What is HIPAA Compliance?

El Ley de Portabilidad y Accesibilidad del Seguro de Salud (HIPAA) es una regulación diseñada para proteger la información de atención médica de los pacientes dentro de los EE. UU. Algunas organizaciones que tienen acceso a la información médica protegida (PHI) deben implementar los controles de seguridad, procesos y procedimientos descritos en el reglamento HIPAA.

Compliance Datasheet Solicite una demostración

What is HIPAA Compliance?

¿Quién necesita cumplir con HIPAA y por qué?

HIPAA define dos tipos de organizaciones que deben cumplir con sus requisitos:

  • Entidades cubiertas: HIPAA define “entidades cubiertas” como organizaciones de atención médica y sus empleados que tienen acceso a PHI. Esto incluye médicos, enfermeras y compañías de seguros.
  • Asociados de negocios: Bajo HIPAA, los “socios comerciales” son organizaciones que brindan servicios a entidades cubiertas que implican acceso a PHI. Por ejemplo, una organización que maneja la facturación de un proveedor de atención médica tiene acceso al nombre, dirección, etc. de los pacientes, que están protegidos como PHI bajo HIPAA.

 

Bajo HIPAA, tanto las entidades cubiertas como los asociados comerciales deben cumplir con HIPAA. Las entidades cubiertas están reguladas directamente por la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS). Los requisitos de HIPAA se aplican para los asociados comerciales a través de sus contratos con entidades cubiertas.

 

Sin embargo, la regulación solo se aplica a las organizaciones que se ajustan a la definición de entidades cubiertas o asociados comerciales bajo la ley. Otras organizaciones que tienen acceso a información médica pero que no la reciben de entidades cubiertas no están sujetas a las regulaciones HIPAA. Por ejemplo, los desarrolladores de aplicaciones de salud y acondicionamiento físico que recopilan información de salud directamente de los usuarios pero que no son una organización de atención médica no están obligados a cumplir con sus directivas.

 

Sin embargo, estas organizaciones podrían beneficiarse de hacerlo. HIPAA describe las mejores prácticas para proteger la PHI y cumplir con estas mejores prácticas puede reducir la exposición de una organización a las amenazas cibernéticas y la probabilidad y el impacto de una posible violación de datos. Además, en caso de una violación o incidente de seguridad, cumplir con la regulación ayuda a demostrar que la compañía realizó la debida diligencia y realizó un buen esfuerzo para proteger los datos de sus clientes.

¿Cuáles son las reglas HIPAA?

HIPAA se divide en dos reglas principales: la Regla de Privacidad y la Regla de Seguridad. Además de estas reglas se encuentran la Regla de notificación de incumplimiento, que describe cómo las organizaciones deben reportar una violación de la PHI, y la Regla Omnibus, que amplió los requisitos de HIPAA para incluir también a los asociados comerciales.

Regla de privacidad. Los Estándares para la Privacidad de la Información de Salud Individualmente identificable (Regla de Privacidad) exigen cómo las organizaciones de atención médica deben proteger ciertos tipos de información de salud que se les confían. La Regla de Privacidad define los casos en los que se puede acceder y divulgar la PHI. También define las salvaguardias que las entidades cubiertas deben tener implementadas para proteger la PHI y otorga a los pacientes ciertos derechos con respecto a su PHI.

 

Regla de seguridad. Los Estándares de Seguridad para la Protección de la Información Médica Protegida Electrónica (Regla de Seguridad) describen los controles de seguridad de TI que las empresas deben tener implementados para la información médica protegida (PHI) que se almacena o transfiere electrónicamente. Proporciona controles, procesos y procedimientos concretos de seguridad de TI que las organizaciones deben tener implementados para cumplir con los requisitos de protección de datos descritos en la Regla de Privacidad.

Los datos protegidos bajo HIPAA

HIPAA está diseñado para proteger la PHI proporcionada por los pacientes a las entidades cubiertas y sus asociados comerciales. El HHS define dieciocho tipos de identificadores PHI, incluyendo:

  1. Nombre
  2. Dirección
  3. Fechas clave 
  4. Número de Seguro Social
  5. Número de teléfono
  6. Dirección de correo electrónico
  7. Número de fax
  8. Número de beneficiario del plan de salud
  9. Número de registro médico
  10. Número de certificado/licencia
  11. Número de cuenta
  12. Identificadores de vehículos, números de serie o números de matrícula
  13. Identificadores de dispositivo o números de serie
  14. Dirección IP
  15. URL web
  16. Fotos de cara completa
  17. Identificadores biométricos como huellas dactilares o huellas de voz
  18. Cualquier otro número de identificación único, características o códigos

Violaciones comunes de HIPAA

El cumplimiento de HIPAA es obligatorio para las entidades cubiertas, y estas organizaciones pueden ser penalizadas por incumplimiento. HIPAA define cuatro niveles de violaciones:

  • Nivel 1: La entidad cubierta no estaba al tanto de la violación, y la violación no podría haberse evitado de manera realista si la entidad cubierta hubiera hecho un esfuerzo de buena fe para cumplir con HIPAA. Las sanciones oscilan entre $100 y $50,000.
  • Nivel 2: La entidad cubierta estaba al tanto de la violación, pero no se podía prevenir dados los esfuerzos de buena fe para cumplir con HIPAA. Las sanciones oscilan entre $1,000 y $50,000.
  • Nivel 3: La violación ocurrió debido a la “negligencia deliberada” de las reglas HIPAA que la entidad cubierta intentó corregir. Las sanciones oscilan entre $10,000 y $50,000.
  • Nivel 4: La violación ocurrió debido a una “negligencia deliberada” que la entidad cubierta no intentó corregir. Las sanciones comienzan en $50,000.

La mayoría de las violaciones de HIPAA incluyen la ruptura de PHI, intencionalmente o de otra manera. Algunas violaciones comunes de HIPAA incluyen:

  • Dispositivo perdido o robado
  • ransomware y otros programas maliciosos
  • Credenciales de usuario comprometidas
  • Intercambio accidental de datos por correo electrónico, redes sociales, etc.
  • Ruptura física en la oficina
  • Violación de los registros médicos electrónicos (EHR)

Lista de verificación de cumplimiento de HIPAA

Lograr el cumplimiento de HIPAA es un proceso de varios pasos. Algunos pasos clave a tomar incluyen:

  1. Determine sus obligaciones de cumplimiento: Como se mencionó anteriormente, HIPAA se aplica a las entidades cubiertas y, a través de ellas, a sus socios comerciales. Bajo HIPAA, las entidades cubiertas se definen como proveedores de atención médica, planes de salud y centros de compensación de atención médica. Sus socios comerciales son cualquier organización con la que comparten PHI. 
  2. Conozca las reglas de HIPAA: Las Reglas de Privacidad y Seguridad de HIPAA definen las responsabilidades de una entidad cubierta o un asociado comercial bajo HIPAA. Comprender los controles, políticas y procesos requeridos es esencial para lograr y mantener el cumplimiento. 
  3. Identificar el alcance del cumplimiento: El HHS define dieciocho tipos de datos que califican como PHI y deben estar protegidos bajo HIPAA. Identificar dónde se almacenan, procesan y transmiten estos tipos de datos dentro del entorno de TI de una organización es esencial para determinar qué sistemas y personal están sujetos a los mandatos de HIPAA. 
  4. Perform a Gap Assessment: Una organización puede tener algunos de los controles HIPAA requeridos, pero es posible que falten otros. Es necesaria una evaluación de las deficiencias con respecto a los requisitos de HIPAA para identificar dónde la empresa no cumple con los requisitos de cumplimiento. 
  5. Despliegue los controles faltantes: Una evaluación de brechas puede identificar lugares donde la organización actualmente no cumple con las normas. Después de identificar estas brechas, desarrolle e implemente una estrategia para cerrar los agujeros. 
  6. Cree la documentación requerida: HIPAA requiere que las entidades cubiertas tengan ciertas políticas y procesos documentados. Si falta algún proceso o no está documentado, genere los documentos requeridos. 
  7. Prepárese para las auditorías de cumplimiento: Pasar una auditoría de cumplimiento requiere la capacidad de demostrarle a un auditor que los controles, procesos y procedimientos de seguridad de una organización cumplen con los requisitos de la regulación. Desarrolle un plan para pasar por la auditoría y reúna los datos e informes necesarios antes de la auditoría.

Cómo puede ayudar Check Point

El objetivo principal de HIPAA es proteger la PHI confiada a las entidades cubiertas y sus asociados comerciales. Las reglas de privacidad y seguridad de HIPAA exigen que las organizaciones controlen y supervisen el acceso a la PHI y lo protejan contra el acceso no autorizado.

Check Point ofrece una variedad de soluciones que ayudan proveedores de atención médica y otras organizaciones para lograr el cumplimiento de HIPAA y otras regulaciones. Check Point CloudGuard realiza Control de cumplimiento, recopilación de datos y generación de informes para entornos basados en la nube. Para obtener más información sobre cómo lograr el cumplimiento de la nube con CloudGuard, lo invitamos a regístrese para una demostración gratuita.

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.