Los Mandatos de Vacunación de Empleados Acentúan la Necesidad de Transferencia de Archivos Cumpliente con HIPAA para Profesionales de RRHH
Si eres como yo, esperabas en esta época del año pasado que las cosas volvieran esencialmente a la normalidad a tiempo para nuestras vacaciones de verano en 2021, si no antes. ¡Ya estábamos todos cansados del COVID-19 incluso entonces! Cuando varios países comenzaron a aprobar vacunas contra el SARS-CoV-2 el pasado diciembre, muchos esperaban que permitieran un fin relativamente rápido de la pandemia, al menos en países más ricos como Estados Unidos y Canadá.
Pero aunque las cosas son mucho más seguras para las personas vacunadas, la combinación de una variante más contagiosa y tasas de vacunación más bajas de lo anticipado significa que el nuevo coronavirus sigue causando estragos casi dos años después de haber sido descubierto, tanto en países desarrollados como en menos desarrollados. Esto afecta no solo a aquellos que eligen no vacunarse, sino también a aquellos que no pueden vacunarse, por razones de salud, religiosas o de edad, y a aquellos con problemas del sistema inmunológico que hacen que las vacunas sean menos efectivas.
Para aumentar la tasa de vacunación y acelerar un regreso a la normalidad, tanto Estados Unidos como Canadá están comenzando a implementar mandatos de vacunación para empleados donde sea legalmente posible. La esperanza es que las tasas de vacunación mejoren antes de que se desarrollen y propaguen nuevas variantes que sean más resistentes al régimen actual de vacunas. Pero para los profesionales de recursos humanos, esto trae desafíos únicos para el cumplimiento de la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) en EE. UU. y la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) en Canadá en lo que respecta a la información de salud protegida (PHI).
Mandatos Federales de Vacunación en EE. UU.
Las noticias sobre los mandatos federales en EE. UU. comenzaron con un anuncio de la Casa Blanca en julio de este año que requería vacunación o pruebas semanales para empleados civiles del gobierno federal y contratistas federales en el sitio. El ejército siguió poco después, con el Secretario de Defensa Lloyd Austin anunciando en agosto que las vacunas contra el coronavirus se agregarían a la lista de inmunizaciones requeridas del Pentágono tras la aprobación completa de una vacuna por la Administración de Alimentos y Medicamentos (FDA). La aprobación completa para la vacuna Pfizer-BioNTech fue otorgada el 23 de agosto.
El 9 de septiembre de 2021, la Casa Blanca lanzó un plan recientemente ampliado para lidiar con el COVID-19, llamado “Camino para salir de la pandemia.” Instruye a la Administración de Seguridad y Salud Ocupacional (OSHA) y a los Centros de Servicios de Medicare y Medicaid (CMS) a redactar requisitos para la vacunación completa o pruebas semanales para empleados en muchas entidades del sector privado. Estos incluyen organizaciones en cualquier industria con 100 o más empleados, e instituciones de salud que reciben reembolsos de Medicare o Medicaid independientemente del número de empleados. Estas organizaciones también estarán obligadas a proporcionar tiempo libre remunerado para que los empleados reciban vacunas y se recuperen de sus efectos secundarios según sea necesario.
La directiva de septiembre también amplió el mandato federal de vacunación para incluir a todos los empleados de contratistas federales (no solo aquellos que trabajan en el sitio) y elimina las pruebas semanales como opción para los trabajadores federales. El Grupo de Trabajo de la Fuerza Laboral Federal Más Segura estableció una fecha límite del 22 de noviembre para la vacunación completa. Dado que uno se considera completamente vacunado dos semanas después de recibir el número requerido de inyecciones, los empleados deben completar sus cursos antes del 8 de noviembre.
A pesar de los recientes contratiempos en algunos mandatos federales de vacunación, muchos requisitos de vacunación en EE. UU. están siendo iniciados voluntariamente dentro de empresas individuales. Para otras organizaciones, la participación puede ser requerida por regulaciones estatales o locales. Algunas jurisdicciones permiten pruebas regulares en lugar de vacunación, mientras que otras no.
- Sector Privado de EE. UU.. Más de la mitad (57%) de los empleadores en EE. UU. han emitido o planean emitir mandatos de vacunación para sus trabajadores.
- Trabajadores Estatales. Los empleados gubernamentales en 19 estados están obligados a vacunarse.
- Trabajadores de la Salud. Actualmente, el personal de hospitales e instalaciones de salud en 23 estados está obligado a estar completamente vacunado.
- Escuelas (K-12). Hasta la fecha, el personal docente y administrativo en 11 estados tiene requisitos de vacunación. Las escuelas en al menos 14 estados ahora requieren que los estudiantes elegibles reciban vacunas contra el COVID.
- Educación Superior. Más de 1,000 instituciones de educación superior privadas y públicas en EE. UU. requieren la vacuna contra el COVID-19 para estudiantes residenciales.
- Ciudad de Nueva York. Nueva York recientemente amplió sus mandatos de COVID-19 requiriendo que las 184,000 empresas del sector privado dentro de los límites de la ciudad hagan que los empleados muestren prueba de vacunación para el 27 de diciembre de 2021. Muchas empresas con sede en Nueva York, incluidas varias bancos de Wall Street como Goldman Sachs, Morgan Stanley y Citigroup ya requieren vacunas para cualquiera que ingrese a sus oficinas.
Requisitos de Vacunación en Canadá
En Canadá, la oficina del primer ministro anunció recientemente cronogramas para los mandatos de vacunación previamente anunciados. Los empleados del gobierno federal en la Administración Pública Central están obligados a vacunarse para el 29 de octubre. Las Fuerzas Armadas Canadienses y otras entidades federales están instruidas para implementar directrices que reflejen las de la fuerza laboral central, y estos requisitos se emitirán pronto.
Además del requisito para los empleados gubernamentales, se requerirá la vacunación completa de todos los empleados y viajeros en el sector de transporte regulado federalmente para el 30 de octubre. Esto significa que se requerirá la vacunación para todos los pasajeros que viajen por aire, tren de pasajeros nacional o crucero en cualquier lugar de Canadá, y para los empleados que los atienden.
La Necesidad de Compartir Archivos PHI de Forma Segura
Para los profesionales de recursos humanos, estos nuevos requisitos representan un nuevo régimen de cumplimiento complicado y con un aviso extremadamente corto. Mientras se apresuran a crear un sistema para cumplir con el mandato de vacunación a medida que se acercan rápidamente las fechas límite, algunos pueden no pensar inmediatamente en las repercusiones de seguridad: cómo proporcionar gobernanza sobre los datos capturados y mantenerse en cumplimiento con HIPAA y PIPEDA. Esto puede exponer a sus organizaciones a un riesgo de costosas multas por incumplimiento y a sus empleados a un riesgo de filtración de información protegida. La naturaleza única de los nuevos requisitos destaca la necesidad de compartir archivos PHI de forma segura en el contexto de recursos humanos.
El problema se complica por varios factores. En primer lugar, los registros de vacunas y pruebas están cubiertos por las regulaciones existentes de PHI, incluidas HIPAA y PIPEDA. Esto significa que a medida que las organizaciones recopilan registros de vacunas de los empleados para cumplir con el nuevo mandato, deben protegerlos contra la pérdida y el robo para cumplir con los estándares existentes, sin mencionar otros riesgos presentados por la pérdida de datos.
Otra complicación involucra el hecho de que el contenido de vacunación puede ser recopilado de manera diferente a otra información de salud de los empleados. En EE. UU., el único medio universal de verificación de vacunas son las tarjetas de papel emitidas por la FDA, y una gran mayoría de empleados probablemente enviará su información tomando una foto de la tarjeta y enviándola por correo electrónico o cargándola. Para aquellos que envían pruebas negativas de COVID-19 de manera regular, la documentación será aún más compleja, y los sistemas son en gran medida no probados. Canadá tiene un nuevo pasaporte de vacunas federal para viajes internacionales, pero sus provincias tienen un mosaico de métodos que varían por provincia para la verificación. La conclusión es que el PHI debe ser transmitido utilizando una solución segura de intercambio de archivos PHI.
El Problema: Sistemas de Comunicación de Contenido Dispares
En muchos sentidos, este nuevo mandato de cumplimiento no es tan diferente de los anteriores. Las empresas tienden a estar mal preparadas para asegurar cualquier tipo de información personal recién protegida, ya sea PHI o de otro tipo. Y aunque las organizaciones tuvieron muchos meses para prepararse para el Reglamento General de Protección de Datos (RGPD) de la UE y la Ley de Privacidad del Consumidor de California (CCPA), muchas terminaron apresurándose en el último minuto para cumplir.
Independientemente, este requisito de cumplimiento acelerado expone una brecha en la gestión de riesgos que existe en casi todas las organizaciones cuando se trata de comunicaciones de contenido sensible. Un nuevo tipo de PHI es repentinamente requerido para ser documentado para todos los empleados. Esto requiere que las entidades a nivel empresarial, incluso las relativamente pequeñas, creen un proceso simplificado para que los empleados transmitan los datos.
Pero este PHI asegurado debe moverse a través de una capa de aplicación que incluye herramientas de colaboración, soluciones de intercambio de archivos, herramientas de planificación de recursos empresariales (ERP) y más. Estos sistemas de comunicación de contenido dispares transmiten la información a sistemas de registro como el sistema de información de recursos humanos (HRIS). Pero ese contenido es casi imposible de rastrear, en tránsito o en reposo, lo cual es requerido por HIPAA y PIPEDA, y esencial para pasar auditorías de cumplimiento. Peor aún, las herramientas de comunicación de contenido típicamente no encriptan los archivos a medida que se mueven a través de la red.
Kiteworks Simplifica el Cumplimiento
Como muchos lectores del Blog de Seguridad y Cumplimiento saben, Kiteworks trae orden a este tipo de caos. Para este nuevo mandato de recopilación de información, permite a las organizaciones construir rápidamente un proceso seguro y simplificado para recopilar y verificar datos de pruebas y vacunación de COVID-19 de los empleados con un marco de intercambio de archivos compatible con HIPAA y PIPEDA.
Comunicación de Contenido Seguro Unificado
Kiteworks unifica las tecnologías de comunicación de contenido seguro y estandariza múltiples registros de auditoría de contenido en un sistema centralizado. Permite a las organizaciones desarrollar una forma fácil de usar para que los empleados transmitan la documentación requerida de vacunas y/o pruebas de COVID-19 a través de dispositivos móviles, interfaz web o incluso adjuntos de correo electrónico. La solución es escalable para todas las entidades, independientemente de la industria o el número de empleados. Al unificar una variedad complicada de soluciones, Kiteworks da a las organizaciones la capacidad de demostrar cumplimiento mientras proporciona la tranquilidad de que los datos están protegidos.
Seguimiento del Contenido
Kiteworks rastrea lo que sucede con cada registro de vacunación y prueba de COVID-19 registrando cada acción: descargas, cargas, vistas, envíos y cambios de permisos. Esto proporciona visibilidad completa para la actividad que es virtualmente imposible de rastrear solo con herramientas de intercambio de archivos y colaboración. También ayuda a demostrar cumplimiento con HIPAA y PIPEDA al mantener un registro de cada evento que toca una pieza particular de PHI mientras proporciona los informes simples e integrales necesarios para prepararse para auditorías de cumplimiento.
Acceso Controlado al Contenido
Establecer políticas según el rol en lugar de configurar manualmente cada usuario reduce el tiempo de administración y, en última instancia, reduce el riesgo de error humano al hacer que la documentación de cumplimiento sea más fácil. Sin tales controles, existe el riesgo de exposición accidental de registros de empleados a compañeros debido a controles de acceso faltantes, o adjuntos no encriptados enviados por correo electrónico debido a políticas de encriptación faltantes.
Registros de Vacunación y Pruebas Seguros
Kiteworks utiliza un modelo de defensa en capas para proteger el contenido independientemente de la fuente, y si está en reposo o en movimiento. Los empleados pueden enviar sus registros de vacunación desde sus teléfonos, PCs o por correo electrónico. Los datos se encriptan automáticamente dos veces con cada envío, carga, descarga y guardado. Y las claves de encriptación se almacenan en la nube privada de una organización en lugar de la nube pública.
Conclusiones sobre PHI y Mandatos de Vacunación
¡Lo último que necesitan los profesionales de recursos humanos es un nuevo requisito de cumplimiento de último minuto con el que lidiar! Pero estoy seguro de que entienden por qué es sensible al tiempo y crítico para sus organizaciones. Ahora es el momento para que pongan sus “patos en fila,” ya que el requisito estará en vigor muy pronto, si no lo está ya. Las organizaciones que no tomen medidas rápidas enfrentarán el riesgo de sanciones por incumplimiento, ya sea por el mandato de vacunación o por HIPAA/PIPEDA.
Los enfoques manuales simplemente no son viables para un nuevo requisito masivo que involucra a todos los empleados. Un enfoque ad hoc o menos automatizado puede crear cuellos de botella operativos y exponer el PHI asegurado a un posible robo por parte de ciberdelincuentes. Kiteworks proporciona un enfoque automatizado e integral para compartir contenido PHI que es fácil para los empleados, administradores de TI y profesionales de recursos humanos, mientras mantiene segura la información personal de los trabajadores.
Bob Ertl es Jefe de Marketing de Producto en Kiteworks