En 2021, un número récord de 713 grandes violaciones de datos de salud afectaron a más de 45,7 millones de personas. Solo en la primera mitad de 2022, se reportaron 347 grandes violaciones de datos de salud que afectaron a más de 19,6 millones de personas.

En los últimos años, el número de violaciones de datos de salud ha aumentado constantemente. El archivo de la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de EE. UU. archivo muestra más de 4,000 grandes violaciones de datos de salud que han afectado a casi 321 millones de individuos desde 2009. Esto ha incluido:

• 270 violaciones que afectaron a 112,5 millones de personas en 2015
• 329 violaciones que afectaron a 16,7 millones de personas en 2016
• 358 violaciones que afectaron a casi 5,3 millones de personas en 2017
• 369 violaciones que afectaron a 14,4 millones de personas en 2018
• 512 violaciones que afectaron a 42,3 millones de personas en 2019
• 663 violaciones que afectaron a más de 34 millones de personas en 2020

Esta tendencia al alza refleja lo que muchas organizaciones de salud y sus socios comerciales ya saben bien: el cumplimiento de HIPAA se está volviendo más desafiante en el panorama de ciberseguridad y amenazas en rápida evolución de hoy. Sigue leyendo para saber por qué.

6 razones por las que el cumplimiento de HIPAA se está volviendo más desafiante

El crecimiento exponencial de los datos de salud, los cambios en las regulaciones de HIPAA y las amenazas cada vez más sofisticadas son solo algunos de los factores que están dificultando a las organizaciones el cumplimiento de HIPAA y la seguridad de la información de salud protegida (PHI). Vamos a echar un vistazo más de cerca a estos factores a continuación.

1. Crecimiento exponencial de los datos de salud

Las organizaciones de salud y sus asociados comerciales están recolectando, almacenando y compartiendo más datos de salud que nunca.

Según una investigación de RBC Capital Markets, aproximadamente el 30% del volumen de datos a nivel mundial está siendo generado por la industria de la salud. Para 2025, se espera que la tasa de crecimiento anual compuesta de los datos para la salud alcance el 36%—una tasa más alta que la de la manufactura, los servicios financieros y los medios de comunicación y entretenimiento.

El rápido crecimiento de los datos de salud está haciendo más difícil para las entidades cubiertas por HIPAA y los socios comerciales implementar las salvaguardas físicas, electrónicas, administrativas y técnicas necesarias para protegerlos.

2. Nueva tecnología

La industria de la salud ha sido en gran medida digitalizada en las últimas tres décadas. La mayoría de los hospitales y consultorios médicos han pasado de sistemas basados en papel a sistemas electrónicos de registros de salud (EHR). Muchos pacientes están utilizando aplicaciones en teléfonos inteligentes, tabletas y computadoras para acceder a su información de salud. Más organizaciones de salud están adoptando la nube para almacenar y compartir datos.

Gran parte de esta tecnología no existía cuando se aprobó HIPAA, lo que hace difícil para las organizaciones entender cómo recolectar, almacenar y compartir datos utilizando estas tecnologías y al mismo tiempo cumplir con HIPAA.

Por ejemplo, algunas entidades reguladas comparten regularmente información electrónica de salud protegida (ePHI) con vendedores de tecnología de rastreo en línea. Debido a que algunos lo hacían de manera que violaban las reglas de HIPAA, la HHS OCR tuvo que emitir un boletín en diciembre para explicar cómo las entidades reguladas pueden (y no pueden) usar la tecnología de rastreo en línea bajo HIPAA.

3. Riesgos cada vez más sofisticados

La nueva tecnología en la atención médica ha introducido nuevos riesgos, cada vez más sofisticados.

La ePHI existe en más lugares dentro de una organización de salud que nunca antes: software, dispositivos conectados, sistemas heredados y en cualquier otra parte de una red. Eso significa que hay más puntos de infiltración para ciberataques como ransomware, malware y phishing por correo electrónico.

Los ataques de ransomware a hospitales y organizaciones de salud en particular han ido en aumento. Según una encuesta de 2022 de 132 ejecutivos de salud por el Centro de Información y Análisis de Salud, el ransomware es la amenaza cibernética número uno, más que las violaciones de datos o las amenazas internas.

En abril de 2022, el Programa de Ciberseguridad de HHS emitió una alerta a los proveedores de atención médica advirtiéndoles que se protegieran contra un grupo de ransomware "excepcionalmente agresivo" que empleaba una amplia variedad de tácticas, técnicas y procedimientos para cifrar y robar datos.

Implementar medidas de seguridad requeridas por HIPAA se ha vuelto más imperativo para ayudar a prevenir estos ciberataques cada vez más sofisticados. Las organizaciones que se han visto afectadas, como el Centro Médico de la Universidad de Vermont, han tenido que fortalecer su protección avanzada de firewall y software antivirus y bloquear el acceso al correo electrónico personal en las computadoras de trabajo, entre otras medidas.

4. Mayores demandas de los pacientes por la privacidad de los datos de salud y la responsabilidad

En una encuesta de 2022 de la Asociación Médica Americana, casi el 75% de los pacientes expresaron preocupación por proteger la privacidad de los datos de salud personal y el 90% de los pacientes dijeron que querían ver a las compañías responsables por el uso de los datos de salud.

A medida que las preocupaciones de los pacientes sobre la privacidad de sus datos de salud continúan creciendo, están buscando que los gobiernos y las agencias de cumplimiento consideren extender o aprobar nuevas regulaciones para ayudar a abordar los riesgos de privacidad que enfrentan hoy.

Por ejemplo, en una encuesta de The Pew Charitable Trusts, la mayoría de los encuestados dijo que querían usar aplicaciones en teléfonos inteligentes, tabletas y computadoras para acceder a su información de salud. Pero aquellos que expresaron serias preocupaciones sobre la privacidad casi se duplicaron —del 35% al 62%— cuando se les dijo que las protecciones de privacidad federales no cubren los datos almacenados en aplicaciones. Muchos dijeron que extender estas leyes podría ayudar a aliviar sus preocupaciones.

Hacerlo puede resultar en más requisitos para las entidades cubiertas por HIPAA, como realizar revisiones de privacidad y seguridad de las aplicaciones de salud que accedan a la PHI.

5. Cambios en las regulaciones de HIPAA

Desde que HIPAA se promulgó en 1996, ha habido varias actualizaciones significativas, incluyendo la introducción de las normas de privacidad, seguridad, omnibus, notificación de violaciones y cumplimiento.

Muchos de estos cambios requirieron que las entidades de atención médica implementaran nuevas medidas para cumplir y mantenerse en cumplimiento, como capacitar a los empleados en los requisitos y mejores prácticas de HIPAA, asignar identificadores únicos a los usuarios y utilizar el cifrado de datos en dispositivos portátiles y redes informáticas.

Más recientemente, se propusieron varias actualizaciones a la Regla de Privacidad de HIPAA para mejorar la coordinación de la atención de los pacientes que reciben tratamiento mientras se fortalecen las protecciones críticas de privacidad y confidencialidad.

A medida que las regulaciones de HIPAA continúan evolucionando para satisfacer las demandas de los consumidores de atención médica, las organizaciones se ven desafiadas a mantenerse al día con las últimas regulaciones para mitigar riesgos legales, regulatorios y financieros.

6. Nuevas leyes de privacidad

En los últimos años, se han aprobado docenas de nuevas leyes de privacidad en todo el mundo, incluyendo en los Estados Unidos, Japón, Corea del Sur, Brasil y China. Las más notables son el Reglamento General de Protección de Datos de la UE y la Ley de Privacidad del Consumidor de California.

Estas leyes de privacidad tienen algunos requisitos superpuestos para los datos de salud personales. Por ejemplo, el RGPD permite el procesamiento de datos de salud personales (que caen bajo su definición de datos personales sensibles) sin el consentimiento del individuo por razones relacionadas con reclamaciones legales o salud pública, entre otras condiciones establecidas en el Artículo 9. HIPAA, por otro lado, permite la divulgación de algunos PHI sin el consentimiento del individuo para propósitos de tratamiento. Las entidades cubiertas y los asociados comerciales que deben cumplir con HIPAA y el RGPD se enfrentan al desafío de hacer un seguimiento de estos requisitos variables.

La buena noticia es que si su organización necesita cumplir con HIPAA y otras leyes de privacidad, entonces se pueden utilizar algunas salvaguardas para proteger los datos que caen bajo el alcance de múltiples leyes.

Sin embargo, asegurarse de que tiene todas las salvaguardas requeridas para cada ley de privacidad aplicable es un desafío mayor que cumplir con una sola ley, especialmente si no tiene una única fuente de verdad y un sistema de registro para seguridad, privacidad y cumplimiento.

Cómo Secureframe puede ayudarle a cumplir y mantener el cumplimiento de HIPAA ahora y en el futuro

Secureframe hace que sea más rápido y fácil lograr y mantener el cumplimiento de HIPAA simplificando el proceso en unos pocos pasos clave:

• Crear políticas de privacidad y seguridad de HIPAA
• Capacitar a los empleados sobre los requisitos y mejores prácticas de HIPAA
• Gestionar proveedores con acceso a PHI
• Asegurarse de que los asociados comerciales protejan la PHI
• Monitorear sus salvaguardas de HIPAA

Obtenga más información sobre cómo puede automatizar su cumplimiento de HIPAA hoy mismo.