El Ley de Portabilidad y Accesibilidad del Seguro de Salud (HIPAA) es una regulación diseñada para proteger la información de atención médica de los pacientes dentro de los EE. UU. Algunas organizaciones que tienen acceso a la información médica protegida (PHI) deben implementar los controles de seguridad, procesos y procedimientos descritos en el reglamento HIPAA.
HIPAA define dos tipos de organizaciones que deben cumplir con sus requisitos:
Bajo HIPAA, tanto las entidades cubiertas como los asociados comerciales deben cumplir con HIPAA. Las entidades cubiertas están reguladas directamente por la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS). Los requisitos de HIPAA se aplican para los asociados comerciales a través de sus contratos con entidades cubiertas.
Sin embargo, la regulación solo se aplica a las organizaciones que se ajustan a la definición de entidades cubiertas o asociados comerciales bajo la ley. Otras organizaciones que tienen acceso a información médica pero que no la reciben de entidades cubiertas no están sujetas a las regulaciones HIPAA. Por ejemplo, los desarrolladores de aplicaciones de salud y acondicionamiento físico que recopilan información de salud directamente de los usuarios pero que no son una organización de atención médica no están obligados a cumplir con sus directivas.
Sin embargo, estas organizaciones podrían beneficiarse de hacerlo. HIPAA describe las mejores prácticas para proteger la PHI y cumplir con estas mejores prácticas puede reducir la exposición de una organización a las amenazas cibernéticas y la probabilidad y el impacto de una posible violación de datos. Además, en caso de una violación o incidente de seguridad, cumplir con la regulación ayuda a demostrar que la compañía realizó la debida diligencia y realizó un buen esfuerzo para proteger los datos de sus clientes.
HIPAA se divide en dos reglas principales: la Regla de Privacidad y la Regla de Seguridad. Además de estas reglas se encuentran la Regla de notificación de incumplimiento, que describe cómo las organizaciones deben reportar una violación de la PHI, y la Regla Omnibus, que amplió los requisitos de HIPAA para incluir también a los asociados comerciales.
Regla de privacidad. Los Estándares para la Privacidad de la Información de Salud Individualmente identificable (Regla de Privacidad) exigen cómo las organizaciones de atención médica deben proteger ciertos tipos de información de salud que se les confían. La Regla de Privacidad define los casos en los que se puede acceder y divulgar la PHI. También define las salvaguardias que las entidades cubiertas deben tener implementadas para proteger la PHI y otorga a los pacientes ciertos derechos con respecto a su PHI.
Regla de seguridad. Los Estándares de Seguridad para la Protección de la Información Médica Protegida Electrónica (Regla de Seguridad) describen los controles de seguridad de TI que las empresas deben tener implementados para la información médica protegida (PHI) que se almacena o transfiere electrónicamente. Proporciona controles, procesos y procedimientos concretos de seguridad de TI que las organizaciones deben tener implementados para cumplir con los requisitos de protección de datos descritos en la Regla de Privacidad.
HIPAA está diseñado para proteger la PHI proporcionada por los pacientes a las entidades cubiertas y sus asociados comerciales. El HHS define dieciocho tipos de identificadores PHI, incluyendo:
El cumplimiento de HIPAA es obligatorio para las entidades cubiertas, y estas organizaciones pueden ser penalizadas por incumplimiento. HIPAA define cuatro niveles de violaciones:
La mayoría de las violaciones de HIPAA incluyen la ruptura de PHI, intencionalmente o de otra manera. Algunas violaciones comunes de HIPAA incluyen:
Lograr el cumplimiento de HIPAA es un proceso de varios pasos. Algunos pasos clave a tomar incluyen:
El objetivo principal de HIPAA es proteger la PHI confiada a las entidades cubiertas y sus asociados comerciales. Las reglas de privacidad y seguridad de HIPAA exigen que las organizaciones controlen y supervisen el acceso a la PHI y lo protejan contra el acceso no autorizado.
Check Point ofrece una variedad de soluciones que ayudan proveedores de atención médica y otras organizaciones para lograr el cumplimiento de HIPAA y otras regulaciones. Check Point CloudGuard realiza Control de cumplimiento, recopilación de datos y generación de informes para entornos basados en la nube. Para obtener más información sobre cómo lograr el cumplimiento de la nube con CloudGuard, lo invitamos a regístrese para una demostración gratuita.