La Regla de Seguridad de HIPAA requiere que los proveedores de atención médica tomen medidas para proteger la información de salud electrónica protegida (ePHI). Ayuda a las entidades cubiertas a poner en práctica los requisitos establecidos en laRegla de Privacidad de HIPAA implementando varios controles para proteger la información sensible.
Bajo la Regla de Seguridad, las entidades cubiertas también deben completar una evaluación de riesgos y documentar y luego implementar salvaguardias administrativas, físicas y técnicas específicas.
¿Qué entidades cubiertas están obligadas a seguir la Regla de Seguridad?
La Regla de Seguridad se aplica a cualquier organización que tenga acceso a la información del paciente que, si se ve comprometida, podría dañar las finanzas o la reputación del paciente o resultar en fraude. Estas entidades cubiertas incluyen:
- Proveedores de atención médica
- Compañías de seguros de salud y planes de salud patrocinados por el empleador
- Clearinghouses de atención médica
- Proveedores de servicios médicos de terceros (Asociados Comerciales)
Lecturas Recomendadas
¿Qué es PHI según HIPAA?
Read More
¿Quién hace cumplir la Regla de Seguridad?
La Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS) de los EE.UU. es el principal organismo encargado de hacer cumplir la Regla de Seguridad y la Regla de Privacidad de HIPAA. Los fiscales generales del estado y los Centros de Servicios de Medicare y Medicaid (CMS) también tienen cierta autoridad para hacer cumplir las reglas de HIPAA.
La OCR investiga quejas, lleva a cabo revisiones de cumplimiento y educa a las entidades cubiertas por HIPAA sobre los requisitos de cumplimiento. También investiga cualquier violación de datos que afecte a más de 500 personas, así como organizaciones que han tenido múltiples violaciones menores.
Cómo cumplir con la Regla de Seguridad de HIPAA
Es importante tener en cuenta que la legislación de HIPAA no especifica controles o herramientas exactas que deben estar en su lugar para el cumplimiento. La ley se enfoca más en qué deberían hacer las organizaciones de salud para proteger los datos del paciente en lugar de los detalles específicos de cómo debe lograrse. Diferentes organizaciones tienen diferentes sistemas, necesidades y recursos, y es probable que un sistema hospitalario nacional tenga medidas de seguridad muy diferentes a las de una pequeña práctica familiar.
Dicho esto, todos los proveedores de atención médica deben completar una evaluación de riesgos para identificar vulnerabilidades y amenazas a la PHI y crear un plan efectivo para protegerse contra posibles riesgos. Ese plan debe incluir un conjunto de salvaguardas administrativas, físicas y técnicas para proteger la PHI.
Análisis de riesgos
Las entidades cubiertas y los asociados comerciales están obligados a completar un análisis de riesgos formal antes de implementar cualquier salvaguarda específica. Esto asegura que la organización comprende completamente sus factores de riesgo específicos para que la administración pueda diseñar e implementar salvaguardas apropiadas y efectivas.
Salvaguardas administrativas
Las salvaguardas administrativas implican cualquier acción administrativa para proteger la ePHI. Estas incluyen establecer y mantener políticas y procesos de seguridad definidos y capacitar al personal en estándares de seguridad de datos y mejores prácticas de privacidad. Las organizaciones también necesitan designar a una persona que será responsable de garantizar el cumplimiento continuo de la Regla de Seguridad, así como realizar evaluaciones periódicas para evaluar qué tan bien están funcionando las salvaguardas para proteger la PHI.
Salvaguardas físicas
Las salvaguardas físicas abordan el acceso físico y el almacenamiento de la PHI. Toda la PHI y los sistemas de información electrónicos deben estar protegidos contra el acceso no autorizado. Las organizaciones de salud deben tener un plan para proteger la PHI de peligros naturales y ambientales y del acceso no autorizado, así como tener un plan de contingencia para continuar las operaciones en caso de un incidente. Las salvaguardas físicas deben cubrir tanto el acceso a instalaciones y departamentos como el acceso a estaciones de trabajo y dispositivos específicos.
Salvaguardas técnicas
Las salvaguardas técnicas se refieren a las tecnologías que almacenan y acceden a la ePHI. Estas pueden incluir el control y monitoreo de acceso, la autenticación multifactor, el cifrado, los cortafuegos, la gestión de dispositivos y la seguridad del endpoint. Los controles de integridad también aseguran que la PHI no sea alterada o eliminada incorrectamente, y los controles de seguridad de la transmisión protegen contra el acceso no autorizado cuando la PHI es transmitida.
Mantener el cumplimiento de HIPAA con Secureframe
Secureframe elimina el estrés de seguir la Regla de Seguridad y mantener la PHI segura. Con capacitación en privacidad y seguridad de datos incorporada, monitoreo de control automatizado y gestión simplificada de proveedores y BAA, puedes estar tranquilo sabiendo que cumples completamente con las reglas de HIPAA. Aprende más sobre la solución de cumplimiento de HIPAA de Secureframe.
Preguntas Frecuentes
¿Qué es la Regla de Seguridad de HIPAA y cuáles son sus salvaguardas?
La Regla de Seguridad de HIPAA es un conjunto de regulaciones establecidas para proteger la confidencialidad, integridad y disponibilidad de la información de salud protegida electrónicamente (ePHI). Establece tres categorías principales de salvaguardas que las entidades cubiertas y sus asociados comerciales deben implementar para proteger la ePHI: administrativas, físicas y técnicas.
¿Cuáles son algunos ejemplos de salvaguardas administrativas requeridas por la Regla de Seguridad de HIPAA?
Ejemplos de salvaguardas administrativas requeridas por la Regla de Seguridad de HIPAA son:
- Realizar análisis de riesgos de manera continua
- Implementar medidas de seguridad que reduzcan riesgos y vulnerabilidades
- Designar a un oficial de seguridad responsable de desarrollar e implementar sus políticas y procedimientos de seguridad
- Implementar políticas y procedimientos para gestionar el acceso a la ePHI
- Proporcionar capacitación en concientización sobre seguridad para los empleados
¿Cuál es el propósito de la Regla de Seguridad de HIPAA?
El propósito de la Regla de Seguridad de HIPAA es operacionalizar las protecciones para la información médica protegida electrónica contenidas en la Regla de Privacidad. Lo hace proporcionando las salvaguardas técnicas y no técnicas que las entidades cubiertas deben implementar para proteger la privacidad de la información de salud de los individuos, mientras se permite que estas entidades adopten nuevas tecnologías para mejorar la calidad y eficiencia de la atención que brindan.
¿Quién debe seguir la Regla de Seguridad de HIPAA?
La Regla de Seguridad de HIPAA se aplica a las entidades cubiertas y sus socios comerciales, lo que significa:
- Planes de salud que proporcionan o pagan el costo de la atención médica
- Proveedores de atención médica que transmiten electrónicamente información de salud en relación con transacciones reguladas por HIPAA, como reclamaciones
- Intermediarios de atención médica que procesan información no estándar que reciben de otra entidad en un formato estándar (es decir, formato estándar o contenido de datos) o viceversa
- Socios comerciales que realizan ciertas funciones o actividades en nombre de, o brindan ciertos servicios a, una entidad cubierta que implican el uso o divulgación de PHI
¿Quién está exento de la Regla de Seguridad de HIPAA?
Las aseguradoras de vida, empleadores, compañías de compensación laboral, la mayoría de las escuelas y distritos escolares, muchas agencias estatales como las agencias de servicios de protección infantil, la mayoría de las agencias de aplicación de la ley y muchas oficinas municipales están exentas de la Regla de Seguridad de HIPAA, aunque puedan tener información de salud sobre usted.
