El cumplimiento de la Ley de Portabilidad y Responsabilidad de Seguros de Salud de los EE. UU. obliga a las empresas que tratan información médica protegida (PHI, en inglés “Protected Health Information”) a implementar y seguir medidas de seguridad físicas, para sus redes y para sus procesos.

Cualquiera que ofrezca tratamientos, pagos u operaciones en el campo de los servicios médicos está sujeto a las reglas de cumplimiento de HIPAA (HIPAA compliance). Los socios comerciales, incluyendo a cualquiera que haya tenido acceso a información de los pacientes y brinde soporte en el tratamiento, pago u operaciones, también deben cumplir con la ley HIPAA. También existen otras entidades que deben cumplir con esta ley, como subcontratistas y otros socios comerciales relacionados.[1]

Definición de la HIPAA compliance

La HIPAA es una serie de estándares normativos federales que esbozan el uso y divulgación de la información médica protegida en los Estados Unidos. El cumplimiento de la HIPAA está reglamentado por el Departamento de Salud y Servicios Humanos (HHS) y la institución que vela por su cumplimiento es la Oficina de Derechos Civiles (OCR).

El cumplimiento de la HIPAA es una cultura viva que las organizaciones de servicios médicos deben implementar dentro de sus respectivos negocios para proteger la privacidad, seguridad e integridad de la información médica protegida.[2]

Historial de la HIPAA compliance

La Ley de Portabilidad y Responsabilidad de Seguros de Salud en Estados Unidos de 1996 fue aprobada por el congreso de los EE. UU. y firmada por el presidente Bill Clinton.

La HIPAA se promulgó principalmente para:

  • Modernizar el flujo de información médica.
  • Estipular cómo la información personal identificable (PII) almacenada por los sectores de servicios médicos y salud en general debía ser protegida contra el robo y el fraude.
  • Lidiar con las limitaciones acerca de la cobertura de los seguros de salud, tales como la portabilidad y cobertura de individuos con condiciones preexistentes.[3]

La HIPAA estipuló unos estándares nacionales para proteger a los pacientes contra la divulgación de información delicada sin su consentimiento o conocimiento. El Departamento de Salud y Servicios Humanos (HHS) promulgó la Regla de Privacidad de la HIPAA para implementar esta orden.[4]

La Regla de Privacidad contempla 12 excepciones en las que los datos de los pacientes se pueden compartir con otras entidades sin el consentimiento del paciente. Algunas de estas son:

  • Víctimas de violencia doméstica o agresiones.
  • Procedimientos administrativos y judiciales.
  • Donación de tejidos, órganos u ojos de cadáveres.
  • Compensación de los trabajadores.[5]

Otro elemento clave de esta ley es la Regla de Seguridad, que está presente dentro de la Regla de Privacidad. Este subconjunto se compone de toda la información médica personal identificable que una entidad cubierta crea, recibe, mantiene o transmite en formato electrónico. Los elementos clave de la Regla de Seguridad de la HIPAA son (sin carácter restrictivo):

  • Garantizar la confidencialidad, integridad y disponibilidad de toda la información médica electrónica protegida.
  • Detectar y proteger contra amenazas anticipadas para la seguridad de la información.
  • Proteger contra usos o divulgaciones anticipadas no permisibles.
  • Certificar el cumplimiento por parte de la fuerza laboral.

La información médica protegida (PHI) es cualquier información demográfica que se pueda utilizar para identificar a un paciente o cliente de una entidad sujeta a la HIPAA. Algunos ejemplos de PHI son: nombres, direcciones, números de teléfono, números de seguridad social, registros médicos, información financiera y fotos de cara completa, por mencionar solo algunos.[6]

Análisis de la HIPAA compliance

Los proveedores de servicios de salud y otras entidades relacionadas con PHI se están cambiando a las operaciones informatizadas. Estas incluyen sistemas de ingreso de orden médica informatizada (CPOE), registros electrónicos de salud (EHR) y radiología, farmacia y sistemas de laboratorio. De manera similar, los planes de salud brindan acceso tanto a las reclamaciones como a las aplicaciones de gestión y autoservicio de servicios médicos.

Si bien todos estos métodos electrónicos brindan un nivel superior de eficacia y movilidad, también incrementan drásticamente los riesgos de seguridad para los datos médicos.[7] Y estos nuevos riesgos hacen que el la HIPAA compliance sea más importante que nunca.

El HHS estipula detalladamente cuáles son las salvaguardas técnicas y físicas que las entidades que almacenan información delicada de los pacientes deben observar:

  • Acceso y control limitado a las instalaciones con implementación de acceso autorizado.
  • Políticas acerca del uso y acceso a las estaciones de trabajo y medios electrónicos.
  • Restricciones para la transferencia, remoción, eliminación y reutilización de medios electrónicos y ePHI.

En el mismo espíritu, las salvaguardas técnicas de la HIPAA obligan a implementar un control de acceso que permita solamente al personal autorizado acceder a la ePHI. Los controles de acceso incluyen (sin carácter restrictivo):

  • Identificación única para usuarios.
  • Procedimientos de acceso de emergencia.
  • Desactivación automática.
  • Cifrado y descifrado.
  • Informes de auditoría o registros de seguimiento de las actividades en el hardware y el software.

Otras políticas técnicas para el cumplimiento de HIPAA contemplan la necesidad de contar con controles de integridad o medidas implementadas para confirmar que la información médica electrónica del paciente (ePHI) no resulte alterada o destruida. La recuperación contra desastres informáticos y los respaldos externos son componentes clave que garantizan que los errores y fallos en medios electrónicos se resuelvan rápidamente, de modo que la información médica de los pacientes quede intacta y pueda recuperarse de manera precisa.

Una última salvaguarda técnica es la seguridad en redes o de transmisión, que garantiza que los servicios de hosting o alojamiento web que cumplem la HIPAA compliance puedan ofrecer protección contra acceso no autorizado a la ePHI. Esta protección abarca todos los métodos de transmisión de datos, incluyendo correo electrónico, internet o redes privadas (tales como nubes privadas).

Las mejores soluciones para protección de datos médicos reconocen que los datos no se pierden sin más. Por el contrario, son las propias personas quienes los divulgan: personas negligentes, malintencionadas o comprometidas por un atacante externo.

Es por eso por lo que un cumplimiento eficaz debe necesariamente estar centrado en los individuos, enfocándose en todas las maneras en que las personas pueden exponer los datos de los pacientes de manera intencional o accidental ─incluyendo datos con y sin estructura, correos electrónicos, documentos y escaneos─ y a la vez permitiéndoles a los proveedores de servicios médicos compartir sus datos de manera segura para brindarles a sus pacientes una atención con la mayor calidad posible.

Los pacientes les confían sus datos a las organizaciones de servicios médicos, y por tanto estas organizaciones tienen el deber de salvaguardar esta información médica protegida.[5]

Los siete elementos del cumplimiento eficaz

La Oficina de Inspectoría General del Departamento de Servicios Humanos de los EE. UU. (OIG) creó el programa “Siete Elementos del Cumplimiento Eficaz” para brindar orientación a las organizaciones para examinar las soluciones de cumplimiento o crear sus propios programas de cumplimiento.

Estos son los requisitos más básicos posibles que un programa de cumplimiento eficaz de la HIPAA compliance debe cubrir. Además de abarcar la totalidad de los estándares de seguridad y privacidad estipulados en la HIPAA, un programa de cumplimiento eficaz también debe tener la capacidad necesaria para manejar cada uno de los Siete Elementos.

Los Siete Elementos de un Programa de Cumplimiento Eficaz son los siguientes:

  1. Implementación de políticas, procedimientos y estándares de conducta por escrito.
  2. Designación de un funcionario de cumplimiento y un comité de cumplimiento.
  3. Llevar a cabo actividades de formación práctica y teórica.
  4. Desarrollo de líneas de comunicación eficaces.
  5. Llevar a cabo auditorías y monitorización internas.
  6. Hacer cumplir los estándares mediante directrices disciplinarias bien publicitadas.
  7. Responder rápidamente a las infracciones detectadas y llevar a cabo las acciones correctivas.

Durante una investigación de HIPAA realizada por OCR en respuesta a una infracción a la HIPAA, los auditores federales de HIPAA comparan el nivel de cumplimiento de su organización con los siete elementos para dictaminar sobre su efectividad.[8]

 


 

[1] Digital Guardian. “A Definition of HIPAA Compliance”
[2] Compliancy Group. “What is HIPAA Compliance?”
[3] The HIPAA Guide. “HIPAA for Dummies
[4] Centers for Disease Control and Prevention
[5] Ibid.
[6] Compliancy Group. “What is Protected Health Information?”
[7] Digital Compliance. “The need for HIPAA compliance”
[8] Compliancy Group. “What are the Seven Elements of an Effective Compliance Program?”

Material de concienciación sobre cumplimiento de normativas

Nuestro material de concienciación sobre cumplimiento de normativas es una excelente manera de reforzar la formación para el empleo de contraseñas, reducir el riesgo para los usuarios finales y proteger los datos sensibles. ¡Pruébelo ahora!

Protección de las empresas de atención sanitaria

Los ciberataques dirigidos contra el sector sanitario no han dejado de aumentar. Los datos extremadamente sensibles de los pacientes pueden tener un elevado valor económico, lo que convierte a estas empresas en un objetivo privilegiado para los ciberdelincuentes.

Ciberseguro: Por qué tiene sus límites

Muchos CISO incluyen ahora un ciberseguro o seguro de ciberresponsabilidad en su estrategia de gestión de riesgos para la ciberseguridad. La cobertura de los ciberseguros puede jugar un papel crucial en los esfuerzos de una organización para mitigar el impacto financiero y operativo de los incidentes de ciberseguridad.