“Ha habido una brecha de datos.”

Palabras que nunca quieres escuchar, especialmente como líder en atención médica. Una brecha de información de salud protegida no asegurada (PHI, por sus siglas en inglés) puede significar sanciones de HIPAA, demandas y un gran dolor de cabeza para toda la organización.

Comprender la Regla de Notificación de Brechas de HIPAA podría ahorrarle a su organización tiempo y dinero, al tiempo que protege su reputación.

Hablemos de lo que significa la regla y cómo cumplirla.

¿Qué es la Regla de Notificación de Brechas de HIPAA?

Ilustración que muestra cómo funciona la regla de notificación de brechas de HIPAA en tres pasos.

La regla de notificación de brechas de HIPAA requiere que las organizaciones notifiquen a las personas afectadas y al Departamento de Salud y Servicios Humanos de los EE. UU. (HHS, por sus siglas en inglés) cuando se ha violado PHI no asegurada.

La Oficina de Derechos Civiles (OCR) del HHS investiga violaciones de la regla, pero tiende a priorizar casos de brechas que involucran más de 500 registros de pacientes.

¿Cuáles son los requisitos de notificación de brechas de HIPAA?

Ilustración que muestra lo que se debe hacer en caso de una violación de PHI en menos de 500 personas y más de 500 personas.

Hemos cubierto su responsabilidad general con respecto a la regla de notificación de brechas de HIPAA, pero ¿qué hay de los detalles técnicos? En esta sección, le ayudaremos a sentirse seguro sobre el cumplimiento de la regla en caso de que su organización enfrente una violación de PHI.

Cronograma

Primero, ¿cuándo se debe informar una brecha? Para evitar una multa de la OCR, los proveedores de atención médica deben enviar notificaciones a las personas afectadas dentro de los 60 días posteriores al descubrimiento de la brecha.

Dicho esto, la regla especifica que las organizaciones afectadas no deben tener una demora irrazonable al notificar a las partes afectadas. Se recomienda notificar a los afectados lo antes posible, idealmente, tan pronto como se confirme el descubrimiento de una brecha.

Entrega y contenido de la notificación

Las notificaciones de una brecha de PHI no asegurada deben enviarse a cada individuo impactado ya sea en un aviso por escrito por correo de primera clase, o por correo electrónico si la persona ha consentido ser contactada por correo electrónico.

Si la información de contacto de más de 10 personas afectadas está desactualizada, la entidad cubierta debe publicar el aviso en su sitio web o difundir el aviso donde reside cada individuo durante al menos 90 días.

La notificación debe explicar:

  • Qué ocurrió
  • Qué información se comprometió
  • Cómo está respondiendo la entidad a la brecha
  • Cómo evitará brechas en el futuro

También debe proporcionar consejos sobre cómo las personas afectadas pueden protegerse del daño que puede resultar de la violación, como el robo de identidad.

Notificación al HHS y aviso a los medios

Estadística que cubre cómo se reportaron 3.700 violaciones importantes de datos de atención médica entre 2009 y 2020 junto con una ilustración de un candado roto.

Además de notificar a las partes afectadas sobre una violación, las entidades cubiertas están obligadas a notificar al HHS a través de un informe de violación. El plazo para notificar al HHS varía según el número de personas afectadas.

Si la violación afectó a menos de 500 personas, se debe notificar al HHS de manera anual, específicamente, dentro de los 60 días calendario siguientes al final del año en que se identificó la violación.

Sin embargo, si la violación afectó a más de 500 individuos, entonces se debe notificar al HHS dentro de los 60 días de la violación. La entidad cubierta también debe notificar a medios de comunicación prominentes, incluyendo medios de prensa y de radiodifusión locales.

Notificación por parte de asociados de negocio

En caso de que un asociado de negocios sea responsable de una violación de PHI no asegurada, el asociado juega un papel activo en ayudar a la entidad cubierta a ejecutar la Regla de Notificación de Violación. Dentro de los 60 días de descubrir la violación, el asociado debe:

  • Proporcionar identificación de cada individuo afectado para la entidad cubierta
  • Comunicar la mayor cantidad de detalles posibles sobre la violación a la entidad cubierta

A partir de ahí, la entidad cubierta es responsable de cumplir con la Regla de Notificación de Violación, notificar a los individuos afectados, notificar al HSS y potencialmente contactar a los medios.

¿Qué se considera una violación?

El HHS define una violación como el uso, acceso o divulgación no autorizado de PHI no asegurada bajo la Regla de Privacidad que compromete la seguridad y privacidad de esos datos.

La Regla de Privacidad de HIPAA define PHI usando 18 identificadores:

  • Nombres
  • Fechas, excepto el año
  • Números de teléfono
  • Datos geográficos
  • Números de fax
  • Números de Seguridad Social
  • Direcciones de correo electrónico
  • Números de registro médico
  • Números de cuenta
  • Números de beneficiarios de planes de salud
  • Números de certificados/licencias
  • Identificadores de vehículos, incluyendo matrículas
  • URLs web
  • Identificadores de dispositivos y números de serie
  • Direcciones IP
  • Fotos de rostro completo e imágenes comparables
  • Identificadores biométricos (por ejemplo, escaneo de retina, huellas dactilares)
  • Cualquier número o código de identificación único

Los videos e imágenes que contienen PHI también están protegidos por la Regla de Privacidad de HIPAA, al igual que el PHI que se almacena electrónicamente.

¿Qué constituye PHI no asegurada?

La regla solo se aplica cuando el PHI no asegurado es vulnerado. Si sus datos están protegidos por estrictas medidas de seguridad y aún así se ven comprometidos, la regla no se aplica a usted. Si no están debidamente asegurados cuando se ven comprometidos, se consideran no asegurados.

Por ejemplo, imagine que un médico deja por error los registros impresos de un paciente sobre una mesa en un área común; este PHI no está asegurado. Después de regresar para recogerlos, ya no están allí. Si los registros no fueron tomados por personal autorizado, esto constituye una violación y se aplica la Regla de Notificación de Violación.

La mejor manera de evitar una violación es confirmar que usted y sus asociados comerciales están asegurando el PHI mediante el uso de medidas de protección de datos como la encriptación y la destrucción rutinaria de PHI. También es importante capacitar a los empleados en la gestión de PHI para los momentos en que los documentos no pueden estar totalmente asegurados, como transferencias de archivos entre personal autorizado.

No cumplir con la Regla de Notificación de Violación después de una violación de PHI no asegurada puede tener consecuencias bastante severas. Tome como ejemplo a la red de atención médica de Illinois Presence Health; en 2013, los horarios de las salas de operaciones llenos de datos sensibles de 836 pacientes desaparecieron.

Presence Health no notificó a HHS sobre la violación hasta más de un mes después del plazo de 60 días establecido por la Regla de Notificación de Violaciones de HIPAA, violando la regla. Terminó resolviendo la violación por $475,000 en 2017.

Imagen que incluye terminología de violación de PHI, que incluye: violación, excepciones de violación, baja probabilidad de compromiso, presunción de violación y PHI no asegurada.

La condición de “baja probabilidad de compromiso”

Cualquier uso o divulgación no autorizada de PHI se considera una violación a menos que se pueda demostrar que hay una “baja probabilidad” de que el PHI haya sido comprometido basado en una evaluación de riesgo adecuada. El HHS especifica cuatro factores que deben evaluarse para determinar esto:

  1. La naturaleza y extensión del PHI involucrado, incluidos los tipos de identificadores y la probabilidad de re-identificación
  2. La persona no autorizada que utilizó el PHI o a quien se realizó la divulgación
  3. Si el PHI fue realmente adquirido o visto
  4. El grado en el que se ha mitigado el riesgo para el PHI

Esta evaluación solo debe llevarse a cabo si la entidad cubierta por HIPAA no está segura de si el PHI ha sido comprometido. Si parece obvio que hubo una violación, no es necesario evaluar los factores anteriores y se debe notificar a todas las partes relevantes.

¿Cuáles son las excepciones de violación?

Hay algunos escenarios que técnicamente entran en la definición de una violación, sin embargo, el HHS les concede gracia. Las tres excepciones de violación son:

  1. Acceso o uso no intencional de PHI por un empleado, realizado de buena fe y dentro del alcance de su autoridad
  2. Divulgación accidental de PHI entre personas autorizadas
  3. La organización cree con confianza que la persona que obtuvo o accedió al PHI no conservará ni comprometerá los datos

Si alguna de las tres excepciones es verdadera, entonces el PHI no se considera “violado” y la entidad cubierta no está obligada a notificar a las partes afectadas o al HHS según la Regla de Notificación de Violaciones.

Cómo Secureframe puede ayudarle a mantenerse en cumplimiento con HIPAA y evitar violaciones de reglas

Secureframe elimina el estrés de mantener seguros los PHI de su organización. Al capacitar a los empleados sobre los requisitos y mejores prácticas de HIPAA, llevar un registro de proveedores y asociados que tienen acceso a PHI y monitorear sus salvaguardas individuales de PHI, puede estar seguro de que su riesgo de violación es mínimo.

Aprenda más sobre automatización de cumplimiento con HIPAA con Secureframe hoy.

Preguntas Frecuentes

¿Qué es la Regla de Notificación de Violaciones de HIPAA?

La Regla de Notificación de Violaciones, bajo la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA), exige que las entidades cubiertas y sus asociados comerciales notifiquen a las personas afectadas, al Secretario de Salud y Servicios Humanos (HHS), y en ciertos casos, a los medios de comunicación, tras el descubrimiento de una violación de PHI no asegurada. Una violación se define como la adquisición, acceso, uso, o divulgación no autorizada de PHI que compromete la seguridad o privacidad de dicha información, excepto cuando una persona no autorizada a quien se divulga dicha información no es razonablemente capaz de retener dicha información.

¿Cuál es la definición de violación según HIPAA?

Una violación es un uso o divulgación no permitidos bajo la Regla de Privacidad de HIPAA que compromete la seguridad o privacidad de la información de salud protegida (PHI) no asegurada. No asegurada significa que la PHI no fue hecha inutilizable, ilegible o indescifrable para personas no autorizadas.

¿Qué no se considera una violación de HIPAA?

Hay tres excepciones a la definición de "violación":

1. Adquisición, acceso o uso no intencional de PHI por parte de un miembro del personal o una persona que actúe en nombre de una entidad cubierta o asociado de negocios, siempre que dichas acciones se hayan realizado de buena fe y dentro del alcance de la autoridad.

2. Divulgación inadvertida por parte de una persona autorizada a acceder a PHI en una entidad cubierta o asociado de negocios, a otra persona con autorización similar dentro de la misma entidad cubierta, asociado de negocios o arreglo de atención médica organizado.

3. Si la entidad cubierta o el asociado de negocios cree que el destinatario no autorizado de la PHI divulgada no habría podido retener la información.

¿Cuándo deben las entidades cubiertas notificar a los medios sobre una violación?

Después de una violación de información de salud protegida no asegurada que afecte a más de 500 residentes de un estado o jurisdicción, las entidades cubiertas deben notificar a los medios de comunicación prominentes que sirven a ese estado o jurisdicción. — además de notificar a las personas afectadas y al Secretario de HHS.

¿Cuáles son los requisitos regulatorios para las notificaciones en caso de violaciones de datos?

Los requisitos regulatorios para las notificaciones en caso de una violación de datos bajo la Regla de Notificación de Violación de HIPAA incluyen:

  • Notificación a individuos: Las entidades cubiertas deben notificar prontamente a las personas afectadas sobre una violación, a más tardar 60 días desde el descubrimiento de la violación. Las notificaciones deben incluir, en la medida de lo posible, una descripción de la violación, los tipos de información involucrados, los pasos que las personas deben tomar para protegerse, lo que la entidad cubierta está haciendo para investigar y mitigar la violación y la información de contacto de la entidad cubierta.
  • Notificación al Secretario de HHS: Las entidades cubiertas deben notificar al Secretario de HHS sobre todas las violaciones de PHI no asegurada. Las violaciones que afecten a 500 o más personas deben ser reportadas sin demora injustificada y en ningún caso más tarde de 60 días desde el descubrimiento de la violación. Las violaciones que afecten a menos de 500 personas pueden ser reportadas anualmente.
  • Notificación a los medios: En casos donde una violación afecte a más de 500 residentes de un estado o jurisdicción, las entidades cubiertas también deben notificar a los medios prominentes dentro de ese estado o jurisdicción, a más tardar 60 días después del descubrimiento de la violación.
  • PHI no asegurada: Los requisitos de notificación se aplican específicamente a la PHI no asegurada, que es la PHI que no ha sido hecha inutilizable, ilegible o indescifrable para individuos no autorizados mediante el uso de una tecnología o metodología especificada por el Secretario de HHS.