Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Cumplimiento de HIPAA > ¿Cómo enviar PHI por correo electrónico y cumplir con la ley HIPAA?

¿Cómo enviar PHI por correo electrónico y cumplir con la ley HIPAA?

by Bob Ertl updated diciembre 11, 2024 Cumplimiento de HIPAA
Reading Time: 9 minutes

Manejar la información de salud protegida (PHI) es complicado, especialmente cuando se envía por correo electrónico. Con las filtraciones de contenido confidencial en correos electrónicos ocurriendo a diario, enviar un correo electrónico que no pueda ser hackeado y que cumpla con la Ley HIPAA y otras regulaciones puede ser difícil de gestionar.

¿Puedes enviar PHI por correo electrónico? Sí, puedes enviar PHI por correo electrónico, pero necesitas verificar que tu proveedor de correo electrónico cumpla con protocolos de seguridad específicos antes de enviar realmente la PHI. Si no se cumplen ciertas regulaciones de HIPAA, podrías enfrentarte a una multa considerable.

¿Qué es la Ley HIPAA y la Información de Salud Protegida (PHI)?

La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) es un conjunto de leyes y regulaciones sobre la creación y protección de la información de salud protegida (PHI). Estas leyes discuten específicamente cómo ciertos proveedores de atención médica y sus socios comerciales están legalmente obligados a asegurar los datos de los pacientes relacionados con la atención médica, tratamientos médicos y pagos.

Aunque la ley contiene varias secciones que cubren una variedad de reglas y requisitos, el envío de correos electrónicos con PHI se encuentra principalmente bajo las siguientes tres, que se centran en la ciberseguridad y la protección de datos:

  1. La Regla de Privacidad de Datos: La Regla de Privacidad establece inequívocamente que los datos de los pacientes deben permanecer privados y que las organizaciones de atención médica primaria (hospitales, consultorios médicos y compañías de seguros, que se designan como Entidades Cubiertas) y sus proveedores (que se designan como Asociados de Negocios) tienen la responsabilidad legal de proteger esos datos.
  2. La Regla de Seguridad: Las Entidades Cubiertas y los Asociados de Negocios deben implementar medidas de seguridad adecuadas para proteger los datos de los pacientes, incluyendo controles técnicos, administrativos y físicos.
  3. La Regla de Notificación de Brechas: En caso de una brecha del sistema, las Entidades Cubiertas y los Asociados de Negocios tienen requisitos sobre cuándo y cómo deben notificar a los pacientes afectados, a los organismos reguladores y al público en general.

La Regla de Privacidad, en particular, es crítica para la comprensión de HIPAA. Define la PHI en términos legales como cualquier información relacionada con la prestación de servicios de atención médica a un paciente, incluyendo información relacionada con la salud, notas de los médicos, información personal identificable (PII) del paciente o información de pago destinada a su atención.

Debido a que la PHI es una parte fundamental del cumplimiento de HIPAA, la mayoría de los requisitos de seguridad giran en torno a cómo se transmite, almacena y utiliza la PHI. Además, debido a que las restricciones contra la divulgación no autorizada de PHI son estrictas, los proveedores de atención médica deben organizar todas las tecnologías utilizadas para comunicarse con los pacientes en torno a los requisitos de HIPAA.

Estos requisitos en torno al uso tecnológico pueden impactar significativamente cómo tu organización realmente comparte información con los pacientes. Tecnologías no seguras como el correo electrónico son problemáticas en el mejor de los casos y no cumplen con las normas en el peor.

¿Por qué y cómo puedes usar el correo electrónico con PHI?

No hay una prohibición directa contra el uso del correo electrónico bajo HIPAA. Sin embargo, la implementación real de una solución de correo electrónico que cumpla con HIPAA para comunicar información de atención médica es un desafío. Aunque el correo electrónico es increíblemente común, y probablemente la manera más accesible y conveniente de comunicarse con los pacientes, también es arriesgado porque no hay forma de garantizar la protección de la información del paciente en los servidores de correo electrónico o dispositivos.

Toma el cifrado como ejemplo. Una solución de correo electrónico que utiliza estándares de cifrado de intercambio de archivos adecuados es técnicamente conforme. Sin embargo, para usar el cifrado de correo electrónico con enfoques tradicionales, debes contar con la aceptación del remitente y del destinatario. Ambas partes deben usar el mismo estándar de cifrado, y en casos con cifrado de clave pública, cada parte debe tener un conjunto de claves que gestionan a través de software. Para resolver el problema, las organizaciones deben instalar y gestionar un complemento en el cliente de correo electrónico y solicitar o compartir manualmente una clave pública con terceros. Esto crea ineficiencias y cuellos de botella y puede resultar en que los usuarios eludan los protocolos de seguridad al enviar PHI sensible, tanto dentro como fuera de sus organizaciones.

Asimismo, las organizaciones deben almacenar datos en un lugar seguro incluso cuando no los envían. Cualquier solución de correo electrónico debe incluir cifrado conforme a HIPAA en sus servidores. Por lo tanto, a menos que una organización tenga su propio servidor de correo electrónico (lo cual es muy poco probable), debe trabajar con un Asociado de Negocios para implementar el cifrado de datos en reposo y en tránsito.

Finalmente, otra parte crucial del cumplimiento de HIPAA involucra informes de eventos y registros de auditoría. Para demostrar el cumplimiento de HIPAA, las organizaciones deben implementar un registro adecuado para auditorías y necesidades forenses potenciales en todos los sistemas, lo cual también es cierto para los Asociados de Negocios. Esto requiere otro nivel de cumplimiento y una estrategia de gestión de riesgos de proveedores con los Asociados de Negocios.

En general, deberías considerar los siguientes casos antes de considerar el correo electrónico PHI y el cumplimiento de correo electrónico HIPAA:

  • Correos electrónicos internos: Los médicos y otros empleados inevitablemente compartirán información médica. En escenarios donde los médicos envían información a otros médicos por correo electrónico, ese correo electrónico debe permanecer cifrado y seguro en cualquier dispositivo donde accedan al correo electrónico. Afortunadamente, esto es mucho más fácil de gestionar. Debido a que tu organización tiene control sobre los dispositivos de los médicos y los sistemas internos, puedes implementar políticas que protejan la PHI y mantengan el cumplimiento. 
  • Correos electrónicos externos: Los correos electrónicos a pacientes y terceros son un problema diferente porque tu organización no puede dictar estándares para los miles de pacientes con los que puedes interactuar. Cualquier intento de enviar PHI por correo electrónico casi siempre será no conforme debido a la falta de cifrado adecuado o la falta de seguridad en el extremo del usuario. O, en el mejor de los casos, involucrará complementos engorrosos y redirecciones para el intercambio seguro de archivos.

Una de las soluciones emergentes a las que muchas organizaciones están recurriendo son los enlaces seguros y los portales para pacientes. Usar un portal para pacientes te permite controlar la seguridad, como el cifrado, la gestión de identidades y accesos (IAM), y el registro de auditoría, desde un servidor central o entorno en la nube. Enviar enlaces seguros a la PHI a los usuarios por correo electrónico evita las trampas de enviar PHI directamente por correo electrónico mientras canaliza a los usuarios hacia entornos seguros.

Los enlaces seguros y los portales en línea se consideran las formas más confiables y seguras de comunicar información de atención médica con pacientes fuera de tu organización. Además, un portal vinculado a un sistema robusto de gestión de documentos y transferencia de archivos también puede agilizar la comunicación conforme entre médicos y otros empleados. Estos sistemas pueden integrarse con dispositivos y estaciones de trabajo seguras para que los profesionales médicos puedan compartir información de manera segura y privada sin exposición potencial al robo o divulgación.

De lo contrario, la única otra forma de enviar PHI por correo electrónico es a través de mensajes cifrados, utilizando tecnología como el cifrado de clave pública [Pretty Good Privacy (PGP)]. Esto requiere que tanto tú como tus pacientes usen tecnología de correo electrónico PGP. Aunque probablemente podrías forzar la implementación del cifrado internamente en tu organización, es prácticamente imposible hacerlo con una población de pacientes.

¿Cuáles son las sanciones por violar la Ley HIPAA?

El tema del correo electrónico PII es importante porque las violaciones de las regulaciones de HIPAA pueden conllevar sanciones severas independientemente de la intención. Las sanciones por violaciones de HIPAA se dividen en cuatro niveles:

  • Nivel 1: Estas violaciones son no intencionadas, y la organización no es consciente del problema detrás de la violación y no podría razonablemente prevenirlo. Si este es el caso, y la organización intentó seguir las reglas de HIPAA, entonces las sanciones varían entre $100 y $50,000 por violación.
  • Nivel 2: Estas violaciones ocurren cuando la organización debería haber estado al tanto de la violación pero no podría haberla prevenido razonablemente (es decir, la organización es negligente pero no intencionalmente). Las sanciones aquí varían de $1,000 a $50,000 por violación.
  • Nivel 3: Estas violaciones se deben a negligencia intencionada de las regulaciones de HIPAA, pero las sanciones se moderan por los intentos de la organización de remediar el problema. Las sanciones aquí varían de $10,000 a $50,000 por violación.
  • Nivel 4: Estas son violaciones intencionadas donde no se hizo ningún intento de corregir el problema. Con violaciones de nivel 4, las organizaciones enfrentarán sanciones mínimas de $50,000 por incidente.

Además, las personas pueden enfrentar cargos criminales por ciertos actos de robo de datos, que se dividen en tres niveles:

  • Nivel 1: Una violación ocurre cuando el individuo no tiene conocimiento de la violación o no hay causa razonable. Esto puede ocurrir debido a la divulgación accidental de datos o en casos de emergencias donde los médicos comparten PHI para ayudar a salvar a un paciente. Las sanciones incluyen hasta un año de cárcel.
  • Nivel 2: Las violaciones de nivel 2 son cuando los usuarios obtienen PHI bajo falsos pretextos. Esto puede ganar a la parte infractora hasta cinco años de cárcel.
  • Nivel 3: Las violaciones de nivel 3 incluyen cualquier intento de obtener PHI con fines de lucro o intención maliciosa (como chantaje o venganza), y este nivel puede ganar al infractor hasta 10 años de cárcel.

Es importante entender estas definiciones porque el uso inadecuado del correo electrónico para compartir PHI puede exponer a una organización a múltiples violaciones que cuestan decenas de miles, cientos de miles o incluso millones de dólares.

Gestiona la PHI y la privacidad del paciente con Kiteworks

Asegurar las comunicaciones entre médicos, personal y pacientes significa aprovechar tecnologías utilizables para todas las partes sin violar la Ley HIPAA. El correo electrónico, con todas sus limitaciones, es la forma más fácil de mantenerse en contacto con la mayoría de los pacientes y comunicarse con terceros. Kiteworks facilita el envío de mensajes y archivos adjuntos cifrados y conformes con HIPAA desde cualquier lugar donde trabajen los usuarios, en la web o a través de dispositivos móviles, en Microsoft 365 u otros sistemas de correo electrónico, o en aplicaciones empresariales. Ya no necesitas gestionar manualmente tus políticas de gobernanza y claves y gastar tiempo y recursos valiosos gestionando complementos. En cambio, Kiteworks aplica automáticamente políticas de gobernanza, asegura el contenido y rastrea cada acción en cada envío, intercambio y transferencia de contenido sensible.

Con la plataforma Kiteworks, las organizaciones pueden almacenar PHI en servidores conformes con HIPAA y usar cifrado para que solo los usuarios autenticados puedan leer correos electrónicos, abrir archivos adjuntos y reenviar correos electrónicos a partes no autorizadas, tanto interna como externamente. Algunas de las capacidades clave incluyen:

  • Comunicaciones de correo electrónico seguras en tránsito y en reposo: Kiteworks utiliza cifrado AES-256 para datos en reposo y TLS 1.2+ para datos en tránsito. El dispositivo virtual reforzado de Kiteworks, controles granulares, autenticación y otras integraciones de pila de seguridad, y el registro y auditoría integrales permiten a las organizaciones lograr el cumplimiento de manera eficiente. Los correos electrónicos y archivos adjuntos son escaneados por antivirus, protección avanzada contra amenazas (ATP) y protección continua de datos (CDP). Las comunicaciones de correo electrónico salientes emplean prevención de pérdida de datos (DLP) para prevenir la fuga de datos intencional e involuntaria.
  • Acceso seguro y propiedad de datos: Con implementaciones en las instalaciones, recursos de Logging-as-a-Service (LaaS) e Infraestructura como Servicio (IaaS), solo tú tienes acceso al sistema, almacenamiento y claves; terceros externos (incluido Kiteworks), como organismos reguladores gubernamentales e industriales, no tienen acceso. Como resultado, el envío y recepción de correos electrónicos, el almacenamiento de archivos y el acceso ocurren en una instancia dedicada de Kiteworks, implementada en tus instalaciones, en tus recursos de Logging-as-a-Service (LaaS) o alojada en la nube por el servidor de Kiteworks Cloud. Eso significa que no hay tiempo de ejecución compartido, bases de datos o repositorios, recursos o potencial para brechas o ataques entre nubes.
  • Puerta de enlace de protección de correo electrónico y cifrado automatizado: La puerta de enlace de protección de correo electrónico de Kiteworks y el cifrado automatizado se pueden usar con cualquier cliente de correo electrónico y servidor de correo electrónico (no se requieren complementos). La gestión de claves y el cifrado de correo electrónico son automatizados e invisibles para los usuarios. Las organizaciones también pueden aplicar automáticamente políticas para qué correos electrónicos cifrar mientras proporcionan automáticamente cifrado de extremo a extremo para proteger el contenido sensible en servidores de correo electrónico en la nube.
  • Controles de cumplimiento y políticas: Los controles granulares basados en roles dentro de Kiteworks permiten a las organizaciones minimizar la exposición mientras proporcionan un seguimiento completo del cumplimiento de correo electrónico HIPAA y la generación de informes de auditoría. Esto incluye la capacidad de controlar las opciones de autenticación de pacientes y terceros, la expiración y el reenvío de enlaces. Las capacidades de correo electrónico seguro de Kiteworks incluyen políticas para recibos de retorno y huellas digitales.
  • Integración con SIEM: Mantén tu entorno seguro con la gestión integrada de información y eventos de seguridad (SIEM) para alertas, registro y respuesta a eventos. Las integraciones incluyen IBM QRadar, ArcSight, FireEye Helix, LogRhythm y otros. También ayuda al Splunk Forwarder e incluye la aplicación Splunk.
  • Registro de auditoría: Con los registros de auditoría inmutables de la plataforma Kiteworks, las organizaciones pueden detectar ataques más pronto y mantener la cadena de evidencia correcta para realizar investigaciones forenses conformes con HIPAA. Dado que Kiteworks fusiona y estandariza entradas de todos los componentes, su syslog unificado y alertas ahorran tiempo crucial a tu equipo del centro de operaciones de seguridad (SOC) y ayudan a tu equipo de cumplimiento a prepararse para auditorías relacionadas con HIPAA y otras regulaciones.
  • Visibilidad y gestión de datos: El Panel de CISO de Kiteworks ofrece a las organizaciones una visión general de tus datos: dónde están, quién los está accediendo, cómo se están utilizando y si cumplen. Ayuda a tus líderes empresariales a tomar decisiones informadas y a tu liderazgo de cumplimiento a mantener los requisitos regulatorios.

Si deseas ver cómo la capacidad de correo electrónico seguro de Kiteworks cumple con HIPAA y cómo la plataforma Kiteworks ofrece una vista única para las comunicaciones de contenido sensible, programa una demostración personalizada hoy.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks