Transformación digital
Soluciones
Productos
Acerca de
Comienza tu prueba gratuita

HIPAA

¿Qué es la HIPAA?

HIPAA es la Ley de Portabilidad y Responsabilidad del Seguro Médico. Esta ley estadounidense se aprobó en 1996 para garantizar la protección de los datos personales de salud, incluyendo las copias impresas y la información compartida verbal o digitalmente.

¿Por qué se promulgó la HIPAA?

El objetivo de la HIPAA era establecer sistemas de confidencialidad que restringieran el uso de la información protegida sólo a quienes necesitaran acceder a ella. La HIPAA cubre los centros de salud, las empresas de facturación, los planes de salud, las empresas de registros médicos electrónicos, los empleados que no se dedican a la atención de pacientes y los estudiantes. La HIPAA consta de cinco secciones principales:

  • Título I: Cobertura del seguro médico para los empleados y sus familias con cambios en la situación laboral.
  • Título II: Abuso y fraude en la atención sanitaria; reformas de la responsabilidad médica; simplificación administrativa que establece normas para las historias clínicas electrónicas (HCE) e identificadores nacionales.
  • Título III: Normas para las cuentas de gastos médicos antes de impuestos.
  • Título IV: Estipulaciones para los planes de salud colectivos.
  • Título V: Normas para las pólizas de seguro de vida de propiedad de la empresa.

¿Qué es la simplificación administrativa?

El Título II de la HIPAA establece normas de simplificación administrativa para regular el intercambio electrónico, la privacidad y la seguridad de la información sanitaria. Para hacer cumplir estas normas, el Departamento de Salud y Servicios Humanos (HHS) de Estados Unidos puso en marcha cinco reglas.

Normativa de Privacidad

Las Normas de Privacidad de la Información Sanitaria Individual, establecen las directrices federales para proteger cierta información sanitaria. Esta Norma de Privacidad aborda el modo en que la información sanitaria protegida (PHI) es utilizada y compartida por las organizaciones sujetas a la norma: las "entidades cubiertas" y los "socios comerciales". También detalla los derechos de privacidad de las personas a conocer y controlar cómo se utiliza su información sanitaria.

La PHI es cualquier dato relacionado con la salud en cualquier forma - verbal, en papel o digital - de una persona en particular, que puede ser rastreado, incluyendo los datos demográficos. La PHI se refiere a identificadores como:

  • Nombre, fecha de nacimiento, dirección postal o electrónica, teléfono o número de la Seguridad Social.
  • Tipo de atención sanitaria administrada a una persona.
  • Condición física y/o mental pasada, actual o futura de una persona.
  • Pago pasado, actual o futuro por la prestación de asistencia sanitaria a una persona.

El objetivo de la Norma de Privacidad es facilitar el flujo de información sanitaria necesaria para el bienestar público general y la atención sanitaria de alta calidad, garantizando al mismo tiempo la protección de los datos. Está pensada para ser lo suficientemente flexible como para cubrir una gran cantidad de usos y divulgaciones. Una entidad cubierta no puede utilizar la PHI fuera de las estipulaciones de la Regla de Privacidad o de lo que el individuo o su representante permita por escrito.

Normativa de Transacciones y Códigos

La HIPAA se promulgó para aumentar la eficiencia en el procesamiento de las transacciones sanitarias. Según la regla de transacciones y conjuntos de códigos, los planes de salud deben estandarizar dichas transacciones utilizando las normas de la HIPAA. Por ejemplo, los proveedores deben presentar las reclamaciones electrónicas de acuerdo con las directrices de la HIPAA para ser reembolsados.

Normativa de Seguridad

La Norma de Privacidad se refiere a toda la PHI, pero la de Seguridad se refiere a la ePHI, que es la Información Médica Protegida electrónica. En ella se describen tres garantías de seguridad: administrativas, físicas y técnicas.

  • Administrativas: Las entidades reguladas deben diseñar salvaguardas administrativas que articulen claramente cómo la entidad mantendrá el cumplimiento de la HIPAA.
  • Físicas: Las entidades reguladas deben supervisar y controlar el acceso a los equipos que contengan PHI y asegurarse de que los contratistas o agentes con acceso a la PHI estén debidamente formados en el cumplimiento de la HIPAA.
  • Técnicas: Las entidades reguladas deben vigilar el acceso a los sistemas informáticos y a las comunicaciones que contengan PHI enviadas a través de redes abiertas.

Normativa de Identificadores Únicos

Las entidades reguladas están obligadas a utilizar el Identificador Nacional de Proveedores (NPI) exclusivamente para identificar a los proveedores de atención sanitaria cubiertos. El NPI sustituye a cualquier otro identificador utilizado por un plan de salud en las transacciones estándar. Sin embargo, no sustituye al número de identificación del empleado, al número de la DEA o al número de la licencia estatal.

Normativa de Aplicación

La norma de aplicación determina las sanciones monetarias por las violaciones de la HIPAA. Establece procedimientos para investigar y evaluar estas infracciones. Si se descubre que una organización no cumple, debe tomar medidas correctivas.

¿Cuáles son algunas de las violaciones más comunes de la HIPAA?

El HHS informa sobre las organizaciones que están operando en violación de la HIPAA o en gran riesgo de violar la ley. Los problemas de incumplimiento suelen tener que ver con los usos y divulgaciones, las garantías de seguridad inadecuadas, los controles de acceso, la Regla de Mínimo Necesario y el Aviso de Prácticas de Privacidad. Las infracciones se derivan en violaciones de datos intencionadas o inadvertidas, entre ellas:

  • Ausencia de medidas de protección de la PHI o la ePHI.
  • Imposibilidad de que el paciente acceda a su información.
  • Uso o divulgación de más información de la necesaria.
  • Pérdida o robo de un smartphone, PC o dispositivo USB.
  • Incidente de hackeo o malware.
  • Compartir la PHI fuera de la oficina.
  • Envío de la PHI a un contacto equivocado.
  • Publicaciones en redes sociales.
  • Violación de un socio comercial.

¿Qué relación tiene HITECH con HIPAA?

La Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (HITECH), promulgada en 2009, fue concebida para fomentar y ampliar la tecnología de la información sanitaria, en particular el uso de historiales médicos electrónicos. Esta ley reforzó los requisitos de la HIPAA para garantizar el cumplimiento por parte de los asociados comerciales de las entidades cubiertas por la HIPAA y ordenó que se enviaran notificaciones a las personas afectadas cuando su PHI estuviera en peligro. HITECH ofrecía importantes incentivos financieros para la adopción de HCE y aumentaba las sanciones por infracciones de la HIPAA. Los legisladores combinaron los requisitos de esta ley con los de la HIPAA en la Regla Ómnibus Final, que se publicó en 2013.

¿Cómo funciona la HIPAA con soluciones en nube?

Las soluciones basadas en la nube se presentan de muchas formas en función de las necesidades del usuario. Las prestaciones van desde el simple almacenamiento de datos hasta una solución de software completa, como un sistema de historia clínica electrónica o una infraestructura informática para desplegar y probar programas. Según la HIPAA, los proveedores de servicios en la nube (CSP) son socios comerciales de las entidades aseguradas.

Cuando una entidad asegurada contrata los servicios de un proveedor en la nube para desarrollar, recibir, mantener o transmitir la ePHI en su nombre, ambas partes deben firmar un acuerdo de asociación empresarial. Además, el CSP se convierte en responsable contractual del cumplimiento de los términos del acuerdo y en responsable directo del cumplimiento de las normas aplicables de la HIPAA. Es una violación de las normas de la HIPAA que una entidad asegurada o un socio comercial utilice un proveedor en la nube para procesar la ePHI sin un contrato previo.

 

Según los investigadores de Gartner, algunos de los factores que impulsan la creciente demanda de servicios en la nube son la continua expansión de los requisitos de soporte y del sistema de TI de la sanidad, la preocupación por el personal de TI y los presupuestos ajustados. Al mismo tiempo, el sector sanitario se siente cada vez más cómodo con las capacidades de cumplimiento y seguridad de la nube. Es probable que los proveedores de servicios en la nube pública gestionen más del 35% de las cargas de trabajo de las TI sanitarias en 2021.

 

Conectarse a la nube es más fácil que nunca y aporta una gran cantidad de ventajas a las empresas que desean aplicar medidas de acceso remoto para sus empleados. Puede proporcionar una experiencia de usuario óptima y descentralizada en las aplicaciones y la virtualización del escritorio. Las organizaciones pueden reducir la huella de sus centros de datos, ahorrando en gastos de almacenamiento. Otra ventaja es la oportunidad de eliminar los equipos heredados y pasar a una infraestructura más eficiente y rentable, de acuerdo con la ley HIPAA.

¿Qué pasa si un proveedor de servicios en la nube no puede ver la información sanitaria protegida?

Si un proveedor de servicios en la nube sólo almacena la ePHI encriptada, no tiene una clave de descifrado, y no puede ver la ePHI, se considera un socio de negocios. El cifrado puede reducir el riesgo de acceso no autorizado a los datos sensibles, pero carece de suficientes garantías administrativas y físicas para los servidores y sistemas que albergan la ePHI. Sin embargo, los términos de la norma son flexibles para tener en cuenta la naturaleza no visible de los servicios del proveedor.

¿Están los proveedores de servicios en la nube obligados a revelar sus protocolos de seguridad?

La HIPAA no ordena explícitamente a los proveedores de servicios en la nube, que a su vez son socios comerciales que permitan la auditoría o proporcionen pruebas de sus prácticas de seguridad. Sin embargo, se espera que los clientes obtengan una documentación satisfactoria de las medidas de protección en el contrato. El proveedor de servicios es directamente responsable si no protege la información médica electrónica de acuerdo con la norma de seguridad o por los usos prohibidos de la información médica.

Aunque un proveedor de servicios de internet apoye o afirme que cumple con la HIPAA, debe someterse a un análisis de riesgos antes de poder utilizarlo para el mantenimiento de la información electrónica. A continuación, la entidad asegurada debe formular políticas de gestión de riesgos en relación con el servicio. La entidad tiene que gestionar y mitigar cualquier riesgo identificado hasta un nivel razonable.

¿Qué tipo de formación HIPAA exige la ley?

La formación anual de los empleados sobre la HIPAA es un requisito de la ley. Las estipulaciones son flexibles para adaptarse a los diferentes tipos de entidades aseguradas y socios comerciales. La normativa de Privacidad de la HIPAA estipula que los empleadores proporcionen la formación necesaria y pertinente para que los empleados puedan desempeñar sus funciones. La regla de seguridad de la HIPAA establece que las entidades aseguradas y los socios comerciales deben aplicar un programa de formación, pero la regla no ofrece condiciones específicas.

Las entidades aseguradas y los socios comerciales pueden superar la ambigüedad de los requisitos de formación de la HIPAA remitiéndose a sus análisis de riesgos. Lo ideal es que los análisis detallen la función de cada empleado que pueda tener acceso a la PHI o a la ePHI. De este modo, la formación puede desarrollarse en base a la función de cada trabajador.