¿Qué es HIPAA? El Alcance, Propósito y Cómo Cumplir

La Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) de 1996 es la ley federal que creó estándares nacionales para proteger la información médica confidencial del paciente para que no se divulgue sin el conocimiento o consentimiento del paciente. Lea más sobre esta regulación estadounidense y descubra cómo cumplirla.

¿Qué es la HIPAA?

La Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) tenía como objetivo principal resolver la cobertura de seguro para las personas que se encuentran entre trabajos. Sin esta ley, los empleados habrían corrido el riesgo de perder su cobertura de seguro durante el período entre trabajos.

Otro objetivo era garantizar que todos los datos estén adecuadamente protegidos y que ninguna persona no autorizada pueda acceder a los datos de atención médica.

HIPAA se aplica en los Estados Unidos y está regulada por la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos. 

Propósito de HIPAA

La HIPAA se creó para modernizar el flujo de información de atención médica y garantizar que la información de identificación personal recopilada en las compañías de atención médica y de seguros esté protegida contra fraude y robo, y no pueda divulgarse sin consentimiento.

La información de atención médica de los pacientes se trata con mayor sensibilidad y varios proveedores de atención médica pueden acceder a ella rápidamente. Las regulaciones de HIPAA requieren que los registros estén mejor asegurados y protegidos contra fugas. HIPAA Journal , una excelente fuente de información sobre cumplimiento y regulaciones de HIPAA, tiene una lista de verificación completa para las empresas durante su camino hacia el cumplimiento. 

¿Qué es PHI?

Cualquier empresa o individuo que trabaje con información médica protegida (PHI) debe cumplir con HIPAA. La PHI se crea cuando cualquier dato de salud se combina con información de identificación personal, como la siguiente:

El alcance HIPAA

Hay varias entidades que trabajan regularmente con Información de Salud Protegida y por lo tanto deben seguir la Ley de Responsabilidad y Portabilidad del Seguro Médico: 

• Proveedores de servicios de salud 
• Planes de salud 
• Cámaras de compensación de atención médica 
• Socios de negocio 

Reglas HIPAA

Regla de privacidad HIPAA 

La Regla de Privacidad define cómo, cuándo y bajo qué circunstancias se puede utilizar y divulgar la PHI. Sin el consentimiento previo del paciente, el uso de información sobre el paciente es limitado. Los pacientes y sus representantes pueden obtener una copia de sus registros médicos y solicitar correcciones en caso de errores.

Regla de seguridad HIPAA 

La Regla de Seguridad establece estándares para proteger la ePHI. Cualquier persona que trabaje con ePHI debe seguir la regla de seguridad. Los funcionarios de seguridad y los funcionarios de privacidad deben realizar evaluaciones de riesgos y auditorías para identificar cualquier amenaza a la integridad de la PHI.

Regla de notificación de incumplimiento 

Se debe notificar al Departamento de Salud y Servicios Humanos en caso de una violación de datos, al igual que las personas afectadas. Si más de quinientos pacientes en una jurisdicción particular se ven afectados, se debe emitir un comunicado de prensa en un medio de comunicación que cubra el área.

Regla general 

La Regla Ómnibus es parte de la Ley HITECH (Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica) que entró en vigor en 2009 y fue creada para fomentar el uso de registros médicos electrónicos por parte de los proveedores de atención médica.

La Regla Ómnibus prohíbe el uso de PHI con fines de marketing o recaudación de fondos sin autorización.

Regla de cumplimiento 

La Regla de Ejecución trata de determinar la multa apropiada cuando ocurre una infracción. La multa puede ser menor en caso de negligencia, pero si la infracción se debe a negligencia intencional puede ser mucho mayor. 

Los derechos de los Individuos

Dentro de la Regla de Privacidad de HIPAA, las personas tienen el derecho legal de ver y recibir copias de información médica.  

Los individuos tienen derecho a: 

• Acceder a la PHI 
• Modificar la PHI 
• Solicitar restricción sobre quién usa la PHI y cómo se divulga
• Solicitar comunicaciones confidenciales 
• Solicitar contabilidad de divulgaciones 
• Presentar una queja 

Si bien los pacientes tienen derecho a acceder a sus registros, algunos tipos de información están excluidos del Derecho de Acceso. Se excluye la siguiente información:

La información excluida es la siguiente: 

• Registros de evaluación o mejora de la calidad. 
• Registros de actividades de seguridad
• Registros comerciales y de gestión. 
• Notas de psicoterapia 
• Información recopilada para su uso en acciones o procedimientos civiles, penales o administrativos. 

Violaciones HIPAA

Una infracción de HIPAA ocurre cuando una entidad de HIPAA o un socio comercial no cumple con cualquiera de las Reglas de HIPAA. Las sanciones por violaciones de HIPAA las emiten la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos y los fiscales generales estatales. HIPAA utiliza cuatro categorías de sanciones:

• Nivel 1: falta de conocimiento 

La entidad cubierta o el asociado comercial no sabía y no podría haber sabido razonablemente que estaban violando la HIPAA; por lo tanto, no se pudo haber evitado. La multa por cada infracción de este tipo es de $137 a $68,928, con un límite anual de $2,067,813 por cada disposición idéntica infringida.

• Nivel 2: causa razonable 

La infracción ocurrió debido a una causa conocida pero razonable, no por negligencia deliberada. La multa por cada infracción de este tipo es de $1,424 a $71,162, con un límite anual de $35,581 (según la discreción de aplicación del OCR).

• Nivel 3: Negligencia Deliberada y Corregida en 30 Días 

La infracción se debe a negligencia deliberada, pero el problema se corrigió rápidamente (dentro de los 30 días). La multa por cada infracción es de $14,232 a $71,162, con un límite anual de $355,808.

• Nivel 4: Negligencia Deliberada y No Corregida en 30 Días 

La infracción se debe a negligencia deliberada y permanece sin corregir más allá de los 30 días. La multa por cada infracción es de $71,162 a $2,134,831, con un límite anual de $2,134,831.

Riesgos más comunes de HIPAA

verified_user 

Mantener registros no seguros 

Los empleados dejan documentos confidenciales en sus escritorios o no usan contraseñas para acceder a datos digitales. Asegúrese de que el espacio de trabajo esté seguro y que se utilicen contraseñas en su empresa.

no_encryption 

Datos no cifrados 

HIPAA no exige el cifrado de sus datos, pero es muy recomendable. Incluso si se filtran datos, cuando están cifrados no se puede acceder a ellos sin autorización.

phishing 

Campañas de hacking o phishing 

Mantenga actualizado su software antivirus, cambie periódicamente las contraseñas y utilice una solución DLP para proteger sus datos contra fugas.

laptop_mac 

Pérdida o robo de dispositivos 

Los dispositivos valiosos se pueden perder en un abrir y cerrar de ojos. Cifre sus datos, de modo que incluso si se pierde un dispositivo, nadie no autorizado pueda acceder a él.

group 

Compartir PHI 

Tenga siempre en cuenta que a la gente le gusta hablar. Muy a menudo los empleados ni siquiera se dan cuenta de que han estado compartiendo información confidencial entre ellos. Infórmeles sobre el manejo de datos confidenciales y asegúrese de que solo las personas autorizadas puedan acceder a los datos. 

school 

Falta de formación de los empleados 

Es posible que los empleados ni siquiera se den cuenta de que han estado trabajando con PHI y la infracción puede ser perjudicial tanto para la empresa como para los pacientes. Infórmeles periódicamente y asegúrese de que comprendan qué son la PHI y la HIPAA, así como las consecuencias de su infracción.

login 

Acceso no autorizado 

Los empleados que no están autorizados a procesar información confidencial aún pueden acceder a ella y revisar los documentos. Establezca las políticas de seguridad adecuadas y asegúrese de que sus empleados las conozcan.

Amenazas Internas en el sector salud

Como puede ver arriba, las infracciones a menudo se deben a errores cometidos por los empleados, ya sea que pierdan un dispositivo, hagan clic en una campaña de phishing o simplemente hablen con sus colegas sobre los pacientes. Las violaciones de HIPAA pueden ocurrir fácilmente. Las amenazas internas pueden ser involuntarias o maliciosas. Sin embargo, el 56% de los incidentes de amenazas internas son causados ​​por empleados negligentes.

Y según Ponemon Institute, el costo total promedio de una filtración de datos para las empresas de atención médica aumentó un 29% a 9,23 millones de dólares. La salud y la farmacéutica se encuentran entre las industrias con los costos anuales más altos por amenazas internas, más de 10 millones de dólares al año (Ponemon Institute, 2022). 

¿Cómo proteger los datos para el cumplimiento de la HIPAA?

1. Adopte políticas de seguridad y defina empleados autorizados para acceder a su PHI 
2. Utilice una solución DLP para proteger sus datos contra amenazas internas y hacer cumplir las políticas de seguridad. 
3. Educa a tus empleados periódicamente 
4. Asegure su lugar de trabajo, adopte políticas sobre cómo trabajar con documentos confidenciales
   

Hablemos

¿Cómo Safetica protege sus datos para cunplir con la HIPAA?

1. Safetica cifra sus datos y los mantiene protegidos en caso de pérdida o robo del dispositivo. 
2. Safetica es una solución DLP que protege sus datos contra amenazas internas . Defina qué operaciones pueden ser riesgosas y bloquéelas o haga que Safetica le notifique a usted y a sus empleados sobre riesgos potenciales.
   
3. Con Safetica es fácil adoptar políticas de seguridad y definir empleados autorizados que pueden trabajar con PHI. Puede configurar sus políticas de seguridad y controlar si los datos confidenciales de su empresa se están utilizando de forma indebida y permitir que solo personas autorizadas accedan a ellos.
   
4. Eduque a sus empleados de forma regular. Safetica notifica a tus empleados en caso de operaciones de riesgo, para que estén más conscientes de la seguridad de los datos .
   
5. Asegure su lugar de trabajo y adopte políticas sobre cómo trabajar con documentos confidenciales. Safetica realiza auditorías de seguridad y le proporciona informes periódicos que le permiten ajustar sus políticas de seguridad .

Historias de clientes:
Cómo Safetica ayuda en el sector salud

Clínica Gy ncentrum protege los datos sensibles de sus clientes con Safetica 

Nuestro personal, tanto administrativo como médico, tiene acceso a los datos sensibles de nuestros pacientes diariamente. Se trata de información personal y médica, resultados de exámenes y evaluaciones psicológicas. Gracias a Safetica puedo, como responsable de protección de datos de la clínica, decidir quién tiene acceso, cómo se tratan los datos y si se pueden compartir con terceros o no. Se informan las actividades de los empleados y se protegen los datos de los pacientes. 

Así lo afirma Paweł Czerwiński, propietario de Gyncentrum.