HIPAA
Magellan Health (Magellan) cumple totalmente con los Estándares de HIPAA para Privacidad, Transacciones Electrónicas y Seguridad.
El Departamento de Cumplimiento Corporativo de Magellan trabaja en conjunto con cada una de las unidades de negocio, departamentos y oficinas regionales de Magellan para monitorear los esfuerzos de cumplimiento en curso y mantener varios mecanismos de informes que son requeridos por la ley o solicitados por los clientes del plan de salud de Magellan. Magellan reconoce que es un socio comercial clave con sus clientes y continuará brindando todos sus diversos servicios de atención administrada y EAP de acuerdo con los requisitos pertinentes de todas las leyes y regulaciones estatales y federales, incluida, según corresponda, HIPAA.
Privacidad
Históricamente, Magellan ha mantenido la privacidad de la información del paciente como un principio clave de nuestras operaciones y procesos. Magellan siempre ha implementado políticas y procedimientos de confidencialidad que cumplían o superaban las regulaciones estatales y federales existentes. Nuestras muchas políticas existentes que detallan el cumplimiento de HIPAA y todas sus regulaciones de implementación (incluida la Ley HITECH y la Regla Ómnibus de 2013 también) y otros requisitos relacionados con la privacidad incluyen:
- Autorización para usar y divulgar PHI (Información de salud protegida)
- Reglas generales para el uso y la divulgación de la PHI
- Usos y divulgaciones de la PHI para el tratamiento, el pago y las operaciones de atención médica
- Transmisión oral y escrita de PHI e información confidencial
- Derecho de los miembros a solicitar la protección de la privacidad de la PHI
- Derecho del miembro a solicitar acceso a la PHI
- Derecho del miembro a solicitar la modificación de la PHI
- Derecho del miembro a solicitar un informe de divulgación de PHI
- Política de verificación
- Representación de los miembros
- Aviso de Prácticas de Privacidad
- Usos y divulgaciones mínimos necesarios de la PHI
- Usos y divulgaciones de la PHI que no requieren permiso del miembro
- Usos y divulgaciones de la PHI para marketing, recaudación de fondos y suscripción
- Usos y divulgaciones para funciones gubernamentales especializadas
- Usos y divulgaciones de la PHI que requieren aprobación interna previa
- Usos y divulgaciones de la PHI para procedimientos judiciales y administrativos
- Conjunto de datos limitado y desidentificación de la PHI
- Usos y divulgaciones no autorizados de la PHI
Por ejemplo, estas políticas tocan algunas de las siguientes áreas:
Comunicaciones confidenciales
Magellan ha desarrollado políticas, procedimientos y flujos de trabajo para abordar las comunicaciones confidenciales. También trabajamos con nuestros clientes para implementar procedimientos para coordinar las solicitudes de los miembros de direcciones alternativas o métodos de comunicación de PHI.
Contabilidad de las divulgaciones
A través de HIPAA, los miembros tienen derecho a recibir un informe de ciertas divulgaciones de su PHI realizadas por entidades cubiertas en los seis años anteriores a la fecha en que se solicitó el informe. Magellan ha desarrollado e implementado una base de datos para gestionar el seguimiento de todas las divulgaciones sobre las que los miembros tienen derecho a una rendición de cuentas. También realizaremos auditorías rutinarias realizadas por nuestro Departamento de Cumplimiento Corporativo.
Derecho de acceso y modificación
Los miembros tienen derecho a inspeccionar y copiar la PHI sobre sí mismos, lo que les permite comprender la naturaleza de su información de salud y solicitar que enmendemos o corrijamos cualquier error percibido. Los miembros también pueden solicitar que se proporcione su acceso enviando una copia a otra persona designada específicamente por el miembro, incluida la identificación de la persona designada y cómo y dónde enviar la copia de la PHI. Magellan cuenta con procedimientos para proteger estos derechos de los miembros.
En resumen, Magellan actualmente cumple con todas las leyes federales y estatales aplicables con respecto a la confidencialidad de la PHI. Magellan brinda capacitación en HIPAA a su personal con énfasis en la privacidad y confidencialidad del paciente. En los casos en los que el personal clínico cree que la ley estatal puede prevalecer sobre la HIPAA o cuando la HIPAA se adelanta a la ley estatal, remiten sus preguntas al Departamento Legal de la empresa. El Departamento Legal responde a las preguntas basándose en un análisis preventivo para garantizar que cumplimos con la más estricta de las dos leyes.
Transacciones y conjuntos de códigos
Magellan cumple plenamente con la regulación de Transacciones y Conjuntos de Códigos de HIPAA y ha asumido una posición de liderazgo dentro de la industria al trabajar para establecer los conjuntos de códigos aceptados para la atención de la salud conductual administrada con los grupos nacionales de establecimiento de estándares.
Magellan cumple con ANSI X12N, versión 5010 con los Addenda. Para cumplir con el desafío de cumplir con los requisitos de transacciones y conjuntos de códigos, hemos completado el desarrollo de una nueva estrategia de intercambio electrónico de datos (EDI). Hemos implementado los productos de software de EDIFEC (XEngine y Transaction Management) versión 7.0.3 para el intercambio de mensajes entre aplicaciones de software, plataformas informáticas y protocolos de comunicaciones. Magellan usará XEngine para validar que los mensajes son compatibles con X12 y luego analizará X12 en elementos individuales para asignar información a nuestros sistemas host para su procesamiento. Este conjunto de productos incluye las plantillas para las transacciones estándar de HIPAA.
Seguridad
El Departamento de Seguridad de Magellan tiene la tarea de garantizar que la información de salud de los miembros esté protegida mientras descansa en nuestros sistemas y cuando se intercambia a través de medios electrónicos. Para abordar esto, hemos implementado medidas de seguridad técnicas, físicas y administrativas para mejorar:
- Seguridad Física
- Seguridad del personal
- Seguridad de los sistemas de información
Magellan ha adoptado un enfoque de seguridad de múltiples capas, proporcionando protección perimetral, operaciones segregadas, arquitecturas comerciales y administrativas, y medidas de protección adicionales asociadas con nuestra presencia en la World Wide Web. Magellan también monitorea todas estas interfaces para identificar el tráfico inapropiado o no autorizado, el correo electrónico y los intentos de conectarse a nuestros sistemas.
Hemos redactado y ratificado políticas y procedimientos de seguridad para cumplir con los estándares de cumplimiento, así como para solidificar las mejores prácticas comerciales de seguridad. Se han implementado procedimientos para respaldar estas políticas de una manera que complementa y sigue cada política para garantizar la normalización. Las políticas que han sido ratificadas hasta la fecha incluyen:
- Seguridad de la tecnología de la información
- Sensibilidad de la información
- Preparación para desastres
- Acceso remoto a la red
- Uso de Internet
- Uso de computadoras y redes
- Uso del correo electrónico de los empleados
- Seguridad empresarial
- Investigación de antecedentes previos al empleo
- Terminación de los accesos de seguridad para empleados y contratistas
Firewalls/Servicios de detección de intrusos (IDS)
Magellan emplea los últimos estándares y equipos tecnológicos en lo que respecta a la protección de la infraestructura interna crítica. Todos los cortafuegos son colocados, supervisados y gestionados por personal cualificado y dedicado de Magellan. Todos los equipos de protección perimetral se instalan, parchean y mantienen de acuerdo con los estándares del fabricante y las mejores prácticas de seguridad para garantizar la mejor protección posible.
Existe una estructura tradicional de DMZ (zona desmilitarizada) para respaldar nuestras necesidades de comercio electrónico y se monitorea a través de sistemas de detección de intrusos administrados de última generación proporcionados por una organización externa para garantizar la calidad del servicio. El servicio IDS es monitoreado las 24 horas del día, los siete días de la semana, los 365 días del año por Dell SecureWorks, Inc. (anteriormente LURHQ Corporation), que se especializa en capacidades de respuesta a incidentes y detección de intrusos para varias corporaciones en todo el mundo.
Auditoría/Monitoreo de la Actividad de los Sistemas
Toda la actividad de los sistemas, incluida la actividad de los usuarios, se supervisa de acuerdo con la política. Se investigarán todas las desviaciones de las prácticas aceptadas descritas en la política y se mitigarán los riesgos asociados con estos eventos en consecuencia.
Capacidades de encriptación
Correo electrónico
La seguridad de las comunicaciones por correo electrónico de Magellan requiere una combinación de varias (tres) tecnologías para proporcionar un método de entrega diverso y flexible. El método implicará el uso de redes privadas virtuales (VPN), una puerta de enlace de correo electrónico encriptada y un portal de correo electrónico seguro basado en la web.
Red de área amplia (WAN)
Todas las conexiones WAN están encriptadas según los estándares de la industria.
World Wide Web (Internet)
Todos los sitios web orientados a Internet de Magellan incorporan el uso del protocolo Secure Socket Layer (SSL) versión 3.0 para proteger la información confidencial. Protocolo de seguridad de la capa de transporte (TLS) versión 1.0. también se utiliza.
Publicación de información específica de la red/sistema propiedad de Magellan
Es política de Magellan no revelar detalles específicos sobre los diagramas de flujo detallados y las especificaciones técnicas del software, hardware y redes que Magellan utiliza para construir su infraestructura técnica. Se pueden proporcionar detalles específicos si se ejecutan acuerdos de confidencialidad apropiados entre Magellan y la parte solicitante.
Evaluaciones de vulnerabilidad
Magellan realiza rutinariamente evaluaciones de seguridad y pruebas de vulnerabilidad y mitiga cualquier problema o riesgo que se encuentre de manera oportuna. Es nuestra política no revelar detalles específicos sobre los detalles o los resultados de las pruebas debido a la naturaleza confidencial y de propiedad de los datos. Magellan utiliza conjuntos de herramientas de prueba estándar de la industria e involucra a agencias independientes de terceros para verificar la infraestructura de seguridad.
Instalaciones del centro de datos
Los sistemas de Magellan están alojados en un centro de datos seguro ubicado en Maryland Heights, Missouri. El acceso al centro de datos se controla a través de una variedad de procesos de seguridad física. El acceso físico se controla por puerta, hora del día y día de la semana, incluidos los días festivos y los fines de semana. Los operadores del sistema trabajan en el centro de datos las 24 horas del día, los siete días de la semana.
Las copias de seguridad nocturnas se realizan para capturar cambios o actualizaciones. Las copias de seguridad completas se realizan de forma regular. Las cintas de respaldo se almacenan en una instalación externa.
El sistema de tecnología de la información se proporciona energía de respaldo a corto plazo a través de una fuente de alimentación ininterrumpida (UPS). Un generador diésel de respaldo proporciona suministro de energía a largo plazo. Periódicamente se realizan pruebas para proporcionar competencia y evaluar la eficacia de estos sistemas.
El centro de datos está protegido contra incendios por un sistema de alarma y protección contra incendios. El sistema de detección está conectado a un panel de alarma del edificio y al departamento de bomberos local para una notificación inmediata. El centro utiliza un sistema de extinción de incendios de gas, un sistema de rociadores de tubería seca y fue construido con paredes resistentes al fuego de alta calificación.
Recuperación ante desastres
Magellan ha contratado a SunGard Availability Services para proporcionar un sitio caliente preconfigurado y hardware de reserva ubicado en Filadelfia, Pensilvania, para facilitar la continuación de los servicios de procesamiento de datos realizados en los sistemas informáticos del servidor de producción ubicados en el Centro Nacional de Servicios (NSC) en caso de un desastre catastrófico. Nuestro enfoque aborda los siguientes elementos:
- Posibles tipos de desastres, riesgos y probabilidades de ocurrencia que resultarían en una interrupción significativa del éxito de las operaciones
- Planes de contingencia para garantizar la continuidad de las operaciones y minimizar el impacto
- Una estrategia y un proceso de recuperación que defina las funciones y responsabilidades durante el período.
- Funciones críticas del negocio y el período de interrupción máximo tolerable
- Recursos necesarios para implementar una recuperación exitosa
Cumplimiento continuo
El Departamento de Cumplimiento Corporativo de Magellan se encarga de supervisar el cumplimiento continuo de las regulaciones de HIPAA. Este departamento cuenta con abogados, directores de cumplimiento y analistas de investigación que trabajan juntos para monitorear cualquier nuevo desarrollo y coordinar cualquier implementación necesaria de los requisitos de cumplimiento actualizados. Nuestro programa de capacitación HIPAA consiste en capacitación inicial para todos los nuevos empleados, actualizaciones anuales de capacitación para todos los empleados, capacitación en profundidad para áreas específicas y capacitación correctiva "según sea necesario". Un departamento de auditoría interna audita los departamentos corporativos y las oficinas regionales para garantizar que se implementen las medidas y procedimientos de cumplimiento adecuados.