¿Qué es el cumplimiento de la HIPAA?
La Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) de 1996 cubre todas las entidades sanitarias estadounidenses que manejan información electrónica sobre la salud de los pacientes (ePHI). El Las normas de cumplimiento de la HIPAA son estrictas y exigen la observancia de varias salvaguardias técnicas, administrativas, físicas y de privacidad, todas ellas aplicadas por el Departamento de Salud y Servicios Humanos de EE.UU. (HHS).
Computación en la nube que cumple con la HIPAA
La computación en la nube que cumple con la HIPAA crea un conjunto único de desafíos para las organizaciones sanitarias estadounidenses, y muchos profesionales médicos optan por externalizar esta responsabilidad a un socio de alojamiento en la nube.
El cumplimiento estricto de las normas de seguridad y privacidad de la HIPAA es obligatorio, y un Acuerdo de Asociado Comercial (BAA) firmado por todas las entidades.
Salvaguardias técnicas
Se centran en la aplicación de controles de la infraestructura de la nube para proteger la información médica electrónica. Los requisitos obligatorios incluyen controles de acceso para los usuarios aprobados de la plataforma, utilizando nombres de usuario únicos y aplicando una fuerte política de contraseñas se espera, utilizando La autenticación multifactorial (MFA) y las listas de control de acceso son muy recomendables.
Toda la ePHI debe estar encriptada en tránsito (red) y en reposo (almacenamiento), utilizando como mínimo el estándar de encriptación AES256. Hay muchos controles de auditoría necesarios para cualquier hardware, software o infraestructura que procese ePHI. Es necesario habilitar funciones como el registro mejorado, la auditoría del acceso de los usuarios, la auditoría de los permisos y el uso del sistema.
Toda la infraestructura de la nube debe cumplir con los niveles adecuados de actualizaciones de seguridad de firmware y software (parches). Este enfoque limita la exposición de los servicios de computación en nube a las vulnerabilidades del sistema operativo y a las violaciones de datos.
Todas las entidades de la BAA tienen la responsabilidad de proteger la integridad de los datos de la ePHI. Los controles técnicos de los datos garantizan que no se acceda a ellos, se alteren o se destruyan de forma no autorizada. Las plataformas de gestión de eventos de seguridad de la información (SIEM) están configuradas para auditar y alertar sobre cualquier cambio realizado en la información electrónica, las alertas son supervisadas y escaladas según sea necesario.
Salvaguardias físicas
Se han establecido salvaguardias físicas para todas las entidades de la BAA, específicamente en relación con las instalaciones físicas (edificios), el uso de los puestos de trabajo y la etiqueta de los dispositivos electrónicos. Los controles de los edificios se implementan para auditar el acceso de los empleados a los edificios, las salas de servidores y las instalaciones que albergan la ePHI. El objetivo principal es evitar la manipulación o el robo de los datos de la ePHI. Cualquier acceso puede ser rastreado y denunciado las 24 horas del día.
También incluye la creación y prueba de una estrategia de recuperación de desastres (DR), cuyo objetivo principal es ser capaz de restaurar el acceso a la ePHI en caso de un incidente grave. Los escenarios más comunes incluyen el acceso a un centro de control de RD alternativo y una solución técnica de RD alojada en otras instalaciones.
Cualquier persona o entidad que realice funciones o actividades en nombre de una entidad cubierta que requiera que el asociado comercial acceda a la información médica protegida se considera un asociado comercial, según el HHS. Esta persona u organización también puede prestar servicios a una entidad cubierta. Algunos ejemplos son un consultor que realiza revisiones de utilización de hospitales o un abogado que tiene acceso a la PHI cuando presta servicios legales a un proveedor de servicios sanitarios.
Health IT Security
La etiqueta de los dispositivos es un requisito exigente, pero obligatorio, de la HIPAA; incluye cualquier dispositivo digital, estación de trabajo/servidor y medios digitales. Todos los terminales informáticos están protegidos de serie con medidas que incluyen pantallas de bloqueo automatizadas y software para impedir la copia de datos desde un USB.
Se establecen controles adicionales sobre cómo se hace la copia de seguridad de la infraestructura de computación en la nube, incluidas las políticas de retención de datos, los requisitos de replicación y la redundancia de hardware. Existen normas adicionales que regulan la forma de destruir los datos y los soportes, normalmente mediante una destrucción certificada.
Garantías administrativas
Son las políticas y procedimientos que rigen la conducta del personal de la entidad BAA. Los requisitos incluyen medidas para llevar a cabo una evaluación de riesgos, la gestión de riesgos y la aplicación de informes y planes de contingencia.
Cada entidad de la BAA asigna funcionarios dedicados a la HIPAA, estos empleados supervisan todo el panorama de cumplimiento. Garantizar que todos los procesos acordados se documenten y se revisen continuamente. Se completan otras tareas como la elaboración de informes, la gestión de contraseñas, la supervisión de los inicios de sesión y la asignación de horarios de formación.
Las entidades de la BAA deben saber qué información electrónica se conserva y dónde reside la información electrónica en la infraestructura. Los usuarios deben tener un acceso adecuado a la ePHI para realizar su trabajo, pero el acceso requiere un control y una supervisión. Los derechos de acceso deben concederse siempre siguiendo el principio del mínimo privilegio.
Privacidad y aplicación de la ley
Las normas de privacidad y aplicación son el pegamento que une la legislación de la HIPAA. La norma de privacidad define cómo puede ser procesada, utilizada o divulgada la ePHI por todas las entidades del BAA. La norma de privacidad sustenta muchas de las salvaguardias administrativas mencionadas anteriormente, que conforman la política de privacidad preeminente.
¿Qué es la información sanitaria protegida?
La PHI se refiere a todo lo relacionado con la salud, el tratamiento o la facturación. Es cualquier cosa que pueda identificar a un paciente, incluyendo:
- Nombre
- Fechas (por ejemplo, fecha de nacimiento, fecha de tratamiento)
- Ubicación (dirección, código postal, etc.)
- Números de contacto (número de teléfono, fax, etc.)
- Información de contacto en la web (correo electrónico, URL o IP)
- Números de identificación (seguridad social, licencia, cuenta médica, VIN, etc.)
- Información sobre la identidad física (foto, huellas dactilares, etc.)
Los pacientes tienen derecho a ver la información sanitaria que se guarda sobre ellos, y el personal recibe formación sobre la política de privacidad, con medidas establecidas para mitigar las infracciones de la norma, como los procedimientos de despido. Todas las entidades de la BAA tienen la responsabilidad de garantizar que no se produzcan divulgaciones de la información de salud electrónica; sin embargo, si se producen infracciones, hay que seguir un estricto proceso de infracción.
Si cualquier empleado de una empresa viola las estipulaciones de la HIPAA, incluso sin querer, la empresa puede ser multada con hasta 1,5 millones de dólares (el tope anual por empresa). Algunas de las infracciones más comunes son la falta de información en la ePHI, la negligencia de las entidades a la hora de firmar el BAA, el uso de ordenadores portátiles para almacenar la ePHI y el hecho de tirar documentos sanitarios confidenciales. Nuestra guía de violaciones de la HIPAA entra en detalles significativos sobre las violaciones y las prácticas de aplicación.
Cómo elegir un socio de alojamiento que cumpla con la HIPAA
Las consecuencias de violar la HIPAA pueden ser extremas. Aunque no te pongan una multa millonaria, no es una buena forma de gastar dinero; y no es divertido acabar en el Muro de la vergüenza de la HIPAA.
Por estas razones, es extraordinariamente importante elegir un socio tecnológico especializado en alojamiento sanitario y que esté certificado SOC 2 TIPO II y SOC 3 TIPO II y auditado por HIPAA y HITECH, como Atlantic.Net. Sus servidores en la nube SSD ofrecen una garantía de tiempo de actividad del 100% y se pueden poner en marcha en menos de 30 segundos, sólo dos de las muchas razones por las que se han ganado nuestra recomendación para la elección del número 1 para Alojamiento que cumple con la HIPAA.