Cumplimiento Cloud de HIPAA

Seguridad y privacidad en la nube en el contexto de la HIPAA

¿Qué es la Ley de Transferencia y Responsabilidad de Seguro Médico de 1996 (HIPAA)?

La Ley de Transferencia y Responsabilidad de Seguro Médico de 1996 (HIPAA, por sus siglas en inglés) es la principal legislación de los Estados Unidos que regula la privacidad de los datos y la seguridad de la información médica protegida, también conocida como PHI. La ley, la Ley Pública 104-191, contenía disposiciones que requerían que el Departamento de Salud y Servicios Humanos (HHS)adoptara estándares nacionales para las transacciones electrónicas de atención de la salud y los conjuntos de códigos, identificadores únicos de salud y seguridad.El HHS ha publicado múltiples reglas para satisfacer este requisito, resultando en un texto regulatorio combinado publicado en marzo de 2013. En todos los ámbitos, la HIPAA exige que todos los proveedores y organizaciones de atención médica y sus socios comerciales promulguen especificaciones completas de privacidad y seguridad de datos sobre la PHI.

El reglamento consta de dos reglas fundamentales: la Regla de Seguridad y la Regla de Privacidad. Los detalles y obligaciones de estas normas se definen a continuación.

Otras disposiciones pertinentes incluyen la garantía de cobertura de seguro de salud para las personas que pierden o cambian de trabajo. La HIPAA también establece procedimientos para la notificación de infracciones en la Regla de Notificación de Infracciones de la HIPAA. Las entidades cubiertas y los socios comerciales están obligados a notificar a los pacientes después de una violación de datos. La Comisión Federal de Comercio (FTC, por sus siglas en inglés) amplió en 2010 el alcance de las organizaciones que deben notificar las violaciones de la PHI para incluir a los proveedores de historias clínicas electrónicas (EHR) y sistemas relacionados con EHR.

A través de sus disposiciones, la HIPAA exige estrictas salvaguardas de privacidad y seguridad en la PHI y la ePHI, y su incumplimiento puede resultar en sanciones significativas. Las sanciones económicas se basan en el nivel de negligencia y en la naturaleza del incumplimiento. En última instancia, el secretario del HHS tiene plena discreción para determinar la pena.

El HHS también mantiene una lista pública de infracciones, centrándose en las organizaciones que han experimentado pérdida de datos en su organización.

¿A quién se aplica?

  • Proveedores y organizaciones de atención médica
  • Socios comerciales (BA) y subcontratistas de BA de entidades de atención de la salud (según la definición de Health Information Technology for Economic and Clinical Health (HITECH))

¿Qué datos están protegidos?

  • La información de salud protegida es "información de salud identificable individualmente" según la definición de:
    • Cualquier información, incluyendo información demográfica, recopilada de un individuo que es creada o recibida por una entidad de atención de la salud o un BA.
    • Cualquier información que pueda ser razonablemente utilizada para identificar a un individuo que se relacione con la salud o condición física o mental pasada, presente o futura de ese individuo.
    • Cualquier información que se relacione con la prestación de atención médica a esa persona
    • Cualquier información relacionada con el pago pasado, presente o futuro por la prestación de atención médica a esa persona.

Requisitos

Regla de privacidad

La Regla de Privacidad de la HIPAA regula el uso y la divulgación y requiere que las entidades cubiertas y los BAs protejan adecuadamente la PHI de un individuo. La Regla de Privacidad también otorga a los pacientes derechos sobre su información de salud, incluyendo el derecho a solicitar correcciones y examinar y obtener una copia de sus registros de salud.

Regla de seguridad

La Regla de Seguridad de HIPAA regula principalmente la PHI electrónica (ePHI) estableciendo estándares para proteger esta información electrónica que es creada, recibida, usada o mantenida por una entidad cubierta. La Regla de Seguridad identifica tres salvaguardias particulares - administrativas, físicas y técnicas - para garantizar la seguridad de los datos y el cumplimiento de la normativa.

Lista de verificación preliminar para el cumplimiento

Seguridad de los datos y procedimientos

Implementar un mecanismo para encriptar ePHI cuando sea apropiado. Aplique las medidas apropiadas contra los empleados que no cumplan con las políticas y procedimientos de seguridad.

Gestión y análisis de riesgos

Realice un análisis de riesgo de riesgos potenciales y vulnerabilidades a la seguridad de ePHI. Implemente medidas de seguridad para reducir riesgos y vulnerabilidades.

Política de auditoría

Asigne un nombre y/o número único para identificar y rastrear la identidad del usuario. Implementar procedimientos para verificar que una persona o entidad que busca acceso a ePHI es la que se reclama y revisar regularmente los registros electrónicos y los registros de auditoría.

Backup y tratamiento de datos

Establezca procedimientos para proteger la información en caso de emergencia o desastre y cree y mantenga copias de ePHI. Implemente políticas y procedimientos para abordar la eliminación de ePHI.

Las empresas líderes confian en nosotros

Top 3 Use Cases for HIPAA Compliance in the Cloud — eBook

Obtenga más información sobre los 3 casos de uso de CASB más importantes para el cumplimiento de la ley HIPAA en todos los servicios en la nube.

Más información

¿Quiere ver Netskope en acción?

Solicitar una demostración