¿Qué es HIPAA? El Alcance, Propósito y Cómo Cumplir

10.02.2024 twitter X safetica

La Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) de 1996 es la ley federal que creó estándares nacionales para proteger la información médica confidencial del paciente para que no se divulgue sin el conocimiento o consentimiento del paciente. Lea más sobre esta regulación estadounidense y descubra cómo cumplirla.

En este artículo aprenderás: 

    what is HIPAA

    ¿Qué es la HIPAA?

    La Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) tenía como objetivo principal resolver la cobertura de seguro para las personas que se encuentran entre trabajos. Sin esta ley, los empleados habrían corrido el riesgo de perder su cobertura de seguro durante el período entre trabajos.

    Otro objetivo era garantizar que todos los datos estén adecuadamente protegidos y que ninguna persona no autorizada pueda acceder a los datos de atención médica.

    HIPAA se aplica en los Estados Unidos y está regulada por la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos. 

    HIPAA compliance

    Propósito de HIPAA

    La HIPAA se creó para modernizar el flujo de información de atención médica y garantizar que la información de identificación personal recopilada en las compañías de atención médica y de seguros esté protegida contra fraude y robo, y no pueda divulgarse sin consentimiento.

    La información de atención médica de los pacientes se trata con mayor sensibilidad y varios proveedores de atención médica pueden acceder a ella rápidamente. Las regulaciones de HIPAA requieren que los registros estén mejor asegurados y protegidos contra fugas. HIPAA Journal , una excelente fuente de información sobre cumplimiento y regulaciones de HIPAA, tiene una lista de verificación completa para las empresas durante su camino hacia el cumplimiento. 

    ¿Qué es PHI?

    Cualquier empresa o individuo que trabaje con información médica protegida (PHI) debe cumplir con HIPAA. La PHI se crea cuando cualquier dato de salud se combina con información de identificación personal, como la siguiente:

    • Nombres 
    • Identificadores geográficos 
    • Números de teléfono y fax 
    • Correos electrónicos 
    • Números de registros médicos 
    • Números de cuenta 
    • Información del vehículo 
    • URL del sitio web 
    • Huellas dactilares, de retina y de voz. 
    • Números de seguridad social 
    • Números de beneficiarios del seguro médico 
    • Números de certificado y licencia 
    • Información del dispositivo, direcciones IP. 
    • Fotografías de rostro completo 

    HIPAA privacy rule

    El alcance HIPAA

    Hay varias entidades que trabajan regularmente con Información de Salud Protegida y por lo tanto deben seguir la Ley de Responsabilidad y Portabilidad del Seguro Médico: 

    • Proveedores de servicios de salud 
    • Planes de salud 
    • Cámaras de compensación de atención médica 
    • Socios de negocio 

      Reglas HIPAA

      HIPAA consta de las siguientes reglas: 

      • Regla de privacidad 
      • Regla de seguridad 
      • Regla de notificación de incumplimiento 
      • Regla general 
      • Regla de cumplimiento 


      Regla de privacidad HIPAA 

      La Regla de Privacidad define cómo, cuándo y bajo qué circunstancias se puede utilizar y divulgar la PHI. Sin el consentimiento previo del paciente, el uso de información sobre el paciente es limitado. Los pacientes y sus representantes pueden obtener una copia de sus registros médicos y solicitar correcciones en caso de errores.

      Regla de seguridad HIPAA 

      La Regla de Seguridad establece estándares para proteger la ePHI. Cualquier persona que trabaje con ePHI debe seguir la regla de seguridad. Los funcionarios de seguridad y los funcionarios de privacidad deben realizar evaluaciones de riesgos y auditorías para identificar cualquier amenaza a la integridad de la PHI.

      Regla de notificación de incumplimiento 

      Se debe notificar al Departamento de Salud y Servicios Humanos en caso de una violación de datos, al igual que las personas afectadas. Si más de quinientos pacientes en una jurisdicción particular se ven afectados, se debe emitir un comunicado de prensa en un medio de comunicación que cubra el área.

      Regla general 

      La Regla Ómnibus es parte de la Ley HITECH (Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica) que entró en vigor en 2009 y fue creada para fomentar el uso de registros médicos electrónicos por parte de los proveedores de atención médica.

      La Regla Ómnibus prohíbe el uso de PHI con fines de marketing o recaudación de fondos sin autorización.

      Regla de cumplimiento 

      La Regla de Ejecución trata de determinar la multa apropiada cuando ocurre una infracción. La multa puede ser menor en caso de negligencia, pero si la infracción se debe a negligencia intencional puede ser mucho mayor. 

        Los derechos de los Individuos

        Dentro de la Regla de Privacidad de HIPAA, las personas tienen el derecho legal de ver y recibir copias de información médica.  

        Los individuos tienen derecho a: 

        • Acceder a la PHI 
        • Modificar la PHI 
        • Solicitar restricción sobre quién usa la PHI y cómo se divulga
        • Solicitar comunicaciones confidenciales 
        • Solicitar contabilidad de divulgaciones 
        • Presentar una queja 

        Si bien los pacientes tienen derecho a acceder a sus registros, algunos tipos de información están excluidos del Derecho de Acceso. Se excluye la siguiente información:

        La información excluida es la siguiente: 

        • Registros de evaluación o mejora de la calidad. 
        • Registros de actividades de seguridad
        • Registros comerciales y de gestión. 
        • Notas de psicoterapia 
        • Información recopilada para su uso en acciones o procedimientos civiles, penales o administrativos. 

          Violaciones HIPAA

          Una infracción de HIPAA ocurre cuando una entidad de HIPAA o un socio comercial no cumple con cualquiera de las Reglas de HIPAA. Las sanciones por violaciones de HIPAA las emiten la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos y los fiscales generales estatales. HIPAA utiliza cuatro categorías de sanciones:

          • Nivel 1: falta de conocimiento 

          La entidad no tuvo conocimiento de la violación; por lo tanto, no podría haberse evitado. La multa por dicha infracción es de $120 a $30,113.

          • Nivel 2: causa razonable 

          La entidad debería haber sido consciente de la infracción, sin embargo, no podría haberla evitado. La multa por dicha infracción es de $1,205 a $60,226. 

          • Nivel 3: Negligencia intencional 

          La entidad ignoró intencionadamente las normas HIPAA, pero intentó corregir la infracción. La multa por dicha infracción es de $12,045 a $60,226.

          • Nivel 4: Negligencia intencional y no corregida 

          La entidad descuidó intencionalmente las reglas HIPAA y no hizo ningún intento de corregir la infracción. La multa por dicha infracción es de $60,226 a $1,806,757.

          Riesgos más comunes de HIPAA


          verified_user 

          Mantener registros no seguros 

          Los empleados dejan documentos confidenciales en sus escritorios o no usan contraseñas para acceder a datos digitales. Asegúrese de que el espacio de trabajo esté seguro y que se utilicen contraseñas en su empresa.

          no_encryption 

          Datos no cifrados 

          HIPAA no exige el cifrado de sus datos, pero es muy recomendable. Incluso si se filtran datos, cuando están cifrados no se puede acceder a ellos sin autorización.

          phishing 

          Campañas de hacking o phishing 

          Mantenga actualizado su software antivirus, cambie periódicamente las contraseñas y utilice una solución DLP para proteger sus datos contra fugas.

          laptop_mac 

          Pérdida o robo de dispositivos 

          Los dispositivos valiosos se pueden perder en un abrir y cerrar de ojos. Cifre sus datos, de modo que incluso si se pierde un dispositivo, nadie no autorizado pueda acceder a él.

          group 

          Compartir PHI 

          Tenga siempre en cuenta que a la gente le gusta hablar. Muy a menudo los empleados ni siquiera se dan cuenta de que han estado compartiendo información confidencial entre ellos. Infórmeles sobre el manejo de datos confidenciales y asegúrese de que solo las personas autorizadas puedan acceder a los datos. 

          school 

          Falta de formación de los empleados 

          Es posible que los empleados ni siquiera se den cuenta de que han estado trabajando con PHI y la infracción puede ser perjudicial tanto para la empresa como para los pacientes. Infórmeles periódicamente y asegúrese de que comprendan qué son la PHI y la HIPAA, así como las consecuencias de su infracción.

          login 

          Acceso no autorizado 

          Los empleados que no están autorizados a procesar información confidencial aún pueden acceder a ella y revisar los documentos. Establezca las políticas de seguridad adecuadas y asegúrese de que sus empleados las conozcan.

          Amenazas Internas en el sector salud

          Como puede ver arriba, las infracciones a menudo se deben a errores cometidos por los empleados, ya sea que pierdan un dispositivo, hagan clic en una campaña de phishing o simplemente hablen con sus colegas sobre los pacientes. Las violaciones de HIPAA pueden ocurrir fácilmente. Las amenazas internas pueden ser involuntarias o maliciosas. Sin embargo, el 56% de los incidentes de amenazas internas son causados ​​por empleados negligentes.

          Y según Ponemon Institute, el costo total promedio de una filtración de datos para las empresas de atención médica aumentó un 29% a 9,23 millones de dólares. La salud y la farmacéutica se encuentran entre las industrias con los costos anuales más altos por amenazas internas, más de 10 millones de dólares al año (Ponemon Institute, 2022). 

          ¿Cómo proteger los datos para el cumplimiento de la HIPAA?

            1. Adopte políticas de seguridad y defina empleados autorizados para acceder a su PHI 
            2. Utilice una solución DLP para proteger sus datos contra amenazas internas y hacer cumplir las políticas de seguridad. 
            3. Educa a tus empleados periódicamente 
            4. Asegure su lugar de trabajo, adopte políticas sobre cómo trabajar con documentos confidenciales


            Hablemos

            ¿Cómo Safetica protege sus datos para cunplir con la HIPAA?

            1. Safetica cifra sus datos y los mantiene protegidos en caso de pérdida o robo del dispositivo. 
            2. Safetica es una solución DLP que protege sus datos contra amenazas internas . Defina qué operaciones pueden ser riesgosas y bloquéelas o haga que Safetica le notifique a usted y a sus empleados sobre riesgos potenciales.
            3. Con Safetica es fácil adoptar políticas de seguridad y definir empleados autorizados que pueden trabajar con PHI. Puede configurar sus políticas de seguridad y controlar si los datos confidenciales de su empresa se están utilizando de forma indebida y permitir que solo personas autorizadas accedan a ellos.
            4. Eduque a sus empleados de forma regular. Safetica notifica a tus empleados en caso de operaciones de riesgo, para que estén más conscientes de la seguridad de los datos .
            5. Asegure su lugar de trabajo y adopte políticas sobre cómo trabajar con documentos confidenciales. Safetica realiza auditorías de seguridad y le proporciona informes periódicos que le permiten ajustar sus políticas de seguridad .

            HIPAA compliance

            Historias de clientes:
            Cómo Safetica ayuda en el sector salud

            Clínica Gy ncentrum protege los datos sensibles de sus clientes con Safetica 

            Nuestro personal, tanto administrativo como médico, tiene acceso a los datos sensibles de nuestros pacientes diariamente. Se trata de información personal y médica, resultados de exámenes y evaluaciones psicológicas. Gracias a Safetica puedo, como responsable de protección de datos de la clínica, decidir quién tiene acceso, cómo se tratan los datos y si se pueden compartir con terceros o no. Se informan las actividades de los empleados y se protegen los datos de los pacientes. 

            Así lo afirma Paweł Czerwiński, propietario de Gyncentrum.

            Autor
            Kristýna Svobodová
            Content Strategist @Safetica

            Próximos artículos

            Cumplimiento Normativo

            Cómo Safetica ayuda a cumplir con Leyes similares a la GDPR en Latinoamérica

            En un mundo cada vez más digitalizado, la protección de datos personales se ha convertido en una prioridad para empresas y gobiernos en todo el mundo. En Latinoamérica, países como Brasil, Colombia, México, Chile y Ecuador han adoptado leyes similares a la GDPR.
            Leer más
            Cumplimiento Normativo Blog

            Regulaciones de datos en todo el mundo

            Vea una lista de algunas de las principales regulaciones de protección de datos, marcos de seguridad cibernética y estándares de seguridad de datos específicos de la industria de diferentes rincones del mundo.
            Leer más
            Cumplimiento Normativo Blog

            ISO/IEC 27001: Alcance, propósito y cómo cumplir

            Seguir la norma internacional ISO/IEC 27001 significa configurar su organización con un sistema de gestión de seguridad de la información (SGSI) eficaz.
            Leer más