Seguridad VIIS

HCP tal como se define en el § 8.01-581.1 Definiciones

"Proveedor de atención médica" significa (i) una persona, corporación, instalación o institución autorizada por este Estado para brindar atención médica o servicios profesionales como médico o hospital, dentista, farmacéutico, enfermera registrada o enfermera práctica con licencia o una persona que tiene un privilegio multiestatal para practicar dicha enfermería bajo el Pacto de Licencia de Enfermería, optometrista, podólogo, quiropráctico, fisioterapeuta, asistente de fisioterapia, psicólogo clínico, trabajador social clínico, consejero profesional, terapeuta matrimonial y familiar con licencia, higienista dental con licencia, organización de mantenimiento de la salud o asistente o técnico de atención médica de emergencia que brinda servicios a honorarios; (ii) una corporación profesional, todos cuyos accionistas o miembros están autorizados para ello; (iii) una sociedad, todos cuyos socios están autorizados para ello; (iv) un hogar de ancianos tal como se define en § 54.1-3100 excepto aquellas instituciones de enfermería dirigidas por y para aquellos que dependen del tratamiento por medios espirituales únicamente a través de la oración de acuerdo con una iglesia o denominación religiosa reconocida; (v) una sociedad profesional de responsabilidad limitada compuesta por miembros como se describe en la subdivisión A 2 de § 13.1-1102; (vi) una corporación, sociedad, compañía de responsabilidad limitada o cualquier otra entidad, excepto una instalación operada por el estado, que emplee o contrate a un proveedor de atención médica con licencia y que preste principalmente servicios de atención médica; o (vii) un director, funcionario, empleado, contratista independiente o agente de las personas o entidades a las que se hace referencia en este documento, que actúe dentro del curso y alcance de su empleo o compromiso en relación con la atención médica o los servicios profesionales.

HCP tal como se define en el §32.1-127.1:03 Privacidad de los registros de salud

"Proveedor de atención médica" se refiere a las entidades enumeradas en la definición de "proveedor de atención médica" en § 8.01-581.1, excepto que las instalaciones operadas por el estado también se considerarán proveedores de atención médica para los propósitos de esta sección. El proveedor de atención médica también incluirá a todas las personas que tengan licencia, certificados, registrados o permitidos o que tengan un privilegio de licencia multiestatal emitido por cualquiera de las juntas reguladoras de salud dentro del Departamento de Profesiones de la Salud, excepto las personas reguladas por la Junta de Directores de Funerarias y Embalsamadores o la Junta de Medicina Veterinaria.

Información VIIS

El Código de Virginia, § 32.1-46.01 autoriza el Sistema de Información de Inmunización de Virginia (VIIS), un sistema de información de inmunización a nivel estatal que administra los registros electrónicos de inmunización.  Esta política establece los comportamientos requeridos de los usuarios de VIIS, el Departamento de Salud de Virginia (VDH) y la División de Inmunización (DOI) para proteger la confidencialidad, privacidad y precisión de la información del cliente.

• VIIS es consistente con el Departamento de Salud y Servicios Humanos y la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) de 1996.
• Los usuarios autorizados de VIIS incluyen, pero no se limitan a:
• Proveedor de atención médica o planes de salud
• Escuelas, programas Head Start y guarderías
• Individuos u organizaciones según lo exija la ley o en la gestión de una crisis de salud pública
• Otros registros de inmunización
• La revisión de esta política debe contar con la participación de representantes de los sectores público y privado de la salud.

Seguridad del sitio host VDH/DOI

• El sistema obligará a los usuarios a cambiar su contraseña cada 90 días.
• El sistema VIIS se agotará después de 30 minutos.
• Ninguna información de VIIS se pondrá a disposición de las fuerzas del orden, el Servicio de Inmigración y Naturalización o cualquier otra parte.
• El sistema VIIS mantendrá un registro de auditoría para toda la información a la que se acceda.
• VDH llevará a cabo una autoevaluación de los riesgos potenciales y las áreas de vulnerabilidad con respecto a VIIS y desarrollará, implementará y mantendrá medidas de seguridad apropiadas de manera continua.
• La divulgación de información sobre inmunización se hará con fines estadísticos o para estudios que no identifiquen a las personas.

Seguridad del proveedor/usuario

• Se autoriza el acceso a VIIS bajo la condición de que sea necesario para realizar su trabajo.
• Todos los usuarios de VIIS están obligados a firmar un Acuerdo de Confidencialidad/Seguridad con VDH.
• Cada usuario debe renovar el acuerdo de confidencialidad/seguridad del usuario anualmente.
• Cada usuario es responsable de mantener la confidencialidad.
• El proveedor/usuario está obligado a actuar ante cualquier solicitud de una persona para optar por no participar en VIIS. Si el paciente opta por no participar, el proveedor debe marcar de inmediato "NO" para compartir los datos de vacunación.
• El usuario hará un esfuerzo razonable para garantizar la exactitud de toda la información demográfica y de inmunización ingresada o editada
• Se recomienda la protección antivirus para cada sitio cliente.
• Los ordenadores de sobremesa/portátiles de los usuarios deben contar con seguridad física y protectores de pantalla con contraseña cuando no sean utilizados por personas autorizadas y finalizarán la aplicación VIIS antes de salir de la estación de trabajo VIIS
• Se requiere un ID y una contraseña para acceder a VIIS.
• Los usuarios no compartirán ni revelarán su ID o contraseña a nadie.
• El Administrador del VIIS mantendrá los formularios de registro de usuario completados en un lugar seguro
• Todos los datos de VIIS se cifrarán antes de la transferencia.
• Los registros VIIS se tratarán con la misma vigilancia, confidencialidad y privacidad que cualquier otro registro médico del paciente.
• Los registros de vacunación de los pacientes no se copiarán, excepto para uso autorizado
• La información de VIIS en una copia impresa no se dejará donde sería visible para personal no autorizado y debe ser triturada antes de su eliminación
• La divulgación no autorizada de información de registros confidenciales puede ser punible, en caso de condena, con una multa y/o encarcelamiento o ambos, y/o sanciones civiles según lo prescrito por la ley, así como sanciones y/o medidas disciplinarias.
• Si los datos de VIIS se van a enviar por fax, el remitente debe verificar el número de fax y la recepción de los datos.
• No se llevará a cabo ninguna actividad que pueda poner en peligro el correcto funcionamiento/seguridad de VIIS.
• El uso indebido de VIIS puede dar lugar a acciones legales contra el usuario personalmente y contra la organización de la que soy agente.

Responsabilidad del proveedor

• El administrador de VIIS en el sitio del usuario terminará el acceso para un usuario autorizado que ya no necesite acceso.
• Los usuarios harán todo lo posible para proteger las pantallas VIIS de la vista no autorizada.
• En caso de que ocurra una violación sustancial de la privacidad personal/confidencialidad, la parte infractora debe notificar inmediatamente al cliente y a la persona designada por VDH/DOI. Los infractores de esta política serán restringidos de VIIS por el Administrador del Sistema en el sitio del infractor.
• El administrador del VIIS será notificado inmediatamente si se sospecha de una entrada no autorizada en el sistema.

La Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA, por sus siglas en inglés) rige el uso y la divulgación de información médica protegida.

Las entidades cubiertas por HIPAA son:

• Proveedores de atención médica que realizan ciertas transacciones financieras y administrativas electrónicamente
• Centros de intercambio de información sobre la atención de la salud; y Planes de Salud
• Sección 164de HIPAA.512 (b) permite a una entidad cubierta divulgar información de salud protegida para actividades de salud pública.
• El Departamento de Salud de Virginia opera el Sistema de Información de Inmunización de Virginia
• El Código de Virginia permite que los proveedores de atención médica compartan datos de inmunización sin la autorización de los padres (§ 32.1-46)
• El Código de Virginia permite compartir información de VIIS con usuarios autorizados (§32.1-46.01)
• Según la HIPAA, VIIS puede recibir información de salud protegida sin la autorización del paciente
• En resumen, la información de inmunización se puede compartir según lo especificado por el Código de Virginia a través de VIIS

Información de seguridad

¿Cómo puede nuestra práctica, así como nuestros clientes, estar seguros de que la información está segura?

• Los proveedores de atención médica públicos y privados deben firmar un acuerdo de confidencialidad con el Departamento de Salud de Virginia (VDH).
• Los usuarios deben estar autorizados por VDH y deben seguir una estricta política de seguridad.
• La licencia de todos los proveedores es verificada por VDH antes de acceder a la aplicación.
• A los usuarios se les asignan identificadores y contraseñas. Las contraseñas se cambian cada 90 días.
• Los roles de seguridad se asignan a cada usuario, limitando su acceso en VIIS.
• Existen varias características de seguridad para garantizar la confidencialidad de la información (consulte la política de confidencialidad y seguridad de VIIS).
• El cifrado se utiliza para transmitir todos los datos a través de Internet.
• A la información de los estudios estadísticos se le ha eliminado toda la información de identificación individual.

Formularios

Formulario de exclusión voluntaria de VIIS