Contenido

¿Qué son las normas de seguridad de la HIPAA?

Contenido

La Regla de Seguridad de la Ley de Portabilidad y Contabilidad de los Seguros Sanitarios (HIPAA) se promulgó en 2005, nueve años después de que el Congreso estadounidense aprobara la HIPAA. Según el Departamento de Salud y Servicios Humanos de EE.UU., la Regla de Seguridad establece normas nacionales para proteger la información médica personal electrónica de los individuos creada, recibida, utilizada o mantenida por una entidad cubierta.

La Regla de Seguridad es un subconjunto de la Regla de Privacidad de la HIPAA, que proporciona normas para asegurar la información sanitaria protegida (PHI).

 

¿Por qué es importante la regla de seguridad de la HIPAA?

Antes de que se promulgara la HIPAA, no existían normas, requisitos ni procesos para proteger la información sanitaria de los pacientes. A medida que la prestación de cuidados se digitalizaba cada vez más, los proveedores tenían que capturar, almacenar, compartir y proteger en sus sistemas volúmenes de datos sanitarios electrónicos en rápido crecimiento.

La Norma de Seguridad supuso un avance clave para la protección de la información digital, esencial para garantizar la confidencialidad y establecer la confianza entre pacientes y proveedores.

Vídeo 1: Ciberseguridad para el cambiante mundo de la sanidad

Vídeo 1: Ciberseguridad para el cambiante mundo de la sanidad

 

Visión general de la regla de seguridad de la HIPAA

La Regla de Seguridad establece normas para la protección de la PHI y la información personal identificable (PII) de los pacientes. También crea un marco de cumplimiento regulatorio para proteger la IIP y normas relativas a la notificación de las personas afectadas en caso de infracción.

Objetivo y alcance

Según el HHS, la Regla de Seguridad está diseñada para garantizar que las entidades cubiertas establezcan las salvaguardas necesarias para proteger los datos sanitarios y la IIP de los pacientes. Se trata de una respuesta al crecimiento exponencial de la PHI entre entidades cubiertas y no cubiertas.

El ámbito de aplicación de la Regla de Seguridad es bastante amplio y abarca los planes de salud, los centros de intercambio de información sanitaria y cualquier proveedor sanitario que transmita información sanitaria.

4 Objetivos principales

1. Garantizar la confidencialidad de la PHI electrónica (ePHI).

A medida que más datos de pacientes están disponibles en formatos digitales, la protección de la ePHI es un requisito absoluto.

2. Identifique y protéjase contra las amenazas razonablemente previstas.

Aunque no todas las ciberamenazas pueden identificarse de antemano, las entidades cubiertas son responsables de proteger la información de los pacientes contra las amenazas que ya están en juego.

3. Proteger contra usos o divulgaciones no permitidos.

Esto es importante para los proveedores porque abarca las herramientas tecnológicas, las personas y los procesos.

4. Garantizar el cumplimiento por parte del personal de la entidad cubierta.

Todos los miembros de las entidades cubiertas deben tomar las precauciones adecuadas para garantizar la privacidad y la seguridad de los datos de los pacientes. Esto significa que las entidades cubiertas necesitan educar a los empleados sobre los requisitos de la Norma de Seguridad y formarles para garantizar su cumplimiento.

 

Requisitos de la norma de seguridad HIPAA

La Regla de Seguridad exige salvaguardas administrativas, físicas y técnicas adecuadas para garantizar la confidencialidad, integridad y seguridad de la información sanitaria protegida (PHI) electrónica.

1. Garantías administrativas

Las salvaguardas administrativas tienen por objeto señalar y determinar los riesgos potenciales para la PHI, y poner en marcha medidas que reduzcan los riesgos y vulnerabilidades de seguridad. También exigen que un responsable de seguridad desarrolle e implemente las normas y procedimientos de seguridad de la entidad cubierta. También se exige a los proveedores que evalúen periódicamente la eficacia de sus directrices de seguridad a la hora de cumplir las directrices de la norma de seguridad de la HIPAA.

2. Salvaguardias físicas

Las salvaguardas físicas abarcan cuestiones como la limitación del acceso físico no autorizado a las instalaciones, al tiempo que permiten que se produzca el acceso autorizado. Las entidades cubiertas también están obligadas a implementar políticas y procedimientos que cubran el manejo adecuado de los datos almacenados electrónicamente y los soportes electrónicos que contengan PII y PHI.

3. Salvaguardias técnicas

Las salvaguardas técnicas están diseñadas para establecer las políticas técnicas adecuadas que garanticen que sólo las personas debidamente autorizadas puedan acceder a los registros digitales y a otra información electrónica. Esto abarca no sólo el hardware, el software y los servicios necesarios para capturar, almacenar y administrar los historiales médicos y sanitarios, sino también las credenciales de seguridad y los procedimientos de autenticación que rigen el acceso.

También incluyen la encriptación y otras tecnologías diseñadas para proteger contra el acceso indebido a la PHI y la ePHI a través de una red digital.

 

La norma de notificación de infracciones de la HIPAA

El HHS define una violación de datos como un uso o divulgación no permitidos según la Regla de Privacidad que compromete la seguridad o privacidad de la PHI. La prevención de las brechas es una prioridad incuestionable para las organizaciones de asistencia sanitaria por una amplia gama de razones. Sin embargo, en caso de que se produzca una infracción, la Norma de Notificación de Infracciones de la HIPAA obliga a las entidades cubiertas por la HIPAA y a sus socios comerciales a proporcionar una notificación tras una infracción de la PHI no segura.

En caso de violación de la PHI no segura, las entidades cubiertas deben notificar la violación a los individuos afectados. Esa notificación suele hacerse mediante el envío de correo físico o, si el paciente ha optado por recibir la correspondencia de la entidad cubierta por medios electrónicos, la alerta puede hacerse por correo electrónico.

Las entidades cubiertas también deben alertar al Secretario del HHS de la violación y, en algunos casos, puede que tengan que notificarlo a los medios de comunicación. Además, los socios comerciales terceros deben alertar de forma similar a los individuos afectados si la violación se produce en o por el socio comercial.

 

Cumplimiento y aplicación de la HIPAA

La Oficina de Derechos Civiles del HHS supervisa el cumplimiento y la aplicación de la HIPAA para la mayoría de las entidades cubiertas por esta ley. Dado que se la considera una agencia encargada de hacer cumplir la ley, la mayoría de las actividades que lleva a cabo la Oficina de Derechos Civiles son privadas y no suelen recibir publicidad.

Las disposiciones relacionadas con el cumplimiento forman parte de la Norma de Aplicación de la HIPAA, que abarca las investigaciones, las posibles sanciones monetarias civiles por infracciones y los procedimientos para las audiencias.

 

Mejores prácticas para el cumplimiento de la HIPAA

Las entidades cubiertas deben adoptar prácticas empresariales, tecnológicas y operativas inteligentes para garantizar que cumplen plenamente con la HIPAA en todo momento. Éstas deben abarcar pasos como la evaluación de riesgos, la supervisión de la actividad potencialmente inusual del sistema, el desarrollo de funciones y responsabilidades claras, y la comprobación de los procedimientos en caso de violación de los datos de la ePHI.

Por supuesto, poner en marcha las herramientas tecnológicas, las aplicaciones y los servicios adecuados es clave para construir el marco adecuado de cumplimiento de la HIPAA.

El HHS también proporciona herramientas valiosas para ayudar a las entidades cubiertas a comprender las mejores prácticas para el cumplimiento de la HIPAA. La Oficina de Derechos Civiles ha elaborado un vídeo de presentación para las entidades cubiertas por la HIPAA y los asociados comerciales sobre las "prácticas de seguridad reconocidas". Los temas incluyen:

  • La enmienda HITECH de 2021 relativa a las prácticas de seguridad reconocidas
  • Cómo pueden demostrar las entidades reguladas que se aplican prácticas de seguridad reconocidas
  • Cómo solicita la OCR pruebas de prácticas de seguridad reconocidas
  • Recursos para obtener información sobre prácticas de seguridad reconocidas
  • Respuestas de la OCR a preguntas sobre prácticas de seguridad reconocidas
Presentación en vídeo de las prácticas de seguridad reconocidas por la OCR

Vídeo 2: Presentación en vídeo de las prácticas de seguridad reconocidas por la OCR

La capacitación interna con los empleados -profesionales, personal médico, TI, ciberseguridad y todos los empleados de la línea de negocio- debe formar parte de un régimen regular para garantizar que toda la organización toma las medidas adecuadas para proteger la ePHI y la PII.

 

Tendencias potenciales en la regla de seguridad de la HIPAA

Desde que se promulgó por primera vez, la HIPAA ha sido una legislación dinámica, sometida regularmente a actualizaciones y ampliaciones para reflejar los cambios en la industria sanitaria y su creciente uso de la tecnología digital. Algunas de las áreas clave que los responsables de las entidades cubiertas deben comprender y tener en cuenta son:

1. Medidas de ciberseguridad reforzadas

Debido a la constante evolución del panorama de las amenazas, las organizaciones sanitarias deben poner en marcha los presupuestos, procesos, conocimientos y herramientas necesarios para defender a la organización de las amenazas que surgen con rapidez.

2. Tecnologías emergentes

Los firewall de nueva generación, las herramientas contra el ransomware, los servicios de inteligencia de amenazas, la seguridad en la nube, la administración de identidades, la detección y respuesta gestionadas, la seguridad de los endpoints y la seguridad de Internet de las cosas son elementos esenciales de un marco tecnológico de ciberseguridad más amplio.

3. Privacidad de datos y consentimiento mejorados

Las organizaciones sanitarias tienen cada vez más la tarea de cumplir con normativas más estrictas sobre privacidad de datos y consentimiento, como el Reglamento General de Protección de Datos (RGPD) en la UE y normativas similares actualmente en vigor en Estados Unidos.

4. Administración de proveedores externos

Los asociados comerciales -personas o entidades que desempeñan funciones utilizando o divulgando la PHI en nombre de una entidad cubierta- también deben cumplir la Norma de Seguridad. Los proveedores deben supervisar de forma regular y rutinaria cómo interactúan los socios comerciales y otros terceros con la PHI y la PII, y que siguen las directrices adecuadas para el manejo y la protección de esos datos.

5. Mayor colaboración e intercambio de información.

Al igual que las normas de la HIPAA en general, y la Norma de Seguridad en particular, cambian constantemente, también lo hacen los pasos necesarios para garantizar el cumplimiento y la confidencialidad de los datos de los pacientes.

El espectacular aumento del uso de la asistencia sanitaria especializada significa que la información de los pacientes se comparte con mayor frecuencia y con una gama más amplia de sistemas. Esto aumenta las posibilidades de que se produzcan infracciones y problemas regulatorios, lo que impulsa a las organizaciones a encontrar más formas de colaborar para proteger los datos de los pacientes, especialmente en los procesos interconectados de prestación de asistencia sanitaria.

La diversa naturaleza de la continuidad asistencial -hospitales, centros de cuidados intensivos, atención urgente, consultorios médicos, atención ambulatoria y telemedicina- hace que esta tendencia hacia una mayor colaboración entre proveedores sea especialmente crítica para la misión.

Descubra cómo Palo Alto Networks es el líder en ciberseguridad elegido por hospitales y sistemas sanitarios de todo el mundo. Visite https://www.paloaltonetworks.com/industry/healthcare.

 

Preguntas frecuentes sobre la regla de seguridad de la HIPAA

Los ciberataques a organizaciones sanitarias amenazan con interrumpir las operaciones y afectar a la privacidad de los pacientes. La regla de seguridad de la HIPAA garantiza que todos los hospitales y sistemas sanitarios cuenten con un sólido entorno de ciberseguridad que impida que la información confidencial se vea comprometida.
La regla de seguridad de la HIPAA permite a las organizaciones elegir sus propios proveedores y soluciones de ciberseguridad, por lo que cada enfoque será diferente. Sin embargo, le sugerimos un enfoque integral que proteja todo su entorno, como la consolidación de la ciberseguridad, que cubre todas sus bases, incluidas redes, nubes, endpoints, dispositivos y usuarios.
La ciberseguridad es absolutamente esencial para el cumplimiento de la HIPAA. Pero lo más importante es que un enfoque sólido de la ciberseguridad garantiza que no se produzcan violaciones ni interrupciones, y que las organizaciones nunca tengan que notificar una violación a las partes afectadas o al HHS.
Contenido relacionado
¿Qué es la ciberseguridad sanitaria?
El panorama de las amenazas está cambiando, y la atención sanitaria es especialmente vulnerable. Aquí tiene todo lo que necesita saber sobre la ciberseguridad en la sanidad.
Ciberseguridad sanitaria: 3 tendencias a seguir en 2024
Desde la atención a distancia a los dispositivos conectados, estas tendencias de ciberseguridad están dando forma a la transformación digital en la atención sanitaria.
3 prioridades para la ciberseguridad sanitaria en 2024
Los CISO del sector sanitario tienen la oportunidad de transformar su ciberseguridad y hacer posible la ciberresiliencia en 2024. He aquí cómo hacerlo.
Transformación digital segura en la sanidad
La industria sanitaria está evolucionando, y los ciberataques también. Proteja los datos de los pacientes y anticípese a las amenazas.
Siguiente What Is Data Privacy Compliance?

Obtenga las últimas noticias, invitaciones a eventos y alertas de amenazas