Si trabaja para o con organizaciones de atención médica, conoce HIPAA, y sabe que puede enfrentar violaciones importantes de HIPAA si no cumple con sus normas y regulaciones. Pero, ¿qué significa cumplir con HIPAA y cómo se logra?
La legislación HIPAA se aprobó en 1996 para abordar problemas clave en la industria de la salud de EE. UU. La Ley de Portabilidad y Responsabilidad del Seguro de Salud estableció estándares nacionales que hacen que la atención médica sea más accesible, eficiente y segura. Hoy en día, todas las entidades cubiertas (proveedores de atención médica, planes de salud y centros de intercambio de información médica) y sus asociados comerciales deben cumplir con las regulaciones de HIPAA.
¿Cuáles son esas regulaciones y cómo pueden las organizaciones de atención médica demostrar el cumplimiento? Este artículo explica lo que se requiere y describe los 7 pasos clave para cumplir con HIPAA.
Regulaciones, reglas y requisitos de HIPAA
HIPAA incluye un conjunto de reglas para ayudar a las organizaciones de atención médica y sus asociados comerciales a proteger la privacidad y seguridad de los datos de los pacientes. Para cumplir con HIPAA, las organizaciones de atención médica deben seguir cinco reglas de HIPAA.
La Regla de Privacidad de HIPAA
La Regla de Privacidad de HIPAA es una ley federal que otorga a los pacientes derechos sobre su información de salud protegida y limita quién puede acceder y divulgar información de salud protegida (PHI). Garantiza que las organizaciones tomen las medidas adecuadas para asegurar la información de salud mientras permiten que se comparta de una manera que promueva una atención médica de alta calidad.
La Regla de Seguridad de HIPAA
La Regla de Seguridad establece tres tipos de salvaguardas que las organizaciones deben usar para proteger la PHI del acceso no autorizado: físicas, administrativas y técnicas. Juntas, estas salvaguardas ayudan a garantizar que la información de salud del paciente no esté en riesgo de una violación de datos.
La Regla de Notificación de Violaciones de HIPAA
La Regla de Notificación de Violaciones de HIPAA requiere que las organizaciones notifiquen a los individuos afectados y al Departamento de Salud y Servicios Humanos (HHS) cuando se haya violado la PHI no asegurada. Para evitar una violación de HIPAA, las organizaciones deben enviar notificaciones a los individuos afectados dentro de los 60 días posteriores a la identificación de una violación.
La Regla de Cumplimiento de HIPAA
Esta regla define cómo se llevan a cabo las investigaciones sobre las quejas y violaciones de HIPAA, así como cómo se determinan las multas y sanciones por violaciones de HIPAA.
La Regla Ómnibus de HIPAA
Uno de los puntos clave de la legislación HIPAA es dar a los pacientes un mayor control sobre quién puede acceder a sus registros de salud y cuándo. Bajo la Regla Ómnibus, las entidades cubiertas deben cumplir con la solicitud del paciente de acceder o compartir sus registros médicos.
7 pasos para lograr el cumplimiento con HIPAA
Aunque la legislación de HIPAA requiere que las organizaciones sean proactivas en la protección de PHI, no especifica las acciones exactas que las entidades cubiertas deben tomar. Esta flexibilidad permite a las organizaciones decidir qué salvaguardas son las más adecuadas para sus necesidades únicas. Por ejemplo, un sistema hospitalario regional probablemente necesitará tener diferentes salvaguardas en comparación con una pequeña clínica familiar.
Dicho esto, todas las organizaciones deberán seguir el mismo proceso básico para lograr el cumplimiento de HIPAA. A continuación, se detallan esos pasos.
Paso 1: Realizar una evaluación de riesgos de seguridad
Bajo la Regla de Seguridad, se requiere que las entidades cubiertas completen una evaluación de riesgos de HIPAA. Este análisis de riesgos ayuda a las organizaciones a comprender su panorama de amenazas, definir su tolerancia al riesgo e identificar la probabilidad y el impacto potencial de cada riesgo.
Durante una evaluación de riesgos, las organizaciones identifican y clasifican las amenazas potenciales a su postura de seguridad, incluidos errores humanos, fallos técnicos y desastres naturales. Con esta información, las entidades cubiertas pueden desarrollar estrategias más efectivas para identificar vulnerabilidades, mitigar riesgos y mejorar los estándares de seguridad de datos.
Tanto las entidades cubiertas como los socios comerciales están obligados a completar evaluaciones de riesgos periódicas, generalmente de forma anual.
Paso 2: Implementar salvaguardas
Los requisitos de cumplimiento de HIPAA incluyen tres tipos de salvaguardas que las entidades cubiertas y los socios comerciales deben implementar para proteger la PHI.
Salvaguardas administrativas
Las salvaguardas administrativas aseguran que los empleados sepan cómo acceder y almacenar correctamente la PHI. Por ejemplo, completar la capacitación en seguridad, revisar las políticas de privacidad y asegurar que el personal sepa cómo proteger la PHI en caso de emergencia.
Salvaguardas físicas
Las salvaguardas físicas protegen áreas que permiten el acceso físico a la PHI, como archivadores y estaciones de trabajo. Estas pueden incluir el requerimiento de insignias de identificación para acceder a la PHI, el bloqueo de archivadores y asegurarse de que cualquier pantalla que muestre PHI no sea visible públicamente.
Salvaguardas técnicas
Las salvaguardas técnicas protegen la ePHI (PHI que se almacena electrónicamente) del acceso y la alteración no autorizados. Los ejemplos incluyen el uso de medidas de ciberseguridad como software antivirus y encriptación de datos.
Paso 3: Designar un oficial de cumplimiento de HIPAA
Este oficial de cumplimiento es responsable de monitorear el cumplimiento de HIPAA a lo largo del tiempo. Las responsabilidades incluyen:
- Asegurar que se sigan y se hagan cumplir las políticas de seguridad y privacidad
- Gestionar la capacitación en privacidad para empleados
- Completar evaluaciones periódicas de riesgos
- Desarrollar procesos de seguridad y privacidad
- Investigar cualquier incidente de seguridad o brecha de datos sospechada/confirmada
- Reportar brechas cuando sea necesario
- Crear un plan de recuperación ante desastres
- Asegurar que la organización haya implementado correctamente las salvaguardas administrativas, físicas y técnicas de la Regla de Seguridad
En las organizaciones grandes que manejan una gran cantidad de PHI, estas responsabilidades a menudo se dividen entre dos oficiales de cumplimiento diferentes: un oficial de seguridad y un oficial de privacidad.
Paso 4: Completar la capacitación de HIPAA para todo el personal que interactúa con PHI
La capacitación de HIPAA adecuada asegura que todos los empleados que manejan PHI comprendan cómo protegerla y estén familiarizados con las regulaciones y reglas de HIPAA.
Las reglas y regulaciones de HIPAA pueden ser complejas para los recién llegados, por lo que asegurar que todos los empleados que interactúan con PHI reciban capacitación adecuada es un paso esencial para el cumplimiento. La capacitación de HIPAA asegura que su personal comprenda su papel en mantener los estándares de seguridad y sepa exactamente qué pasos deben tomar para mantener la PHI privada y segura.
Paso 5: Recopilar Acuerdos de Asociados Comerciales (BAAs)
Bajo HIPAA, las entidades cubiertas solo pueden trabajar con asociados comerciales y proveedores de servicios que también cumplan con los requisitos de HIPAA para proteger la PHI. Los Acuerdos de Asociados Comerciales son acuerdos escritos que especifican las responsabilidades de cada parte en relación con la PHI.
De acuerdo con el Departamento de Salud y Servicios Humanos (HHS), un BAA debe incluir:
- Una descripción de cuándo se permite o se requiere que el asociado comercial use la PHI
- Garantía de que el asociado comercial no utilizará ni divulgará la PHI fuera de lo que está permitido en el acuerdo o requerido por la ley
- Un requisito de que el asociado comercial implemente las salvaguardas adecuadas para proteger la PHI contra el acceso o la divulgación no autorizados
Deberá recopilar estos BAAs, revisarlos anualmente y actualizarlos para reflejar cualquier cambio.
Paso 6: Establecer un proceso de notificación de brechas
Una violación de datos no siempre conlleva una penalización garantizada; en algunos casos, una violación es involuntaria o está fuera de su control evitarla.
Por otro lado, no informar sobre una violación es una violación definida de la Regla de Notificación de Violaciones. Esta regla requiere que las organizaciones informen una violación de datos a la Oficina de Derechos Civiles (OCR) y notifiquen a cualquier persona que pueda haber sido afectada dentro de los 60 días.
Para cumplir con las normativas, necesitará tener un proceso documentado de notificación de violaciones que defina cómo su organización seguirá esta regla. Este proceso debe ser revisado y actualizado anualmente por su oficial de cumplimiento.
Paso 7: Documentar evidencia de cumplimiento
En caso de una auditoría o investigación de quejas de HIPAA, la OCR necesitará revisar su documentación para verificar el cumplimiento (o incumplimiento). Mantenga un registro de sus políticas de seguridad y privacidad, evaluaciones de riesgos, informes de auditoría interna, planes de remediación, certificados de capacitación de empleados, acuerdos con socios comerciales y otra documentación relacionada con HIPAA.
Lista de verificación de cumplimiento de HIPAA para 2023
Haga un seguimiento del progreso de su empresa hacia el cumplimiento de HIPAA con esta lista de verificación paso a paso.
Cumplimiento de HIPAA más rápido y fácil con Secureframe
Las soluciones de automatización del cumplimiento facilitan la supervisión de su programa de cumplimiento de HIPAA ayudándole a construir políticas de privacidad y seguridad, supervisando la capacitación de los empleados, gestionando los BAAs y monitoreando continuamente sus salvaguardas para alertarle de cualquier no conformidad.
Programar una demostración para ver cómo Secureframe puede simplificar su cumplimiento de HIPAA hoy.
Preguntas frecuentes
¿Es obligatorio el cumplimiento de HIPAA?
Sí, el cumplimiento de HIPAA es obligatorio para las entidades cubiertas y los socios comerciales según lo definido por la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA). Las entidades cubiertas incluyen proveedores de atención médica, planes de salud y cámaras de compensación de atención médica que transmiten cualquier información de salud en forma electrónica en relación con transacciones para las cuales el Departamento de Salud y Servicios Humanos de EE. UU. (HHS) ha adoptado estándares. Los socios comerciales son individuos o entidades que realizan ciertas funciones o actividades que involucran el uso o divulgación de información de salud protegida (PHI) en nombre de, o prestan servicios a, una entidad cubierta. Cumplir con las reglas de Privacidad, Seguridad y Notificación de Violaciones de HIPAA no es opcional para estas organizaciones e individuos; es un requisito legal.
¿Cuánto tiempo se tarda en cumplir con HIPAA?
El tiempo que tarda una organización en cumplir con HIPAA puede variar ampliamente dependiendo de varios factores, incluyendo:
- El tamaño y la complejidad de la organización
- El estado actual de sus esfuerzos de cumplimiento
- La cantidad y tipos de información de salud protegida (PHI) que maneja
- Los recursos que dedica al proceso de cumplimiento
Generalmente, lograr el cumplimiento de HIPAA es un proceso continuo que implica evaluación continua, actualizaciones y mejoras en lugar de un evento único.
¿Cuánto cuesta obtener la certificación HIPAA?
Aquí están los costos tradicionales del cumplimiento de HIPAA, desde medidas de ciberseguridad hasta la capacitación en privacidad de datos y los costos de auditoría de HIPAA:
- Análisis de riesgos y plan de gestión de riesgos: $2k-20k, dependiendo del tamaño y la complejidad de la organización
- Creación e implementación de políticas: $2-5k, dependiendo del tamaño y la complejidad de la organización
- Escaneo periódico de vulnerabilidades y/o pruebas de penetración: $1k-5k, dependiendo del tamaño y la complejidad de la organización
- Análisis de brechas y costos de remediación: $1k-10k, dependiendo del programa de seguridad actual
- Capacitación anual en HIPAA para el personal: $30-50 por usuario
- Evaluación de preparación para el cumplimiento de HIPAA: $15k
- Auditoría de conformidad con HIPAA en el sitio (si es necesario): $40k+
- Honorarios de consultor de HIPAA: $250-300/hr
Costo total del cumplimiento de HIPAA: $25k-100k+
¿Qué sucede si no cumples con HIPAA?
Si se determina que una organización o individuo no cumple con HIPAA, pueden ocurrir varias consecuencias, dependiendo de la naturaleza y el alcance del incumplimiento:
- Investigaciones y auditorías: La Oficina de Derechos Civiles (OCR) dentro del HHS es responsable de hacer cumplir las reglas de HIPAA. Si se sospecha un incumplimiento o se informa de una violación, la OCR puede iniciar una investigación o auditoría de la entidad cubierta o del asociado de negocios.
- Multas y sanciones: El incumplimiento de HIPAA puede resultar en multas monetarias civiles significativas. Estas multas varían según el nivel de negligencia y pueden oscilar entre $100 y $50,000 por violación (o por registro), con una multa máxima de $1.5 millones por año por violaciones de una disposición idéntica. En casos de negligencia intencionada, las sanciones son más severas.
- Cargos criminales: En casos extremos, particularmente aquellos que involucran violaciones conscientes e intencionadas de las reglas de HIPAA, se pueden presentar cargos criminales contra las personas responsables del incumplimiento. Las sanciones criminales pueden incluir multas de hasta $250,000 y prisión por hasta diez años.
- Planes de acción correctiva: La OCR puede requerir que la entidad en violación adopte un plan de acción correctiva para abordar los problemas de cumplimiento identificados durante la investigación o auditoría, lo que puede incluir cambios en políticas y procedimientos, capacitación del personal y otras medidas para garantizar el cumplimiento.
- Daño reputacional: Más allá de las repercusiones legales y financieras, el incumplimiento de HIPAA puede conllevar un daño reputacional significativo. La pérdida de confianza de los pacientes o clientes, la cobertura negativa de los medios y una disminución en los negocios pueden ser el resultado de no cumplir con los requisitos de HIPAA.
