La HIPAA es una ley federal que regula la manera en que determinadas organizaciones implicadas en la prestación de atención médica manejan y protegen la información de salud.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
La Ley de Transferencia y Responsabilidad de Seguros Médicos (HIPAA) es una ley federal que regula el tratamiento y la seguridad de la información de salud. La HIPAA ayuda a garantizar la protección de la información de salud al requerir controles de seguridad para la información de salud electrónica y al ordenar prácticas de privacidad.
La HIPAA tiene un impacto en dos tipos principales de organizaciones: las "entidades cubiertas", como los proveedores de atención médica, los planes de salud y los centros de información de salud; y los "socios empresariales" de las entidades cubiertas, como las empresas de facturación, los proveedores de registros médicos electrónicos (HCE), los consultores o los proveedores de TI.
La Información de salud protegida (PHI) es cualquier información de salud identificable individualmente relacionada con la prestación de atención médica que las entidades cubiertas y los socios empresariales crean, reciben, almacenan o transmiten. La PHI es un tipo de información de identificación personal (PII), que consiste en datos que pueden utilizarse para identificar a una persona.
A continuación se indican los campos de datos que pueden ser PHI si los procesa una entidad cubierta o un socio empresarial y en la medida en que los datos estén asociados a la prestación de atención médica:
Es importante destacar que la PHI puede presentarse en varias formas, desde datos escritos a orales o electrónicos.
Supongamos que Michael visita a un médico general por primera vez y que el consultorio del médico registra el nombre y la dirección de Michael, toma los datos de su seguro médico y solicita verbalmente sus registros médicos a su proveedor anterior. Todos estos datos escritos y orales se consideran PHI y se deben proteger.
Ahora, supongamos que Michael tiene una cita de telemedicina con este mismo médico la siguiente semana. La información sobre las actividades en línea de Michael que revelan los detalles sobre su cita de telemedicina también puede considerarse PHI, aunque sea información electrónica y no escrita u oral.
La Norma de privacidad de la HIPAA requiere que las entidades cubiertas y los socios empresariales incorporen salvaguardias y políticas de privacidad adecuadas para proteger la PHI. Existen normas estrictas sobre lo que una organización puede hacer con la PHI sin el consentimiento de la persona y la Norma de privacidad otorga a las personas el derecho a saber cómo se utilizan sus datos y/o a solicitar correcciones.
La Norma de Seguridad de la HIPAA exige salvaguardias administrativas, físicas y técnicas para manejar adecuadamente la PHI de manera electrónica, desde garantizar el acceso seguro a las instalaciones y el control de los dispositivos, designar personal de seguridad y aplicar la formación de la fuerza de trabajo, hasta realizar análisis de riesgos.
Las normas de seguridad y privacidad de la HIPAA son importantes para garantizar que la información de salud de las personas esté debidamente protegida, al mismo tiempo que permite el flujo de información de salud necesario para prestar y promover una atención médica de alta calidad, y para proteger la salud y el bienestar públicos. Estas normas son especialmente importantes dada la diversidad del mercado de la atención médica, la variedad de usos y divulgaciones que deben abordarse, así como la afluencia de nuevas tecnologías innovadoras en el campo de la atención médica, tales como la telemedicina, la terapia remota, los registros de salud electrónicos, la supervisión de la salud mediante dispositivos y la atención asistida por IA. En concreto, cada una de estas nuevas tecnologías innovadoras conlleva sus propios retos en cuanto a seguridad y privacidad, que las organizaciones deben abordar conforme a las normas de seguridad y privacidad de la HIPAA.
Las infracciones de la HIPAA pueden resultar en fuertes sanciones y acciones legales. Algunas de las infracciones más comunes incluyen:
Imagina que el médico de Michael dejara el formulario del paciente con el nombre, la fecha de nacimiento, el número de seguridad social y las preocupaciones de índole médico de Michael en la sala de espera durante 24 horas, donde cualquier paciente o miembro del personal tuviera acceso a este. Luego, imagina que el médico carga la información de salud de Michael a un portal en línea, que no estaba protegido con una contraseña. Ambas situaciones son ejemplos de incumplimiento de la HIPAA.
Las penalizaciones por incumplimiento de la HIPAA son importantes y pueden oscilar entre 100 USD por infracción y 1 500 000 USD por disposición anualmente. La Oficina de Derechos Civiles (OCR) clasifica las infracciones de la HIPAA con base en la gravedad y la negligencia intencionada.
Los proveedores de servicios en la nube deben firmar con sus clientes un acuerdo de asociación empresarial (BAA, por sus siglas en inglés) conforme a la HIPAA para poder crear, recibir, mantener o transmitir la PHI. Un BAA requiere que el proveedor de servicios en la nube proporcione protecciones adecuadas para la PHI, y que realice análisis de riesgos para identificar posibles vulnerabilidades. También puede incluir instrucciones específicas sobre la disponibilidad de los datos, copias de seguridad, recuperación ante desastres y retención de datos.
Los proveedores de servicios en la nube también son responsables de cualquier divulgación no autorizada de la PHI, o de no proteger la PHI o de informar a las autoridades pertinentes sobre una fuga de datos.
Estas son seis recomendaciones para garantizar el cumplimiento de la HIPAA:
Cloudflare proporciona servicios de seguridad de la red, de la aplicación y empresariales basados en la nube que pueden ayudar a las organizaciones a cumplir los estrictos requisitos técnicos de la Norma de seguridad de la HIPAA y evitar la divulgación inadvertida o el uso indebido de la PHI que infrinja la Norma de privacidad de la HIPAA. Estos servicios incluyen los siguientes:
Los productos de Cloudflare también cumplen con las normas de seguridad y privacidad reconocidas en el sector, incluidas las normas ISO 27001, ISO 27701, SOC 2 y el Código de conducta de la nube de la UE. Aunque la HIPAA no prevé una validación formal del cumplimiento, la red, infraestructura de gestión y procesos de Cloudflare son coherentes con las normas de seguridad y privacidad de la HIPAA y con las normativas relacionadas.
Obtén más información sobre las funciones integradas de seguridad, privacidad y cumplimiento de la conectividad cloud.