Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
En el área de salud es fundamental que se garantice la privacidad de la información electrónica de los pacientes. Para ayudar a proteger los historiales médicos, se han creado leyes federales que establecen una serie de estándares normativos que se deben aplicar por las empresas y organizaciones. Una de ellas es la HIPAA.
¿De qué manera ayuda a proteger la información médica el estándar HIPAA? ¿Cuáles son las sanciones que establece? A continuación te lo explicamos.
The Health Insurance Portability and Accountability Act o la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA por sus siglas en inglés) es una legislación creada en 1996 para la protección de datos confidenciales de pacientes médicos.
Esta ley federal estadounidense fue promulgada por el Departamento de Salud y Servicios Humanos (HHS) para garantizar que las empresas y las organizaciones sanitarias protejan los datos personales de los pacientes o la información médica protegida (PHI) frente a infracciones de privacidad, mala gestión interna o filtraciones de datos.
Las infracciones de la HIPAA más comunes son:
Cualquier entidad cubierta, es decir, centro de cuidado de la salud, proveedores de servicios de atención médica y planes de salud o seguro médico que transmitan vía electrónica una información médica deben velar por el cumplimiento de la HIPAA.
Los socios comerciales que hayan tenido acceso a la información personal de los pacientes y brinden soporte a las entidades cubiertas, también deben cumplir con la HIPAA.
Los socios comerciales deben firmar un acuerdo (business associate agreements o BAA) con las entidades cubiertas en el que garantizan la salvaguarda de la información médica y especifican cuál es el límite de su uso y divulgación.
La Oficina de Inspectoría General del Departamento de Servicios Humanos de los EE. UU. (OIG) creó el programa «Siete elementos del cumplimiento eficaz», con el objetivo de orientar a las organizaciones sobre cómo garantizar la privacidad y la seguridad de la información médica.
Los requisitos de cumplimiento de la norma HIPAA son:
Además de estos siete elementos, la privacidad y seguridad de la información médica depende también de la creación de un sistema de clasificación de datos que permita cumplir con la ley de forma segura y garantizar la confidencialidad de la PHI.
Una manera de clasificar los datos es mediante intervalos que permitan poner en orden la información a partir de características previamente definidas. Algunos de los tipos de intervalos que se pueden aplicar son:
La Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de los Estados Unidos es la responsable de hacer cumplir las normas de privacidad y seguridad de la HIPAA. Además, se encarga de hacer inspecciones, revisar las quejas, educar en la materia y permitir las sanciones monetarias por violación de la ley.
El incumplimiento de la ley HIPAA implica que la empresa aparezca durante dos años en la lista pública de la OCR, conocida como The Wall of Shame (El muro de la vergüenza).
Las multas por incumplimiento de la HIPAA dependen del nivel de negligencia:
Cualquier organización debe establecer un control de acceso para que solo el personal autorizado pueda manejar la PHI. Además, tiene que incluir un plan para eliminar de los navegadores y dispositivos móviles de los empleados la PHI.
Para garantizar de manera más eficiente la confidencialidad de la información, las organizaciones se pueden guiar por el Reglamento General de Protección de Datos de la Unión Europea (GDPR). Este instrumento establece un conjunto de pautas internacionales para el manejo de los datos de forma segura, respetuosa y cuidadosa.
En Delta Protect sabemos la importancia de cumplir con cada ley a detalle. Por eso, creamos Apolo un programa en donde podrás automatizar la ciberseguridad y compliance mientras mantenemos a tu equipo de trabajo al tanto de actualizaciones. ¡Conoce más en nuestra web!