Regulations

Privacidad y seguridad de datos en el sector sanitario. ¿Quién debe cumplir con la HIPAA?

La Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) es uno de los documentos clave para todos los CISO que trabajan en el cuidado de la salud. Escrito hace...

Updated ·6 min read· Denis ZaliznyakWritten by Denis Zaliznyak
data protection in healthcare hippa

Who needs to comply with HIPAA

 

La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) es uno de los documentos clave para todos los CISO que trabajan en el cuidado de la salud.Escrito hace más de 20 años, mucho antes de que se inventaran los teléfonos inteligentes, WiFi o Google, todavía regula la seguridad de la información de atención médica en la industria.Conozca cómo se aplica hoy en día para garantizar una atención médica segura

¿Por qué es importante la seguridad de los datos en el cuidado de la salud?

NombreDIRECCIÓNidentificacionesrecetasFotos

Es solo una fracción de los datos que las organizaciones de atención médica tenían, tienen y tendrán sobre sus clientesEl acceso no autorizado a dicha información puede tener consecuencias graves para la persona revelada.Pueden enfrentar robo de identidad, fraude, robo de dinero, así como daño moralLa investigación encontró que los registros de salud de las violaciones de datos del hospital pueden costar cientos de dólares cada uno en un mercado negro.

Para una organización de atención médica, hay mucho en juego cuando se trata de problemas de seguridad de datos de pacientes.Las brechas de seguridad en el cuidado de la salud generan gastos en expertos forenses independientes, investigación interna, comunicación con empleados y clientes, acuerdos, multas y, en última instancia, daños a la reputación y pérdida de confianza del cliente que afectan las ganancias a largo plazo de la organización.

Es por eso que un rol de CISO es de suma importancia en el negocio de la saludEs su trabajo desarrollar un sistema que mitigue adecuadamente los riesgos y proteja contra las amenazas anticipadas. 

¿Qué es la seguridad de datos para PHI?

HIPAA garantiza la seguridad de los datos de salud (PHI) que regula cómo una entidad cubierta por HIPAA (un proveedor de atención médica, un plan de salud o aseguradora de salud, una cámara de compensación de atención médica) la usa, la mantiene, la almacena o la transmite. socio comercial de dicha entidad

PHI significa Información de Salud Protegida, y bajo HIPAA, cubre cualquier información relacionada con el estado de salud de un individuoIncluye registros médicos, historiales de salud, resultados de pruebas de laboratorio y facturas médicas.La PHI está protegida independientemente de la forma que adopte, incluidos los registros físicos, los registros electrónicos o la información hablada.Una vez que la información de salud incluye identificadores individuales, se convierte en PHI y está protegida por la HIPAA
Hay 18 identificadores PHI:
  • Nombre
  • Dirección (incluidas las subdivisiones más pequeñas que un estado, como una dirección, una ciudad, un condado o un código postal)
  • Cualquier fecha (excepto años) que esté directamente relacionada con un individuoIncluye cumpleaños, fecha de ingreso o alta, fecha de muerte o la edad exacta
  • Número de teléfono
  • Número de fax
  • Dirección de correo electrónico
  • Número de Seguro Social
  • Número de registro médico
  • Número de beneficiario del plan de salud
  • Número de cuenta
  • Número de certificado/licencia
  • Identificadores de vehículos, números de serie o números de matrículas
  • Identificadores de dispositivos o números de serie
  • URL web
  • Dirección IP
  • Identificadores biométricos como huellas dactilares o de voz
  • Fotos de cara completa
  • Cualquier otro número, característica o código de identificación único

Las entidades cubiertas por HIPAA y sus socios comerciales deben cumplir con los requisitos de confidencialidad, integridad y disponibilidad para la PHI electrónica (ePHI)La confidencialidad es mantener que la ePHI no se divulgue ilegalmente sin la debida autorización del pacienteLa integridad es garantizar que la ePHI transferida o mantenida por una organización de atención médica solo pueda ser accedida por las partes apropiadas y autorizadas.La disponibilidad permite a los pacientes acceder a su ePHI bajo los estándares de seguridad de HIPAA

Una línea entre PHI y no PHI

A menudo se cree que toda la información de salud se considera PHI según HIPAA, pero hay algunas excepciones.

HIPAA solo se aplica a las entidades cubiertas y sus socios comercialesSignifica que si la información de salud no se comparte con dichas entidades, no se considera PHI.

Tomemos como ejemplo los rastreadores de salud (ya sea una aplicación portátil o móvil) que registran información de salud como la frecuencia cardíaca o la presión arterial.A menos que el fabricante del dispositivo o el desarrollador de la aplicación comparta estos datos con una entidad cubierta por HIPAA, no se considera PHI según HIPAA.

HIPAA no se aplica a los registros de educación o empleoUn hospital puede tener datos sobre sus empleados, que pueden incluir información de salud como alergias o tipo de sangre, pero no se clasifican como PHI.

Si se elimina la PHI de todos los identificadores que pueden vincularla a una persona, se convierte en PHI anonimizada y las reglas de la HIPAA ya no se aplican

¿Qué es una violación de datos en el sector de la salud?

La filtración de datos en el cuidado de la salud significa que uno o más registros corren el riesgo de quedar expuestos o se sabe que se accedió o divulgó sin autorización.El acceso potencial a los datos también cuenta como una violación de la seguridad de los datos.

Las infracciones de seguridad de grandes datos ocurren cada año y afectan incluso a las empresas de atención médica más grandes.Un solo ataque a la American Medical Collection Agency afectó a 25 millones de pacientes

La investigación muestra que el ransomware y los ataques de inyección SQL son la causa más común de una violación de datos de atención médica.Suelen ocurrir cuando los empleados estresados ​​o desprevenidos no logran identificar correos electrónicos, sitios web o software maliciosos.

Otro desafío común es el cumplimiento de la política de autenticación de usuarios.Los profesionales de la salud usan múltiples estaciones de trabajo compartidas, lo que a menudo puede conducir a la divulgación involuntaria de información.La seguridad de los datos de atención médica no es, y no debería ser, su prioridad número unoEl trabajo del CISO es proporcionar una solución de administración de acceso que sea segura y fácil para los usuarios finales.

Solución para atención médica segura

Hideez desarrolló una solución de autenticación de primer nivel específicamente para la industria de la saludGarantiza la seguridad de los datos del paciente en un entorno potencialmente riesgoso de computadoras compartidas a las que acceden múltiples usuarios simultáneos.

Una función de administrador de contraseñas integrada en una Hideez Enterprise Solution protege a los usuarios de los ataques de phishing al proporcionar contraseñas solo para dominios de confianza.La llave también ofrece una capa adicional de personificación y controles de proximidad inalámbricos avanzados que hacen que la protección de datos en el cuidado de la salud sea más factible.Las computadoras desatendidas son uno de los desafíos más difíciles que los CISO deben abordar bajo HIPAA en la industria de la saludTodo se reduce a un factor humano, y un simple tiempo de espera no es suficiente.

Con los controles de proximidad, tiene una manera elegante de bloquear la computadora una vez que ya no está en usoUn profesional de la salud solo necesita hacer tres o cuatro pasos para alejarse de la computadora para que se bloquee automáticamente.Elimine la carga cognitiva de seguridad de datos de los profesionales médicosSimplemente use la solución Hideez para liberar a sus colegas de las contraseñas y ahorrarles tiempo