DataSunrise está patrocinando AWS re:Invent 2024 en Las Vegas, por favor visítenos en el stand #2158 de DataSunrise

Este sitio web almacena cookies para recopilar información sobre cómo interactúas con nuestro sitio web. Para obtener más información, visita nuestra Política de Privacidad.

Cumplimiento de HIPAA

Cumplimiento de HIPAA

HIPAA, o la Ley de Portabilidad y Responsabilidad del Seguro de Salud, está protegiendo la información sensible de los pacientes. Fue establecida en 1996 y contiene diferentes reglas que regulan cómo deben protegerse, usarse y divulgarse los datos privados de salud en cualquier etapa de su existencia. Todas las entidades cubiertas, los asociados comerciales y las terceras partes que trabajan con datos sensibles deben seguir estas reglas y proteger y asegurar la Información de Salud Protegida (IHP). Esta ley afecta a la industria de la salud en los EE. UU. La ley consta de reglas estrictas de protección de datos, ya que la información de los pacientes es muy atractiva para los criminales. HIPAA está regulada por el Departamento de Salud y Servicios Humanos (HHS) y aplicada por la Oficina de Derechos Civiles (OCR). Vamos a mirar más de cerca las definiciones y reglas para aclarar cómo cumplir con HIPAA.

Definiciones Principales

HIPAA tiene algunas definiciones importantes para entender. Aquí las describiremos.

IHP o Información de Salud Protegida es la información de cada uno relacionada con la atención médica. Incluye información como nombre, dirección, fecha de nacimiento, número de seguro social y muchos otros datos sensibles como informes sobre todos los tratamientos médicos, condiciones de salud mental, pagos, etc.

eIHP o Información de Salud Electrónica es lo mismo que la IHP, pero toda esta información se guarda, transmite y recibe en formato electrónico.

Entidades cubiertas son todos los que trabajan con IHP. Pueden ser médicos, enfermeras y cualquier otro personal de salud que tenga acceso a la información, centros de compensación de atención médica y agencias de seguros. Vale la pena mencionar que las entidades cubiertas son responsables de reportar violaciones y pagar multas si se producen.

Asociados comerciales son todos los que brindan diferentes servicios a las entidades cubiertas y tienen acceso a la IHP, como abogados, empresas de TI, contadores y otro personal no médico.

Necesita saber estas cosas para entender cómo y con quién trabaja el cumplimiento de HIPAA.

Reglas de Privacidad y Seguridad de HIPAA

La Regla de Privacidad de HIPAA es una regla fundamental de la ley. Se aplica solo a las entidades cubiertas, lo que significa que todos los proveedores de atención médica, centros de compensación de atención médica y otras agencias de atención médica deben cumplir con ella. Debe ser su primer paso para el cumplimiento de HIPAA. Esta regla especifica salvaguardas para la IHP, limita el acceso a la información y proporciona condiciones para el uso y la divulgación de información privada sin el consentimiento del paciente. Además, los pacientes tienen algunos derechos especiales, como solicitar correcciones de su IHP y tener una copia de esta información.

La Regla de Seguridad de HIPAA se aplica solo a la eIHP y no trata la IHP transmitida de forma oral o escrita. Esta regla especifica salvaguardas administrativas y técnicas que las entidades cubiertas deben implementar para la protección de datos. La Regla de Seguridad protege la confidencialidad, integridad y disponibilidad de todos los datos que las entidades cubiertas crean, mantienen o transmiten. Además, hay puntos que afirman que necesita identificar y eliminar amenazas a la seguridad de la información. Además, todo el personal de las entidades cubiertas debe cumplir con los requisitos regulatorios. La Regla de Seguridad le permite elegir qué soluciones implementar para las medidas de seguridad. Depende del tamaño, los recursos y la naturaleza de la entidad cubierta.

Debe implementar las siguientes medidas para proteger la información:

  • La salvaguarda técnica se refiere a proteger y otorgar acceso a la información. Si desea cumplir con HIPAA, debe asegurarse de que los datos estén seguros en todas las etapas de su existencia mediante la implementación de políticas y procedimientos. Esta salvaguardia consta de 4 categorías: control de acceso, control de auditoría, controles de integridad y seguridad de transmisión.
  • La salvaguarda física se refiere a prevenir el acceso físico a la eIHP, sin importar dónde se coloque. Solo las personas autorizadas deben tener acceso para usar esta información y su ubicación.
  • La salvaguarda administrativa se refiere a implementar políticas y procedimientos. Los oficiales de privacidad y seguridad serán responsables de capacitar al personal, analizar e identificar riesgos de seguridad, etc.

Violaciones Comunes

Para cumplir con HIPAA, necesita entender que la mayoría de las violaciones son internas. Si alguien ha extraviado un papel con información del paciente o ha dejado el lugar de trabajo desbloqueado de manera no intencionada, estos siguen siendo violaciones. Aquí hay algunas violaciones comunes:

  • Dispositivos robados con IHP o eIHP;
  • Ciberataques (malware, ataques de ransomware, etc.);
  • Robo en la oficina;
  • Enviar IHP a la persona o socio equivocado;
  • Discutir IHP en público;
  • Publicar IHP en redes sociales.

Para protegerse, necesita analizar la naturaleza de su negocio y los socios con los que trabaja. Es esencial trabajar solo con socios que también cumplan con HIPAA. Esto le ayudará a reducir la posibilidad de recibir multas si se produce una violación de alguna manera.

La Regla de Notificación de Violación de HIPAA

Primero, necesitamos aclarar qué es una violación de datos según HIPAA. Aquí entendemos que una violación es “un uso o divulgación no permisible que compromete la seguridad o privacidad de la información de salud protegida”. En otras palabras, una violación de datos es simplemente un acceso no autorizado a la IHP. Puede prevenir violaciones de datos mediante el uso de medidas de seguridad sólidas, capacitación y software que detecten ataques y amenazas.

La Regla de Notificación de Violación tiene 2 tipos de violaciones que se diferencian entre sí por el número de individuos afectados. Si una violación afecta a menos de 500 individuos, una entidad cubierta debe notificar al HHS una vez al año, no más tarde de 60 días hasta el final del año calendario en el que se descubrió la violación. Además, las entidades necesitan notificar a los individuos afectados dentro de los 60 días desde que ocurrió la violación.

Si una violación afecta a más de 500 individuos, una entidad cubierta debe notificar al HHS y a la OCR dentro de los 60 días desde que se descubrió la violación. Además, necesita notificar a las agencias de aplicación de la ley locales. Además, todas las violaciones significativas se publican en el Portal del Departamento de Salud y Servicios Humanos de EE. UU..

El Sistema de Multas y Penalidades

No importa cuán bien preparado esté para el cumplimiento de HIPAA, siempre debe estar al tanto de las multas y penalidades. HIPAA tiene 2 categorías de penalidades: Causa Razonable y Negligencia Intencional. La suma mínima de la violación por Causa Razonable es de $100 por incidente, y la suma máxima para ambos casos es de $50,000 por incidente.

La suma depende de su conocimiento sobre una violación y la cantidad de negligencia. Si no sabía sobre la violación y no pudo prevenirla, la suma mínima es de $100 por violación. El siguiente nivel es cuando la entidad debería haber sabido sobre la violación, pero no pudo prevenirla por alguna razón. Esto le costará a la entidad hasta $50,000. Si la entidad fue negligente y no corrigió la violación en 30 días, la multa mínima será de $50,000 por violación. Además, puede haber una penalidad en forma de encarcelamiento.

HIPAA y COVID-19

Desde la pandemia, la situación en la industria de la salud ha cambiado. Y HIPAA también ha cambiado. Hay nuevos boletines, guías y otras cosas diferentes para ayudar a las entidades y asociados comerciales a llevar a cabo el cumplimiento en este momento. Lo más importante para el cumplimiento en ese momento es el trabajo remoto y la telesalud. La IHP se guarda en diferentes lugares, incluso en dispositivos de los pacientes. Es por eso que las penalidades y multas fueron suspendidas por un tiempo.

Pero a pesar de este hecho, todos los proveedores médicos deben asegurar la información de los pacientes y usar medidas suplementarias para proteger la información sensible. Necesita revisar todos los procedimientos y políticas para reducir el riesgo de una violación en ese tiempo. Además, la educación y capacitación activa del personal sobre las reglas sobre cómo proteger la IHP cuando se trabaja desde casa le ayudarán a reducir las posibilidades de una violación de datos. Puede ser una capacitación adicional a la capacitación anual obligatoria. Además, puede implementar la autenticación de dos factores o biometría para dispositivos con IHP.

HIPAA es una de las regulaciones más estrictas y complejas para proteger datos sensibles. Fue creada especialmente para mantener privada la IHP de los pacientes, sin importar qué. Para cumplir con HIPAA, necesita tener escritos sobre todo. Necesita documentar todas las violaciones, cada organización con la que se comparte la IHP. También necesita tener planes de remediación y debe documentar cada brecha que fue corregida y las fechas en que se realizó. Nuestro Administrador de Cumplimiento Regulatorio de Base de Datos DataSunrise (DDRC) le ayudará a cumplir con la mayoría de los actos y leyes, incluyendo HIPAA. Nuestra funcionalidad de mascarado ofusca datos sensibles, por lo que los ciberdelincuentes no tendrán la información original. Además, tenemos una evaluación de vulnerabilidad que le permite encontrar y corregir vulnerabilidades para evitar algunos ciberataques. Con una auditoría de base de datos, puede monitorear la actividad de la base de datos y otorgar diferentes niveles de acceso a ella. Además, en DataSunrise podemos encontrar y ocultar datos sensibles en todas partes.

Siguiente

Cumplimiento de PCI DSS

Cumplimiento de PCI DSS

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Ventas:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]