Según el HIPAA Journal, casi 20,2 millones de registros de atención médica fueron violados solo en la primera mitad de 2022.
Para reducir el número de registros violados y proteger la información de salud protegida (PHI), es fundamental que implementes las regulaciones de HIPAA. Las violaciones de HIPAA no solo pueden dañar tu reputación y la confianza de los pacientes, sino que también pueden resultar en costosas multas que perjudican tu margen de ganancia.
Te guiaremos a través de las violaciones comunes de HIPAA y las sanciones por violaciones. También repasaremos casos que demuestran lo importante que es para las organizaciones lograr y mantener el cumplimiento de HIPAA.
¿Qué es una violación de HIPAA?
La Health Insurance Portability and Accountability Act (HIPAA) fue aprobada en 1996 para simplificar la administración de la atención médica, prevenir fraudes y proteger la información médica privada de los pacientes.
El Departamento de Salud y Servicios Humanos de EE. UU. (HHS) emitió reglas para ayudar a las organizaciones a cumplir con los requisitos de este marco. Estas reglas se definen a continuación.
- Regla de seguridad: Las organizaciones deben tener medidas físicas, técnicas y administrativas para proteger la información de salud.
- Regla de privacidad: Las organizaciones no pueden compartir la información de salud personal de un paciente sin su conocimiento o permiso.
- Regla de notificación de incumplimiento: Las organizaciones deben notificar a las personas afectadas dentro de los 60 días posteriores a una violación de datos.
- Regla ómnibus: Las organizaciones deben cumplir con la solicitud de un paciente de acceder o compartir sus registros médicos.
- Regla de cumplimiento: Define cómo se realizan las investigaciones sobre denuncias y violaciones y cómo se determinan las multas y sanciones cuando una organización no sigue las cuatro reglas anteriores.
Todas las entidades cubiertas (proveedores de atención médica, planes de salud y centros de intercambio de información de salud) y sus asociados comerciales deben cumplir con las regulaciones de HIPAA, incluidas las cinco reglas anteriores.
No cumplir con cualquiera de las disposiciones de estas reglas es una violación de HIPAA. En la práctica, una violación de HIPAA es tan simple como que un empleado deje el archivo médico de un cliente en la pantalla de su computadora mientras se ausenta para tomar un café.
Violaciones comunes de HIPAA a evitar
Aquí hay algunas de las violaciones más comunes de HIPAA y cómo evitarlas:
1. Mirar los registros de atención médica sin permiso o autorización:
Asegúrese de que los registros de salud de los pacientes solo se accedan para fines de tratamiento, pago u operaciones de atención médica.
2. No realizar un análisis de riesgos en toda la organización:
Realice evaluaciones de riesgos de HIPAA periódicas para encontrar dónde es vulnerable PHI.
3. No abordar los riesgos de seguridad:
Priorice abordar cualquier riesgo identificado durante las auditorías.
4. Negar a los pacientes el acceso a sus registros de salud:
Proporcione a las personas acceso a sus registros médicos a solicitud y sin demora.
5. No celebrar un acuerdo de asociado comercial compatible con HIPAA:
Asegúrese de que cualquier proveedor externo con acceso a PHI también mantenga el cumplimiento de HIPAA.
6. Medidas insuficientes de control de acceso a ePHI:
Asegúrese de que solo las personas autorizadas puedan acceder a la información de salud electrónica protegida (ePHI).
7. No usar cifrado o medidas de seguridad equivalentes para proteger ePHI:
El cifrado no es obligatorio según HIPAA, pero las medidas de seguridad equivalentes deben proteger ePHI.
8. Superar el plazo de 60 días para las notificaciones de violación:
Si su organización descubre una violación de datos, debe notificar por escrito a las personas afectadas dentro de los 60 días.
9. Divulgaciones no autorizadas de PHI:
Los pacientes deben autorizar cualquier compartición de su PHI.
10. Eliminar PHI de manera incorrecta:
Debe destruir de manera segura y permanente PHI cuando ya no se necesite.
11. Descargar PHI en dispositivos no autorizados:
Los empleados deben utilizar solo dispositivos autorizados que estén conectados a la red y seguros para acceder a PHI.
12. Enviar ePHI a una cuenta de correo electrónico personal:
Asegúrese de que los empleados no envíen ePHI a sus cuentas de correo electrónico personal ni retiren ePHI de la instalación de atención médica.
13. Dejar documentos o dispositivos desatendidos:
Los documentos y dispositivos electrónicos que contienen ePHI deben estar seguros en todo momento para evitar divulgaciones no permitidas de PHI.
14. Divulgar PHI después de la fecha de vencimiento de una autorización:
Si la fecha de vencimiento de un formulario de autorización de HIPAA ha pasado, debe obtener un nuevo formulario para divulgar PHI a cualquier persona indicada en el formulario original.
¿Cómo se descubren las violaciones?
Las violaciones de HIPAA a menudo se descubren mediante autoinformes o investigaciones de terceros.
Las organizaciones cubiertas por HIPAA realizan auditorías internas y reportan cualquier violación que descubran. Los empleados también se autoreportan violaciones de HIPAA que ellos o sus compañeros de trabajo cometen.
La Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos investiga las quejas de HIPAA. La OCR también realiza auditorías periódicas de las entidades cubiertas por HIPAA y sus afiliados comerciales. Cuando ocurren violaciones de datos, la OCR investiga casos que involucran 500 o más registros.
Los fiscales generales del estado también pueden investigar quejas sobre posibles violaciones.
Lectura Recomendada
¿Quién hace cumplir HIPAA + Cómo asegurarse de que su empresa cumpla con las normas
Read More¿Cuáles son las sanciones por violaciones de HIPAA?
Existen dos tipos de violaciones de HIPAA, civiles y penales. Las sanciones pueden incluir multas, planes de acción correctiva o incluso tiempo en la cárcel.
La OCR emite sanciones por violaciones de HIPAA. Estas varían en severidad según la naturaleza de la ofensa y el conocimiento que el infractor tenía de la violación. Las violaciones de HIPAA pueden involucrar la PHI de una sola persona.
Aunque menos común, los fiscales generales estatales también pueden sancionar a las entidades cubiertas por HIPAA.
Sanciones civiles
Las sanciones civiles generalmente se emiten en casos donde el infractor no sabía que estaba cometiendo una violación de HIPAA.
Las sanciones van desde:
- Una multa mínima de $100 si una persona no sabía que estaba violando las reglas de HIPAA, y un máximo de $25,000 por año
- Una multa mínima de $1,000 si una persona tenía una causa razonable para sus acciones y no actuó con “negligencia intencionada,” y un máximo de $100,000 por año
- Una multa mínima de $10,000 si una persona actuó con negligencia intencionada pero trabajó para solucionar el problema posteriormente, y un máximo de $250,000 por año
- Una multa mínima de $50,000 si una persona actuó con negligencia intencionada y no solucionó el problema posteriormente, y un máximo de $1.5 millones por año
Sanciones penales
Las sanciones penales generalmente se emiten en casos donde las personas obtienen o usan PHI deliberadamente sin permiso.
Las violaciones penales de HIPAA y las sanciones se dividen en tres niveles:
- Nivel 1: Obtener y divulgar deliberadamente PHI sin autorización — hasta un año en prisión y una multa de $50,000
- Nivel 2: Obtener PHI bajo falsos pretextos — hasta cinco años en prisión y una multa de $100,000
- Nivel 3: Obtener PHI para beneficio personal o con intención maliciosa — hasta 10 años en prisión y una multa de $250,000
5 ejemplos de violaciones de HIPAA para aprender
En los últimos años, ha habido varios ejemplos notables de violaciones de HIPAA. Incluso en casos de violaciones no intencionales de HIPAA, las consecuencias pueden ser severas. Aquí hay cinco casos desastrosos de violaciones de HIPAA y las lecciones que podemos aprender de cada uno.
Una compañía de seguros es multada con $6.85 millones por una violación de datos
En 2020, la OCR investigó a un proveedor de seguros de salud después de que hackers obtuvieran la PHI de casi 10.5 millones de individuos.
Los hackers accedieron al sistema informático del proveedor con un correo electrónico de phishing que instaló malware. El malware dio al grupo acceso a ePHI, que permaneció sin ser detectado durante 9 meses.
La investigación de la OCR descubrió “incumplimiento sistémico” de las Reglas de HIPAA. Según la OCR, la organización no logró:
- Realizar un análisis de riesgos exhaustivo y preciso para identificar amenazas a la confidencialidad, integridad y disponibilidad de ePHI.
- Reducir los riesgos y vulnerabilidades a ePHI a un nivel razonable y apropiado.
- Implementar hardware, software y procedimientos suficientes para registrar y analizar la actividad relacionada con los sistemas de información que contienen ePHI.
- Prevenir el acceso no autorizado a la ePHI de más de 10 millones de individuos.
La OCR multó a la compañía con $6.85 millones por violar la Regla de Seguridad HIPAA. La compañía también resolvió una demanda multiestatal por $10 millones y una demanda colectiva por $74 millones.
Lecciones a aprender:
- Realice evaluaciones de riesgos exhaustivas de forma regular.
- Utilice cifrado o medidas de seguridad similares para proteger los datos de salud privados.
Una empresa de imágenes viola múltiples reglas de HIPAA
En 2018, el FBI descubrió que uno de los servidores de una empresa de servicios de imágenes médicas con sede en Tennessee era accesible en Internet. Cualquiera podía acceder y ver la PHI de más de 300,000 individuos con una simple búsqueda.
La empresa no notificó a las personas afectadas hasta 147 días después del descubrimiento.
Debido a la violación de las reglas de notificación de brechas, se ordenó a la empresa que pagara $3 millones en multas y adoptara un plan de acción correctiva.
Lecciones a aprender:
- Notifique a las personas afectadas dentro de los 60 días posteriores a los descubrimientos de brechas de datos.
- Las organizaciones son responsables de que sus proveedores (como un anfitrión de servidor) también cumplan con los estándares de cumplimiento de HIPAA.
Una ciudad no implementa políticas de privacidad de HIPAA
En 2017, una ciudad informó una brecha de datos después de que un empleado despedido usara sus credenciales de inicio de sesión para acceder a una computadora de trabajo y copiar datos de ePHI en una unidad USB.
OCR determinó que la ciudad no había protegido la privacidad de HIPAA de varias maneras. La ciudad no había desactivado las credenciales de inicio de sesión del ex empleado al momento de su terminación. Además, los empleados no recibieron credenciales de inicio de sesión únicas para identificar su actividad en el sistema e interacciones con ePHI.
La organización tampoco realizó una evaluación de riesgos para identificar los posibles riesgos y vulnerabilidades para la confidencialidad, integridad y disponibilidad de ePHI.
Como resultado de estos fallos, la ciudad pagó más de $200,000 en multas financieras y acordó un plan de acción correctiva.
Lecciones a aprender:
- Mantenga controles estrictos sobre quién puede acceder a información sensible.
- Realice análisis de riesgos exhaustivos.
- Emita ID únicos para monitorear la actividad de ePHI.
Un sistema de salud divulga PHI en un comunicado de prensa
En 2015, un sistema de salud emitió un comunicado de prensa en respuesta a un incidente policial que involucraba a un paciente. En el comunicado de prensa, el sistema hospitalario incluyó el nombre del paciente.
El OCR determinó que esto fue un fallo intencional para proteger los derechos de privacidad del paciente. Como resultado, el OCR ordenó al sistema de salud pagar una multa de $2.4 millones.
Lecciones a aprender:
- La PHI no puede ser divulgada sin autorización del paciente.
- Las multas pueden ser astronómicas por un solo incidente de incumplimiento.
Un sistema de salud comete múltiples violaciones de HIPAA durante años
En 2015, el OCR abrió una investigación sobre un sistema de salud académico sin fines de lucro después de que un reportero compartiera una fotografía en las redes sociales que incluía la información médica de un paciente.
La investigación descubrió múltiples violaciones de HIPAA durante varios años, incluyendo:
- Un empleado accedió y vendió los registros de más de 24,000 pacientes.
- El sistema de salud no proporcionó notificación oportuna de la brecha al OCR, un requisito bajo HIPAA, y no restringió el acceso de los empleados a los datos de los pacientes.
- El sistema de salud informó que había perdido registros en papel de más de 750 pacientes en 2012, pero no reportó el total de pacientes afectados hasta 2016.
El OCR multó al sistema hospitalario con $2.15 millones por su falta de detección del robo y venta de registros de pacientes, falta de notificación al OCR de registros de pacientes perdidos y falta de protección de PHI que se filtró a los medios.
Lecciones a aprender:
- Asegure adecuadamente la PHI para protegerse contra las filtraciones de datos.
- Mantenga sistemas para garantizar que solo los empleados autorizados accedan a la PHI para fines apropiados.
- Cuando ocurran brechas de datos, notifique al OCR y a las personas afectadas tan pronto como sea posible.
Cómo evitar violaciones de HIPAA
Las violaciones de HIPAA suelen deberse a la negligencia o ignorancia de las leyes de HIPAA. Los empleadores pueden evitar muchos dolores de cabeza potenciales proporcionando una capacitación adecuada HIPAA para sus empleados.
Para cualquier empleado que maneje PHI, algunas otras formas simples de evitar violaciones de HIPAA incluyen:
- Nunca comparta contraseñas o credenciales de inicio de sesión
- Nunca deje dispositivos portátiles desatendidos
- Nunca envíe mensajes de texto SMS que contengan PHI
- No tire PHI a la basura
- No comparta ePHI en las redes sociales
- No acceda a los registros de pacientes sin un propósito válido
- No lleve consigo los registros médicos al cambiar de trabajo
- Informe posibles infracciones de HIPAA
Cómo simplificar el cumplimiento de HIPAA con Secureframe
El incumplimiento de HIPAA no es una opción para las organizaciones que manejan información de salud protegida. Aun así, no es fácil mantenerse al día con la tecnología en evolución y los cambios regulatorios.
Secureframe hace que sea rápido y fácil lograr el cumplimiento de HIPAA al simplificar el proceso en unos pocos pasos clave.
Con una plataforma, puede asegurarse de no estar sujeto a violaciones de HIPAA mediante:
- Creación de políticas de privacidad y seguridad de HIPAA
- Capacitación a empleados sobre los requisitos y mejores prácticas de HIPAA
- Seguimiento de proveedores con acceso a PHI
- Asegurándose de que sus asociados comerciales protejan PHI
- Elevando y monitoreando sus salvaguardas de HIPAA
Secureframe le permitirá centrarse en hacer crecer su negocio. Póngase en contacto para saber cómo puede automatizar su cumplimiento de HIPAA hoy mismo.
Preguntas Frecuentes
¿Cuáles son los tipos de violaciones de HIPAA?
Hay dos tipos de violaciones de HIPAA: civiles y penales. Las sanciones civiles se emiten generalmente en casos donde el infractor no era consciente de que estaba cometiendo una violación de HIPAA e incluyen multas y planes de acción correctiva. Las sanciones penales se emiten generalmente en casos donde las personas obtienen o utilizan PHI a sabiendas sin permiso e incluyen multas, planes de acción correctiva y tiempo en prisión.
¿Qué califica como una violación de HIPAA?
El incumplimiento de cualquiera de las disposiciones de las reglas de Seguridad, Privacidad, Notificación de Brechas, Aplicación u Omnibus de HIPAA califica como una violación de HIPAA. Todo lo siguiente califica como una violación de HIPAA:
- cualquier acceso, uso o divulgación no autorizada de PHI
- no proporcionar a los pacientes acceso a su PHI
- carecer de salvaguardas para proteger PHI
- no realizar evaluaciones de riesgos regulares
- proporcionar capacitación insuficiente a los empleados sobre las reglas de HIPAA
Es importante entender que ciertas acciones pueden calificar como violaciones de HIPAA, incluso si no ocurre daño al paciente. Por ejemplo, si un empleado deja el expediente médico de un cliente en la pantalla de su computadora mientras se toma una taza de café, eso calificaría como una violación de HIPAA.
¿Cómo afectan a los pacientes las violaciones de HIPAA?
Eso depende de la violación. Si una violación de HIPAA resulta en la exposición de millones de registros de PHI, esto podría afectar significativamente a los pacientes. Pueden perder confianza en su instalación de atención médica e ir a otro lugar, o pueden experimentar robo de identidad como resultado de la exposición de datos.
¿Cómo puede saber si una organización está violando HIPAA?
Su estrategia de cumplimiento debe comenzar con una auditoría interna exhaustiva. Esto le ayudará a identificar cualquier área en la que su organización podría ser vulnerable al incumplimiento de HIPAA.
No abordar cualquier problema que descubra es una violación de HIPAA. Su siguiente paso debe ser elaborar un plan de remediación integral. Este plan debe estar documentado e incluir un cronograma para abordar las brechas de cumplimiento.
¿Es obligatorio el cifrado bajo HIPAA?
El cifrado no es obligatorio, pero las organizaciones que no implementen cifrado deben documentar las razones. Una razón puede ser que hayan implementado otra medida de seguridad que sea igualmente efectiva para proteger la ePHI cuando se almacena y se transmite.
¿Cuáles son las sanciones por violar HIPAA?
Las sanciones por violar HIPAA pueden variar significativamente dependiendo de factores como la naturaleza de la violación, si la entidad cubierta o el socio comercial sabían o deberían haber sabido sobre la violación, y si la violación se debió a negligencia intencional. Las sanciones de HIPAA se dividen en diferentes niveles, que reflejan la gravedad y naturaleza de la violación:
Nivel 1: Desconocimiento
La entidad cubierta o el socio comercial desconocían la violación y no podrían haberla evitado de manera realista con una cantidad razonable de cuidado.
Rango de sanciones: $100 a $50,000 por violación, con un máximo anual de $1.5 millones por violaciones idénticas.
Nivel 2: Causa razonable
La violación tuvo una causa razonable y no se debió a negligencia intencional. Esto significa que la entidad sabía o con una diligencia razonable habría sabido que el acto u omisión era una violación, pero la entidad no actuó con negligencia intencional.
Rango de sanciones: $1,000 a $50,000 por violación, con un máximo anual de $1.5 millones por violaciones idénticas.
Nivel 3: Negligencia intencional - Corregida
La violación se debió a negligencia intencional, pero la entidad corrigió la violación dentro del período de tiempo requerido (generalmente 30 días desde que la entidad supo o debería haber sabido sobre la violación).
Rango de sanciones: $10,000 a $50,000 por violación, con un máximo anual de $1.5 millones por violaciones idénticas.
Nivel 4: Negligencia intencional - No corregida
La violación se debió a negligencia intencional y no se corrigió de manera oportuna.
Sanción: $50,000 por violación, con un máximo anual de $1.5 millones por violaciones idénticas.
Además de estas sanciones monetarias civiles, también se pueden imponer sanciones penales por ciertos delitos, como obtener o divulgar PHI a sabiendas y en violación de las reglas, o bajo falsos pretextos. Las sanciones penales pueden variar desde multas de hasta $250,000 y encarcelamiento por hasta diez años, dependiendo de la gravedad de la infracción.
También es importante tener en cuenta que estas sanciones son por violación, y múltiples violaciones pueden llevar a sanciones acumulativas sustanciales. Las entidades encontradas en violación de HIPAA también pueden ser requeridas para llevar a cabo acciones correctivas para remediar las violaciones, lo que puede incluir implementar nuevas políticas y procedimientos, capacitación del personal y realizar cambios significativos en sus operaciones e infraestructura de TI.