Desde que entró en vigor en 1996, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) tiene como objetivo brindar derechos de privacidad a los pacientes y proteger los datos de salud personales y sensibles de los pacientes. amenazas y ataques, modernizar el flujo de datos de atención médica, simplificar la administración de la atención médica y prevenir el fraude en la atención médica.
Las disposiciones de HIPAA se actualizan con frecuencia para adaptarse a Nuevas tecnologías y condiciones cambiantesIncluso las empresas que priorizan el cumplimiento de la HIPAA y la protección de la PHI (información médica protegida) enfrentan múltiples obstáculos que requieren atención constante y la capacidad de actuar con rapidez en los procedimientos y prácticas de datos.
Además de las frecuentes actualizaciones de la ley, estos desafíos incluyen amenazas de ataques constantes a datos muy codiciados, problemas de interoperabilidad, un flujo gigantesco de datos de pacientes todos los días y muchos más.
¿Qué es el cumplimiento de HIPAA?
HIPAA Es una regulación federal que se aplica a las organizaciones de atención médica, sus afiliados y subcontratistas. Regulada y aplicada por... Departamento de Salud y Servicios Humanos (HHS) Oficina de Derechos Civiles (OCR) —así como algunos organismos rectores estatales— la HIPAA se refiere a estas organizaciones como “entidades cubiertas”.
Las entidades cubiertas pueden incluir:
- Planes de salud:Incluye compañías de seguros de salud, organizaciones de mantenimiento de la salud, programas gubernamentales que subsidian programas como Medicare y programas de salud para militares y veteranos.
- proveedores de atención médica:Incluye hospitales, clínicas, médicos, psicólogos, dentistas, quiroprácticos, hogares de ancianos, farmacias, agencias de atención médica domiciliaria y cualquier proveedor que transmita información de salud electrónicamente.
- centros de intercambio de información sanitaria:Organizaciones que procesan información de salud no estándar y convierten datos.
¿Qué es la información médica protegida (PHI)?
La información médica protegida (PHI) es el término que utiliza la HIPAA para describir cualquier información sobre el estado de salud o el tratamiento pasado o presente de una persona que pueda utilizarse para identificarla. Esto incluye todos los registros, documentos y demás información relacionada con el diagnóstico, el historial de pagos, los procesos de atención médica, la tramitación de reclamaciones, la adjudicación de reclamaciones y las actividades de resolución de disputas; información sobre ensayos clínicos; resultados de pruebas; información sobre salud mental; información genética; identificadores biométricos utilizados para la identificación y mucho más.
La Ley HIPAA requiere que cada entidad cubierta (que incluye planes de salud y prácticas médicas, así como cualquier empresa relacionada con la atención médica) proteja cualquier dato de PHI que llegue a su posesión o control.
Los datos de PHI según HIPAA pueden clasificarse en una categoría diferente de información personal según otras regulaciones. Por ejemplo, si bien un número de seguro social puede calificar como PII (información de identificación personal) según el Reglamento General de Protección de Datos (RGPD) de la UE y PI (información personal) bajo la Ley de Privacidad del Consumidor de California (CCPA)Se consideraría un identificador de PHI según HIPAA.
Para manejar eficazmente datos sensibles —en particular, aquello que está cubierto por más de una regulación— las organizaciones necesitan Adoptar tecnología que pueda encontrar, clasificar, mapear y catalogar automáticamente todos los datos confidenciales y la PHI. en todo un ecosistema de datos, con una cobertura integral de todos los sistemas y fuentes de datos.
La solución de plataforma de BigID adopta un enfoque basado en aprendizaje automático para clasificar y etiquetar automáticamente toda la PHI, ePHI, HIPAA y datos confidenciales, por regulación, tipo de documento, política, atributos, individuo y más.
¿Cuáles son las tres reglas de HIPAA?
Regla de privacidad de HIPAA
La Regla de Privacidad de la HIPAA otorga a las personas derechos sobre su información médica. Los pacientes tienen el derecho legal de acceder y obtener copias de su historial médico, así como de solicitar la corrección de información inexacta o desactualizada.
La Regla de Privacidad también requiere que las organizaciones de salud cubiertas tomen medidas razonables para garantizar la confidencialidad del paciente, hacer un seguimiento de las divulgaciones, revelar solo la cantidad mínima de información necesaria para realizar una función específica y notificar a las personas sobre el uso de su PHI.
Los requisitos de HIPAA también establecen que las entidades cubiertas deben capacitar al personal sobre cómo manejar la PHI y designar un funcionario de privacidad para recibir quejas sobre PHI mal manejado.
Si bien la mayoría de las divulgaciones requieren la autorización por escrito del individuo, HIPAA permite que las entidades cubiertas divulguen PHI sin consentimiento expreso en los casos de facilitar el tratamiento, el pago o las operaciones de atención médica.
Para revelar datos de manera adecuada a las personas adecuadas en el momento adecuado y garantizando al mismo tiempo la confidencialidad del paciente, las organizaciones necesitan una cobertura total de todos sus datos, en todas partes.
BigID permite a las organizaciones conocer sus datos — todo, en todos los tipos, en cualquier idioma, en el centro de datos o en el nubeEstructurados o no estructurados, en reposo o en movimiento, a escala de petabytes, y permiten que los flujos de trabajo eliminen datos redundantes, obsoletos o triviales (ROT). Esto abarca archivos y documentos, imágenes y correo, Big Data y más, sin importar cuán aislados, ocultos, heredados o difíciles de encontrar estén los datos.
Norma de seguridad HIPAA
La regla de seguridad bajo HIPAA cubre tres áreas y exige que las entidades cubiertas utilicen las mejores prácticas para salvaguardar la PHI y la ePHI (información médica electrónica protegida) en las siguientes áreas:
- Seguridad administrativaLas entidades sujetas a la ley deben contar con políticas y procedimientos escritos que demuestren claramente su cumplimiento con la HIPAA. Estas políticas deben abarcar todos los aspectos, desde la supervisión y la capacitación de los empleados, hasta los controles de acceso y el manejo y monitoreo seguros de los datos que subcontratan. También regula la documentación específica de las auditorías rutinarias y basadas en eventos, así como el uso de planes de contingencia.
- Seguridad físicaLas entidades sujetas deben implementar controles y monitoreo de acceso físico, incluyendo la eliminación de hardware y software, y la seguridad de las estaciones de trabajo, para evitar la exposición no autorizada de datos confidenciales. Las medidas de seguridad física se extienden a los planes de seguridad de las instalaciones, el protocolo para visitantes y acompañantes, y el acceso de contratistas, e incluyen capacitación de terceros sobre las responsabilidades y restricciones del acceso físico.
- Seguridad técnicaLas entidades sujetas deben contar con medidas de seguridad técnicas para evitar el acceso no autorizado a la PHI transmitida electrónicamente. Esto incluye el mantenimiento de la integridad de los datos, controles de autenticación y prácticas adecuadas de documentación e informes, así como el uso de cifrado en los datos transmitidos a través de redes abiertas.
En esencia, la Regla de Seguridad exige que las organizaciones aseguren los registros, encripten los datos, se protejan contra violaciones y ataques maliciosos, eviten la pérdida o el robo de dispositivos, capaciten a los empleados en prácticas de seguridad sólidas, aseguren la PHI con terceros y eliminen los registros cuando sea apropiado, entre otros requisitos.
Con la funcionalidad de protección de datos escalable y extensible de BigID, las organizaciones de salud pueden reducir el riesgo al proteger eficazmente la PHI confidencial en todos los requisitos de las reglas de seguridad, y Aprovechar los flujos de trabajo de remediación Para tomar medidas con datos de alto riesgo y sobreexpuestos. Obtenga análisis de permisos de alto nivel para conjuntos de datos específicos según categoría y tipo, y monitoree a los usuarios con acceso a grandes conjuntos de datos sensibles.
Regla de notificación de infracciones de HIPAA
La Norma de Notificación de Infracciones de HIPAA exige que las entidades cubiertas que sufran una filtración de datos informen del incidente. Los requisitos de HIPAA varían según el número de pacientes afectados.
- Las infracciones que afecten a 500 o más pacientes deben notificarse a la OCR, a los pacientes afectados y a los medios de comunicación en un plazo de 60 días desde su detección. La OCR también publica estas infracciones.
- Las infracciones que afecten a 499 pacientes o menos deben notificarse a la OCR y a los pacientes afectados dentro de los 60 días a partir del final del año calendario en el que se detectó la infracción.
La aplicación de investigación de datos de violación de BigID permite a las organizaciones de atención médica determinar el alcance completo de una violación de datos, saber qué datos se vieron afectados, implementar un plan de respuesta a incidentes y mantener los estándares de informes tanto para los reguladores como para las personas afectadas, todo dentro de los plazos necesarios para el cumplimiento de HIPAA.
Regla mínima necesaria de HIPAA
Esta regla establece que al divulgar información médica protegida (PHI), estas organizaciones deben tomar medidas para limitar la cantidad de información compartida al mínimo necesario para lograr el propósito previsto de la divulgación.
En la práctica, esto significa que los proveedores de atención médica y otras entidades sujetas deben hacer un esfuerzo razonable para minimizar la cantidad de PHI divulgada, ya sea en formato electrónico o impreso. Esto es especialmente importante en la era digital actual, donde la información personal se comparte y transmite fácilmente.
Es esencial que las organizaciones de atención médica conozcan la Regla mínima necesaria de HIPAA e implementen las medidas necesarias para garantizar que cumplen y protegen la información confidencial de sus pacientes.
Actualizaciones de las regulaciones HIPAA de 2023
Los cambios propuestos a la Norma de Privacidad de HIPAA incluyen permitir a los pacientes inspeccionar su PHI en persona, acortar el tiempo máximo para brindar acceso a PHI, limitar las solicitudes para transferir ePHI a un tercero, permitir que las personas soliciten que su PHI se transfiera a una aplicación de salud personal y requerir que las entidades cubiertas informen a las personas sobre su derecho a obtener o dirigir copias de su PHI.
Además, las entidades cubiertas deberán publicar tarifas estimadas para el acceso y la divulgación de PHI, brindar estimaciones individualizadas de tarifas para proporcionar a una persona una copia de su propia PHI y responder a ciertas solicitudes de registros cuando así lo indique una persona.
Se ha eliminado el requisito de confirmación por escrito del Aviso de Prácticas de Privacidad, y las entidades sujetas podrán divulgar PHI para evitar una amenaza a la salud o la seguridad bajo ciertas condiciones. Se ha añadido una excepción estándar mínima necesaria para los usos y divulgaciones de la coordinación de la atención a nivel individual y la gestión de casos.
¿Qué se considera una violación de la HIPAA?
Cuando las entidades cubiertas no cumplen con una o más de las disposiciones de HIPAA, pueden incurrir en fuertes multas y sanciones. Las violaciones de HIPAA se dividen en cuatro niveles que dependen de:
- la gravedad de la infracción
- la cantidad de daño causado por la violación
- el grado de negligencia deliberada
- El historial previo de la empresa con el cumplimiento
- otros factores que la OCR podría considerar relevantes
Según el nivel, las sanciones económicas varían desde un mínimo de $100 por infracción hasta una multa de $50,000 por infracción. Existen cientos de posibles motivos para una infracción, pero algunos de los más comunes incluyen:
Con BigID, Las organizaciones de salud pueden mantener registros detallados de los sistemas de información e información actualizada sobre las auditorías. — y poder informar sobre el cumplimiento de la HIPAA.
¿Qué desencadena una auditoría HIPAA?
Las auditorías internas y los autoinformes revelan muchos Violaciones de HIPAAAdemás, la OCR, principal organismo responsable del cumplimiento de la HIPAA, prioriza la investigación de las entidades cubiertas que reportan infracciones de 500 o más registros. La OCR también realiza auditorías periódicas de las entidades cubiertas por la HIPAA y sus socios comerciales.
Los fiscales generales estatales también pueden investigar infracciones. Estas investigaciones suelen llevarse a cabo debido a quejas sobre posibles violaciones de la HIPAA y como respuesta a informes de violación de los registros de pacientes.
El enfoque de BigID para el cumplimiento de la HIPAA
Para lograr y mantener el cumplimiento de HIPAA con regulaciones como la Regla de Privacidad de HIPAA, la Regla de Seguridad de HIPAA y la Regla de Notificación de Infracciones de HIPAA, las organizaciones de salud y sus afiliadas pueden implementar una única plataforma de inteligencia de datos para obtener visibilidad completa de sus datos.
La plataforma de gestión de datos de BigID — ofrece servicios personalizados a medida, Descubrimiento de datos y automatización escalable — permitiendo que las organizaciones de salud comiencen a cumplir con los requisitos de HIPAA ahora mismo.
Con BigID, puedes:
Conozca sus datos: Con BigID, las empresas pueden descubrir, administrar y catalogar toda su PHI y ePHI confidencial en toda la organización, sin importar cuán aislada esté, y aplicar políticas en todos sus datos, en todas partes.
Obtenga cobertura de datos completa: Las empresas necesitan visibilidad completa de todos sus datos, no solo de una parte. BigID ofrece una amplia cobertura de datos no estructurados, estructurados y semiestructurados, big data, datos en movimiento y más, todo en un único panel.
Monitorear la calidad de los datos: Mantenga un mapa completo de toda la PHI (en las instalaciones y en la nube), alerte sobre riesgos de violación y pueda informar sobre todos los datos confidenciales de los pacientes para el cumplimiento de la HIPAA.
Reducir el riesgo en todas partes: Reduzca el riesgo de PHI con puntuación de riesgo, marcando flujos de datos y patrones de acceso, y monitoreando continuamente el acceso a los archivos.
Habilitar la remediación: Tome medidas rápidamente para remediar datos de alto riesgo, datos confidenciales y oscuros, y toda su información de salud regulada.
Programe una demostración gratuita 1:1 para ver cómo BigID puede empoderar a su organización para lograr resultados continuos Cumplimiento de HIPAA.
Autor
