HIPAA es un acto legal que establece las reglas para la protección de la información del pacienteHace posible que los pacientes de atención médica controlen su información confidencial y confíen en las organizaciones, que deben implementar estructuras estandarizadas de privacidad y seguridad del paciente.Pero, a pesar de que existe desde hace bastante tiempo, sus reglas, requisitos y estándares de seguridad no son algo con lo que muchas personas estén familiarizadas.Continúe leyendo esta página y obtenga toda la información sobre las reglas de cumplimiento de HIPAA, las sanciones por infracciones y otros detalles importantes en la lista de verificación de HIPAA
Privacidad de HIPAA y Reglas de seguridad de HIPAA
La Ley de Portabilidad y Responsabilidad de los Seguros Médicos se redactó ante todo para modernizar la forma en que la información médica de identificación personal debe transmitirse, mantenerse y protegerse electrónicamente.Se aprobó en 1996 y desde entonces ha sido un estándar crítico de todas las listas de verificación de auditoría de cumplimiento de la atención médicaComo ley tecnológicamente neutral, HIPAA ha envejecido bien durante su existencia y se ha mantenido inalterada a pesar de los rápidos avances que trajo Internet en las últimas dos décadas.En su esencia, HIPAA es un acto legal compuesto por reglas, que establecen los requisitos de cumplimiento primarios.Las dos reglas más importantes incluidas en esta ley son la Regla de seguridad de HIPAA y la Regla de privacidad
¿Qué es la regla de seguridad de HIPAA?
La Regla de seguridad de HIPAA se introdujo por primera vez en 1998 y ha pasado por varias enmiendas desde que se aprobó por primera vez.Cuando se redactó por primera vez, los teléfonos inteligentes modernos aún no estaban en el mercado y las primeras plataformas de redes sociales apenas estaban surgiendo en Internet.Con eso en mente, es comprensible que la lista de verificación de evaluación de riesgos de HIPAA se haya actualizado significativamente para mantenerse al día con la sociedad en constante evolución.A pesar de eso, la mayor parte del lenguaje original utilizado en la primera regla de seguridad de HIPAA se ha mantenido prácticamente igual a lo largo de los años.
¿Qué es la regla de privacidad de HIPAA?
La regla de privacidad se promulgó por primera vez en 2003A diferencia de la Regla de seguridad de HIPAA, que establece los estándares básicos de seguridad, la Regla de privacidad establece límites específicos con respecto al uso de información confidencial del paciente sin la autorización del paciente.La Regla de Privacidad es una parte esencial de HIPAA, ya que uno de sus propósitos principales es garantizar a los pacientes el derecho a obtener una copia de sus registros de salud y solicitar las correcciones necesarias.Con más de 400 páginas en el Registro Federal, ocupa un lugar destacado en la lista de verificación de evaluación de riesgos de HIPAA
¿A quién se aplica HIPAA?
HIPAA se aplica a todos los proveedores de atención médica, planes de salud y centros de información de atención médica si esas organizaciones envían información médica electrónicamente con transaccionesPara tener una comprensión completa de todos y todo lo que se incluye en estas tres categorías, examinemos cada una de ellas con más detalle:
- Proveedores de atención médica: hospitales, clínicas, médicos, dentistas, hogares de ancianos, farmacias, psicólogos y quiroprácticos
- Planes de salud: HMO, planes de salud de empresas, programas gubernamentales (imi, Medicare, Medicaid), seguro de salud y programas de salud para veteranos
- Centros de información de atención médica: entidades que procesan información de salud no estándar para organizaciones de atención médica
Cualquier organización que se encuentre en una de las categorías anteriores debe cumplir con la lista de verificación de reglas de cumplimiento de HIPAALas entidades cubiertas que no cumplan con la lista de verificación de HIPAA pueden enfrentarse a duras sanciones financieras y penales que pueden ascender a $250,000 y diez años de prisión.
Con todo esto dicho, es necesario tener en cuenta que no todas las organizaciones de atención médica están obligadas a cumplir con HIPAAEsta ley solo se aplica a las organizaciones que transfieren información de salud protegida para transacciones que el HHS ha adoptado estándaresEste es un aspecto vital de HIPAA, y todos los pacientes deben tenerlo en cuenta antes de compartir cualquier información personal o de salud confidencial.
Regla de notificación de infracción de HIPAA Tareas pendientes
La lista de verificación detallada de HIPAA incluye requisitos precisos de notificación de incumplimiento que las entidades cubiertas deben cumplir en caso de tal situaciónLa lista incluye las siguientes acciones:
- Aviso individual: la empresa debe notificar a todas las personas afectadas después del descubrimiento de una violación de información mal protegida.Estas notificaciones deben enviarse sin demoras injustificadas y a más tardar 60 días después del descubrimiento de una infracción.El aviso individual también presenta un conjunto de opciones de protección del usuario, incluido un teléfono gratuito donde las personas pueden obtener información útil y consejos sobre qué hacer para evitar cualquier daño potencial adicional.
- Aviso a los medios: las entidades cubiertas que enfrentan una infracción que afecta a más de 500 residentes de una sola jurisdicción o estado también deben proporcionar una notificación a los medios de comunicación destacados que operan en esa jurisdicción o estado.Al igual que la notificación anterior, la notificación a los medios de comunicación debe realizarse en un plazo razonable, no mayor a 60 días.
- Aviso al Secretario: además de los dos primeros requisitos de notificaciones pendientes, las entidades cubiertas también deben notificar al Secretario las infracciones de la información de salud protegida no segura.Si un incumplimiento afecta a más de 500 personas, la entidad cubierta debe notificar al Secretario dentro de los 60 días.Sin embargo, si el incumplimiento afecta a menos de 500 personas, la entidad cubierta puede notificar al Secretario anualmente
Requisitos de cumplimiento de HIPAA
Ya hemos establecido que la Ley de Portabilidad y Responsabilidad de los Seguros Médicos define con precisión los estándares de protección para la información confidencial del paciente.Además de la Regla de seguridad de HIPAA y la Regla de privacidad, HIPAA también estableció un conjunto de pautas de seguridad con respecto a datos específicos de pacientes que se conservan o transfieren en formato electrónico.Naturalmente, dichos estándares vienen con seguridad física, técnica y administrativa que toda empresa debe seguir para cumplir con HIPAA.
Estándares técnicos
Según la información oficial proporcionada por la HIPAA, los estándares técnicos son la tecnología y las políticas establecidas para proteger y administrar el acceso a los datos confidenciales de los pacientes.En otras palabras, obliga a la entidad sujeta a implementar todas y cada una de las medidas necesarias que le permitan mantener estándares de seguridad razonables y adecuados.Los legisladores han enfatizado intencionalmente la parte “razonable y apropiada” de esta norma, ya que permite que cada organización de salud establezca un mecanismo de seguridad de acuerdo con su base de datos, presupuesto y complejidad de los datos en sí.
Estándares físicos
Las medidas de seguridad físicas incluyen todas las medidas físicas, los procedimientos y las políticas para proteger los sistemas electrónicos de intrusiones físicas no autorizadas y peligros ambientales y naturales.Involucra todo, desde la oficina de la empresa hasta el almacenamiento físico separado o los dispositivos de los empleados que contienen información confidencial que requiere un almacenamiento adecuado.Si bien no son tan sofisticados como los estándares de seguridad técnica y administrativa, las salvaguardas físicas son medidas de seguridad necesarias que toda organización debe tener implementadas.
Estándares Administrativos
Así como las salvaguardas técnicas protegen el control y gestionan el acceso a la información sensible, las salvaguardas administrativas se establecen para gestionar la fuerza laboral de la organización en relación con la protección de dicha información.Significa que cada entidad cubierta debe implementar pautas y políticas que ayuden a los empleados a usar y administrar la información de salud de manera adecuada.Para ampliar un poco esto, los estándares administrativos estipulan que cada organización debe realizar y monitorear adecuadamente la delegación de responsabilidad, los requisitos de capacitación de los empleados y documentar todas las decisiones.
Cómo lograr el cumplimiento de HIPAA
La verdad es que no hay consejos internos específicos que puedan ayudar a una empresa a aprobar la lista de verificación de auditoría de HIPAA sin realizar todo el trabajo necesarioEl cumplimiento de HIPAA requiere que una entidad cubierta (la empresa) garantice la máxima confidencialidad, integridad y disponibilidad de la información de salud protegida y desarrolle procedimientos y políticas de protección según la lista de verificación de HIPAA
Para lograr cumplimiento de HIPAA, la empresa debe estudiar y aplicar cada regla condensada en las 115 páginas de HIPAADado que un procedimiento tan detallado puede tener un efecto desalentador en la mayoría de los proveedores, la mayoría de las empresas deciden cooperar con empresas de cumplimiento de TI de HIPAA de terceros que pueden ayudarlas a implementar todos los las políticas requeridas apropiadamente
Hideez Enterprise Solution for Healthcare es un paso simple para cumplir con HIPAAElimina el riesgo de ataques de phishing, cifra las credenciales y las hace invisibles para los empleados que lo protegen de una divulgación accidentalLa solución Hideez permite el bloqueo y desbloqueo continuo de computadoras por proximidad, lo cual es especialmente útil en un entorno con varias computadoras compartidas
Cómo cumplir con HIPAA
Con solo hacer una simple búsqueda en línea, puede encontrar docenas de resultados sobre cómo mantenerse en línea con la legislación establecida por HIPAA.No hace falta decir que no todos pueden garantizar que aprobará el informe de cumplimiento de HIPAA y mantendrá un estado de cumplimiento de HIPAAHabiendo dicho eso, aquí hay tres métodos seguros para llevar a cabo:
- Análisis de riesgo periódico
- Documentación de cumplimiento detallada
- Personal altamente capacitado
Violaciones de Leyes de cumplimiento de HIPAA
Ahora que comprendemos las reglas básicas de cumplimiento de HIPAA y las medidas más importantes que se deben implementar para cumplir, echemos un vistazo a algunas de las causas más comunes del cumplimiento de HIPAA violacionesHay cientos de posibilidades en las que se pueden violar las reglas de datos compatibles con HIPAA, pero las más comunes son:
- Falta al realizar un análisis de riesgos de toda la empresa
- Fracaso en la gestión de riesgos de seguridad
- Fisgonear en registros médicos privados
- Divulgaciones de información de salud protegida
- Negar a las personas el acceso a sus registros médicos
- Falta para documentar los esfuerzos de cumplimiento
- No proporcionar suficiente capacitación sobre HIPAA
Por supuesto, para ser completamente transparentes, debemos mencionar que algunas violaciones del cumplimiento de la privacidad de HIPAA provienen de ofensas accidentales.
Sin embargo, la ignorancia y los delitos accidentales aún requieren ciertas acciones correctivas contra la empresa, aunque probablemente sin sanciones financieras significativas.Además, también queremos mencionar que HIPAA no se adelanta a la ley estatal.La única excepción cuando este es el caso es en circunstancias en que las regulaciones de un estado son más débiles que las de la lista de verificación de HIPAA
