DataSunrise Logra el Estado de Competencia en AWS DevOps en AWS DevSecOps y Monitoreo, Registro, Rendimiento

Este sitio web almacena cookies para recopilar información sobre cómo interactúas con nuestro sitio web. Para obtener más información, visita nuestra Política de Privacidad.

Cumplimiento HIPAA

Cumplimiento HIPAA

Cumplimiento HIPAA, o la Ley de Portabilidad y Responsabilidad del Seguro de Salud, protege la información sensible de los pacientes. Fue establecida en 1996 y contiene diferentes reglas que regulan cómo se debe proteger, utilizar y divulgar la información privada de la salud en cualquier etapa de su existencia. Todas las entidades cubiertas, asociados comerciales y terceros que trabajan con datos sensibles deben seguir estas reglas y proteger, y asegurar la Información de Salud Protegida (PHI). Esta ley afecta a la industria de la salud en los EE. UU. La ley se compone de reglas estrictas de protección de datos, ya que la información de los pacientes es sumamente atractiva para los delincuentes. HIPAA está regulada por el Departamento de Salud y Servicios Humanos (HHS) y es aplicada por la Oficina de Derechos Civiles (OCR). Echemos un vistazo más de cerca a las definiciones y reglas para aclarar cómo cumplir con HIPAA.

Definiciones Principales

HIPAA tiene algunas definiciones importantes para su comprensión. Aquí las describiremos.

PHI o Información de Salud Protegida es la información de cualquier persona relacionada con el cuidado de la salud. Incluye información como nombre, dirección, fecha de nacimiento, Número de Seguro Social, y muchos otros datos sensibles como informes sobre todos los tratamientos médicos, condiciones de salud mental, pagos, etc.

ePHI o Información de Salud Electrónica es lo mismo que la PHI, pero toda esta información se conserva, transmite y recibe en formato electrónico.

Entidades cubiertas son todos aquellos que trabajan con PHI. Pueden ser médicos, enfermeros, cualquier otro personal de salud que tenga acceso a la información, centros de procesamiento de información de salud y agencias de seguros. Cabe mencionar que las entidades cubiertas son responsables de reportar violaciones y pagar multas en caso de que estas ocurran.

Asociados comerciales son todos aquellos que proporcionan diferentes servicios a las entidades cubiertas y tienen acceso a la PHI, por ejemplo, abogados, empresas de TI, contadores y otro personal no médico.

Necesitas conocer estos aspectos para entender cómo y con quién funciona el cumplimiento de HIPAA.

Reglas de Privacidad y Seguridad de HIPAA

La Regla de Privacidad de HIPAA es una regla fundamental de la ley. Se aplica únicamente a las entidades cubiertas, lo que significa que cada proveedor de atención médica, centro de procesamiento de información de salud y otras agencias de salud deben cumplirla. Debe ser tu primer paso hacia el cumplimiento de HIPAA. Esta regla especifica salvaguardias para la PHI, limita el acceso a la información y establece condiciones para el uso y la divulgación de información privada sin el consentimiento del paciente. Además, los pacientes tienen algunos derechos especiales, por ejemplo, solicitar correcciones de su PHI y obtener una copia de esta información.

La Regla de Seguridad de HIPAA se aplica únicamente a la ePHI y no se ocupa de la PHI transmitida oralmente o por escrito. Esta regla especifica las salvaguardias administrativas y técnicas que las entidades cubiertas deben implementar para la protección de los datos. La Regla de Seguridad protege la confidencialidad, integridad y disponibilidad de todos los datos que las entidades cubiertas crean, mantienen o transmiten. Además, existen puntos que exigen identificar y eliminar las amenazas a la seguridad de la información. Asimismo, todo el personal de las entidades cubiertas debe cumplir con los requisitos regulatorios. La Regla de Seguridad te permite elegir qué soluciones implementar para las medidas de seguridad. Esto depende del tamaño, los recursos y la naturaleza de la entidad cubierta.

Debes implementar las siguientes medidas para salvaguardar la información:

  • Salvaguarda Técnica se trata de proteger y otorgar acceso a la información. Si deseas cumplir con HIPAA, debes asegurarte de que los datos estén seguros en todas las etapas de su existencia mediante la implementación de políticas y procedimientos. Esta salvaguarda consta de 4 categorías: control de acceso, control de auditoría, controles de integridad y seguridad en la transmisión.
  • Salvaguarda Física se trata de prevenir el acceso físico a la ePHI, sin importar dónde se encuentre. Solo las personas autorizadas deben tener acceso para utilizar esta información y a su ubicación.
  • Salvaguarda Administrativa se trata de implementar políticas y procedimientos. Los oficiales de privacidad y seguridad serán responsables de capacitar al personal, analizar e identificar riesgos de seguridad, etc.

Violaciones Comunes

Para cumplir con HIPAA, necesitas entender que la mayoría de las violaciones son internas. Si alguien pierde el papel con la información de un paciente o deja el lugar de trabajo sin llave de manera involuntaria, todas estas situaciones siguen siendo violaciones. Aquí hay algunas violaciones comunes:

  • Dispositivos robados con PHI o ePHI;
  • Cyberataques (malware, ataques de ransomware, etc.);
  • Intrusiones en la oficina;
  • Enviar PHI a la persona o socio equivocado;
  • Discutir PHI en público;
  • Publicar PHI en redes sociales.

Para protegerte, necesitas analizar la naturaleza de tu negocio y los socios con los que trabajas. Es esencial trabajar únicamente con socios que también cumplan con HIPAA. Esto te ayudará a reducir la posibilidad de recibir multas en caso de que ocurra alguna violación.

La Regla de Notificación de Brechas de HIPAA

En primer lugar, necesitamos aclarar qué es una brecha de datos según HIPAA. Aquí se define que una brecha es “un uso o divulgación no permitido que compromete la seguridad o privacidad de la información de salud protegida”. En otras palabras, una brecha de datos es simplemente un acceso no autorizado a la PHI. Puedes prevenir las brechas de datos utilizando medidas de seguridad robustas, capacitación y software que detecte ataques y amenazas.

La Regla de Notificación de Brechas tiene 2 tipos de brechas que difieren entre sí en el número de individuos afectados. Si una brecha afecta a menos de 500 individuos, una entidad cubierta debe notificar al HHS una vez al año, a más tardar 60 días después del final del año calendario en el que se descubrió la brecha. Además, las entidades deben notificar a los individuos afectados dentro de los 60 días posteriores a la ocurrencia de la brecha.

Si una brecha afecta a más de 500 individuos, una entidad cubierta debe notificar al HHS y a la OCR dentro de los 60 días posteriores a que se descubriera la brecha. Además, se debe notificar a las agencias locales de aplicación de la ley. Asimismo, todas las brechas significativas se publican en el Portal del Departamento de Salud y Servicios Humanos de EE. UU.

El Sistema de Multas y Penalizaciones

No importa cuán bien preparado estés para cumplir con HIPAA, siempre debes estar al tanto de las multas y penalizaciones. HIPAA tiene 2 categorías de penalizaciones: Causa Razonable y Negligencia Intencional. La suma mínima por una violación por Causa Razonable es de 100 dólares por incidente, y la suma máxima para ambos casos es de 50,000 dólares por incidente.

La suma depende de tu conocimiento sobre una brecha y del grado de negligencia. Si no sabías de la violación y no pudiste prevenirla, la suma mínima es de 100 dólares por violación. El siguiente nivel es cuando se debería haber sabido sobre la violación, pero no se pudo prevenir por alguna razón. Esto le costará a la entidad hasta 50,000 dólares. Si la entidad fue negligente y no corrigió la violación en 30 días, la multa mínima será de 50,000 dólares por violación. Además, puede haber una penalización en forma de encarcelamiento.

HIPAA y COVID-19

Desde la pandemia, la situación en la industria de la salud ha cambiado. Y HIPAA también ha cambiado. Existen nuevos boletines, orientaciones y otros elementos diferentes para ayudar a las entidades y a los asociados comerciales a cumplir con la normativa en este tiempo. Lo más importante para el cumplimiento en ese momento es el trabajo remoto y la telemedicina. La PHI se conserva en diferentes lugares, incluso en los dispositivos de los pacientes. Es por ello que las penalizaciones y multas fueron suspendidas por un tiempo.

Pero, independientemente de este hecho, todos los proveedores médicos deben asegurar la información de los pacientes y utilizar medidas complementarias para proteger la información sensible. Necesitas revisar todos los procedimientos y políticas para reducir el riesgo de una brecha en ese periodo. Además, la educación activa y la capacitación del personal sobre las reglas para proteger la PHI al trabajar desde casa te ayudarán a reducir las posibilidades de una brecha de datos. Puede ser una capacitación adicional a la anual obligatoria. Asimismo, puedes implementar la Autenticación de Dos Factores o biometría para los dispositivos con PHI.

HIPAA es una de las regulaciones más estrictas y complejas en la protección de datos sensibles. Fue creada especialmente para mantener la PHI de los pacientes privada, sin importar nada. Para cumplir con HIPAA necesitas tener por escrito todo. Debes documentar todas las brechas, cada organización con la que se comparte la PHI. Además, necesitas tener planes de remediación y debes documentar cada brecha solucionada y las fechas en las que se corrigió. Nuestro Administrador de Cumplimiento Regulatorio de Bases de Datos Datasunrise (DDRC) te ayudará a cumplir con la mayoría de las leyes y normativas, incluyendo HIPAA. Nuestra función de enmascaramiento ofusca los datos sensibles, de modo que los ciberdelincuentes no tengan la información original. Además, contamos con una evaluación de vulnerabilidades que te permite identificar y corregir vulnerabilidades para evitar algunos ciberataques. Con una auditoría de bases de datos, puedes monitorear la actividad de la base de datos y otorgar diferentes niveles de acceso a la misma. Asimismo, en DataSunrise podemos encontrar y ocultar datos sensibles en todas partes.

Siguiente

Cumplimiento de PCI DSS

Cumplimiento de PCI DSS

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Ventas:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]