Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

Guía de Cumplimiento de la Ley HIPAA para Empresas

Inicio Glosario Guía de Cumplimiento HIPAA para Empresas

Cuando manejas información personal de salud, el cumplimiento de la ley HIPAA es imprescindible para tu negocio y la privacidad de tus clientes.

¿Qué es el cumplimiento de la ley HIPAA? El cumplimiento de la ley HIPAA sigue la Ley de Portabilidad y Responsabilidad de Seguros de Salud, que especifica las regulaciones requeridas para individuos y entidades que manejan información de salud protegida.

¿Qué es la ley HIPAA?

La Ley de Portabilidad y Responsabilidad de Seguros de Salud es una ley de 1996 aprobada por el Congreso para abordar los estándares nacionales en torno a la protección de la información de salud privada. Antes de esta ley, no existían estándares nacionales para asegurar la información de los pacientes. La ley HIPAA fue impulsada por una preocupación en el Congreso de que este tipo de información era demasiado importante para dejarla fuera de supervisión y regulación.

Guía de Cumplimiento HIPAA para Empresas

Firmada como ley por el Presidente Bill Clinton el 21 de agosto de 1996, la ley HIPAA establece ciertos requisitos y estándares para el comportamiento de los proveedores de atención médica. Estos incluyen algunas regulaciones básicas:

  • Los proveedores de atención médica no deben divulgar información del paciente a terceros bajo ninguna circunstancia sin el permiso explícito del paciente.
  • Los proveedores también deben implementar medidas de seguridad adecuadas para asegurar que la información del paciente no se divulgue en el tratamiento o las operaciones comerciales.
  • Los registros en papel tradicionales deben ser reemplazados por un sistema de registro 100% digital (y controles de seguridad apropiados) con la adición de la Ley HITECH en 2009.

Para gobernar la industria de la salud, el gobierno establece algunas definiciones básicas:

  • Información de Salud Protegida: PHI es la piedra angular de todas las regulaciones y representa información identificable sobre un paciente relacionada con su tratamiento o pago del mismo. Puede incluir información médica, notas del médico, información de farmacia e información personal, como direcciones e información de pago proporcionada como parte del tratamiento. Los proveedores de atención médica deben proteger la PHI mediante controles técnicos y administrativos. Nunca debe ser divulgada por los proveedores sin el permiso directo del paciente.
  • Entidades Cubiertas: Las entidades cubiertas son las organizaciones reguladas en la industria de la salud, sujetas a gobernanza y sanciones bajo la ley HIPAA. Las EC incluyen hospitales, compañías de seguros, consultorios médicos y prácticas privadas.
  • Asociados Comerciales: Los proveedores y socios de terceros de las EC que brindan servicios como procesamiento de pagos, aplicaciones en la nube y almacenamiento de archivos son asociados comerciales. Los AC no trabajan directamente con los pacientes, pero brindan servicios que manejan PHI. Bajo la ley HIPAA moderna, los AC son tan responsables del cumplimiento como las EC. Esta responsabilidad está codificada en los acuerdos de asociados comerciales; contratos requeridos entre EC y AC.

¿Cuáles son los requisitos de cumplimiento de la ley HIPAA?

Al igual que cualquier otro marco, la ley HIPAA tiene una serie de requisitos de cumplimiento que las EC y los AC deben cumplir. Estos requisitos se desglosan bajo algunas reglas principales que incluyen lo siguiente:

  • La Regla de Privacidad: La Regla de Privacidad es la columna vertebral de las regulaciones de atención médica, estableciendo los requisitos básicos de las EC y los AC para proteger la privacidad de sus pacientes. Principalmente, estas organizaciones tienen prohibido divulgar PHI a menos que sea bajo circunstancias muy específicas.
  • La Regla de Seguridad: La Regla de Seguridad describe los requisitos de seguridad para las EC y los AC bajo la ley HIPAA. Esta regla incluye pautas para los controles técnicos, administrativos y físicos que las organizaciones deben usar para proteger la PHI.
  • La Regla de Notificación de Violaciones: Si el sistema de una EC o un AC es violado y se divulga PHI, estas organizaciones tienen obligaciones específicas con el público, sus pacientes y el gobierno sobre cómo deben notificarlos al respecto y los pasos que toman para mitigar el problema.
  • La Regla Ómnibus: La Regla Ómnibus, añadida a la ley HIPAA en 2013, actualizó gran parte del lenguaje en la ley HIPAA para abordar desafíos modernos. Notablemente, también reestructuró la Regla de Notificación de Violaciones para manejar mejor las notificaciones. Añadió requisitos y obligaciones ampliadas para los AC que trabajan con PHI.

¿Cuáles son los requisitos de seguridad para la Regla de Seguridad de la ley HIPAA?

La Regla de Seguridad gobierna los aspectos técnicos, administrativos y físicos de la protección de la PHI:

  1. Técnico: Relacionado con los controles y medidas de seguridad como el cifrado, cortafuegos, malware, configuraciones de red, correo electrónico, seguridad de aplicaciones, uso compartido de archivos compatible con HIPAA, etc.
  2. Administrativo: Relacionado con las políticas, procedimientos y programas establecidos para mantener y promover los esfuerzos de seguridad, incluyendo la gestión de riesgos, capacitación y educación continua, y gobernanza de datos.
  3. Físico: Relacionado con las protecciones de ubicación y dispositivos como cámaras y cerraduras en centros de datos y oficinas y protecciones en estaciones de trabajo y dispositivos móviles.

En el corazón de estas reglas están las pautas en lugar de planos. Por ejemplo, los requisitos de seguridad técnica no se especifican a nivel de software o versión. En su lugar, la regla especifica requisitos basados en las tecnologías más seguras y disponibles.

La seguridad administrativa es a menudo la menos concreta de estos requisitos, sin embargo. Las organizaciones necesitan entender el Proceso de Gestión de Seguridad de los controles administrativos:

  1. Análisis de Riesgos: Las EC y los AC deben realizar evaluaciones precisas y exhaustivas de los riesgos y vulnerabilidades potenciales para la PHI.
  2. Gestión de Riesgos: Las organizaciones deben usar el análisis de riesgos para informar las políticas de gestión para manejar, mitigar y reducir los riesgos y vulnerabilidades para la PHI.
  3. Política de Sanciones: Las organizaciones deben tener políticas específicas para las sanciones aplicables a los empleados que incumplen el cumplimiento.
  4. Revisión de Actividad del Sistema de Información: Las organizaciones deben revisar regularmente los registros de auditoría, informes, informes de acceso e informes de incidentes de seguridad para informar la evaluación de riesgos y la optimización. La evaluación de riesgos es la medición y abordaje de riesgos potenciales en la infraestructura de TI y la construcción de políticas en torno a esas evaluaciones.

Estas políticas también incluyen la implementación de políticas para retener datos de pacientes durante un cierto período de tiempo, dependiendo de la información y su uso.

Además, los controles físicos son a menudo los más pasados por alto debido a un mundo móvil moderno. Por ejemplo, en 2017, Concentra Health Services pagó aproximadamente $1.7 millones para resolver violaciones relacionadas con un portátil robado que no estaba asegurado, lo que expuso PHI. Bajo la ley HIPAA, los empleados deben controlar y gestionar los dispositivos, asegurar esos dispositivos contra el acceso físico, y todos los centros de datos que contengan PHI deben tener cerraduras físicas y monitoreo en su lugar. Finalmente, cualquier medio físico que contenga PHI debe ser desechado adecuadamente para que cualquier PHI restante no pueda ser extraída de él.

¿Cuáles son los requisitos bajo la Regla de Notificación de Violaciones?

El cumplimiento incluye cómo una EC o un AC debe responder a una violación de la ley HIPAA. Específicamente, estas organizaciones deben tener un plan que permita una notificación generalizada a las partes afectadas.

Los requisitos para el cumplimiento bajo la Regla de Notificación de Violaciones incluyen lo siguiente:

  • Las organizaciones deben notificar a los individuos afectados por violaciones de datos. Esta notificación debe realizarse en forma de correo de Primera Clase o correo electrónico (si está autorizado por el paciente). Supongamos que la organización tiene información desactualizada para diez o más pacientes afectados. En ese caso, también debe publicar notificaciones de violación en su sitio web durante al menos 90 días, incluyendo un número de información gratuito.
  • Las violaciones que afectan a 500 pacientes dentro de una sola jurisdicción deben notificar adicionalmente a los medios de comunicación prominentes en forma de un comunicado de prensa no más tarde de 60 días desde el descubrimiento de la violación.
  • En todos los casos, la organización debe notificar a la oficina del Secretario de Salud y Servicios Humanos (HHS). Si la violación afecta a más de 500 pacientes, debe hacerlo dentro de los 60 días. Si afecta a menos de 500 pacientes, la organización puede proporcionar notificaciones de violación anualmente. 
  • Los Asociados Comerciales deben notificar a las EC asociadas de cualquier violación dentro de los 60 días del descubrimiento.
  • Tanto las EC como los AC deben demostrar que han cumplido con estos requisitos.

Mantener el Cumplimiento de la ley HIPAA con Tecnología Segura

El cumplimiento de la ley HIPAA es una de las regulaciones de cumplimiento más estrictas en los Estados Unidos, y las organizaciones que trabajan en el sector de la salud como Entidades Cubiertas o Asociados Comerciales deben cumplir con estos requisitos sin falta. Estas regulaciones se aplican a toda la tecnología y prácticas; es crucial que las organizaciones utilicen tecnología compatible.

Para contenido sensible enviado por correo electrónico, uso compartido de archivos, transferencia de archivos administrada, interfaces de programación de aplicaciones (APIs) y formularios web, Kiteworks proporciona gobernanza, cumplimiento y seguridad integrales. Programa una demostración personalizadapara obtener más información.

 

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks