencia G); proporcionar un proceso para salvaguardar la información médica protegida (PHI); proporcionar un proceso para revisar las quejas sobre este tema y proporcionar capacitación al personal nuevo y existente que maneja información médica protegida (referencia P).

ALCANCE:  Este procedimiento se aplica a todos los componentes de atención médica designados del condado de Larimer cubiertos por HIPAA, sus reglamentos y otras leyes aplicables.

RESPONSABILIDAD:  Los empleados del condado de Larimer son responsables de garantizar que los componentes designados para el cuidado de la salud cumplan con las leyes y regulaciones aplicables como se describe en este procedimiento (referencia P). Recursos Humanos es responsable de ayudar a dichos empleados a cumplir con este procedimiento.

LOCALIZADOR DE REVISIONES:

A. Referencias H a P

 

PROCEDIMIENTO:

I. Política general:

Es política del condado de Larimer que sus componentes de atención médica designados cumplan con la HIPAA, sus regulaciones y las leyes estatales y federales pertinentes (referencia G). El condado de Larimer tiene la intención de cumplir con esta responsabilidad a través de esfuerzos continuos para implementar políticas y procedimientos razonables, para requerir y proporcionar la capacitación adecuada y para monitorear razonablemente estos esfuerzos de cumplimiento.

 

II. Definiciones:

A. Información de salud: cualquier información, ya sea oral o registrada en cualquier forma o medio, que:

1. es creado o recibido por un proveedor de atención médica, plan de salud, autoridad de salud pública, empleador, asegurador de vida, escuela o universidad o centro de compensación de atención médica; y

2. se relaciona con la salud o condición física o mental pasada, presente o futura de un individuo; la provisión de atención médica a un individuo; o el pago pasado, presente o futuro por la provisión de atención médica a un individuo.

B. Atención médica: atención, servicios o suministros relacionados con la salud de una persona.

C. Información de salud de identificación individual: cualquier información de salud, incluida la información demográfica, que pueda o pueda usarse para identificar a una persona.

D. Información de salud protegida (PHI): información de identificación individual, ya sea en forma electrónica, impresa u oral, que es creada o recibida por o en nombre de una entidad cubierta por HIPAA o su componente de atención médica. Generalmente no incluye registros laborales.

E. Entidad cubierta: generalmente, un plan de salud, proveedor de atención médica o centro de compensación de atención médica.

F. Componente de atención médica: Un componente designado de una entidad cubierta que realiza funciones de un plan de salud, un proveedor de atención médica y / o una cámara de compensación de atención médica.

G. Uso: El intercambio, empleo, aplicación, utilización, examen o análisis de información de PHI dentro de la entidad que mantiene la información.

H. Divulgación: La divulgación, transferencia, provisión de acceso o divulgación de cualquier otra forma de información fuera de la entidad que la posee.

I. Asociado comercial: una entidad que no es miembro de la fuerza laboral de una entidad cubierta que ayuda a una entidad cubierta con una función o actividad que involucra el uso o divulgación de información médica identificable individualmente.

J. Estándar Mínimo Necesario: Una entidad cubierta o su componente de atención médica debe hacer esfuerzos razonables para limitar la PHI al mínimo necesario para lograr el propósito previsto cuando usa o divulga PHI o solicita PHI de otra entidad cubierta.

K. Conjunto de registros designados: información mantenida por una entidad cubierta, que incluye registros médicos, registros de facturación, inscripción, pago u otros registros utilizados por o para la entidad cubierta para tomar ciertas decisiones sobre las personas.

L. Tratamiento: La provisión, coordinación o administración de atención médica y servicios relacionados por parte de un proveedor.

M. Operaciones de atención médica: las actividades de una entidad cubierta relacionadas con funciones cubiertas, como tratamiento, pago y otras operaciones relacionadas.

N. Registros de empleo: registros mantenidos por un empleador en su calidad de empleador, en lugar de como patrocinador del plan o proveedor de atención médica.

O. Información de salud anónima: información de salud que no identifica a un individuo y no existe una base razonable para creer que la información se puede utilizar para identificar a un individuo. Este tipo de información no está sujeta a las reglas de privacidad de HIPAA.

 

III. Designación de componentes de atención médica:

Por resolución (anexo 11), la Junta de Comisionados del Condado de Larimer ha designado ciertas divisiones y planes de atención médica como componentes de atención médica.

 

IV. Oficial de privacidad y oficina de contacto:

A. Designación de oficial de privacidad:
Por resolución, la Junta de Comisionados del Condado de Larimer ha designado el puesto de Especialista en Relaciones con los Empleados en el Departamento de Recursos Humanos como Oficial de Privacidad del Condado de Larimer. Esta designación está sujeta a cambios de acuerdo con la ley aplicable.

B. Designación de la oficina de contacto:
Por resolución, la Junta de Comisionados del Condado de Larimer ha designado al Departamento de Recursos Humanos como la Oficina de Contacto para los asuntos tratados bajo este procedimiento. Esta designación está sujeta a cambios de acuerdo con la ley aplicable.

C. Deberes:

1. Oficial de privacidad:
El Oficial de Privacidad es responsable de supervisar y ayudar a los componentes de atención médica designados del Condado en sus actividades continuas relacionadas con el desarrollo, implementación, mantenimiento y cumplimiento de las políticas y procedimientos que cubren la privacidad y seguridad y el acceso a la información de salud individual. en cumplimiento con las leyes federales y estatales y las políticas del Condado.

2. Oficina de contacto:
El Departamento de Recursos Humanos, junto con el Oficial de Privacidad, es responsable de ayudar a los componentes de atención médica designados del Condado a cumplir con la ley aplicable.

 

V. Entrenamiento:

A. Alcance de la capacitación:

1. Responsabilidad:

a. Cada componente de atención médica designado es responsable de desarrollar y proporcionar la capacitación adecuada a los empleados que acceden a la PHI. El desarrollo e implementación de esta capacitación se realizará en consulta con el Oficial de Privacidad y Recursos Humanos (referencia P).

segundo. Toda la formación debe estar documentada. El componente de atención médica designado en particular y el Oficial de privacidad son responsables de garantizar que exista la documentación adecuada para verificar la capacitación del miembro de la fuerza laboral.

2. Naturaleza de la formación:
La naturaleza de la capacitación variará según las circunstancias particulares del componente de atención médica designado. La capacitación puede ser en forma de instrucción en vivo, acceso a políticas y procedimientos y otra información por escrito y en el Tablón de anuncios, capacitación en línea, folletos de documentos y cualquier otra forma que el Oficial de Privacidad considere apropiada.

B. Empleados actuales:
Los empleados actuales que accedan a la PHI recibirán de inmediato la capacitación necesaria para que puedan cumplir con la ley aplicable. Se proporcionará capacitación de manera continua para garantizar el cumplimiento continuo de los componentes de atención médica designados.

C. Nuevos empleados:
Cada componente de atención médica designado es responsable de garantizar que los nuevos empleados que accederán a la PHI reciban rápidamente la capacitación necesaria para garantizar que cumplan con la política del Condado y la ley aplicable.

D. Supervisores:
Además de la capacitación brindada por los componentes de atención médica designados, el programa obligatorio de capacitación de supervisión del condado incluirá una sesión sobre la importancia de cumplir con las políticas, procedimientos y leyes de privacidad aplicables.

 

VI. Salvaguardias para proteger la privacidad:

A. Consulta con Recursos Humanos:
En todos los casos en que el tiempo y las circunstancias lo permitan, cualquier empleado o autoridad nominadora que tenga una pregunta sobre un uso específico, divulgación o retención de PHI, que no esté relacionado con el tratamiento, el pago y / o las operaciones de atención médica, debe consultar con el Oficial de Privacidad o la persona designada antes de usar o divulgar la información de salud protegida.

B. Políticas y procedimientos de la división, el departamento y la oficina elegida:
Cada componente de atención médica designado es responsable de desarrollar e implementar políticas y procedimientos apropiados para garantizar que use, divulgue y mantenga la PHI de acuerdo con la ley aplicable y esta política. El desarrollo e implementación de estas políticas será en consulta con el Oficial de Privacidad y Recursos Humanos. El Oficial de Privacidad o el Director de Recursos Humanos brindará asistencia razonable a los componentes de atención médica designados para lograr y mantener el cumplimiento.

C. Acuerdo de confidencialidad del empleado:
Cada componente de atención médica designado se asegurará de que todos los empleados que accedan a la PHI revisen y firmen un Acuerdo de confidencialidad del empleado de HIPAA del condado de Larimer (anexo 4) dentro de un tiempo razonable desde la finalización de su capacitación de cumplimiento de HIPAA. Todos los componentes de atención médica designados deben utilizar el Acuerdo de confidencialidad del empleado de HIPAA, LCHR-95 para cumplir con este procedimiento.

D. Mantenimiento del conjunto de registros designado:
Cada componente de atención médica designado es responsable de documentar uno o más conjuntos de registros designados según sea necesario para fines comerciales. Un conjunto de registros designado se determinará en consulta con el Oficial de Privacidad. Además, cada componente de atención médica designado debe documentar el puesto responsable de recibir y procesar las solicitudes de acceso.

E. Derecho individual a acceder a su PHI:

1. Las personas tienen derecho a ver y obtener una copia de su PHI mientras esté contenida en el conjunto de registros designado, sujeto a ciertas excepciones bajo la Regla de Privacidad de HIPAA. Para solicitar acceso, las personas deben utilizar la Solicitud para inspeccionar y / o copiar información médica protegida, LCHR-94 (anexo 3). Se debe enviar un formulario de Solicitud para inspeccionar y / o copiar información médica protegida completo al puesto u oficina designada.

2. Una solicitud de acceso debe ser respondida dentro de los 30 días posteriores a su recepción. Si la PHI está fuera del sitio o está en poder de otra entidad, la respuesta debe hacerse dentro de los 60 días. Si es necesaria una demora para proporcionar acceso, se puede obtener una extensión de 30 días, pero se debe informar a la persona solicitante de las razones de la demora y la fecha en que se proporcionará la respuesta por escrito. Para responder, se debe utilizar una Respuesta a la solicitud de inspección, LCHR-97 (anexo 6).

3. Si es factible, el acceso debe darse en la forma o formato solicitado. Si el formato solicitado no se puede producir razonablemente, se debe proporcionar una copia impresa legible u otro formato que tanto el componente de atención médica designado como el solicitante estén de acuerdo. Se proporcionará una hora y un lugar mutuamente convenientes para que la persona inspeccione u obtenga la copia de la PHI o la información se enviará por correo a petición de la persona.

4. Si se acuerda de antemano, el componente de atención médica designado puede proporcionar un resumen de PHI en lugar del acceso. El componente de atención médica designado también puede proporcionar una explicación de la PHI que se proporciona.

5. Un componente de atención médica designado puede cobrar por copias, resúmenes o explicaciones de la PHI. La persona solicitante debe estar de acuerdo de antemano en pagar dicha (s) tarifa (s). La tarifa debe incluir solo el costo de:

a. copia, incluidos suministros y mano de obra;
segundo. franqueo, si la persona solicita el envío por correo; y
C. preparar una explicación o resumen de la PHI si la persona lo acuerda con anticipación.

6. Si un componente de atención médica designado inicialmente determina que se debe denegar el acceso, entonces debe consultar con el Oficial de Privacidad. Si el acceso es finalmente denegado, la persona solicitante debe ser informada por escrito utilizando la Respuesta a la Solicitud de Inspección, LCHR-97 (anexo 6) y se le debe informar sobre los derechos aplicables para revisar la denegación.

7. El derecho de acceso no se aplica a la siguiente PHI:

a. notas de psicoterapia;
segundo. información recopilada con una anticipación razonable de o para litigios; y
C. PHI que puede no ser divulgada porque está cubierta por la Ley de Enmiendas de Mejoras de Laboratorio Clínico de 1988.

8. Bajo las reglas de privacidad de HIPAA, pueden existir otras circunstancias que limiten el derecho de un individuo a acceder a su PHI. El componente de atención médica designado debe consultar con el Oficial de privacidad antes de actuar sobre una Solicitud para inspeccionar y / o copiar información médica protegida, LCHR-94 (anexo 3).

F.Responsabilidad de informar sobre el uso indebido o la divulgación de la información médica protegida:
Se requiere que todos los empleados del Condado denuncien de inmediato cualquier uso o divulgación de PHI potencialmente impropio al Oficial de Privacidad o Recursos Humanos.

G. Estándar mínimo necesario:

1. Un componente de atención médica designado cumplirá con esta política y la ley aplicable al limitar razonablemente sus usos, solicitudes y divulgaciones de PHI al mínimo necesario para lograr el propósito previsto.

2. Cada componente de atención médica designado es responsable de desarrollar y proporcionar políticas y procedimientos apropiados que contengan un protocolo para garantizar que cumpla con este estándar.

3. Un protocolo para determinar qué PHI es mínimamente necesaria para las operaciones comerciales de un componente de atención médica designado debe:

a. identificar puestos o clases de puestos en la fuerza laboral que necesitan acceso a PHI para llevar a cabo las responsabilidades laborales; y
segundo. para cada puesto o clase de puestos, identifique la categoría o categorías de PHI a las que se necesita acceso y las condiciones apropiadas para ese acceso.

H. Desidentificación de la información:
En la medida de lo posible, se alienta a todos los componentes de atención médica designados a trabajar con el Oficial de Privacidad y Recursos Humanos en el uso y divulgación de información de salud no identificada.

I. Divulgaciones:

1. Permitido: La PHI puede ser utilizada y divulgada por un componente de atención médica designado sin consentimiento o autorización si:

a. La PHI es utilizada o divulgada a la persona que es objeto de la PHI;
segundo. el uso o divulgación es para el tratamiento, pago u operaciones de atención médica de la entidad o el tratamiento, pago u operaciones de atención médica especificados de otra entidad;
C. el uso o la divulgación es incidental a un uso o divulgación permitidos, y existen medidas de seguridad razonables;
re. el uso o divulgación se basa y cumple con una autorización válida; o
mi. con fines específicos o cuando el uso o la divulgación se base en un acuerdo con la persona que es el sujeto de la PHI.

2. Requerido: Se requiere un componente de atención médica designado para divulgar PHI cuando:

a. un individuo solicita acceso a su propia PHI o solicita una contabilidad de las divulgaciones de PHI, a menos que la solicitud esté sujeta a una de las excepciones contenidas en la Regla de Privacidad de HIPAA; y
segundo. cuando lo requiera el Departamento de Salud y Servicios Humanos de EE. UU. para determinar el cumplimiento de un componente de atención médica designado con la Regla de privacidad de HIPAA.

3. Otras divulgaciones: En determinadas circunstancias limitadas y por otras razones limitadas, el condado de Larimer puede divulgar PHI. Estos incluyen, pero no se limitan a:

a. márketing;
segundo. recaudación de fondos;
C. suscripción;
re. verificación;
mi. denuncia de delitos;
F. investigación y salud pública;
gramo. ciertos programas gubernamentales;
h. seguridad militar y nacional; o
yo. cuando lo requieran otras leyes.

Un componente de atención médica designado que contemple usar o divulgar su PHI de conformidad con la Sección VI.I.3, debe obtener la aprobación previa del Oficial de Privacidad.

4. Responsabilidad de verificar: Se requiere un componente de atención médica designado para verificar la identidad de una persona o entidad que solicita la PHI antes de la divulgación. Cada componente de atención médica designado es responsable de desarrollar y proporcionar políticas y procedimientos adecuados para revisar la autoridad de una persona para acceder a la PHI. Un componente de atención médica designado puede depender de los siguientes elementos para verificar la autoridad del solicitante:

a. una declaración escrita de la autoridad legal bajo la cual se solicita la información;
segundo. una declaración oral, si una declaración escrita es impracticable; o
C. un proceso legal, orden judicial, citación, orden judicial u otro proceso legal emitido por un gran jurado, tribunal judicial o administrativo.

Antes de que se divulgue la PHI por razones que no sean el tratamiento, el pago y las operaciones de atención médica, el componente de atención médica designado que posee la PHI debe consultar con el Oficial de Privacidad.

J. Responsabilidad de obtener consentimiento o autorización:

1. Un componente de atención médica designado puede usar métodos razonables para obtener el consentimiento de una persona antes de usar, divulgar o solicitar PHI para tratamiento, pago u operaciones de atención médica.

2. Un componente de atención médica designado no necesita obtener la autorización de un individuo antes de usar o divulgar PHI por razones que incluyen, pero no se limitan a:

a. tratamiento;
segundo. pago;
C. operaciones de atención médica;
re. cuando lo requiera la ley;
mi. determinadas actividades de salud pública;
F. divulgaciones sobre víctimas de abuso, negligencia o violencia doméstica;
gramo. ciertas actividades de supervisión de la salud;
h. procedimientos judiciales y administrativos;
yo. divulgaciones para procedimientos policiales;
j. divulgaciones sobre difuntos;
k. ciertos propósitos de donación de órganos y / o tejidos;

l. ciertos fines de investigación;

metro. para evitar una amenaza grave a la salud o la seguridad;
norte. ciertas funciones gubernamentales especializadas; o
o. compensación de trabajadores.

3. Una persona puede autorizar a un componente de atención médica designado a usar o divulgar su PHI en formas no permitidas o requeridas por la ley aplicable.

4. Un componente de atención médica designado debe utilizar la Autorización de uso y consentimiento, LCHR-93 (anexo 2). Cualquier uso o divulgación debe limitarse específicamente a lo que se indica en el formulario de autorización.

Un componente de atención médica designado que contemple usar o divulgar PHI de conformidad con la Sección VI.J.2.do, debe obtener la aprobación previa del Oficial de Privacidad.

K. Divulgación de información médica protegida a terceros:

1. La divulgación de PHI por un componente de atención médica designado a terceros debe estar de acuerdo con esta Política y Procedimiento y la ley aplicable.

2. Cada componente de atención médica designado es responsable de desarrollar y proporcionar políticas y procedimientos apropiados para cuando se pueda divulgar la PHI a una persona o entidad que no sea el sujeto de la PHI.

3. Un componente de atención médica designado es responsable de cumplir con los requisitos de verificación de la Sección VI.I.4 anterior antes de divulgar PHI a un tercero.

4. Tras la verificación, un componente de atención médica designado puede divulgar PHI a un tercero en determinadas circunstancias, que incluyen, entre otras:

a. cuando un individuo es legalmente o de otra manera incapaz de ejercer sus derechos de privacidad o simplemente ha optado por designar legalmente a otro como representante personal para actuar en su nombre en las decisiones de atención médica;
segundo. en ausencia de una relación de representante personal, cuando un tercero está involucrado en el cuidado de un individuo o está involucrado directamente en el pago del cuidado del individuo; y
C. en las circunstancias identificadas en la Sección VI.I.3 anterior.

En todos los casos en que el tiempo y las circunstancias lo permitan, antes de que un componente de atención médica designado divulgue PHI a un tercero, debe consultar con el Oficial de Privacidad.

L. Responsabilidad de documentar y dar cuenta de las divulgaciones:

1. Un componente de atención médica designado debe dar cuenta y documentar todas las divulgaciones de la PHI de una persona a menos que la divulgación sea:

a. con el propósito de tratamiento, pago u operaciones de atención médica;
segundo. a los individuos o sus representantes personales sobre ellos mismos;
C. para un directorio de instalaciones, para los familiares más cercanos o para aquellos involucrados en el cuidado de una persona;
re. para fines de inteligencia o seguridad nacional o para socorro en casos de desastre;
mi. a instituciones correccionales o funcionarios encargados de hacer cumplir la ley;
F. basado en la autorización de un individuo;
gramo. es parte de un conjunto de datos limitado; o
h. es incidental a otro uso o divulgación permitidos.

2. Cada componente de atención médica designado debe desarrollar un proceso para documentar y contabilizar las divulgaciones de PHI.

3. Una persona tiene derecho a recibir un informe de las divulgaciones de PHI aplicables que ocurrieron en los seis años anteriores. Sin embargo, no se requiere ningún componente de atención médica designado para proporcionar una contabilidad de cualquier uso o divulgación realizada antes del 14 de abril de 2003.

M. Solicitudes para enmendar o corregir registros o restringir el uso de información médica protegida:

1. No se requiere que un componente de atención médica designado enmiende o corrija la PHI a menos que haya creado la PHI.

2. Cualquier solicitud para enmendar o corregir la PHI creada por un componente de atención médica designado debe hacerse por escrito utilizando la Solicitud para corregir o enmendar el registro, LCHR-98 (anexo 7).

3. Cada componente de atención médica designado debe documentar el puesto responsable de recibir y procesar las solicitudes de enmienda.

4. El derecho de enmienda no se aplica si la PHI:

a. no es creado por el componente de atención médica designado, a menos que el solicitante demuestre que el creador de la PHI ya no está disponible para actuar sobre la solicitud;
segundo. no es parte de un conjunto de registros designado;
C. no estará disponible para el acceso según la Sección VI.E anterior; o
re. es precisa y completa.

5. Se debe responder a una solicitud de modificación dentro de los 60 días posteriores a su recepción. Si es necesaria una demora para proporcionar acceso, se puede obtener una extensión de 30 días, pero se debe informar a la persona solicitante de las razones de la demora y la fecha en que se proporcionará la respuesta por escrito. Para responder, se debe utilizar una Respuesta a la solicitud de inspección, LCHR-97 (anexo 6). La respuesta debe informar a la persona si se concede la solicitud (en su totalidad o en parte) y debe realizar la enmienda solicitada.

6. Cualquier respuesta a una solicitud de enmienda debe hacerse en consulta con el Oficial de Privacidad.

7. Si un componente de atención médica designado acepta realizar la enmienda, debe, como mínimo, hacer lo siguiente:

a. identificar los registros en el conjunto de registros designado que se ven afectados por la enmienda;
segundo. adjuntar o proporcionar un enlace a la ubicación de la enmienda;
C. informar a la persona de manera oportuna que la enmienda es aceptada y obtener su consentimiento para notificar a las personas relevantes que deben ser informadas de la enmienda; y
re. informar a otros sobre la enmienda dentro de un tiempo razonable, si el individuo lo solicita o el componente sabe que esos otros individuos podrían haber confiado razonablemente en la información.

8. Si un componente de atención médica designado inicialmente determina que se debe denegar la enmienda, debe consultar con el Oficial de Privacidad. Si finalmente se deniega la enmienda, se debe informar a la persona solicitante por escrito utilizando la Respuesta a la enmienda o la Solicitud de corrección, LCHR-99 (anexo 8).

9. Cualquier denegación de una enmienda de PHI, ya sea en su totalidad o en parte, debe incluir:

a. la base de la negación; y
segundo. una declaración de los derechos del individuo.

10. Una persona cuya solicitud para enmendar o corregir la PHI ha sido denegada tiene derecho a presentar una declaración por escrito en la que no esté de acuerdo con la denegación de la enmienda.

a. La declaración de desacuerdo debe limitarse a dos páginas de una cara de 8-1 / 2 x 11. La declaración de desacuerdo debe presentarse dentro de los 60 días posteriores a este aviso de denegación con el Oficial de Privacidad del Condado de Larimer. El componente de atención médica designado tiene derecho a preparar y enviar al Oficial de Privacidad una declaración de refutación a la declaración de desacuerdo de la persona. Si lo hace, el Oficial de Privacidad le proporcionará una copia a la persona en cuestión.
segundo. Si la persona solicitante no presenta una declaración de desacuerdo, puede solicitar que el componente de atención médica designado proporcione una copia de la solicitud de enmienda y la denegación de enmienda con cualquier divulgación futura de información médica protegida que sea el tema de este solicitud.

11. Una persona cuya solicitud para enmendar o corregir la PHI ha sido denegada tiene derecho a presentar una queja con respecto a esta decisión ante el Oficial de Privacidad de acuerdo con la Sección XII o el Departamento de Salud y Servicios Humanos de EE. UU.

12. Todos los componentes de atención médica designados se reservan el derecho de cumplir con las solicitudes para restringir el uso o la divulgación de PHI. Cualquier solicitud de este tipo debe enviarse al componente de atención médica que tiene la PHI o al Oficial de privacidad mediante Solicitud de no usar o divulgar información médica protegida, LCHR-100 (anexo 9).

13. Cualquier respuesta a una Solicitud de no usar o divulgar información médica protegida debe realizarse en consulta con el Oficial de privacidad y debe utilizar la Respuesta a la solicitud de no usar o divulgar información médica protegida, LCHR-101 (anexo 10).

14. Cualquier solicitud para restringir el uso de PHI debe documentarse, conservarse y respetarse de acuerdo con la ley aplicable.

N. Seguridad de datos: RESERVADO

O. Relaciones con terceros que involucran información médica protegida:

1. Documentos del plan:
Cualquier documento del plan del cual el Condado de Larimer sea signatario, debe ser enmendado oportunamente para garantizar el cumplimiento de esta política y la ley aplicable. El condado de Larimer cumplirá con estos documentos del plan de acuerdo con esta política y la ley aplicable.

2. Certificaciones:
El condado de Larimer cumplirá con las certificaciones requeridas por la ley aplicable.

3. Acuerdos de socios comerciales:

a. Cuando una división o departamento del condado de Larimer es un socio comercial de una entidad cubierta, esa división o departamento, si así lo solicita la entidad cubierta, celebrará un Acuerdo de socio comercial con la entidad cubierta en la forma de LCHR-96 (anexo 5 ). Antes de ejecutar el acuerdo de socio comercial, la división o departamento debe presentar el acuerdo al Oficial de Privacidad y al Fiscal del Condado para su aprobación.
segundo. Los componentes de atención médica designados por el condado de Larimer proporcionarán a cada uno de sus socios comerciales un Acuerdo de socio comercial, LCHR-96 (anexo 5) para su ejecución. Después de que el socio comercial ejecuta el Acuerdo de socio comercial, pero antes de que el componente de atención médica del condado lo ejecute, el componente de atención médica debe presentar el acuerdo al Oficial de privacidad y al Fiscal del condado para su aprobación.
C. El Oficial de Privacidad puede monitorear y / o auditar razonablemente el cumplimiento de HIPAA de un socio comercial del condado o no del condado con el Acuerdo.

 

VII. Responsabilidad de mitigar los resultados de la infracción:

R. En la medida de lo posible, un componente de atención médica designado mitigará cualquier efecto dañino del que tenga conocimiento como resultado de un uso o divulgación de PHI en violación de las leyes federales y estatales aplicables o las políticas y procedimientos del condado de Larimer.

B. Los esfuerzos de mitigación pueden incluir, pero no se limitan a, lo siguiente:

1. tomar medidas correctivas operativas y de procedimiento para remediar las violaciones;

2. tomar medidas de empleo para volver a capacitar, corregir o disciplinar a los miembros de la fuerza laboral, el personal y los empleados según sea necesario, hasta e incluyendo el despido;

3. abordar problemas con otras entidades con las que el Condado de Larimer está relacionado una vez que el Condado de Larimer se da cuenta razonablemente de una violación de la privacidad; y

4. incorporar soluciones de mitigación en las políticas y procedimientos del condado de Larimer, según corresponda.

 

VIII. Acción disciplinaria:

A. Sanciones legales:
Las violaciones de la ley aplicable pueden resultar en la imposición de sanciones civiles y penales.

B. Base para la acción correctiva y / o disciplinaria:
Cualquier empleado que participe en una conducta prohibida en virtud de esta política y / o la ley aplicable estará sujeto a medidas disciplinarias, que pueden incluir el despido del empleo (referencia H).

 

IX. Prohibición de represalias:

A. Todos los miembros de la fuerza laboral y empleados del condado de Larimer podrán discutir y plantear preguntas libremente al oficial de privacidad del condado de Larimer y / o al Departamento de Recursos Humanos sobre situaciones que consideren que violan las leyes federales y estatales aplicables y / o las políticas y procedimientos.

B. Todos los miembros de la fuerza laboral y los empleados del condado de Larimer tienen la obligación personal de informar cualquier actividad que parezca violar las leyes, regulaciones, reglas, políticas y / o procedimientos aplicables.

C.El condado de Larimer no intimidará, amenazará, coaccionará, discriminará ni tomará represalias si algún paciente, representante legalmente autorizado, empleado, miembro de la fuerza laboral, voluntario, asociado, asociación, contratista, organización o grupo de buena fe:

1. divulga o amenaza con divulgar información sobre una situación que consideran inapropiada o potencialmente ilegal;

2. proporciona información o testifica contra el presunto delincuente o el condado de Larimer;

3. objeta o se rehúsa a participar en una actividad que consideren que viola las leyes federales y estatales aplicables o las políticas y procedimientos del condado de Larimer;

4. está involucrado en cualquier proceso de revisión de cumplimiento; o

5. presenta un informe válido o legítimo o una queja a los funcionarios federales, estatales o del condado de Larimer responsables de investigar las violaciones de la ley aplicable.

D. El condado de Larimer revisará cualquier alegación de represalias y se asegurará de que se lleve a cabo una investigación adecuada según corresponda. La investigación se realizará de acuerdo con las políticas y procedimientos del condado de Larimer y la ley aplicable. Al finalizar una investigación, el Oficial de Privacidad se asegurará de que se tomen las medidas adecuadas, que pueden incluir medidas disciplinarias según la Política y el Procedimiento de Recursos Humanos 331.8 (referencia H).

 

X. Responsabilidad de la actividad de cumplimiento de documentos:

A. Actividades de seguimiento:
El Oficial de Privacidad llevará a cabo actividades de monitoreo razonables necesarias para garantizar el cumplimiento de los componentes de atención médica designados con la ley aplicable. El Oficial de Privacidad puede asociarse con una parte externa para revisar o ayudar con este proceso de monitoreo.

B. Responsabilidad de mantener registros:

1. Ubicación de los registros protegidos:
Cada componente de atención médica designado es responsable de identificar y mantener la privacidad de los registros cubiertos. La ubicación y el mantenimiento de dichos registros se determinarán en consulta con el Oficial de Privacidad.

2. Duración de la retención de registros:
La PHI en un conjunto de registros designado debe mantenerse durante un período de seis años desde la fecha en que se creó o la fecha en que entró en vigencia por última vez, lo que sea posterior.

3. Destrucción de registros:
Al final del período de retención de registros, la PHI debe destruirse de una manera razonablemente calculada para preservar su privacidad.

 

XI. Prohibición de renuncias a derechos individuales:
El condado de Larimer no exigirá la renuncia a los derechos individuales prohibidos por la ley aplicable.

 

XII. Proceso de quejas:

A. Política general:
Las personas que creen que se han violado sus derechos otorgados por HIPAA o cualquier otra ley estatal o federal que se ocupe de la privacidad y confidencialidad de la información de salud pueden presentar una queja con respecto a la presunta violación de la privacidad.

B. Procedimiento:

1. Cualquier queja relacionada con la privacidad debe presentarse ante el Oficial de Privacidad. Una queja debe estar por escrito, identificarse a sí misma como una queja bajo este procedimiento, identificar al individuo o entidad que presenta la queja, describir específicamente el problema e indicar el remedio buscado.

2. El Oficial de Privacidad se reunirá con la parte reclamante dentro de un período de tiempo razonable desde la recepción de la queja.

3. El Oficial de Privacidad investigará la supuesta queja por violación de privacidad. Se puede solicitar a los empleados y miembros de la fuerza laboral que ayuden en las investigaciones relacionadas con las quejas y se requiere su cooperación.

4. El Oficial de Privacidad tomará una decisión con respecto a la queja, que será final y vinculante. La decisión se hará por escrito y se entregará una copia a la parte reclamante, el componente de atención médica y será mantenida por el Oficial de Privacidad para la documentación y el almacenamiento de acuerdo con este procedimiento y la ley aplicable.

5. En cualquier momento durante el proceso de queja, la parte que presenta la queja o el componente de atención médica designado involucrado puede consultar con Recursos Humanos o el Oficial de Privacidad para asegurar el cumplimiento de las disposiciones de este procedimiento y para obtener ayuda para llegar a una solución.

 

XIII. Aviso de derecho y responsabilidad de enmendar:

A. El Condado de Larimer se reserva el derecho de enmendar esta Política y Procedimiento, así como cualquier política o procedimiento razonablemente relacionado con base en cambios en las leyes y / o regulaciones aplicables, con base en cambios en el uso de PHI de los componentes de atención médica designados, con base en cambios organizacionales dentro del Condado y basados ​​en cualquier otra razón permitida por la ley.

B. Cualquier enmienda a esta política y procedimiento puede ser retroactiva o prospectiva según las circunstancias particulares que justifiquen la enmienda.

C. Cualquier enmienda debe documentarse, incluso en el Aviso de prácticas de información, LCHR-92 (anexo 1).

 

 

                                                           

Kathay Rennels
Presidente de la Junta de Comisionados del Condado

(Aprobado por BOCC - Asuntos administrativos - 09/29/2009)

 

Distribución:
Todos los departamentos del condado y funcionarios electos
Manual de SOP de gestión de registros (original)

JG / vl

 

FECHA: 29 de septiembre de 2009 (Esta Política está bajo revisión adicional para cambios pendientes del Proyecto de Política HIPAA; a partir del 10 de marzo de 2015)

PERÍODO DE VIGENCIA: Hasta que sea reemplazado

HORARIO DE REVISIÓN: Anual

CANCELACIÓN: Política y procedimiento de recursos humanos 331.2.17A (de fecha 8 de abril de 2003)

CERRAMIENTOS:

1. Condado de Larimer Aviso de prácticas de información, LCHR-92 (4/03)
2. Condado de Larimer Autorización para el uso y divulgación de información de salud protegida, LCHR-93 (4/03) 
3. Condado de Larimer Solicitud para inspeccionar y / o copiar información médica protegida, LCHR-94 (4/03)
4. Condado de Larimer Acuerdo de confidencialidad de empleados de HIPAA, LCHR-95 (5/08)
5. Condado de Larimer Acuerdo de Asociado de Negocios, LCHR-96 (4/03)
6. Condado de Larimer Respuesta a la solicitud de inspección, LCHR-97 (4/03)
7. Condado de Larimer Solicitud para corregir o modificar el registro, LCHR-98 (4/03)
8. Condado de Larimer Respuesta a la solicitud de enmienda o corrección, LCHR-99 (4/03)
9. Condado de Larimer Solicitud para no usar o divulgar información médica protegida, LCHR-100 (4/03)
10. Condado de Larimer Respuesta a la solicitud de no usar o divulgar información médica protegida, LCHR-101 (4/03)
11. Resolución de la Junta de Comisionados del Condado de Larimer (04082003R005)

REFERENCIAS:

A. Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)
B. Ley de seguridad social   
C. Ley de Estadounidenses con Discapacidades
D. Ley de licencia médica y familiar
E. Constitución de Estados Unidos
F. Ley de cumplimiento de simplificación administrativa
G. Regulaciones de la Ley de Portabilidad y Responsabilidad de Seguros de Salud, 45 CFR Parte 160 y 164, et seq.
H.  Política y procedimiento de recursos humanos 331.8; Acciones correctivas y adversas, procedimiento de queja y proceso de resolución de problemas
I.  Política y procedimiento de recursos humanos 331.6.24; Política de licencia médica y familiar
J.  Política y Procedimiento de Recursos Humanos 331.2, Sección XIV; Verificaciones de antecedentes del solicitante o empleado
K.  Política y Procedimiento de Recursos Humanos 331.4, Sección XI; Divulgación de información del empleado
L.  Política y procedimiento de recursos humanos 331.4, Sección II, C, 2; Discriminación por discapacidad
M.  Política y Procedimiento de Recursos Humanos 331.4, Sección IX; Archivos de personal
N.  Política y Procedimiento de Recursos Humanos 331.6, Sección V, I; Baja por enfermedad
O. Política y procedimiento administrativo 390.15, Sección II; Política de pruebas de alcohol y sustancias controladas perteneciente a los empleados cubiertos por las regulaciones del DOT
P. Manual de políticas de gobierno; 3.2 - Tratamiento del personal

courthouse-offices

Departamento de Recursos Humanos

HORAS: Lunes a viernes, 8: 00am-4: 30pm

200 West Oak, Suite 3200, Fort Collins, CO 80521
PO Box 1190, Fort Collins, CO 80522
TELÉFONO: (970) 498-5970 | FAX: (970) 498-5980
Recursos humanos por correo electrónico