Tu lista completa para lograr el cumplimiento de la ley HIPAA

La Ley de Portabilidad y Responsabilidad de Seguros de Salud, o HIPAA, es un marco legal desarrollado en 1996 y gestionado por el Departamento de Salud y Servicios Humanos (HHS) y la Oficina de Derechos Civiles (OCR) para definir las obligaciones legales de una organización en la gestión de datos de salud. Esto incluye los derechos de privacidad del paciente, los controles de seguridad adecuados para proteger la privacidad de los datos y los requisitos que deben cumplir las organizaciones sanitarias si esos datos han sido comprometidos por un tercero malicioso.

Las regulaciones son necesarias para garantizar la confidencialidad de la información confidencial de los pacientes debido al surgimiento de registros electrónicos, transferencia digital de datos y servicios en la nube.

Como resultado, la seguridad física de los datos, los estándares de cifrado utilizados para protegerlos y los procedimientos para documentar, transmitir y almacenar datos son partes críticas del cumplimiento de la ley HIPAA.

En este artículo, veremos en detalle el cumplimiento de HIPAA, quiénes están afectados, qué deben hacer estas organizaciones para demostrar cumplimiento, los riesgos de no cumplir, estrategias clave para demostrar cumplimiento de HIPAA y más.

¿Qué organizaciones deben cumplir con HIPAA?

El cumplimiento de HIPAA aplica a cualquier organización o individuo que cree, reciba, mantenga o transmita información de salud protegida (PHI). Esto incluye proveedores de atención médica como médicos y hospitales, planes de salud, compañías de seguros de salud y cualquier otra organización que trabaje en el sector sanitario.

El cumplimiento de HIPAA también aplica a los socios comerciales, como empresas de facturación externas, transcriptores y proveedores de servicios de TI. En definitiva, cualquier entidad que almacene, transmita o procese PHI debe cumplir con las regulaciones de HIPAA.

En concreto, las organizaciones que deben demostrar cumplimiento con HIPAA incluyen:

• Proveedores de seguros de salud
• Clearinghouses de atención médica
• Proveedores de atención médica (hospitales, médicos, dentistas, etc.)
• Socios comerciales de entidades cubiertas (por ejemplo, empresas de facturación y almacenamiento de documentos)
• Farmacias
• Centros de atención a largo plazo
• Instituciones de investigación
• Autoridades de salud pública
• Empleadores
• Colegios y universidades

Estas organizaciones deben cumplir con HIPAA para garantizar que los datos confidenciales de salud del paciente estén seguros y no se divulguen a personas o entidades no autorizadas. Al demostrar cumplimiento con HIPAA, estas organizaciones también implementan medidas de protección que ayudan a asegurar que los datos se utilicen solo para el propósito previsto y no se usen ni divulguen para ningún otro fin.

¿Qué organizaciones están exentas del cumplimiento de HIPAA?

Las organizaciones que no crean, reciben, mantienen ni transmiten PHI no necesitan cumplir con HIPAA. Ejemplos incluyen minoristas y restaurantes. Sin embargo, incluso las organizaciones que no están directamente involucradas en la atención médica pueden estar sujetas a requisitos de HIPAA. Por ejemplo, si una organización ofrece servicios como almacenamiento en la nube para información relacionada con la salud, debe demostrar cumplimiento con HIPAA.

Términos regulatorios y de cumplimiento importantes de HIPAA

Para entender qué es el cumplimiento de HIPAA y a quién aplica, es importante conocer algunos términos clave:

Entidad cubierta

Son hospitales, médicos, clínicas, agencias de seguros o cualquier persona que trabaje regularmente con pacientes y sus datos confidenciales.

Socio comercial

Proveedores de servicios que trabajan estrechamente con entidades cubiertas sin tratar directamente con pacientes. Los socios comerciales suelen manejar datos confidenciales debido a sus productos tecnológicos, consultoría, administración financiera, análisis de datos u otros servicios.

Información de salud protegida (PHI)

PHI se refiere a cualquier información de salud que pueda identificar a una persona y que se crea, usa o divulga en el curso de la prestación de servicios de salud. Esto incluye: registros médicos impresos, notas manuscritas de médicos y conversaciones entre enfermeras sobre un paciente.

Información de salud personal electrónica (ePHI)

ePHI es un subconjunto de PHI. Es PHI que se crea, almacena, transmite o recibe electrónicamente. Ejemplos incluyen: registros médicos en un sistema EHR, correos electrónicos que contienen información de salud, imágenes de rayos X almacenadas en la nube e información de facturación enviada a través de portales web seguros.

¿Por qué es necesario el cumplimiento de HIPAA?

El cumplimiento de HIPAA es necesario para garantizar la seguridad de la información confidencial de salud. Es una ley federal que exige a las organizaciones, como los proveedores de atención médica, mantener la privacidad y seguridad de los datos de sus pacientes. Cumplir con estos estándares es esencial para la protección de datos sensibles, como registros médicos de pacientes, información de seguros de salud y otra información personal identificable y de salud protegida (PII/PHI).

Riesgos y sanciones para organizaciones que no cumplen con HIPAA

Las organizaciones que no cumplen con HIPAA enfrentan sanciones graves. La Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de EE. UU. puede imponer sanciones que incluyen multas, planes de acción correctiva y sanciones civiles. Además, las empresas pueden enfrentar cargos penales.

Si una organización no cumple o deja de cumplir con HIPAA, se considera que está en violación de la ley. Las violaciones típicas o comunes de HIPAA incluyen:

• Exposición ilegal de ePHI a partes no autorizadas, ya sea de manera intencionada o accidental
• No implementar los protocolos de seguridad adecuados según lo establecido por la Regla de Seguridad de HIPAA
• Falta de protocolos administrativos o de capacitación adecuados que cumplan los requisitos
• No notificar adecuadamente a las partes afectadas y a las autoridades públicas tras filtraciones de datos relevantes
• Falta de disposición para actualizar, mejorar o resolver brechas existentes de cumplimiento

Violaciones civiles vs. penales de HIPAA

Las violaciones de HIPAA pueden ser de naturaleza civil o penal. Por supuesto, es importante conocer la diferencia.

Las violaciones civiles son incidentes de incumplimiento donde no hubo intención maliciosa. Esto incluye casos como negligencia o desconocimiento. Las sanciones suelen ser menores para las violaciones civiles:

• Para quienes desconocen las violaciones, la multa es de $100 por incidente.
• Para quienes tienen causa razonable sin negligencia, la multa mínima es de $1,000.
• La negligencia intencionada conlleva una multa mínima de $10,000 por incidente.
• La negligencia intencionada, sin rectificación inmediata de la violación, resulta en una multa mínima de $50,000 por violación.

Las violaciones penales, en cambio, son aquellas cometidas con intención maliciosa, es decir, robo, lucro o fraude. Las sanciones aquí incluyen:

• Obtener o divulgar ePHI a sabiendas puede suponer hasta $50,000 y 1 año de cárcel.
• Cometer fraude como parte de la violación puede suponer hasta $100,000 y 5 años de cárcel.
• Cometer violaciones con la intención de lucrarse puede suponer hasta $250,000 y hasta 10 años de cárcel.
• Violaciones numerosas y repetidas pueden costar a las organizaciones millones de dólares al año.

Ejemplos de violaciones de HIPAA

Existen varios ejemplos comunes de violaciones. Estos son algunos de los tipos más frecuentes de violaciones de HIPAA:

• Fraude. La violación más directa y evidente es cuando individuos roban ePHI para obtener beneficio. Los hackers o acciones internas son poco frecuentes, pero cada vez más comunes a medida que más hospitales y redes de salud adoptan tecnología en la nube y dependen de proveedores de servicios no comprobados.
• Dispositivos perdidos o robados. En el mundo de las estaciones de trabajo de escritorio, el robo de tecnología era menos común. Sin embargo, a medida que más clínicas y hospitales usan dispositivos móviles como laptops, tabletas y smartphones, es cada vez más probable que estos dispositivos terminen en manos equivocadas.
• Falta de protección. La Regla de Seguridad define los tipos de cifrado HIPAA, firewalls y otras medidas de seguridad que deben implementarse. Muchas organizaciones pueden no entenderlas, o pueden trabajar con un socio externo que creen que cumple, pero no es así.
• Acceso no autorizado entre organizaciones. Ya sea compartiendo datos de una persona autorizada a una no autorizada, o usando dispositivos o correos electrónicos sin cifrar, es muy fácil que empleados sin capacitación accedan o transmitan ePHI de forma incorrecta. De hecho, la divulgación accidental de PHI es la forma más común de violación, por lo que existe toda una categoría de sanciones menores para cubrirla.

Multas por violaciones al cumplimiento de HIPAA

Ejemplos de multas por violaciones al cumplimiento de HIPAA incluyen:

• Hasta $1.5 millones por una sola violación y hasta $15 millones por múltiples violaciones en un año calendario
• Hasta $50,000 por violación por el uso indebido consciente de información del paciente
• Hasta $100 por violación por no proporcionar a un paciente una solicitud de acceso
• Hasta $250,000 o hasta 1 año de cárcel o ambos por obtener o divulgar información de salud identificable sin autorización

¿Por qué son tan altas las sanciones por incumplimiento de HIPAA? Si se roban los registros de un paciente, se puede violar su privacidad. Los registros robados pueden usarse para cometer robo de identidad o fraude financiero, lo que lleva a pérdidas económicas o al uso no autorizado de beneficios. La información médica sensible interceptada también puede usarse para chantajear al paciente o para acosarlo.

Las 4 reglas principales de HIPAA y su impacto en el cumplimiento

Existen cuatro reglas principales que conforman el marco de HIPAA y establecen los requisitos para el cumplimiento. Son:

1. La Regla de Privacidad de HIPAA
2. La Regla de Seguridad de HIPAA
3. La Regla de Notificación de Brechas de HIPAA
4. La Regla Ómnibus de HIPAA

Cada regla proporciona un marco para un aspecto del cumplimiento e informa aspectos críticos de las demás reglas. A continuación, veremos cada una en detalle.

La Regla de Privacidad de HIPAA

La Regla de Privacidad de HIPAA establece el estándar nacional para los derechos de privacidad de los pacientes y su información confidencial. Además, define el marco que determina qué es ePHI, cómo debe protegerse, cómo puede y no puede usarse, y cómo puede transmitirse y almacenarse.

Una parte adicional de la Regla de Privacidad son los documentos y autorizaciones que exige para las entidades que manejan ePHI.

En esta regla, se define que cualquier dato identificable del paciente está sujeto a privacidad bajo la entidad cubierta o cualquier socio comercial. Esto es lo que se llama “información de salud protegida” e incluye:

• Cualquier documentación pasada, presente o futura sobre condiciones físicas o mentales
• Cualquier registro sobre la atención del paciente
• Y registros que hagan referencia a pagos pasados, presentes o futuros por atención médica

La Regla de Privacidad de HIPAA establece que los únicos escenarios en los que las entidades cubiertas pueden divulgar información confidencial de salud son situaciones muy específicas de atención, investigación o legales. Estas situaciones son sumamente limitadas y sujetas a interpretación judicial. Por tanto, es más seguro que toda entidad cubierta y sus socios comerciales protejan toda la PHI en vez de centrarse en matices y excepciones.

Lista de verificación de la Regla de Privacidad de HIPAA

Esta lista de verificación de la Regla de Privacidad de HIPAA incluye 10 pasos esenciales que las organizaciones sanitarias y sus socios comerciales deben seguir para asegurar el cumplimiento de la Regla de Privacidad de HIPAA. Desde designar un responsable de privacidad hasta establecer protocolos para divulgar PHI a terceros, esta lista cubre todos los aspectos necesarios para proteger la información confidencial de los pacientes. Seguir estas pautas no solo ayuda a evitar violaciones de HIPAA (y las consecuentes multas, sanciones y litigios), sino que también genera confianza en los pacientes y en el sistema de salud. Incluyen:

1. Designar un responsable de privacidad de datos (DPO)
2. Desarrollar e implementar políticas y procedimientos escritos
3. Proporcionar formación en concienciación sobre seguridad a los miembros del personal
4. Obtener el consentimiento del paciente para ciertas divulgaciones
5. Mantener medidas de protección adecuadas para la información de salud protegida (PHI)
6. Implementar un sistema para revisar y verificar solicitudes de PHI
7. Responder a las solicitudes de acceso a PHI de los pacientes
8. Notificar a los pacientes en caso de una filtración de PHI no asegurada
9. Asignar identificadores únicos a personas y grupos
10. Establecer protocolos para divulgar PHI a socios comerciales y otros terceros

La Regla de Seguridad de HIPAA

Con la definición de privacidad y ePHI establecida, el siguiente paso es proteger esos datos. La Regla de Seguridad de HIPAA estableció los estándares nacionales para los mecanismos necesarios para proteger los datos ePHI. Estos mecanismos abarcan toda la operación de la entidad cubierta, incluyendo tecnología, administración, medidas físicas para computadoras y dispositivos, y cualquier aspecto que pueda afectar la seguridad de ePHI.

Los controles definidos en esta regla se organizan en tres grupos de salvaguardas:

1. Tareas administrativas para el cumplimiento de HIPAA: Incluye políticas y procedimientos que afectan a ePHI, así como tecnologías, diseño de sistemas, gestión de riesgos y mantenimiento relacionado con otras medidas de seguridad. También abarca aspectos de administración sanitaria como Recursos Humanos y formación de empleados.
2. Físicas para el cumplimiento de HIPAA: Las salvaguardas físicas aseguran el acceso a equipos físicos, incluidos ordenadores, routers, switches y almacenamiento de datos. Las entidades cubiertas deben mantener instalaciones seguras donde solo personas autorizadas puedan acceder a los datos.
3. Técnicas para el cumplimiento de HIPAA: La ciberseguridad incluye ordenadores, dispositivos móviles, cifrado, seguridad de red, seguridad de dispositivos y todo lo relacionado con la tecnología para almacenar y comunicar ePHI.

Lista de verificación de la Regla de Seguridad de HIPAA

Nuestra lista de verificación de la Regla de Seguridad de HIPAA cubre 10 áreas clave que las organizaciones deben abordar para proteger PHI y ePHI. Esta lista ayuda a asegurar el cumplimiento de los estándares de seguridad de HIPAA y proteger los datos confidenciales de los pacientes frente a amenazas y vulnerabilidades:

1. Realizar un análisis de riesgos para identificar amenazas y vulnerabilidades potenciales
2. Implementar políticas y procedimientos para mantener y monitorear la seguridad de PHI y ePHI
3. Aplicar controles de acceso para limitar el acceso a PHI/ePHI solo a personas autorizadas que lo requieran para su trabajo
4. Asegurar que toda ePHI esté protegida con cifrado en tránsito y en reposo, es decir, almacenada de manera segura
5. Implementar procedimientos para responder a incidentes y filtraciones de seguridad
6. Formar a todo el personal en las políticas y procedimientos de seguridad de HIPAA
7. Revisar y actualizar regularmente las medidas de seguridad para asegurar que sean actuales y efectivas
8. Establecer un plan de recuperación ante desastres y continuidad de negocio, es decir, un plan de contingencia para desastres u otras emergencias que puedan afectar la seguridad de PHI/ePHI y la privacidad del paciente
9. Asegurar que todos los proveedores y contratistas externos cumplan con los requisitos de seguridad de HIPAA
10. Realizar auditorías y evaluaciones periódicas para garantizar el cumplimiento de los estándares de seguridad de HIPAA

La Regla de Notificación de Brechas de HIPAA

La Regla de Notificación de Brechas especifica qué ocurre cuando se produce una filtración de seguridad. Es casi imposible proteger los datos al 100%, por lo que las organizaciones deben tener planes para notificar al público y a las víctimas de una filtración de HIPAA sobre lo ocurrido y los siguientes pasos.

La Regla de Notificación de Brechas define una serie de pasos que cualquier entidad cubierta debe seguir durante una filtración para mantener el cumplimiento, incluyendo:

1. Notificar a las personas afectadas por una filtración. Las entidades cubiertas deben dar aviso formal y por escrito a las víctimas, ya sea por correo postal de primera clase o por correo electrónico (si aplica).
2. Si la entidad cubierta no tiene información de contacto de más de 10 personas en una filtración, debe proporcionar un aviso alternativo mediante una publicación en su sitio web durante 90 días o un aviso en medios impresos y de difusión importantes.
3. La entidad debe proporcionar el aviso a más tardar 60 días después de descubrir la filtración.
4. Si la filtración afecta a más de 500 personas en un estado o jurisdicción, la entidad debe dar aviso público destacado a través de medios de comunicación locales.
5. La entidad también debe notificar al secretario de salud en un plazo de 60 días si la filtración afecta a más de 500 personas. Si es menos, puede actualizar al secretario al final del año.

Estas reglas de notificación aplican a cualquier filtración que la Entidad Cubierta conozca a través de uno de sus socios comerciales.

Lista de verificación de cumplimiento de la Regla de Notificación de Brechas de HIPAA

Las organizaciones que manejan PHI y ePHI están legalmente obligadas a cumplir con la Regla de Notificación de Brechas de HIPAA, que exige la notificación rápida de filtraciones de datos que comprometan la privacidad del paciente. No cumplir con estos requisitos puede resultar en multas significativas, consecuencias legales y daños a la reputación.

Esta lista de verificación ayuda a asegurar el cumplimiento de la regla de notificación de brechas de HIPAA. Hay beneficios adicionales, como generar confianza con pacientes y socios, fortalecer la preparación ante incidentes y reducir el riesgo de futuras filtraciones.

1. Identificar e investigar rápidamente las filtraciones, determinando su alcance, impacto y riesgo.
2. Realizar una evaluación de riesgos para valorar la naturaleza y el alcance de la PHI involucrada, quién accedió, si realmente fue vista y cómo se ha reducido el riesgo.
3. Documentar la filtración con registros detallados de lo sucedido, hallazgos, decisiones y acciones tomadas, incluso si no se requiere notificación.
4. Notificar a las personas afectadas en un plazo de 60 días; enviar aviso por correo postal de primera clase o por correo electrónico si está autorizado, describiendo lo ocurrido, la información involucrada y los pasos que pueden tomar los afectados.
5. Notificar al Departamento de Salud y Servicios Humanos de EE. UU.; si menos de 500 personas resultaron afectadas, notificar anualmente, pero si 500 o más personas resultaron afectadas, notificar en un plazo de 60 días a través del portal de filtraciones de HHS.
6. Notificar a los medios si 500 o más personas resultan afectadas en un mismo estado o región en un plazo de 60 días para asegurar una amplia concienciación pública.
7. Implementar sanciones y acciones correctivas, incluyendo medidas disciplinarias, reentrenamiento o cambios técnicos.
8. Actualizar políticas y procedimientos, incluyendo planes de respuesta ante filtraciones y prácticas de privacidad/seguridad basadas en lo aprendido.
9. Formar al personal sobre los procedimientos ante filtraciones para asegurar que todo el equipo esté capacitado y reciba formación continua sobre cómo reconocer, reportar y responder a filtraciones.
10. Asegurar y cifrar PHI/ePHI para reducir la probabilidad de una filtración que deba ser reportada.

La Regla Ómnibus de HIPAA

Una regla más reciente, la Regla Ómnibus amplía el alcance de las regulaciones a organizaciones fuera de las entidades cubiertas. En resumen, la Regla Ómnibus establece que las obligaciones de cumplimiento también cubren a los socios comerciales y contratistas. Por lo tanto, las entidades cubiertas son responsables de cualquier posible violación de sus socios comerciales y contratistas, y deben actualizar su análisis de distancia, evaluación de riesgos y procedimientos de cumplimiento en consecuencia.

Lista de verificación de cumplimiento de la Regla Ómnibus de HIPAA

La Regla Ómnibus de HIPAA, finalizada en 2013, fortaleció significativamente las protecciones de privacidad y seguridad para la información de salud protegida (PHI). Amplió el alcance de HIPAA haciendo a los socios comerciales directamente responsables del cumplimiento, mejorando los derechos de los pacientes y aclarando las reglas sobre notificación de filtraciones, marketing y divulgaciones.

Demostrar cumplimiento con la Regla Ómnibus es fundamental no solo para evitar sanciones costosas, sino también para proteger la confianza de los pacientes, fortalecer alianzas y mostrar a los reguladores un fuerte compromiso con la privacidad de los datos. Alinear políticas, formación y gestión de proveedores con los requisitos de la Regla Ómnibus permite cerrar brechas de cumplimiento y mejorar la postura general de seguridad. Considera las siguientes recomendaciones de esta lista de verificación de cumplimiento de la Regla Ómnibus de HIPAA:

1. Revisar y actualizar los Acuerdos de Socio Comercial (BAA) para asegurar la responsabilidad y obligaciones actuales o ampliadas bajo la Regla Ómnibus.
2. Realizar un análisis de riesgos integral de los riesgos de seguridad para toda la PHI y ePHI, incluyendo la que poseen o acceden los socios comerciales
3. Implementar políticas de seguridad y privacidad que reflejen las nuevas disposiciones de la Regla Ómnibus, especialmente sobre uso de datos, derechos del paciente y gestión de filtraciones.
4. Formar al personal sobre los nuevos requisitos, incluyendo políticas HIPAA actualizadas, cambios en la notificación de filtraciones y derechos del paciente bajo la Regla Ómnibus.
5. Respetar el derecho de los pacientes a restringir la divulgación de PHI a planes de salud cuando los servicios se pagan de su bolsillo.
6. Actualizar el Aviso de Prácticas de Privacidad (NPP) para incluir el nuevo contenido de la Regla Ómnibus, como derechos de notificación de filtraciones y uso de información genética.
7. Obtener autorización escrita para marketing y venta de PHI antes de usar los datos.
8. Mejorar los protocolos de notificación de filtraciones; tratar cualquier uso/divulgación no autorizada de PHI como una filtración presunta, salvo que una evaluación de riesgos documentada demuestre lo contrario.
9. Monitorear el cumplimiento de los socios comerciales (BA) para verificar regularmente que protejan adecuadamente la PHI y cumplan con sus obligaciones HIPAA.
10. Documentar todo, incluyendo todas las políticas, formación, evaluaciones y decisiones relacionadas con HIPAA para demostrar cumplimiento durante auditorías o investigaciones.

¿Qué es la Regla de Aplicación de HIPAA?

La Regla de Aplicación de HIPAA es un conjunto de regulaciones que proporciona directrices para investigaciones y sanciones por violaciones de las reglas de privacidad y seguridad bajo la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA). La regla está diseñada para asegurar que las entidades cubiertas y los socios comerciales cumplan con las regulaciones de HIPAA y protejan la privacidad y seguridad de la información de salud protegida (PHI) de los pacientes. La Regla de Aplicación también establece procedimientos para responder a quejas y realizar investigaciones de presuntas violaciones, incluyendo la imposición de sanciones monetarias civiles y planes de acción correctiva.

Lista de verificación de cumplimiento de la Regla de Aplicación de HIPAA

La Regla de Aplicación de HIPAA describe cómo el Departamento de Salud y Servicios Humanos (HHS), a través de la Oficina de Derechos Civiles (OCR), investiga posibles violaciones de HIPAA e impone sanciones por incumplimiento. Define los procedimientos para investigaciones, la estructura de las sanciones monetarias civiles y el proceso de resolución, incluyendo planes de acción correctiva y sanciones formales.

Demostrar cumplimiento con la Regla de Aplicación es fundamental porque muestra a los reguladores que tu organización toma la privacidad y la seguridad en serio. Puede ayudar a reducir sanciones, evitar acciones de aplicación más severas y reflejar un programa de cumplimiento proactivo y bien gestionado. Al estar preparado para auditorías y responder adecuadamente, las organizaciones también refuerzan la confianza de los pacientes, minimizan riesgos y fomentan una cultura de responsabilidad en toda la plantilla. Considera las siguientes recomendaciones para demostrar cumplimiento con la Regla de Aplicación de HIPAA:

1. Mantener documentación completa de las actividades de cumplimiento de HIPAA con registros detallados de políticas, formación, evaluaciones de riesgos, respuestas a incidentes y registros de auditoría para demostrar una cultura de cumplimiento.
2. Responder rápidamente a investigaciones y solicitudes; cooperar de manera completa y oportuna con el Departamento de Salud y Servicios Humanos (HHS) y la Oficina de Derechos Civiles (OCR) durante investigaciones o revisiones de cumplimiento.
3. Implementar una política formal de sanciones; aplicar medidas disciplinarias por violaciones de HIPAA de manera consistente y documentar las acciones tomadas contra personal o proveedores no conformes.
4. Realizar auditorías internas periódicas para detectar brechas de cumplimiento y resolver problemas antes de que se conviertan en violaciones.
5. Desarrollar un proceso de plan de acción correctiva (CAP) para cualquier violación identificada, con el fin de resolver problemas de cumplimiento y evitar reincidencias.
6. Formar al personal sobre las consecuencias de la aplicación, incluyendo posibles sanciones civiles y penales por violaciones de HIPAA para fomentar la responsabilidad.
7. Establecer un proceso claro de recepción de quejas, proporcionando a pacientes y empleados una vía confidencial y sencilla para reportar posibles violaciones de HIPAA o preocupaciones sobre privacidad.
8. Asegurar la supervisión y responsabilidad del liderazgo asignando funciones claras con respaldo ejecutivo para impulsar la preparación y el cumplimiento de la regla de aplicación.
9. Revisar y actualizar regularmente las políticas y procedimientos para mantenerse alineado con los cambios legales y tendencias de aplicación.
10. Contar con expertos legales y de cumplimiento cuando sea necesario ante problemas complejos o acciones de aplicación.

Actualizaciones recientes de HIPAA para el cumplimiento

Las actualizaciones más recientes de HIPAA se implementaron en 2013 y 2016.

En 2013, se introdujo la Regla Ómnibus de HIPAA, que realizó cambios significativos en las regulaciones sobre cómo se maneja y protege la información de salud protegida (PHI). Algunos de los cambios clave incluyeron:

• Protecciones ampliadas para los derechos de los pacientes, incluyendo el derecho a acceder y recibir copias de su PHI, y el derecho a solicitar restricciones sobre el uso o divulgación de su PHI
• Refuerzo de la aplicación de las regulaciones de HIPAA, incluyendo el aumento de las multas por incumplimiento y la obligación de que los socios comerciales (proveedores de servicios externos) cumplan con las regulaciones de HIPAA
• Actualización de las definiciones de términos clave como “socio comercial” e “información de salud protegida”

En 2016, se modificó la Regla de Privacidad de HIPAA para permitir que ciertas entidades cubiertas, como proveedores de atención médica o aseguradoras, divulguen los nombres de personas identificadas con una condición de salud mental al Sistema Nacional Instantáneo de Verificación de Antecedentes Penales (NICS). Este cambio se realizó en respuesta al tiroteo de 2012 en la escuela primaria Sandy Hook, que generó preocupación sobre la capacidad de personas con problemas de salud mental para obtener armas de fuego. Sin embargo, la divulgación de esta información está sujeta a ciertas limitaciones y protecciones, incluyendo el requisito de que la entidad cubierta obtenga el consentimiento escrito específico del individuo antes de divulgar su información y de proporcionar ciertas notificaciones sobre las posibles consecuencias de dicha divulgación.

¿Qué es el cumplimiento informático de HIPAA?

El cumplimiento de HIPAA y el cumplimiento informático de HIPAA varían ligeramente.

El cumplimiento de HIPAA es un conjunto de reglas y regulaciones establecidas por el Departamento de Salud y Servicios Humanos de EE. UU. (HHS) para proteger la privacidad, seguridad e integridad de la información de salud sensible de los pacientes. Esto incluye requisitos para salvaguardas administrativas, físicas y técnicas, como la implementación de políticas, procedimientos y medidas de seguridad.

El cumplimiento informático de HIPAA, en cambio, se refiere a los aspectos técnicos de la Regla de Seguridad de HIPAA, específicamente en cuanto a la implementación, mantenimiento y monitoreo de salvaguardas técnicas para la información de salud protegida electrónica (ePHI). Esto incluye implementar medidas sólidas de autenticación y control de acceso, evaluaciones periódicas de riesgos de seguridad y cifrado y seguridad de los datos almacenados.

¿Existe una lista de verificación específica de cumplimiento informático de HIPAA?

Algunas organizaciones de TI deben cumplir con HIPAA porque manejan datos sensibles y/o confidenciales protegidos por la ley. Por lo tanto, estas organizaciones deben tomar las medidas necesarias para asegurar que sus sistemas y procedimientos cumplan con las regulaciones de HIPAA.

Las organizaciones de TI deben considerar estos puntos de la lista de verificación para demostrar cumplimiento informático de HIPAA:

1. Contar con un Responsable de Privacidad de HIPAA encargado de desarrollar e implementar medidas de seguridad.
2. Identificar y clasificar todos los datos que estén bajo la jurisdicción de HIPAA.
3. Educar a todo el personal sobre las leyes y regulaciones de HIPAA.
4. Establecer y documentar políticas y procesos administrativos, técnicos y físicos en relación con HIPAA.
5. Equipar todos los ordenadores y/o estaciones de trabajo con suficientes medidas de seguridad para proteger contra accesos no autorizados.
6. Almacenar de forma segura todos los documentos que contengan información de salud protegida y limitar el acceso solo a personal autorizado.
7. Utilizar software de cifrado cuando sea apropiado para proteger los datos en reposo.
8. Practicar la navegación web segura y usar software de seguridad para correo electrónico.
9. Eliminar correctamente documentos y registros que contengan datos de pacientes; triturar o quemar son los métodos más seguros y preferidos.
10. Establecer y mantener procedimientos para gestionar filtraciones de seguridad e intentos de acceso no autorizado.
11. Revisar y monitorear regularmente los registros de acceso para detectar posibles accesos no autorizados.
12. Implementar procedimientos integrales de registro y auditoría de usuarios.
13. Desarrollar e implementar procedimientos de respaldo que cumplan con las directrices de HIPAA.
14. Desarrollar y mantener un plan de contingencia y un sistema de recuperación ante desastres.

Cómo empezar con el cumplimiento de HIPAA

Si eres nuevo en el cumplimiento de HIPAA, aquí tienes algunos pasos que tu organización puede seguir para comenzar a cumplir:

1. Desarrollar un plan de cumplimiento de seguridad y privacidad de HIPAA.
2. Desarrollar políticas y procedimientos para gestionar y proteger la información de salud protegida (PHI).
3. Implementar salvaguardas físicas, administrativas y técnicas para proteger la PHI.
4. Formar al personal en las mejores prácticas y protocolos de HIPAA.
5. Hacer que los empleados firmen reconocimientos de HIPAA y confirmen que comprenden sus responsabilidades y obligaciones.
6. Asegurar que los socios comerciales, proveedores y contratistas hayan firmado acuerdos de socio comercial (BAA) y cumplan con las regulaciones de HIPAA.
7. Implementar procedimientos para revisar, auditar y actualizar regularmente el cumplimiento de HIPAA.
8. Registrar y documentar todas las medidas de seguridad y privacidad de PHI.
9. Contar con un plan de respuesta ante incidentes en caso de filtración o pérdida de datos.
10. Monitorear regularmente la seguridad de la PHI y asegurar el cumplimiento total de las regulaciones de HIPAA.

¿Qué es HITECH y cómo se relaciona con el cumplimiento de HIPAA?

La Ley de Tecnología de la Información de Salud para la Economía y la Salud Clínica se promulgó en 2009 y define los requisitos de cumplimiento para los años posteriores. De manera crítica, esta ley revisó los requisitos legales de las organizaciones sanitarias en varios sectores, incluyendo atención médica directa y seguridad social.

Antes de la HITECH, solo el 10% de los hospitales usaban registros electrónicos de salud (EHR). HITECH fue clave para impulsar a los hospitales a adoptar registros electrónicos. En parte, HITECH promovió la adopción de tecnología digital de gestión de ePHI y el cumplimiento posterior con las regulaciones de HIPAA. Esto incluye incentivos para el cambio a tecnología digital.

Para 2017, en gran parte gracias a HITECH, la tasa de adopción de EHR alcanzó el 86%.

HITECH también trasladó parte de la responsabilidad del cumplimiento de HIPAA. Para fomentar la adopción tecnológica, la Ley HITECH revisó las regulaciones sanitarias para que los socios comerciales fueran directamente responsables de las violaciones, y que su responsabilidad quedara reflejada en un acuerdo de socio comercial (BAA) obligatorio con la Entidad Cubierta.

HITECH también incrementó las sanciones por violaciones y animó a las autoridades a perseguir las infracciones con mayor rigor para que las organizaciones mantuvieran el cumplimiento.

Recursos sobre cumplimiento de HIPAA

Para obtener más información sobre HIPAA y los requisitos de cumplimiento, visita estos recursos:

1. Sitio web de HHS.gov
2. Sitio web de HIPAA Journal
3. Oficina de Derechos Civiles de HHS
4. Centros de Servicios de Medicare y Medicaid
5. Instituto Nacional de Estándares y Tecnología
6. Directrices de Gestión de Seguridad de HHS
7. Regla de Seguridad de HIPAA
8. Regla de Privacidad de HIPAA
9. Publicaciones Especiales del Instituto Nacional de Estándares y Tecnología (NIST)
10. HITECH Security and Breach Notification Act

Cómo lograr y mantener el cumplimiento de HIPAA con una lista de autoevaluación

Al utilizar una lista de autoevaluación de HIPAA, las organizaciones sanitarias pueden identificar posibles áreas de incumplimiento y tomar medidas correctivas antes de una auditoría del Departamento de Salud y Servicios Humanos (HHS). Una autoevaluación también ayuda a evitar sanciones y multas costosas por violaciones de HIPAA.

Además, realizar una autoevaluación ayuda a las organizaciones sanitarias a establecer mejores prácticas de cumplimiento de HIPAA y mejorar su postura general de seguridad de datos. También contribuye a generar confianza en los pacientes al demostrar el compromiso con la protección de su información confidencial.

Utilizar una lista de autoevaluación de HIPAA es un paso importante para mantener el cumplimiento de las regulaciones y proteger los datos de los pacientes.

Aquí tienes una lista de verificación para autoevaluar el cumplimiento de HIPAA:

1. Determinar el alcance de la auditoría, incluyendo qué entidades y procesos serán evaluados.
2. Revisar políticas y procedimientos para asegurar el cumplimiento de las regulaciones de HIPAA.
3. Verificar que todos los miembros del personal hayan recibido formación en HIPAA y que esté actualizada.
4. Revisar los controles de acceso y verificar que solo personas autorizadas tengan acceso a PHI.
5. Evaluar las salvaguardas físicas, incluyendo controles de acceso a instalaciones y estaciones de trabajo.
6. Revisar las salvaguardas técnicas, incluyendo controles de acceso a sistemas, cifrado de PHI y políticas de contraseñas.
7. Verificar que existan acuerdos de socio comercial con todos los proveedores externos que tengan acceso a PHI.
8. Evaluar los procedimientos de respuesta a incidentes y verificar que estén actualizados y sean efectivos.
9. Revisar los procedimientos de notificación de filtraciones y verificar que estén actualizados y sean efectivos.
10. Verificar que toda la documentación requerida de HIPAA esté actualizada y disponible.
11. Evaluar el cumplimiento de la Regla de Privacidad de HIPAA, incluyendo la obtención y documentación de autorizaciones de los pacientes para divulgaciones de PHI.
12. Revisar el cumplimiento de la Regla de Seguridad de HIPAA, incluyendo la realización de evaluaciones regulares de riesgos y la resolución de riesgos identificados.
13. Verificar que todas las divulgaciones de PHI estén debidamente autorizadas y documentadas, incluyendo las divulgaciones para tratamiento, pago y operaciones sanitarias.
14. Revisar el cumplimiento de la Regla de Notificación de Brechas de HIPAA, incluyendo la notificación oportuna de cualquier filtración de PHI no asegurada.
15. Evaluar el cumplimiento de la Regla Ómnibus de HIPAA, incluyendo el cumplimiento de los nuevos requisitos para socios comerciales y subcontratistas.
16. Verificar que toda la PHI se elimine correctamente de acuerdo con las regulaciones de HIPAA.
17. Revisar el cumplimiento de leyes estatales y locales que puedan afectar el cumplimiento de HIPAA.
18. Realizar auditorías periódicas y corregir cualquier área de incumplimiento.
19. Documentar todos los hallazgos de la auditoría y las actividades de remediación.
20. Desarrollar e implementar un programa de cumplimiento de HIPAA que incluya formación, monitoreo y auditoría continuos.
21. Asignar un Responsable de Cumplimiento de HIPAA para gestionar los esfuerzos de cumplimiento en toda la organización.
22. Rastrear y proteger los dispositivos móviles para que no terminen en manos no autorizadas y asegurar que todos los datos estén cifrados. Implementar borrados remotos para destruir PHI robada o, simplemente, evitar almacenar PHI en dispositivos móviles.

Cumplimiento de HIPAA vs. cumplimiento de GDPR: ¿quién tiene prioridad?

El Reglamento General de Protección de Datos de la UE (GDPR) y la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) son dos regulaciones independientes que buscan proteger la privacidad de los datos personales. El GDPR aplica a todas las empresas que procesan o gestionan datos personales de ciudadanos de la UE, independientemente de su ubicación, mientras que HIPAA aplica a proveedores de atención médica, aseguradoras y sus socios comerciales en EE. UU. Sin embargo, dado que las entidades sanitarias y sus socios comerciales operan cada vez más a nivel global, es esencial entender el impacto del GDPR en el cumplimiento de HIPAA.

El GDPR impone requisitos de protección de datos más estrictos que HIPAA, incluyendo:

Consentimiento explícito en GDPR

El GDPR exige consentimiento explícito antes de procesar los datos personales de una persona, mientras que HIPAA solo requiere una autorización general.

Derechos de los titulares de datos en GDPR

El GDPR otorga a las personas un control más amplio sobre sus datos, incluyendo el derecho de acceso, rectificación y eliminación de sus datos personales, mientras que HIPAA otorga derechos limitados de acceso y solicitud de modificaciones.

Responsable de Protección de Datos (DPO) estipulado en GDPR

El GDPR exige que ciertas organizaciones nombren un DPO para supervisar la protección de datos, mientras que HIPAA no exige este rol.

Notificación de filtraciones de datos requerida por GDPR

El GDPR exige que las organizaciones reporten filtraciones de datos en un plazo de 72 horas, mientras que HIPAA exige la notificación en un plazo de 60 días.

Sanciones del GDPR

El GDPR impone sanciones significativamente más altas por incumplimiento, con multas de hasta 20 millones de euros o el 4% de los ingresos anuales globales, lo que sea mayor. En cambio, las multas de HIPAA van de $100 a $50,000 por violación, con un máximo de $1.5 millones por año.

Por lo tanto, las entidades sanitarias y socios comerciales que procesen datos personales de ciudadanos de la UE deben asegurar el cumplimiento tanto de GDPR como de HIPAA. Deben revisar sus políticas y procedimientos de privacidad de datos, implementar los cambios necesarios para cumplir con el GDPR y formar a su personal en las disposiciones de ambas regulaciones. No cumplir con alguna de ellas puede resultar en sanciones financieras significativas y dañar la reputación de la organización.

Kiteworks ayuda a las organizaciones a lograr el cumplimiento de HIPAA con una Red de Datos Privados

La Red de Datos Privados de Kiteworks ayuda a las entidades cubiertas y sus socios comerciales a lograr y mantener el cumplimiento de HIPAA al proteger la PHI y otros contenidos confidenciales que comparten con terceros de confianza.

Kiteworks consolida las comunicaciones con terceros como correo electrónico, uso compartido de archivos, transferencia de archivos gestionada, SFTP y formularios web para que las organizaciones puedan controlar, proteger y rastrear la PHI que se accede, envía, almacena y recibe. Las funciones de seguridad y cumplimiento incluyen:

• Un dispositivo virtual reforzado, autónomo y preconfigurado, con protección antivirus integrada y sistema de detección de intrusiones (IDS)
• Cifrado AES de los contenidos en reposo y cifrado TLS 1.2 para los contenidos en tránsito, además de medidas de seguridad adicionales como rotación de claves, expiración de sesiones, verificaciones de integridad y antivirus
• Informes de cumplimiento de HIPAA y GDPR con un solo clic que demuestran que existen salvaguardas administrativas, físicas y técnicas, en cumplimiento con HIPAA
• Controles de acceso granulares, permisos basados en roles y expiración de archivos/carpetas que restringen el acceso a la PHI solo al personal autorizado y solo durante el tiempo necesario
• Opciones de implementación seguras, incluyendo en las instalaciones, privada, híbrida y nube privada virtual FedRAMP
• Detección de amenazas, reducción de riesgos y análisis forense a través de un Panel CISO y registros de auditoría completos que pueden exportarse a tu SIEM

Para descubrir cómo Kiteworks puede ayudar a tu organización a lograr el cumplimiento de HIPAA, agenda una programa una demostración personalizada hoy mismo.

Recursos adicionales

• Caso de éxito Los profesionales y el personal de NYC Health + Hospitals comparten PHI de forma segura y eficiente
• Artículo del Blog Principales formularios compatibles con HIPAA
• Artículo del Blog Cifrado HIPAA: requisitos, mejores prácticas y software
• Artículo del Blog Envía correos electrónicos compatibles con HIPAA
• Artículo del Blog Filtración de HIPAA [Qué es y cómo gestionar las consecuencias]