Correo Electrónico Cumplimiento HIPAA: Servicios de Correo Electrónico Cumplimiento HIPAA

¿Cómo envías correos electrónicos que cumplan con la ley HIPAA? Asumir que todos los correos electrónicos cumplen puede ser costoso; sigue leyendo para aprender qué son los correos electrónicos que cumplen y cómo enviarlos.

¿Qué es un correo electrónico que cumple con la ley HIPAA?

Un correo electrónico que cumple con la ley HIPAA es un servicio de correo electrónico que cumple con los requisitos mínimos de HIPAA para la seguridad y privacidad de la Información de Salud Personal Electrónica (ePHI). El cumplimiento de HIPAA para correos electrónicos incluye todos los requisitos que otras tecnologías tienen respecto a estos datos, incluyendo:

  1. Restringir el acceso a ePHI en reposo o en tránsito
  2. Monitorear y proteger ePHI en reposo o en tránsito
  3. Asegurar la integridad y responsabilidad de ePHI en reposo o en tránsito

El correo electrónico es una tecnología única en cuanto a seguridad porque los correos electrónicos están involucrados, por su propia naturaleza, tanto en el almacenamiento como en la transmisión. Las personas envían correos electrónicos, y los servidores y aplicaciones almacenan correos electrónicos.

Dicho esto, hay varias partes involucradas en la gestión de correos electrónicos que deben considerar reglas y regulaciones: remitentes y receptores, y proveedores de correo electrónico de terceros.

Violaciones de Datos en el Sector Salud y Seguridad del Correo Electrónico

Un correo electrónico que no es seguro puede llevar a violaciones de datos y una violación de HIPAA porque los correos electrónicos y la información de salud protegida (PHI) que contienen pueden ser fácilmente interceptados por personas no autorizadas. Debido a esto, cualquier información privada y confidencial enviada a través de correos electrónicos no seguros puede ser accedida sin el consentimiento del remitente. Esto podría llevar a violaciones de HIPAA, ya que los datos podrían ser utilizados con intenciones maliciosas y propósitos ilegales. Por ejemplo, la PHI enviada a través de un correo electrónico no seguro podría ser utilizada para cometer robo de identidad o fraude médico.

Las consecuencias de una violación de HIPAA pueden ser severas e incluir sanciones civiles y penales. Las entidades cubiertas por HIPAA, como proveedores de salud, planes de salud y centros de compensación de salud, pueden ser multadas con hasta $50,000 por violación, con una penalización máxima de $1.5 millones por año. Las personas que violen las regulaciones de HIPAA pueden ser multadas con hasta $50,000 y enfrentar hasta un año de prisión. Además, las personas que violen HIPAA pueden ser objeto de demandas civiles, lo que puede resultar en acuerdos financieros considerables.

Para los pacientes que han visto comprometida su privacidad, las consecuencias pueden incluir robo de identidad, fraude médico, robo financiero y vergüenza. También puede causar angustia emocional y sentimientos de violación, ya que la información expuesta estaba destinada a permanecer privada. Dependiendo de la gravedad de la violación, el paciente también puede ser financieramente responsable de cualquier costo incurrido como resultado de la violación.

¿Qué dice HIPAA sobre el correo electrónico?

La definición del Departamento de Salud y Servicios Humanos (HHS) de “correo electrónico seguro” es cualquier forma de intercambio de mensajes electrónicos que utilice encriptación y otras medidas de seguridad para proteger la confidencialidad, integridad y disponibilidad del mensaje. La encriptación segura de correo electrónico es un proceso que codifica el contenido de un mensaje para que sea ilegible para cualquier persona excepto el destinatario previsto. También utiliza procesos de autenticación para confirmar la identidad del remitente y receptor. Esto ayuda a asegurar que el mensaje solo pueda ser visto por el destinatario previsto y que no pueda ser alterado de ninguna manera.

HHS recomienda que las organizaciones de salud y entidades comerciales utilicen correo electrónico seguro para asegurar la seguridad de la información sensible transmitida por internet. Las organizaciones de salud y entidades comerciales deben usar encriptación y autenticación robustas para la comunicación de correo electrónico seguro y debe integrarse en la postura general de seguridad de la organización. HHS también recomienda realizar evaluaciones y auditorías de seguridad regulares, así como encriptar todos los datos en reposo, en tránsito y en uso. Además, recomiendan usar medidas de seguridad apropiadas para proteger contra malware y otras amenazas, como firewalls, software antivirus y gestión de parches. Finalmente, las organizaciones deben desarrollar e implementar políticas y procedimientos para gobernar el uso del correo electrónico seguro.

Requisitos de Encriptación de Correo Electrónico de HIPAA

La encriptación de correo electrónico es una parte importante del cumplimiento de HIPAA ya que ayuda a proteger la información confidencial del paciente. Muchas organizaciones que manejan PHI deben encriptar correos electrónicos que contienen PHI como parte de su estrategia de cumplimiento de HIPAA.

Para cumplir con HIPAA, las organizaciones y entidades comerciales deben adoptar los siguientes requisitos de encriptación:

  • Se deben usar protocolos de transmisión segura, como TLS e IPsec.
  • El método de encriptación utilizado debe ser seguro y debe usar una clave única para el destinatario.
  • El algoritmo de encriptación debe cumplir con los estándares de HIPAA.
  • Todo el contenido del correo electrónico, incluidos los archivos adjuntos, debe estar encriptado.
  • Cualquier correo electrónico enviado fuera de la organización debe estar encriptado.
  • Las organizaciones deben tener procedimientos para asegurar que todos los correos electrónicos enviados o recibidos estén encriptados.
  • Las organizaciones deben tener procesos para proteger las claves de encriptación utilizadas para encriptar correos electrónicos.

Responsabilidades de Remitentes y Receptores

Tanto los remitentes como los receptores están trabajando con aplicaciones en estaciones de trabajo o dispositivos móviles para escribir, almacenar y enviar correos electrónicos. Todas las cuentas que contienen ePHI sensible deben cumplir con las reglas de encriptación de HIPAA. Además, estas cuentas deben estar protegidas contra el acceso no autorizado mediante contraseñas (idealmente, autenticación multifactor). En consecuencia, la gestión de cualquier dato utilizado a través del correo electrónico recae en estas partes, y pueden encontrarse responsables de violaciones si no consideran las siguientes prácticas:

  • Para correos electrónicos enviados dentro de la oficina o de médico a médico dentro de una red de correo electrónico interna e intranet, los mensajes no necesitan encriptación siempre que no haya acceso remoto y la red en sí tenga la seguridad necesaria (protección de firewall, software antimalware, etc.).
  • Cualquier mensaje enviado fuera de la red segura (al correo personal de un médico, correos electrónicos entre profesionales en diferentes organizaciones y correos electrónicos con socios comerciales) debe ser encriptado por el remitente para protección durante el tránsito.
  • Los correos electrónicos a pacientes sobre cualquier ePHI están bien, pero deben incluir una advertencia sobre el riesgo de comunicación y la oportunidad de decidir si continuar o no recibiendo comunicaciones de correo electrónico que cumplan. Los proveedores de salud siempre deben proporcionar métodos alternativos y seguros de intercambio de datos para ePHI.

Siguiendo estas prácticas, varias características comunes de cumplimiento de correo electrónico de HIPAA pueden ser confusas bajo las regulaciones. Si envías un correo electrónico encriptado con ePHI a una entidad cubierta o socio comercial, entonces es su responsabilidad proteger esos datos bajo HIPAA, incluyendo durante cualquier mensaje de respuesta. Se debe evitar el envío masivo de mensajes, pero si se utiliza, los remitentes solo deben enviar correos masivos a través de funciones de combinación de correspondencia en software que cumpla con HIPAA.

Responsabilidades de Proveedores de Correo Electrónico de Terceros

Trabajar con proveedores de correo electrónico que cumplan es muy parecido a trabajar con un proveedor de nube u otro servicio administrado: deben, en la medida en que sea aplicable con el servicio proporcionado, adherirse a las regulaciones bajo un Acuerdo de Asociación Comercial (BAA) que describa sus responsabilidades y culpabilidades bajo las regulaciones.

Lo que esto significa para ellos, y para ti, es que el proveedor de correo electrónico debe proporcionar almacenamiento que cumpla con HIPAA para cualquier correo electrónico en sus servidores. HIPAA requiere que las organizaciones retengan documentos para el cumplimiento durante al menos 6 años.

Sin embargo, no son responsables de lo que sucede fuera de esos servidores. Un proveedor de terceros no tiene ninguna responsabilidad sobre si usas o no la seguridad y encriptación de correo electrónico adecuadas a través de sus servicios, ni son responsables de las protecciones en su lugar fuera de sus servicios o sus servidores.

Lo que esto significa es que incluso si estás utilizando un servicio de correo electrónico de terceros que cumple (como Gmail u Office 365) con un BAA, eso no cubre ningún otro requisito de tu parte en términos de transmisión o almacenamiento.

¿Gmail cumple con HIPAA?

No, Gmail, por sí solo, no es un correo electrónico que cumpla con HIPAA. Para cumplir, una organización necesita firmar un Acuerdo de Asociación Comercial con Google. Este acuerdo confirma que se han implementado medidas de seguridad para proteger los datos almacenados en los servidores de Google.

Cuando trabajas con proveedores de correo electrónico de terceros como Google o Microsoft 365, necesitas usar un producto a nivel empresarial específicamente diseñado para el cumplimiento. Además, estas organizaciones deben tener Acuerdos de Asociación Comercial (BAAs) vigentes que firmen con proveedores de salud como parte de sus ofertas. Empresas como Google o Microsoft ya tienen estos y requerirán tal acuerdo de cualquier empresa.

¿Office 365 cumple con HIPAA?

No, Office 365 no cumple con HIPAA según Microsoft. Aunque ciertos productos de Office 365 pueden permitir a los clientes trabajar hacia el cumplimiento de HIPAA, Microsoft no representa, garantiza ni asegura que los productos o servicios de Office 365 cumplan con ningún requisito de HIPAA.

Las organizaciones de salud y entidades comerciales que usan Office 365 deben tener políticas y procedimientos apropiados y relevantes en su lugar, tener acuerdos documentados con todas las organizaciones y/o usuarios cubiertos, y deben tener protecciones de seguridad apropiadas para proteger la información de salud de acuerdo con los requisitos de HIPAA. Además, también deben implementar características específicas, como encriptación de datos, monitoreo de transferencia de datos y control de acceso. Por último, deben verificar que sus procedimientos se sigan y documenten de manera continua.

¿Cómo puedo hacer que mi proveedor de correo electrónico actual cumpla?

Hacer que el correo electrónico cumpla con HIPAA implica alinear todas las tecnologías, desde servidores hasta clientes y prácticas, con las regulaciones bajo las Reglas de Privacidad y Seguridad.

Como resumen, estas dos reglas describen lo siguiente:

  • La Regla de Privacidad describe la naturaleza de ePHI y los requisitos en torno a su protección, gestión y privacidad. Establece que toda la PHI es privada a menos que el paciente indique lo contrario, y todas las Entidades Cubiertas y Asociados Comerciales deben mantener la privacidad.
  • La Regla de Seguridad define los controles de seguridad, tecnologías y responsabilidades de las Entidades Cubiertas y Asociados Comerciales en el mantenimiento de la privacidad de PHI.

Dicho esto, no todos los proveedores de correo electrónico cumplen, y usar un proveedor no conforme coloca a la Entidad Cubierta en incumplimiento también.

Dependiendo del correo electrónico que uses, hay varios pasos para asegurar que uses un correo electrónico que cumpla con HIPAA.

Servicios de Correo Electrónico Internos

Si tienes una intranet interna con correo electrónico en las instalaciones o en la nube interna, entonces es responsabilidad de tu organización proteger ese correo electrónico a nivel de servidor y a través de todas las aplicaciones utilizadas.

Esto incluye tomar las siguientes acciones:

  1. Usar software con encriptación de extremo a extremo. Esto encriptará los datos durante el tránsito y cuando estén en un servidor para prevenir una violación de HIPAA. En términos de encriptación, usa estándares que cumplan con los requisitos en su máxima capacidad, a saber, estándares de encriptación como AES-256 y TLS-1.1 o superior.
  2. Usar software con encriptación adicional como S/MIME. Los datos MIME permiten que los correos electrónicos soporten conjuntos de caracteres extendidos e información de encabezado para correos electrónicos más robustos que pueden incluir medios y HTML. Asegurar MIME garantiza que si estás usando un formato avanzado, los datos contenidos estén protegidos también.
  3. Tener mensajería e intercambio de datos separados de los servicios de correo electrónico. Aunque siempre debes proteger tu correo electrónico, siempre proporciona un portal de mensajería segura y para pacientes para que los pacientes accedan a datos médicos críticos y comunicaciones de sus médicos. Esto puede aliviar el riesgo de violaciones de HIPAA en tu correo electrónico, incluso si conectas notificaciones a mensajes de pacientes (siempre que no contengan ePHI).
  4. Tener respaldo y retención de datos automatizados. Las pautas no establecen requisitos específicos para la retención de datos, pero los pacientes pueden exigir información en cualquier momento y las organizaciones de salud pueden necesitar registros de auditoría inmutables si hay acciones legales sobre su cumplimiento. Además, las regulaciones requieren claramente que las organizaciones mantengan registros sobre su cumplimiento de seguridad durante al menos 6 años.

Trabajando con Proveedores de Terceros

Un servicio en las instalaciones o dedicado podría ser algo para lo que las prácticas más pequeñas no tienen los recursos. Cuestan dinero, habilidades y tiempo para soporte, mantenimiento y actualizaciones que muchas organizaciones simplemente no tienen o no quieren. En este caso, muchas instituciones de salud recurren a proveedores de terceros para proporcionar servicios de correo electrónico y/o en la nube correspondientes.

Para asegurar que tu proveedor de terceros (y por extensión, tú) cumpla, considera lo siguiente:

  1. Asegúrate de tener un BAA en su lugar. El BAA es un acuerdo entre tu organización y un tercero que manejará, transmitirá o almacenará ePHI. Este acuerdo no solo protege a tu organización si este tercero no permanece conforme, sino que define claramente las responsabilidades de esa organización.

  2. Asegúrate de que sus servicios cumplan con los requisitos mínimos de seguridad de HIPAA. Algunas empresas se anunciarán como “elegibles para HIPAA” o “capaces de HIPAA”. Estos términos pueden ser confusos para personas no técnicas. En resumen, estos términos simplemente significan que la empresa proporciona las herramientas y características que pueden apoyar el cumplimiento. No significa que necesariamente lo hagan de inmediato.

    Si tu proveedor es elegible para HIPAA, entonces asegúrate de saber exactamente qué se necesita para cumplir con HIPAA con ellos. Puede ser el caso de que llegar al cumplimiento con ellos simplemente no valga la pena.

No importa si usas correo electrónico interno o de terceros, es necesario para el cumplimiento de HIPAA que capacites adecuadamente a tu personal para usar la tecnología correctamente. Esto significa educación y capacitación continua sobre HIPAA para el intercambio y transmisión de datos.

Para una Solución Completa que Cumpla con HIPAA, Elige Kiteworks

Kiteworks ofrece encriptación, respaldos y seguridad que cumplen con HIPAA para sus productos de correo electrónico. Más importante aún, soporta una experiencia fluida y segura que abarca el intercambio de archivos, mensajería segura, almacenamiento seguro, firewall y otras protecciones que también cumplen. Esto significa una plataforma, una solución y una interfaz para todas tus necesidades.

Programa una demostración personalizada para aprender más sobre cómo Kiteworks ofrece correo electrónico que cumple con HIPAA.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks