Significado de la HIPAA
HIPAA es un acrónimo de la Ley de Portabilidad y Responsabilidad del Seguro Médico.
Esta ley estadounidense ha sido diseñada para proporcionar normas de privacidad para proteger los registros médicos de los pacientes. La información sanitaria que se proporciona a los planes de salud, hospitales, proveedores de atención sanitaria y médicos debe estar protegida por la HIPAA.
¿Qué es el cumplimiento de la HIPAA?
El cumplimiento de la HIPAA (Ley de Portabilidad y Responsabilidad de los Seguros Médicos) se adhiere a las salvaguardias físicas, administrativas y técnicas descritas en la HIPAA.
¿Cómo cumplir con la HIPAA?
Hay muchas cosas que hay que conseguir para cumplir con la HIPAA.
Desde su promulgación por el 104º Congreso de los Estados Unidos y su promulgación por el Presidente Bill Clinton el 21 de agosto de 1996, ha habido cuatro enmiendas importantes:
- La enmienda a la norma de seguridad (2003)
- La Enmienda a la Norma de Privacidad (2003)
- La norma de notificación de infracciones (2009)
- La regla final Omnibus (2013)
Lista de comprobación del cumplimiento de la HIPAA 2022: Normas de la HIPAA
Protecciones técnicas
- Encriptación de la red: Cualquier ePHI debe cumplir con las normas criptográficas del NIST siempre que se transmita por una red externa.
- Control/registro de acceso: Es necesario asignar a cada usuario un nombre de usuario y un código PIN únicos, controlados de forma centralizada. Se requiere un registro detallado para rastrear todos los accesos (e intentos) a la ePHI.
- Cierre de sesión automático: Los usuarios deben cerrar la sesión después de un tiempo específico que se recomienda entre 30 segundos y 3 minutos.
Protecciones físicas
- Controlar el acceso: Las personas que tienen acceso físico al almacenamiento de datos deben ser cuidadosamente controladas. Hay que tomar medidas razonables para bloquear la entrada no autorizada.
- Gestionar los puestos de trabajo: Es necesario redactar una política que describa qué puestos de trabajo pueden tener acceso a los datos sanitarios y cuáles están limitados. Debe describir cómo debe protegerse una pantalla contra las fiestas y el uso adecuado del puesto de trabajo.
- Proteger y rastrear: Si un dispositivo móvil está en uso por un usuario y luego se pasa a otro, es necesario escribir una política de dispositivos móviles que elimine los datos antes de que un dispositivo se entregue a otro usuario.
Protecciones administrativas
- Evaluaciones de riesgo: Debe completarse una evaluación de riesgos exhaustiva para todos los datos sanitarios.
- Formar al personal: Todos los empleados deben recibir formación sobre todos los protocolos de acceso a la ePHI y entender cómo identificar y reconocer posibles amenazas de ciberseguridad como los ataques de phishing. Todas las sesiones de formación deben ser registradas y conservadas.
- Construir contingencias: La continuidad de la empresa debe lograrse mediante la preparación de procesos para mantener la seguridad de los datos.
- Bloquear el acceso: Compruebe que los subcontratistas y otras partes no han recibido acceso y no pueden ver la ePHI. Se deben firmar acuerdos comerciales con todos los socios.
- Documentar los incidentes de seguridad: Cualquier incidente de seguridad debe ser reconocido por el personal, y éste debe informar de los sucesos.
Norma de privacidad de la HIPAA
- Responder a las solicitudes: Las solicitudes de acceso de los pacientes deben ser respondidas en un plazo de 30 días.
- Informar a los pacientes: Un NPP está obligado a informar a los pacientes de las políticas de intercambio de datos.
- Formar al personal: Todo el personal debe recibir formación en materia de privacidad y debe entender qué puede y qué no puede compartirse interna o externamente.
- Integridad de la ePHI: Deben tomarse las medidas apropiadas para mantener la integridad de la ePHI y los identificadores personales individuales de los pacientes.
- Permiso para utilizar la ePHI: El paciente debe conceder el permiso para utilizar la IPS electrónica redactada con fines de investigación o comercialización.
- Actualización de formularios/copia: Los formularios de autorización deben incluir una referencia a los cambios en el tratamiento de las vacunas escolares, la restricción de la ePHI con respecto al cierre de los planes de salud, y los derechos del paciente a sus registros electrónicos.
Norma de notificación de infracciones de la HIPAA
- Notificar a los pacientes: Los pacientes y el departamento de HHS deben ser informados de cualquier violación de la ePHI. Si se han violado los registros de más de 500 personas, se debe notificar a los medios de comunicación. Si la infracción es inferior a 500, debe presentarse un formulario de piratería informática a pequeña escala a través del sitio web de la OCR. Todas las notificaciones deben realizarse en un plazo de 60 días tras ser descubiertas.
- 4 elementos: Los mensajes de notificación de violaciones deben contener cuatro elementos que incluyen: Una descripción de la ePHI y de los identificadores personales involucrados en la violación, quién obtuvo acceso no autorizado, si los detalles fueron vistos o adquiridos, y el grado en que la mitigación del riesgo ha sido exitosa.
Regla Omnibus de la HIPAA
- Actualizar los acuerdos de asociación empresarial: debe actualizar sus acuerdos de asociación empresarial (Business Associate Agreements, BAA) para reflejar los cambios de la norma Omnibus.
- Envíe nuevas copias: Deben enviarse y firmarse nuevas copias del BAA para seguir cumpliendo la normativa.
- Actualizar la política de privacidad: Las políticas de privacidad deben actualizarse para reflejar los cambios de la norma Omnibus.
- Modernizar los NPPS: La revista HIPAA aconseja que “los NPPS deben actualizarse para cubrir los tipos de información que requieren una autorización, el derecho a excluirse de la correspondencia con fines de recaudación de fondos y deben tener en cuenta los nuevos requisitos de notificación de infracciones”.
- Formar al personal: Todo el personal debe conocer la norma Omnibus mediante una formación exhaustiva.
Los servicios sanitarios de Estados Unidos tienen algunos de los requisitos normativos más rigurosos del mundo. La información sanitaria electrónica de los pacientes (ePHI) está protegida por la legislación introducida en la Ley de Portabilidad y Responsabilidad de los Seguros Médicos de 1996. La HIPAA y las subsiguientes enmiendas a la Regla de Seguridad y a la Regla de Privacidad promulgan estrictas medidas de control sobre la ePHI.
En consecuencia, la legislación de la HIPAA exige que se establezcan varias salvaguardias físicas, administrativas y técnicas antes de alojar la ePHI. Estas medidas han dado lugar a que muchos profesionales de la salud subcontraten servicios de TI a proveedores de alojamiento que cumplen con la HIPAA, muchos de ellos con el objetivo de acelerar la transformación digital y mejorar las capacidades de colaboración del VPS en la nube.
La sanidad y la computación VPS en la nube tienen una sinergia dinámica y un potencial realmente innovador. Es posible que una legislación estricta haya frenado la adopción de los servicios de VPS en la nube en el pasado. Sin embargo, hoy en día, la integración de la sanidad en la nube está creciendo a un ritmo considerable.
¿Qué debe buscar al elegir su proveedor de alojamiento HIPAA? Estas son nuestras observaciones sobre los motivos por los que las organizaciones sanitarias están haciendo la transición a la nube.
1. Seguridad
La legislación HIPAA se basa en las mejores prácticas de seguridad. Todas las normativas tienen el único objetivo de asegurar la ePHI. Es la única razón de ser de la HIPAA. Los socios de alojamiento tienen el deber de responsabilidad de proporcionar una infraestructura conforme, segura y robusta.
El proveedor de alojamiento y los terceros incluidos en el ámbito de aplicación deben firmar un acuerdo de asociación empresarial (BAA). Esto hace que todas las partes sean responsables de entender en qué sistemas y en qué lugar geográfico se alojan, transfieren y almacenan los datos de la ePHI. Los datos de la ePHI deben estar protegidos en tránsito y en reposo en todo momento.
El acceso de los empleados se controla, se audita y se mantiene constantemente utilizando el principio del mínimo privilegio. Los controles físicos del edificio son necesarios para auditar el acceso a y desde los centros de datos que albergan la ePHI. Algunos proveedores de alojamiento VPS en la nube llevan la seguridad al siguiente nivel cifrando todos los datos de la HIPAA, aunque esto es sólo una recomendación de la legislación.
Los administradores del proveedor de VPS en la nube son responsables de las actualizaciones de seguridad, de las actualizaciones de firmware y de las actividades de escaneo y corrección de vulnerabilidades. Es necesario contar con un antivirus actualizado de nivel empresarial, así como con un sistema de prevención de intrusiones (IPS) que registre, audite y automatice las respuestas las 24 horas del día a un equipo de expertos en seguridad.
Los profesionales de la salud pueden consumir la seguridad HIPAA como servicio y conectarse directamente a la plataforma de seguridad de los proveedores de alojamiento. Esta es una gran ventaja para la organización sanitaria y una de las principales razones por las que la subcontratación de un proveedor de HIPAA es tan popular.
2. Continuidad de la actividad y recuperación de desastres
La norma de seguridad de la HIPAA añadió una serie de requisitos detallados para la planificación de la continuidad del negocio y la recuperación de desastres. La norma exige el desarrollo de un proceso a seguir en caso de crisis o catástrofe.
También debe aplicarse un plan de recuperación de datos. Se trata de un programa para realizar copias de seguridad y proteger los sistemas que contienen información electrónica. Esto se consigue mediante un programa de copias de seguridad predefinido y capacidades de replicación previamente acordadas en el BAA. Los datos se replican normalmente en al menos otro centro de datos.
Se elabora un Plan de Recuperación de Desastres (DRP) que cubre las responsabilidades técnicas y administrativas del proveedor de alojamiento. Esto incluye la capacidad de transferir los servicios principales de la empresa a una ubicación alternativa en caso de un fallo catastrófico, y la capacidad de recuperar y acceder a los datos de ePHI a partir de una copia de seguridad.
Todos los planes de continuidad deben ser probados y revisados al menos una vez al año. Si no existe un plan antes de asociarse con un socio de alojamiento de la HIPAA, es necesario realizar un análisis de impacto empresarial que identifique y priorice los componentes informáticos críticos que están en el ámbito del plan.
La planificación de la continuidad del negocio y la recuperación de desastres es esencial para el cumplimiento de la HIPAA, sin embargo, la complejidad técnica de crear una plataforma redundante y a prueba de fallos es difícil de lograr internamente. Esta es otra razón importante por la que la subcontratación es tan popular. Los socios de alojamiento de la HIPAA ya disponen de la infraestructura, y las organizaciones sanitarias simplemente se conectan al servicio.
3. Colaboración
Las aplicaciones reguladas por la HIPAA están diseñadas para compartir la ePHI entre usuarios y sistemas autorizados. Compartir datos abre un enorme potencial de colaboración. Esta capacidad acelera drásticamente el diagnóstico y proporciona a los profesionales médicos un entorno de trabajo ágil y colaborativo.
La interoperabilidad de los datos y la computación segura en la nube permiten a las organizaciones sanitarias seguir siendo relevantes en el lugar de trabajo moderno. Abre la puerta a nuevas oportunidades para ofrecer una mejor atención al paciente. Varios equipos pueden trabajar en los mismos proyectos simultáneamente, las comunicaciones se mejoran mediante servicios de mensajería, comunicaciones de datos 5G y conjuntos de herramientas de colaboración.
Las plataformas API permiten a las aplicaciones intercambiar datos y compartir información de forma segura. Los equipos que se encuentran en distintas ubicaciones geográficas pueden colaborar a distancia. Las aplicaciones médicas pueden compartir la ePHI para acelerar el proceso de diagnóstico.
Los equipos de apoyo clínico se benefician enormemente de compartir la información médica. Compartir imágenes médicas, resultados de pruebas históricas o información sobre los antecedentes familiares mejora enormemente la calidad de la atención. Los equipos médicos pueden conectarse directamente a los servicios en la nube y compartir al instante resultados médicos, fotografías de rayos X o lecturas del pulso de los pacientes.
Además de todas estas capacidades, la Internet de las cosas combinada con la colaboración de datos puede utilizarse para crear enormes conjuntos de datos. Estos datos pueden ser triturados por plataformas de inteligencia artificial y aprendizaje automático que buscan tendencias y son capaces de analizar enormes volúmenes de datos en poco tiempo. Esto libera a los médicos para que puedan dedicar su tiempo a tratar a los pacientes en lugar de rebuscar entre montones de papeles.
4. Escalabilidad
Otra de las principales ventajas que ofrece el alojamiento HIPAA es la escalabilidad de los servicios en la nube. Los hospitales, las clínicas y las consultas sanitarias ingieren enormes cantidades de datos. Los datos se almacenan digitalmente en una plataforma segura que puede ampliarse y proteger la integridad de los datos.
Los grupos médicos crecen en tamaño y el proveedor de alojamiento debe crecer con usted. Los planes de computación y de red pueden actualizarse con un impacto mínimo, y los recursos pueden añadirse a los servidores con un solo clic.
Un ejemplo es el alojamiento de bases de datos. Las bases de datos nativas de la nube eliminan la complejidad de la gestión de bases de datos y pueden ampliarse de forma rápida y asequible, a menudo bajo demanda.
El proveedor de alojamiento gestiona todo el servicio en la nube, renunciando a la necesidad de un departamento de TI in situ para gestionar y mantener las actualizaciones del sistema o de la base de datos. El proveedor es responsable del aprovisionamiento de software, la aplicación de parches de seguridad y cualquier problema que surja, al tiempo que cumple con un acuerdo de nivel de servicio del 100%.
5. Experiencia
Un proveedor de alojamiento con amplia experiencia en la prestación de servicios en la nube que cumplan con la HIPAA puede ser la diferencia entre una migración a la nube sin problemas y con éxito, o una experiencia difícil con una curva de aprendizaje empinada que no es ideal cuando se considera el cumplimiento de la HIPAA para las nuevas empresas. Es muy conveniente elegir un socio de alojamiento que cumpla con la HIPAA, una organización que sea auditada regularmente y que publique sus resultados auditados en el sector público.
La experiencia aporta una serie de servicios clave. El cumplimiento es un factor muy importante. Busque otras acreditaciones como las certificaciones SOC 2 TIPO II y SOC 3 TIPO II, y el cumplimiento de HITECH. Esto ayuda a garantizar que el proveedor de alojamiento HIPAA ha sido auditado por una tercera parte independiente y cualificada, y puede demostrar su compromiso de proporcionar la mejor seguridad informática y un alojamiento que cumpla con las normas.
Con un proveedor experimentado, es más probable que logre los objetivos de acuerdos de nivel de servicio (SLA), tiempo de recuperación y punto de recuperación líderes del sector. Esto es enormemente ventajoso en situaciones de catástrofe. También es probable que el soporte técnico del proveedor mejore significativamente si ha estado prestando servicios HIPAA durante mucho tiempo.