- Magellan Health - https:// magellanhealth.kaminodev.magellanhealth.com -

HIPAA

Magellan Health (Magellan) cumple totalmente con los Estándares de HIPAA para Privacidad, Transacciones Electrónicas y Seguridad.

El Departamento de Cumplimiento Corporativo de Magellan trabaja en conjunto con cada una de las unidades de negocio, departamentos y oficinas regionales de Magellan para monitorear los esfuerzos de cumplimiento en curso y mantener varios mecanismos de informes que son requeridos por la ley o solicitados por los clientes del plan de salud de Magellan. Magellan reconoce que es un socio comercial clave con sus clientes y continuará brindando todos sus diversos servicios de atención administrada y EAP de acuerdo con los requisitos pertinentes de todas las leyes y regulaciones estatales y federales, incluida, según corresponda, HIPAA.

Privacidad

Magellan ha mantenido históricamente la privacidad de la información de los pacientes como un principio clave de nuestras operaciones y procesos. Magellan siempre ha implementado políticas y procedimientos de confidencialidad que cumplen o superan las reglamentaciones estatales y federales vigentes. Nuestras numerosas políticas existentes que detallan el cumplimiento de la HIPAA y todas sus reglamentaciones de implementación (incluida la Ley HITECH y también la Regla Omnibus de 2013) y otros requisitos relacionados con la privacidad incluyen:

  • Autorización para usar y divulgar PHI (Información de salud protegida)
  • Reglas generales para el uso y la divulgación de la PHI
  • Usos y divulgaciones de la PHI para el tratamiento, el pago y las operaciones de atención médica
  • Transmisión oral y escrita de PHI e información confidencial
  • Derecho de los miembros a solicitar la protección de la privacidad de la PHI
  • Derecho del miembro a solicitar acceso a la PHI
  • Derecho del miembro a solicitar la modificación de la PHI
  • Derecho del miembro a solicitar un informe de divulgación de PHI
  • Política de verificación
  • Representación de los miembros
  • Aviso de Prácticas de Privacidad
  • Usos y divulgaciones mínimos necesarios de la PHI
  • Usos y divulgaciones de la PHI que no requieren permiso del miembro
  • Usos y divulgaciones de la PHI para marketing, recaudación de fondos y suscripción
  • Usos y divulgaciones para funciones gubernamentales especializadas
  • Usos y divulgaciones de la PHI que requieren aprobación interna previa
  • Usos y divulgaciones de la PHI para procedimientos judiciales y administrativos
  • Conjunto de datos limitado y desidentificación de la PHI
  • Usos y divulgaciones no autorizados de la PHI

Por ejemplo, estas políticas tocan algunas de las siguientes áreas:

Comunicaciones confidenciales

Magellan ha desarrollado políticas, procedimientos y flujos de trabajo para abordar las comunicaciones confidenciales. También trabajamos con nuestros clientes para implementar procedimientos para coordinar las solicitudes de los miembros de direcciones alternativas o métodos de comunicación de PHI.

Contabilidad de las divulgaciones

A través de HIPAA, los miembros tienen derecho a recibir un informe de ciertas divulgaciones de su PHI realizadas por entidades cubiertas en los seis años anteriores a la fecha en que se solicitó el informe. Magellan ha desarrollado e implementado una base de datos para gestionar el seguimiento de todas las divulgaciones sobre las que los miembros tienen derecho a una rendición de cuentas. También realizaremos auditorías rutinarias realizadas por nuestro Departamento de Cumplimiento Corporativo.

Derecho de acceso y modificación

Los afiliados tienen derecho a inspeccionar y copiar la PHI sobre ellos mismos, lo que les permite comprender la naturaleza de su información sanitaria y solicitar que modifiquemos o corrijamos cualquier error percibido. Los miembros también pueden solicitar que se les proporcione acceso enviando una copia a otra persona designada específicamente por el miembro, incluyendo la identificación del individuo designado y cómo/dónde enviar la copia de la PHI. Magellan cuenta con procedimientos para proteger estos derechos de los miembros.

En resumen, Magellan actualmente cumple con todas las leyes federales y estatales aplicables con respecto a la confidencialidad de la PHI. Magellan brinda capacitación en HIPAA a su personal con énfasis en la privacidad y confidencialidad del paciente. En los casos en los que el personal clínico cree que la ley estatal puede prevalecer sobre la HIPAA o cuando la HIPAA se adelanta a la ley estatal, remiten sus preguntas al Departamento Legal de la empresa. El Departamento Legal responde a las preguntas basándose en un análisis preventivo para garantizar que cumplimos con la más estricta de las dos leyes.

Transacciones y conjuntos de códigos

Magellan cumple plenamente con la regulación de Transacciones y Conjuntos de Códigos de HIPAA y ha asumido una posición de liderazgo dentro de la industria al trabajar para establecer los conjuntos de códigos aceptados para la atención de la salud conductual administrada con los grupos nacionales de establecimiento de estándares.

Magellan cumple con ANSI X12N, Versión 5010 con los Addenda. Para afrontar el reto de cumplir los requisitos de Transacción y Conjuntos de Códigos, hemos completado el desarrollo de una nueva estrategia de Intercambio Electrónico de Datos (EDI). Hemos implantado los productos de software de EDIFEC (XEngine y Transaction Management) versión 7.0.3 para el intercambio de mensajes entre aplicaciones de software, plataformas informáticas y protocolos de comunicación. Magellan utilizará XEngine para validar que los mensajes son conformes con X12 y, a continuación, analiza el X12 en elementos individuales para asignar la información a nuestros sistemas host para su procesamiento. Este paquete de productos incluye las plantillas para las transacciones estándar de la HIPAA.

Seguridad

El Departamento de Seguridad de Magellan tiene la tarea de asegurar que la información de salud de los miembros esté protegida mientras reposa en nuestros sistemas y cuando se intercambia por medios electrónicos. Para ello, hemos implementado salvaguardas técnicas, físicas y administrativas para mejorar:

  • Seguridad Física
  • Seguridad del personal
  • Seguridad de los sistemas de información

Magellan ha adoptado un enfoque multicapa de la seguridad, proporcionando protección perimetral, operaciones segregadas, negocios y arquitecturas administrativas, y medidas de protección adicionales asociadas con nuestra presencia en la World Wide Web. Magellan también supervisa todas estas interfaces para identificar tráfico inapropiado o no autorizado, correo electrónico e intentos de conexión a nuestros sistemas.

Hemos redactado y ratificado políticas y procedimientos de seguridad para cumplir las normas de conformidad y consolidar las mejores prácticas empresariales en materia de seguridad. Se han implantado procedimientos para respaldar estas políticas de manera que complementen y sigan cada una de ellas para garantizar la normalización. Las políticas que se han ratificado hasta la fecha incluyen:

  • Seguridad informática
  • Sensibilidad de la información
  • Preparación ante catástrofes
  • Acceso remoto a la red
  • Uso de Internet
  • Uso de ordenadores y redes
  • Uso del correo electrónico por los empleados
  • Seguridad de las empresas
  • Investigación de antecedentes previa a la contratación
  • Cese de accesos de seguridad para empleados y contratistas

Firewalls/Servicios de detección de intrusos (IDS)

Magellan emplea los últimos estándares tecnológicos y equipos en lo que respecta a la protección de la infraestructura interna crítica. Todos los cortafuegos son colocados, supervisados y gestionados por personal cualificado y dedicado de Magellan. Todos los equipos de protección perimetral se instalan, parchean y mantienen de acuerdo con las normas del fabricante y las mejores prácticas de seguridad para garantizar la mejor protección posible.

Disponemos de una estructura DMZ (zona desmilitarizada) tradicional para satisfacer nuestras necesidades de comercio electrónico, supervisada por un sistema de detección de intrusiones de última generación proporcionado por una organización externa para garantizar la calidad del servicio. El servicio IDS es supervisado 24 horas al día, siete días a la semana, 365 días al año por Dell SecureWorks, Inc. (anteriormente LURHQ Corporation), que se especializa en respuesta a incidentes y capacidades de detección de intrusos para varias corporaciones en todo el mundo.

Auditoría/Monitoreo de la Actividad de los Sistemas

Toda la actividad de los sistemas, incluida la actividad de los usuarios, se supervisa de acuerdo con la política. Se investigarán todas las desviaciones de las prácticas aceptadas descritas en la política y se mitigarán los riesgos asociados con estos eventos en consecuencia.

Capacidades de encriptación

Correo electrónico

La seguridad de las comunicaciones por correo electrónico de Magellan requiere una combinación de varias (tres) tecnologías para proporcionar un método de entrega diverso y flexible. El método implicará el uso de redes privadas virtuales (VPN), una pasarela de correo electrónico cifrado y un portal de correo electrónico seguro basado en la web.

Red de área amplia (WAN)

Todas las conexiones WAN están encriptadas según las normas del sector.

World Wide Web (Internet)

Todos los sitios web de Magellan orientados a Internet incorporan el uso del protocolo Secure Socket Layer (SSL) versión 3.0 para proteger la información sensible. También se utiliza el protocolo Transport Layer Security (TLS) versión 1.0.

Publicación de información específica de la red/sistema propiedad de Magellan

Es política de Magellan no revelar detalles específicos sobre los diagramas de flujo detallados y las especificaciones técnicas del software, hardware y redes que Magellan utiliza para construir su infraestructura técnica. Se pueden proporcionar detalles específicos si se ejecutan acuerdos de confidencialidad apropiados entre Magellan y la parte solicitante.

Evaluaciones de vulnerabilidad

Magellan lleva a cabo de forma rutinaria evaluaciones de seguridad y pruebas de vulnerabilidad y mitiga cualquier problema o riesgo detectado de forma oportuna. Nuestra política es no revelar detalles concretos sobre los pormenores o resultados de las pruebas debido a la naturaleza confidencial y sensible de los datos. Magellan utiliza conjuntos de herramientas de pruebas estándar del sector y contrata a agencias independientes de terceros para verificar la infraestructura de seguridad.

Instalaciones del centro de datos

Los sistemas de Magellan están alojados en un centro de datos seguro situado en Maryland Heights, Missouri. El acceso al centro de datos se controla mediante diversos procesos de seguridad física. El acceso físico se controla por puerta, hora del día y día de la semana, incluidos festivos y fines de semana. Los operadores del sistema atienden el Centro de Datos 24 horas al día, siete días a la semana.

Las copias de seguridad nocturnas se realizan para capturar cambios o actualizaciones. Periódicamente se realizan copias de seguridad completas. Las cintas de copia de seguridad se almacenan en un centro externo.

El sistema de tecnología de la información se alimenta a corto plazo mediante un sistema de alimentación ininterrumpida (SAI). Un generador diésel de reserva proporciona suministro eléctrico a largo plazo. Periódicamente se realizan pruebas para comprobar la eficacia de estos sistemas.

El Centro de Datos está protegido contra incendios mediante un sistema de alarma y protección contra incendios. El sistema de detección está conectado a un panel de alarma del edificio y al departamento de bomberos local para su notificación inmediata. El centro utiliza un sistema de extinción de incendios por gas, un sistema de rociadores de tubería seca y se construyó con paredes de alta resistencia al fuego.

Recuperación ante desastres

Magellan ha contratado a SunGard Availability Services para que le proporcione un emplazamiento caliente preconfigurado y hardware de reserva ubicado en Filadelfia, Pensilvania, para facilitar la continuación de los servicios de procesamiento de datos realizados en los sistemas informáticos del servidor de producción ubicado en el Centro Nacional de Servicios (NSC) en caso de desastre catastrófico. Nuestro enfoque aborda los siguientes puntos:

  • Posibles tipos de desastres, riesgos y probabilidades de ocurrencia que resultarían en una interrupción significativa del éxito de las operaciones
  • Planes de contingencia para garantizar la continuidad de las operaciones y minimizar el impacto
  • Una estrategia y un proceso de recuperación que defina las funciones y responsabilidades durante el período.
  • Funciones críticas del negocio y el período de interrupción máximo tolerable
  • Recursos necesarios para implementar una recuperación exitosa

Cumplimiento continuo

El Departamento de Cumplimiento Corporativo de Magellan se encarga de supervisar el cumplimiento continuo de las regulaciones de HIPAA. Este departamento cuenta con abogados, directores de cumplimiento y analistas de investigación que trabajan juntos para monitorear cualquier nuevo desarrollo y coordinar cualquier implementación necesaria de los requisitos de cumplimiento actualizados. Nuestro programa de capacitación HIPAA consiste en capacitación inicial para todos los nuevos empleados, actualizaciones anuales de capacitación para todos los empleados, capacitación en profundidad para áreas específicas y capacitación correctiva "según sea necesario". Un departamento de auditoría interna audita los departamentos corporativos y las oficinas regionales para garantizar que se implementen las medidas y procedimientos de cumplimiento adecuados.