¿Es Gmail compatible con HIPAA? Qué hacer y qué no hacer al usar Gmail con PHI
En 2022, el 89% de las organizaciones de salud experimentaron un promedio de 43 ataques en los últimos 12 meses, lo que equivale a casi un ataque por semana.
Considerando que la atención médica es una de las industrias más atacadas por los actores de amenazas, el cumplimiento de HIPAA es fundamental para proteger la información de salud protegida (PHI), y eso incluye la PHI enviada por correo electrónico.
En esta publicación, explicaremos cómo puede usar el popular proveedor de correo electrónico Gmail mientras cumple con HIPAA.
¿Es Gmail compatible con HIPAA?
Gmail no es compatible con HIPAA por defecto, pero puede admitir el cumplimiento de HIPAA. Las organizaciones deben revisar y aceptar el Acuerdo de Asociado Comercial (BAA) antes de usar Gmail u otros servicios cubiertos en relación con PHI. También deben implementar las salvaguardas apropiadas diseñadas para prevenir el uso o divulgación no autorizados de PHI.
Si bien es posible implementar estas salvaguardas en la versión gratuita de Gmail, puede ser más difícil. Una suscripción premium de Google Workspace, por otro lado, viene con controles integrados para la encriptación de datos, autenticación en dos pasos, gestión de puntos finales, prevención de pérdida de datos e infraestructura de ciberseguridad de confianza cero. Estas funciones de seguridad pueden ayudar a simplificar el proceso de hacer que su correo electrónico cumpla con HIPAA.
Discutiremos esto con más detalle a continuación.
Lectura recomendada
Presentamos el Centro de Cumplimiento de HIPAA: más de 25 recursos gratuitos para simplificar el cumplimiento
Cómo hacer que Gmail cumpla con HIPAA
Hacer que Gmail cumpla con HIPAA requiere varios pasos, que incluyen:
Firmar el acuerdo de asociado comercial.
Para firmar el acuerdo de asociado comercial con Google, debe tener una cuenta de superadministrador. Luego siga estos pasos:
- En la consola de administración, vaya a Menú y luego a Cuenta > Configuración de la cuenta > Legal y conformidad.
- Vaya a la sección Términos adicionales de seguridad y privacidad.
- Haga clic en Enmienda de asociado comercial de HIPAA de Google Workspace/Cloud Identity para revisar la enmienda.
- Haga clic en Revisar y aceptar y responda las tres preguntas para confirmar que es una entidad cubierta por HIPAA.
- Haga clic en Aceptar para aceptar el BAA de HIPAA.
Solo los clientes que hayan firmado un BAA con Google pueden usar los servicios de Google, incluido Gmail, en relación con PHI.
Asegúrese de que su correo electrónico esté configurado correctamente.
Gmail debe configurarse correctamente para garantizar que la ePHI esté protegida. Aquí hay algunos pasos a seguir:
- Habilite la configuración de encriptación de correo electrónico para proteger la PHI durante el tránsito y en reposo.
- Permitir el intercambio externo solo con dominios de confianza.
- Configure notifications to get alerts when Google detects these activities: suspicious login attempts, user suspended by an administrator, new user added, suspended user made active, user deleted, user's password changed by an administrator, user granted admin privilege, and user's admin privilege revoked.
- Override the default link sharing setting from “Anyone with the link” to “Private.”
- Implement a password policy to enforce length and complexity requirements and encourage users to set up robust, unique passwords for their Gmail accounts
- Ensure 2-Step Verification is deployed and set an enforcement date if any users aren’t enrolled
Follow guidance from Google.
In addition to configuring Gmail to help ensure that PHI is properly protected, users should use the built-in controls to ensure that emails and files that may contain PHI are only shared with the intended recipients. For example, if the file is not already shared with all email recipients, the Sender can choose to share the file with “Anyone with the link” within the Google Workspace domain.
For admins, Google recommends
- Overriding the default link sharing setting from “Anyone with the link” to “Private.”
- Creating data loss prevention policies that inspect emails for evidence of certain PII/PHI identifiers and explain how that data should be shared
Use end-to-end encryption.
Gmail is capable of encrypting emails it sends and receives, but only when the other email provider supports TLS encryption. An end-to-end email encryption service can help provide additional security for your emails that include PHI, when they’re in transit and once they've reached their destination mail server.
End-to-end email encryption works by encrypting the contents of an email on the sender’s end and decrypting it on the recipient’s using a pair of cryptographic keys. This way, only the sender and intended recipient can read the email’s content, even if the email is accidentally sent to the wrong address.
The following solutions offer end-to-end encryption as well as other security features, like access and audit controls and secure file sharing, that can make Gmail HIPAA compliant:
- Aspida
- Barracuda
- Egress
- EnGuard
- HIPAA Vault
- Hushmail
- Identillect
- LuxSci
- MailHippo
- Mimecast
- NeoCertified
- Paubox
- Protected Trust
- RMail
- SecureMail
- Virtru
Create policies and train employees on proper email use.
To ensure employees understand how to handle PHI securely within Gmail and other Google Workspace services in which PHI is permitted, you must create policies on proper email usage, data handling, and reporting procedures for any suspected security incidents. You must also conduct regular training sessions to ensure that employees understand these policies as well as the importance of protecting PHI and that they can recognize potential risks.
Ensure all emails are retained.
HIPAA requires covered entities and business associates to archive and retain certain electronic communications for a minimum of six years. This includes emails containing HIPAA policies and procedures and other documents that pertain to the actual compliance efforts with HIPAA.
There are also state-level requirements for retaining electronic communications that include PHI for a fixed period of time.
When retaining emails, organizations must follow encryption and backup requirements outlined by HIPAA. They must also properly store and dispose of ePHI. For many organizations, using an email archiving service can simplify the process.
Obtain consent from patients before communicating via email.
If you are communicating ePHI to a patient or plan member, you must:
- warn the recipient of the risks of communicating ePHI by email
- obtain their consent to receive communications by email
- document both the warning and the recipient’s consent
Consult with a lawyer to ensure you’re fully compliant.
The steps above are intended as guidance only and are not a substitute for legal advice. Always consult with a lawyer to ensure your organization understands the requirements when using Gmail in connection with PHI and is fully compliant with HIPAA.
Recommended reading
La Lista de Verificación Definitiva de Cumplimiento con HIPAA para 2023
Simplifique el cumplimiento de HIPAA con Secureframe
Secureframe hace que sea más rápido y fácil lograr y mantener el cumplimiento con HIPAA, simplificando el proceso en unos pocos pasos clave:
- Cree políticas de privacidad y seguridad de HIPAA
- Capacite a los empleados sobre los requisitos y prácticas recomendadas de HIPAA
- Gestione proveedores con acceso a PHI
- Asegúrese de que los socios comerciales protejan el PHI
- Monitoree sus salvaguardas de HIPAA
Para saber más sobre cómo puede automatizar el cumplimiento de HIPAA, solicite una demostración personalizada.
Use la confianza para acelerar el crecimiento
Solicitar una demostración
Preguntas Frecuentes
¿En qué servicios permite Google el almacenamiento de ePHI?
Google permite el almacenamiento de ePHI en Gmail, Google Drive (Docs, Sheets, Slides, y Forms), Google Calendar, Hangouts (solo la función Chat), Hangouts Meet, Keep, Sites y Google Vault.
¿Ofrece Gmail correo electrónico conforme con HIPAA?
Gmail se puede usar como parte de una organización conforme con HIPAA. Sin embargo, solo la versión paga (Google Workspace Gmail, no las direcciones de correo @gmail.com) proporciona las características que necesita para el correo electrónico conforme con HIPAA.
¿Es seguro enviar registros médicos por Gmail?
HIPAA no prohíbe enviar registros médicos por correo electrónico y se puede hacer de manera segura cuando se siguen las directrices de HIPAA. Si no se siguen las directrices de HIPAA, esta información podría ser obtenida por personas no autorizadas y resultar en una violación de HIPAA. Por ejemplo, el remitente podría cometer un error en la dirección de correo electrónico y la persona incorrecta podría recibir los registros médicos.
¿Cómo hago que mi correo electrónico sea conforme con HIPAA?
Los siguientes pasos pueden ayudar a que su correo electrónico sea conforme con HIPAA:
- Use encriptación de extremo a extremo.
- Firme un acuerdo de asociación comercial con su proveedor de correo electrónico.
- Asegúrese de que su correo electrónico esté configurado correctamente.
- Cree políticas y capacite a los empleados sobre el uso adecuado del correo electrónico.
- Asegúrese de que todos los correos electrónicos se conserven.
- Obtenga el consentimiento de los pacientes antes de comunicarse por correo electrónico.
- Consulte con un abogado para asegurarse de que cumple completamente con las normativas.
¿Qué servicios de Google son compatibles con HIPAA?
Los siguientes servicios están cubiertos por el Acuerdo de Asociación Comercial (BAA) de Google y cumplen con los requisitos de HIPAA: 126 productos de Google Cloud, Google Workspace, Communications, Chronicle y los servicios originales de Looker. En última instancia, los clientes son responsables de evaluar su propio cumplimiento de HIPAA, incluso al usar los servicios de Google.