Cumple con HIPAA desde el primer día

HIPAA,
tomado en serio.

Operamos como Business Associate de cada cliente que servimos. Infraestructura cifrada. Acceso por rol. BAA antes de que se mueva un solo byte de PHI.

Esta página explica cómo manejamos la Información de Salud Protegida (PHI), qué hace realmente un Business Associate Agreement y las salvaguardas que corremos por defecto.

Solicita nuestro BAA Cómo lo hacemos

Postura de cumplimiento

Activo

Salvaguardas de Cleared RCM de un vistazo

BAA firmado antes de la PHI Requerido
Cifrado en tránsito y en reposo AES-256
Autenticación de múltiples factores Obligatoria
Residencia de datos Solo en EE. UU.
Registros de acceso Revisados cada mes

Lo exigimos

BAA firmado

Antes de cualquier intercambio de PHI. Siempre.

Cifrado

TLS 1.2+ y AES-256

En tránsito y en reposo. Sin excepciones.

Control de acceso

Por rol, auditado

Mínimo necesario por defecto.

Residencia de datos

Estados Unidos

Sin procesamiento de PHI en el extranjero.

La relación

Qué hace realmente un Business Associate.

HIPAA distingue entre Covered Entities (tú, el proveedor de salud) y Business Associates (nosotros, tu socio de facturación). Cuando nos entregas reclamaciones para trabajar, nos convertimos en Business Associate de tu consultorio. Sujetos a las Privacy y Security Rules de HIPAA y a los términos específicos del BAA que firmamos juntos.

BAA archivado

Un contrato por escrito que define usos permitidos, salvaguardas, manejo de incidentes y qué pasa al terminar.

Mínimo necesario

Solo tocamos la PHI necesaria para hacer el trabajo. No toda tu lista de pacientes, ni tus notas clínicas si no las necesitamos.

Acceso auditado

Cada acceso a PHI queda registrado. Podemos producir un registro de acceso cuando lo solicites, acotado a tus registros.

Protocolo de incidentes

Notificación a ti sin demora injustificada, y nunca después de 60 días. Plan documentado de respuesta a incidentes.

Incorporación

Cómo llegamos a "PHI en movimiento".

Tres pasos de "hablemos" a "reclamaciones en movimiento". Ninguna PHI cambia de manos hasta que el paso 2 esté firmado.

01 Alcance

Llamada de descubrimiento.

Aún sin PHI. Hablamos de tu consultorio, tu mezcla de pagadores, tus puntos de dolor actuales y cómo se vería un compromiso.
02 BAA

BAA firmado.

Enviamos nuestro BAA estándar (o firmamos el tuyo). Una vez firmado, configuramos acceso de solo lectura a tu sistema de facturación y los canales de transferencia seguros necesarios.
03 Operar

PHI en movimiento.

Comienza la auditoría. Luego operación semanal. Cada acceso a PHI queda registrado. Resumen mensual de patrones de acceso disponible cuando lo solicites.

Salvaguardas

El stack de seguridad que corremos por defecto.

Salvaguardas administrativas, físicas y técnicas según lo exige la HIPAA Security Rule. Más lo que querríamos de todos modos.

Cifrado en todas partes

TLS 1.2+ en tránsito. AES-256 en reposo. Laptops y discos cifrados para todo personal con acceso a PHI.

MFA obligatoria

Autenticación de múltiples factores requerida en cada sistema que toca PHI. Los nuestros y los que accedemos en tu nombre.

Acceso por rol

Permisos acotados a la función del puesto. El acceso se otorga sobre una base de mínimo necesario y se revisa cuando cambian los roles.

Registro de auditoría

Cada acceso a PHI. Quién, cuándo, qué registro. Se registra y se retiene según los términos del BAA. Disponible para ti cuando lo solicites.

Procesamiento solo en EE. UU.

Sin subcontratistas en el extranjero. La PHI permanece en infraestructura alojada en los Estados Unidos continentales.

Capacitación del personal

El fundador completa capacitación de HIPAA cada año. Los futuros subcontratistas firmarán un BAA de subcontratista y completarán la capacitación antes de cualquier acceso a PHI. Aplica la política de sanciones según el WISP.

Para pacientes y familias

Si eres paciente o familiar de uno de nuestros clientes.

Cleared RCM hace facturación en nombre de tu proveedor. Ellos son la Covered Entity bajo HIPAA de tus registros. Para solicitudes sobre acceso, enmienda o rendición de cuentas de divulgaciones, comunícate directamente con el proveedor.

Apoyaremos a tu proveedor para responder cualquier solicitud válida, y nunca nos comunicaremos sobre tus registros directamente con nadie que no sea el proveedor, a menos que nos lo indiquen por escrito.

Respuesta a incidentes

Si algo sale mal.

Esperamos que nunca pase. Este es el plan si llega a pasar.

Dentro de 24 horas

Detectar y contener.

Escalamiento interno, bloqueo de acceso, preservación de evidencia. Detenemos la hemorragia antes de hablar.

Sin demora injustificada

Notificarte.

Llamada directa del fundador. Informe de incidente por escrito con lo que sabemos hasta ese momento. Y lo que no.

A más tardar a los 60 días

Informe final.

Alcance, causa, mitigación y acción correctiva. En la forma que exige la HIPAA Breach Notification Rule.

FAQ

Preguntas comunes sobre HIPAA.

¿Firmas nuestro BAA o firmamos el tuyo?

Cualquiera de las dos funciona. Tenemos un BAA estándar que te enviamos, y con gusto firmamos el tuyo si tienes una plantilla preferida. Lo que importa es el contenido, no en qué papel está.

¿A qué PHI accedes en realidad?

Para el trabajo de facturación: datos demográficos del cliente, información de seguro, fechas de servicio, CPT codes, modificadores, detalles de autorización, estado de la reclamación, motivos de denegación. No necesitamos narrativa clínica ni notas de progreso para la facturación de rutina. Si tu flujo nos da acceso a ellas, las tratamos con las mismas salvaguardas pero no las usamos para nuestro trabajo.

¿Dónde se almacenan los datos?

Principalmente dentro de tus propios sistemas. Trabajamos en tu plataforma de gestión del consultorio bajo acceso de lectura/escritura acotado a funciones de facturación. Cualquier extracto (por ejemplo, para analítica o paquetes de apelación) reside en almacenamiento en la nube cifrado y con base en EE. UU., con acceso por rol. Los detalles se desglosan en el BAA.

¿Usas subcontratistas?

El servicio con trato directo del fundador significa un equipo operativo pequeño. Cualquier subcontratista que fuera a tocar PHI primero debe firmar un BAA de subcontratista con nosotros. Ninguno está en el extranjero.

¿Qué pasa con mis datos si dejamos de trabajar juntos?

Según los términos del BAA, toda PHI que hayamos extraído se devuelve, se destruye o se transfiere a ti (o a un BA sucesor) en un plazo definido al terminar. Tus datos crudos son tuyos, con exportación limpia en cualquier momento. Los tableros que construimos siguen siendo nuestra propiedad intelectual; tu licencia para usarlos termina con el compromiso, pero las instantáneas del periodo final se pueden exportar como PDF o archivos estáticos cuando lo solicites.

¿Quieres ver el BAA?

Te enviaremos nuestro acuerdo estándar antes de cualquier llamada de arranque. Léelo, márcalo y devuélvelo.

[email protected]

HIPAA, tomado en serio.