HIPAA
Magellan Health (Magellan) cumple plenamente con las normas de la HIPAA sobre privacidad, transacciones electrónicas y seguridad.
El Departamento de Cumplimiento Corporativo de Magellan trabaja en conjunto con cada una de las unidades de negocios, departamentos y oficinas regionales de Magellan para monitorear los esfuerzos de cumplimiento en curso y mantener varios mecanismos de reporte que son requeridos por la ley o solicitados por los clientes del plan de salud de Magellan. Magellan reconoce que es un socio comercial clave con sus clientes y continuará proporcionando todos sus diversos servicios de Atención Administrada y EAP de acuerdo con los requisitos pertinentes de todas las leyes y regulaciones estatales y federales, incluyendo, según sea aplicable, la HIPAA.
Privacidad
Magellan ha mantenido históricamente la privacidad de la información de los pacientes como un principio clave de nuestras operaciones y procesos. Magellan siempre ha implementado políticas y procedimientos de confidencialidad que cumplen o exceden las regulaciones estatales y federales existentes. Nuestras muchas políticas existentes que detallan el cumplimiento de la HIPAA y todas sus regulaciones de implementación (incluyendo la Ley HITECH y la Regla Ómnibus de 2013 también) y otros requisitos relacionados con la privacidad incluyen:
- Autorización para usar y revelar PHI (Información de Salud Protegida)
- Reglas generales para el uso y la divulgación de la información médica protegida
- Usos y divulgaciones de la PHI para tratamiento, pago y operaciones de atención médica
- Transmisión oral y escrita de PHI e información confidencial
- Derecho del miembro a solicitar la protección de la privacidad de la PHI
- El derecho del miembro a solicitar acceso a la PHI
- Derecho de los miembros a solicitar la modificación de la PHI
- Derecho de los miembros a solicitar un informe sobre la divulgación de la PHI
- Política de verificación
- Representación de los miembros
- Aviso de prácticas de privacidad
- Usos y divulgaciones mínimos necesarios de la información médica protegida
- Los usos y divulgaciones de la PHI no requieren permiso del miembro
- Usos y divulgaciones de la PHI para marketing, recaudación de fondos y suscripción
- Usos y divulgaciones para funciones gubernamentales especializadas
- Los usos y divulgaciones de la PHI requieren una aprobación interna previa
- Usos y divulgaciones de la PHI para procedimientos judiciales y administrativos
- Conjunto limitado de datos y desidentificación del PHI
- Usos y divulgaciones no autorizados de la información médica protegida
Por ejemplo, estas políticas se refieren a algunas de las siguientes áreas:
Comunicaciones confidenciales
Magellan ha desarrollado políticas, procedimientos y flujos de trabajo para abordar las comunicaciones confidenciales. También trabajamos con nuestros clientes para implementar procedimientos para coordinar las solicitudes de los miembros para direcciones o métodos alternativos de comunicación de la PHI.
Contabilidad de las divulgaciones
A través de la HIPAA, los miembros tienen derecho a recibir un informe de ciertas revelaciones de su PHI realizadas por entidades cubiertas en los seis años anteriores a la fecha en que se solicitó el informe. Magellan ha desarrollado e implementado una base de datos para gestionar el seguimiento de todas las divulgaciones para las que los miembros tienen derecho a una rendición de cuentas. También llevaremos a cabo auditorías de rutina realizadas por nuestro Departamento de Cumplimiento Corporativo.
Derecho de acceso y de enmienda
Los miembros tienen derecho a inspeccionar y copiar la información médica protegida sobre ellos mismos, lo que les permite comprender la naturaleza de su información médica y pedir que enmendemos o corrijamos cualquier error percibido. Los miembros también pueden solicitar que se les facilite su acceso enviando una copia a otra persona específicamente designada por el miembro, incluyendo la identificación de la persona designada y cómo/donde enviar la copia de la PHI. Magellan tiene procedimientos para proteger estos derechos de los miembros.
En resumen, Magellan cumple actualmente con todas las leyes federales y estatales aplicables en relación con la confidencialidad de la PHI. Magellan proporciona entrenamiento de HIPAA a su personal con énfasis en la privacidad y confidencialidad del paciente. En los casos en que el personal clínico cree que la HIPAA puede ser adelantada por la ley estatal o cuando la HIPAA se adelanta a la ley estatal, remiten sus preguntas al Departamento Legal de la compañía. El Departamento Jurídico responde a las preguntas basándose en un análisis de anticipación para asegurarse de que estamos cumpliendo con la más estricta de las dos leyes.
Transacciones y conjuntos de códigos
Magellan cumple plenamente con la regulación de Transacciones y Conjuntos de Códigos de la HIPAA y ha tomado una posición de liderazgo dentro de la industria trabajando para establecer los conjuntos de códigos aceptados para el cuidado de la salud conductual administrada con los grupos de establecimiento de estándares nacionales.
Magallanes cumple con la ANSI X12N, versión 5010 con los addenda. Para cumplir con los requisitos de los conjuntos de códigos y transacciones, hemos completado el desarrollo de una nueva estrategia de intercambio electrónico de datos (EDI). Hemos implementado los productos de software de EDIFEC (XEngine and Transaction Management) versión 7.0.3 para el intercambio de mensajes entre aplicaciones de software, plataformas de computación y protocolos de comunicación. Magellan utilizará XEngine para validar que los mensajes son compatibles con X12 y luego analiza el X12 en elementos individuales para mapear la información a nuestros sistemas anfitriones para su procesamiento. Este conjunto de productos incluye las plantillas para las transacciones estándar de la HIPAA.
Seguridad
El Departamento de Seguridad de Magellan tiene la tarea de asegurar que la información de salud de los miembros está protegida cuando descansa en nuestros sistemas y cuando se intercambia por medios electrónicos. Para abordar esto, hemos implementado salvaguardas técnicas, físicas y administrativas para mejorar:
- Seguridad física
- Seguridad del personal
- Seguridad de los sistemas de información
Magallanes ha adoptado un enfoque de múltiples capas de seguridad, proporcionando protección perimetral, operaciones segregadas, negocios y arquitecturas administrativas, y medidas de protección extra asociadas a nuestra presencia en la World Wide Web. Magellan también monitoriza todas estas interfaces para identificar el tráfico inapropiado o no autorizado, el correo electrónico y los intentos de conexión a nuestros sistemas.
Hemos redactado y ratificado políticas y procedimientos de seguridad para cumplir con las normas de cumplimiento, así como para solidificar las mejores prácticas comerciales de seguridad. Se han puesto en práctica procedimientos para apoyar estas políticas de manera que complementen y sigan cada una de ellas para garantizar la estandarización. Las políticas que han sido ratificadas hasta la fecha incluyen:
- Seguridad de la tecnología de la información
- Sensibilidad a la información
- Preparación para los desastres
- Acceso remoto a la red
- Uso de Internet
- Uso de la computadora y la red
- Uso del correo electrónico de los empleados
- Seguridad de la empresa
- Investigación de los antecedentes previos al empleo
- Terminación de los accesos de seguridad para empleados y contratistas
Cortafuegos/Servicios de Detección de Intrusos (IDS)
Magallanes emplea los últimos estándares de tecnología y equipo en cuanto a la protección de la infraestructura interna crítica. Todos los cortafuegos están colocados, controlados y gestionados por personal cualificado y dedicado de Magellan. Todo el equipo de protección del perímetro se instala, parchea y mantiene de acuerdo con las normas del fabricante y las mejores prácticas de seguridad para garantizar la mejor protección posible.
Una estructura tradicional de DMZ (zona desmilitarizada) está en funcionamiento para apoyar nuestras necesidades de comercio electrónico y se supervisa a través de un estado de los sistemas de detección de intrusos gestionados de última generación proporcionados por una organización externa para garantizar la calidad del servicio. El servicio de IDS es monitoreado 24 horas al día, siete días a la semana, 365 días al año por Dell SecureWorks, Inc. (antes LURHQ Corporation), que se especializa en la respuesta a incidentes y en la capacidad de detección de intrusos para varias corporaciones en todo el mundo.
Auditoría de la actividad de los sistemas/Monitoreo
Toda la actividad de los sistemas, incluida la actividad de los usuarios, se supervisa de conformidad con la política. Se investigarán todas las desviaciones de las prácticas aceptadas descritas en la política y se mitigarán en consecuencia los riesgos asociados a estos eventos.
Capacidades de cifrado
Correo electrónico
La seguridad de las comunicaciones por correo electrónico de Magallanes requiere una combinación de varias (tres) tecnologías para proporcionar un método de entrega diverso y flexible. El método implicará el uso de Redes Privadas Virtuales (VPN), una puerta de enlace de correo electrónico encriptado y un portal de correo electrónico seguro basado en la web.
Red de Área Amplia (WAN)
Todas las conexiones de la WAN están encriptadas según los estándares de la industria.
World Wide Web (Internet)
Todos los sitios web de Magellan que se enfrentan a Internet incorporan el uso del protocolo de Capa de Conexión Segura (SSL) versión 3.0 para proteger la información sensible. También se utiliza el protocolo de Seguridad de Capa de Transporte (TLS) versión 1.0.
Liberación de la Red de Propiedad de Magellan / Información Específica del Sistema
La política de Magellan es no revelar detalles sobre los diagramas de flujo detallados y las especificaciones técnicas del software, el hardware y las redes que Magellan utiliza para construir su infraestructura técnica. Se podrán proporcionar detalles específicos si se ejecutan los acuerdos de no divulgación adecuados entre Magellan y la parte solicitante.
Evaluaciones de la vulnerabilidad
Magellan realiza rutinariamente evaluaciones de seguridad y pruebas de vulnerabilidad y mitiga cualquier problema o riesgo que se encuentre de manera oportuna. Nuestra política es no revelar detalles o resultados de las pruebas debido a la naturaleza propietaria y sensible de los datos. Magellan utiliza conjuntos de herramientas de prueba estándar de la industria y contrata a agencias independientes de terceros para verificar la infraestructura de seguridad.
Instalaciones del Centro de Datos
Los sistemas de Magallanes están alojados en un centro de datos seguro situado en Maryland Heights, Missouri. El acceso al centro de datos se controla a través de una variedad de procesos de seguridad física. El acceso físico se controla por la puerta, la hora del día y el día de la semana, incluyendo los días festivos y los fines de semana. Los operadores del sistema proveen de personal al Centro de Datos 24 horas al día, siete días a la semana.
Se realizan copias de seguridad nocturnas para capturar los cambios o actualizaciones. Se realizan regularmente copias de seguridad completas. Las cintas de respaldo se almacenan en una instalación externa.
El sistema de Tecnología de la Información recibe energía de reserva a corto plazo a través de la Fuente de Energía Ininterrumpida (UPS). Un generador diesel de reserva proporciona un suministro de energía a largo plazo. Periódicamente se realizan pruebas para proporcionar competencia y evaluar la eficacia de estos sistemas.
El Centro de Datos está protegido contra el fuego por un sistema de protección y alarma contra incendios. El sistema de detección está conectado a un panel de alarma del edificio y al departamento de bomberos local para una notificación inmediata. El centro utiliza un sistema de supresión de incendios por gas, un sistema de rociadores de tubería seca, y fue construido con paredes de alta resistencia al fuego.
Recuperación de desastres
Magellan ha contratado con los Servicios de Disponibilidad SunGard para que le proporcionen un sitio cálido preconfigurado y un hardware de reserva ubicado en Filadelfia, Pensilvania, para facilitar la continuación de los servicios de procesamiento de datos realizados en los sistemas informáticos del servidor de producción ubicado en el Centro Nacional de Servicios (NSC) en caso de un desastre catastrófico. Nuestro enfoque aborda los siguientes puntos:
- Posibles tipos de desastres, riesgos y probabilidades de que ocurran, que darían lugar a una importante interrupción de las operaciones satisfactorias
- Planes de contingencia para garantizar la continuidad de las operaciones y reducir al mínimo los efectos
- Una estrategia y un proceso de recuperación que define las funciones y responsabilidades durante el período
- Funciones comerciales críticas y el máximo período de interrupción tolerable
- Recursos necesarios para llevar a cabo una recuperación exitosa
Cumplimiento continuo
El Departamento de Cumplimiento Corporativo de Magellan se encarga de supervisar el cumplimiento continuo de las regulaciones de la HIPAA. Este departamento cuenta con abogados, directores de cumplimiento y analistas de investigación que trabajan en conjunto para monitorear cualquier nuevo desarrollo y coordinar cualquier implementación necesaria de los requisitos de cumplimiento actualizados. Nuestro programa de capacitación de la HIPAA consiste en una capacitación inicial para todas las nuevas contrataciones, una actualización anual de la capacitación para todos los empleados, una capacitación en profundidad para las áreas seleccionadas y una capacitación correctiva según sea necesario. Un departamento de auditoría interna audita los departamentos corporativos y las oficinas regionales para garantizar que se apliquen las medidas y procedimientos de cumplimiento adecuados.