En el corazón del cumplimiento HIPAA yace un objetivo primordial: proteger la información de salud protegida (PHI).
Pero, ¿cómo aseguran los empleados individuales que manejan la PHI de manera segura en sus roles diarios?
Aquí entran en juego las políticas y procedimientos HIPAA.
Las empresas deben crear e implementar un conjunto de políticas y procedimientos que desglosen las complejas reglas HIPAA en instrucciones que sean fáciles de entender y seguir.
A continuación, cubrimos cómo son las políticas y procedimientos HIPAA, ejemplos de políticas necesarias y cómo crear los tuyos propios.
¿Qué son las políticas y procedimientos HIPAA?
La ley HIPAA fue aprobada en 1996 y se creó para proteger la PHI, que incluye desde tu nombre y dirección hasta recetas y resultados de pruebas.
Para asegurar que las empresas protejan adecuadamente la PHI, los empleados deben seguir instrucciones específicas. Aquí es donde entran en juego las políticas y procedimientos HIPAA.
- Política: Una política es una declaración de la intención de la gestión. Responden preguntas sobre lo que los empleados deben hacer y por qué deben hacerlo.
- Procedimiento: Un procedimiento incluye instrucciones específicas sobre cómo lograr la intención de la gestión.
Las políticas y procedimientos son esenciales para el cumplimiento HIPAA, y son requeridos por la ley HIPAA. No desarrollar e implementar políticas y procedimientos es una violación de HIPAA, lo que puede conllevar sanciones financieras y penales.
¿Por qué son necesarias las políticas y procedimientos?
Además de ser requeridos por ley para el cumplimiento HIPAA, las políticas y procedimientos ofrecen beneficios adicionales para las organizaciones, incluyendo:
- Claridad: Las políticas y procedimientos ayudan a simplificar la compleja jerga regulatoria de HIPAA en documentos que son más fáciles de entender para los empleados.
- Uniformidad: Las políticas y procedimientos aumentan la probabilidad de que los empleados persigan los mismos objetivos, con los mismos valores, de la misma manera en toda la organización.
- Simplicidad: Es probable que los empleados no tengan tiempo para leer cada una de las reglas HIPAA. Las políticas y procedimientos indican la información más importante sobre los requisitos regulatorios que los empleados necesitan para hacer su trabajo.
Lecturas Recomendadas
La Lista de Verificación Definitiva para el Cumplimiento HIPAA en 2022
Read More
Reglas HIPAA
HIPAA establece una serie de reglas que las organizaciones deben seguir para cumplir con HIPAA. Algunas de las principales son la Regla de Privacidad, la Regla de Seguridad y la Regla de Notificación de Brechas.
A continuación, profundizamos en las políticas específicas que se aplican a cada una.
Regla de Privacidad
La Regla de Privacidad regula el uso y divulgación de la PHI. La regla requiere que las empresas protejan adecuadamente la PHI y otorga a los pacientes un mayor control sobre quién puede acceder a su información médica.
Esta regla de HIPAA se aplica a cualquier negocio que tenga acceso a la información del paciente que, si se compromete, podría dañar las finanzas o la reputación del paciente o resultar en fraude.
La Regla de Privacidad es ejecutada por el Departamento de Salud y Servicios Humanos Oficina de Derechos Civiles (OCR), los fiscales generales del estado, y los Centros de Servicios de Medicare y Medicaid (CMS).
Ejemplos de políticas y procedimientos bajo esta regla incluyen:
- Política de conjunto de registros definidos
- Aviso de prácticas de privacidad
- Autorización para la divulgación de política
- Requisito mínimo necesario política
- Política de retención de registros
- Política de compensación de trabajadores
- Política de comunicaciones confidenciales
Regla de Seguridad
La Regla de Seguridad de HIPAA explica cómo las empresas deben proteger la PHI.
Bajo la Regla de Seguridad, hay tres tipos de salvaguardas para proteger la información del paciente de brechas.
- Las salvaguardas administrativas explican lo que la organización hace para proteger la PHI.
- Las salvaguardas físicas tienen como objetivo proteger los activos físicos del acceso no autorizado.
- Las salvaguardas técnicas definen cómo manejará la organización la información de salud protegida electrónicamente (ePHI).
Además, las empresas necesitan practicar la gestión de riesgos y realizar evaluaciones de riesgos para asegurar que la PHI esté segura.
Ejemplos de políticas y procedimientos bajo esta regla incluyen:
- Política de gestión de acceso
- Política de cierre de sesión automático
- Política de copia de seguridad y retención de datos
- Política de control de dispositivos y medios
- Política de recuperación ante desastres
- Política de control de acceso a instalaciones
- Política de gestión de sistemas de información informática
- Política de uso de internet y computadoras
- Política de detección de intrusiones
- Política de creación y uso de contraseñas
- Política de gestión de riesgos
Regla de Notificación de Brechas
La Regla de Notificación de Brechas requiere que las organizaciones notifiquen a los individuos afectados y al Departamento de Salud y Servicios Humanos (HHS) cuando la PHI no asegurada ha sido comprometida.
Para evitar una multa del OCR, las organizaciones deben enviar notificaciones a los individuos afectados dentro de los 60 días posteriores a la identificación de la brecha.
Las notificaciones deben explicar lo que sucedió, qué información fue comprometida, cómo la empresa está respondiendo a la brecha y cómo evitará futuras brechas.
Ejemplos de políticas y procedimientos bajo esta regla incluyen:
- Política de respuesta a incidentes
- Política de mitigación
- Política de notificación interna
Políticas y procedimientos para asociados comerciales
Los asociados comerciales son terceros con los que una entidad cubierta comparte PHI. Existen ciertas políticas y procedimientos requeridos por HIPAA para asegurar que estos terceros también hagan su parte para proteger la PHI.
Esto incluye un contrato que establece los usos aceptables e inaceptables de la PHI por parte del tercero, conocido como Acuerdo de Asociado Comercial (BAA). Las empresas también deben crear políticas y procedimientos para monitorear estas relaciones a lo largo del tiempo, acciones correctivas en caso de una brecha y terminación.
Lecturas Recomendadas
¿Qué es un Acuerdo de Socio Comercial de HIPAA? [Plantilla Gratuita]
Read MoreCómo gestionar tus políticas y procedimientos de HIPAA
Explicamos el proceso de creación y gestión de tus políticas y procedimientos de HIPAA a continuación.
Escribe tus políticas y procedimientos
Las políticas y procedimientos incluyen tres elementos clave: el propósito, el alcance y los procedimientos.
- Propósito: Las políticas y procedimientos se redactan por una razón o propósito particular. Este propósito debe explicarse al principio para que el lector sepa por qué se creó la política.
- Alcance: Una política también debe incluir el alcance, o a quién se aplica la política. Si la política está destinada a todos los empleados, eso debe indicarse dentro del documento. Si la política se aplica a ciertas situaciones, eso también debe indicarse.
- Procedimientos: Las políticas incluyen procedimientos, o los detalles de cómo una empresa logrará la intención de la política. Estas son las acciones paso a paso que los empleados deben seguir para cumplir con el requisito de HIPAA alrededor del cual está diseñada la política.
Para diseñar procedimientos efectivos, simplifica el lenguaje y elimina cualquier jerga compleja de HIPAA para que sea más fácil de entender para los empleados.
Comparte políticas y procedimientos con tu equipo
Una vez que las políticas y procedimientos hayan sido redactados, tu equipo necesita poder entender y compartirlos. Guarda estas políticas en un lugar donde los empleados puedan acceder fácilmente a ellas, como una base de conocimientos de la empresa.
Capacita a tu personal en el cumplimiento de HIPAA
No basta con compartir estos documentos con tu personal. También debes proporcionar capacitación de HIPAA para ayudarles a comprender mejor las políticas y procedimientos de la organización y cómo se relacionan con su rol y responsabilidades.
Desarrolla un proceso de revisión y aprobación
Para asegurar que tus políticas y procedimientos se mantengan actualizados, tu empresa debería designar un equipo para revisar, aprobar y finalizar regularmente cualquier cambio o actualización en políticas y/o procedimientos. Cuando se hagan cambios, deberían anotarse en el historial de versiones de la política.
Cuando ocurran cambios, una empresa puede necesitar hacer capacitaciones de actualización con su personal o actualizar sus BAAs. Todos los cambios en las políticas de HIPAA deben documentarse y mantenerse durante un mínimo de seis años.
Cómo Secureframe puede ayudarte a agilizar la creación de políticas y procedimientos de HIPAA
Crear políticas y procedimientos desde cero puede ser abrumador, especialmente con la cantidad de políticas que necesitas para cumplir con HIPAA.
Secureframe puede ayudarte a simplificar todo el proceso proporcionándote plantillas de políticas que pueden adaptarse a las necesidades específicas de tu organización.
Para saber más, solicita una demostración con nuestro equipo hoy mismo.
Preguntas Frecuentes
¿Qué políticas se necesitan para HIPAA?
Aquí hay una lista de políticas clave que normalmente se necesitan para cumplir con HIPAA:
- Políticas de Privacidad:
- Aviso de Prácticas de Privacidad: Políticas sobre cómo se utiliza y divulga la PHI, e informando a los pacientes sobre sus derechos respecto a su información de salud.
- Derechos del Paciente: Políticas que describen el proceso para que los pacientes accedan a su PHI, soliciten enmiendas y contabilicen las divulgaciones, entre otros derechos.
- Uso y Divulgación Mínimamente Necesarios: Políticas que aseguran que la PHI sea accesada y divulgada solo en la medida mínima necesaria para lograr el propósito previsto.
- Políticas de Seguridad:
- Análisis y Gestión de Riesgos: Políticas para realizar evaluaciones de riesgos regulares e implementar medidas para mitigar los riesgos identificados para la seguridad de la PHI.
- Cifrado de Datos: Políticas que detallan cuándo y cómo debe cifrarse la PHI, tanto en reposo como en tránsito.
- Control de Acceso: Políticas que definen quién puede acceder a la PHI, cómo se otorgan, revisan y terminan los derechos de acceso, y cómo se controla y monitoriza el acceso.
- Seguridad Física: Políticas y procedimientos para proteger el acceso a las instalaciones y proteger los equipos que contienen la PHI de acceso no autorizado, manipulación y robo.
- Seguridad de Estaciones de Trabajo y Dispositivos: Políticas que rigen el uso y la seguridad de las estaciones de trabajo y dispositivos electrónicos que acceden a la PHI.
- Respuesta y Reporte de Incidentes de Seguridad: Políticas para identificar, responder y documentar incidentes de seguridad y violaciones.
- Políticas de Notificación de Violaciones:
- Identificación y Respuesta a Violaciones: Políticas que describen el proceso para identificar, responder y mitigar los efectos de una violación de la PHI.
- Procedimientos de Notificación: Políticas que detallan cómo y cuándo notificar a las personas afectadas, al HHS y, potencialmente, a los medios en caso de una violación que involucre la PHI.
- Capacitación y Gestión de Empleados:
- Capacitación: Políticas que exigen capacitación regular para todos los empleados sobre las regulaciones de HIPAA y las prácticas de privacidad y seguridad de la organización.
- Sanciones: Políticas que detallan acciones disciplinarias para los empleados que no cumplan con las regulaciones de HIPAA y las políticas de la organización.
- Gestión de Asociados Comerciales:
- Acuerdos con Asociados Comerciales: Políticas para celebrar acuerdos con los asociados comerciales que aseguren que protejan adecuadamente la PHI bajo los requisitos de HIPAA.
- Quejas y Cumplimiento:
- Proceso de Quejas: Políticas que establecen un proceso para recibir y abordar quejas sobre las prácticas de privacidad de la organización.
- Auditoría y Monitoreo de Cumplimiento: Políticas para auditorías internas regulares y monitoreo para asegurar el cumplimiento continuo de las regulaciones de HIPAA y la efectividad de las políticas implementadas.
