9 min read

Cómo cumplir con la Ley HIPAA?

¿Cómo cumplir con la Ley HIPAA?

Para cumplir con HIPAA (Ley de Portabilidad y Responsabilidad de Seguros Médicos) tu negocio debe seguir los criterios de seguridad, privacidad y encriptación de la información médica protegida (PHI) a lo largo de todo su flujo de funcionamiento. En ese sentido, las empresas que contrata como proveedoras; las personas que emplea, ya sea para tareas administrativas o específicas de salud; los software que utiliza en el cotidiano; y el manejo de los datos tanto físico como digital, deben estar alineados a los requerimientos de la normativa.

Así como la tecnología nos ayuda a gestionar, proteger y hacer crecer nuestros negocios de diferentes maneras, también aumentan las amenazas a la seguridad de la información: phishing, ransomware, y malware.

Estos ataques y robos de datos son moneda corriente debido a su valor en el mercado. Por ejemplo, datos básicos como DNI, nombre, dirección, teléfono, e-mail o el número de la seguridad social, se pueden vender en un valor de entre 0,5 y 10 dólares; mientras que documentación un poco más compleja como el historial médico puede llegar a pagarse hasta 250 dólares.

La privacidad de las personas clientas y la ciberseguridad son cuestiones fundamentales a atender en todas las industrias, pero más aún en el rubro de la salud. Por eso, cumplir con HIPAA también implica estar pendientes de las actualizaciones en materia de protección de información.

Si te estás preguntando cuánto tiempo lleva convertirse en una empresa que cumple la ley HIPAA, no tenemos una respuesta concreta para darte. Los plazos dependerán de tu capacidad para desarrollar tu modelo de negocio y flujo de funcionamiento que te permitan crear tus políticas y protocolos; designar un equipo interno de supervisión; diseñar software de gestión de datos HIPAA compliant; y capacitar a todas las personas que integran tu organización.

Antes de continuar, te recomendamos nuestro artículo “¿Quién debe cumplir con HIPAA?” para que puedas realizar el autotest y saber si efectivamente debés adecuarte a la legislación. Si ya lo hiciste y estás acá, continuá leyendo para conocer en detalle qué medidas tenés que tomar en tu empresa para alinearte a la Ley sancionada en 1996.

En este artículo:

¿Qué necesitás para cumplir con la normativa HIPAA? ¿Qué se considera información médica protegida (PHI)? ¿Qué requisitos debe tener un software para cumplir con HIPAA? Tipos de incumplimiento de HIPAA Ejemplos de incumplimiento de HIPAA

¿Qué necesitás para cumplir con la normativa HIPAA?

Las mejores prácticas para cumplir con HIPAA implican, además de tener un profundo conocimiento de la Ley y de las actualizaciones en materia de seguridad, trabajar en los siguientes puntos:

  1. Comprender el modelo de negocio y el flujo de funcionamiento del mismo para crear políticas y protocolos de gestión, circulación y almacenamiento de la información médica protegida.
    De esta manera podrás identificar dónde radican los potenciales riesgos y las mayores vulnerabilidades para diseñar estrategias y medidas de seguridad que las ataquen.

  2. Designar un equipo interno de supervisión. El mismo se encargará de bregar por el cumplimiento e implementación de esas políticas, de hacer que se apliquen los protocolos en caso de incumplimiento, y de mantenerlas actualizadas.

  3. Llevar un registro de todas las personas y dispositivos que tienen acceso a PHI. El mismo deberá clasificar el nivel de riesgo, y especificar la política de supervisión y protocolos de actuación en caso de infracción.

  4. Capacitar a todas las personas que son parte de la institución respecto de la gestión de la PHI. Se deberá informar de manera clara y precisa la política de manejo de la información, los protocolos y las consecuencias de filtración de información.

  5. Sólo contratar empresas proveedoras que cumplan con HIPAA. Ya sean contratos a corto o largo plazo, o que se trate de empresas directamente relacionadas o no con la gestión de PHI (servicio de mantenimiento edilicio, catering o desarrollo de software), deberán ser HIPAA compliant y firmar acuerdos de socio comercial (BAA). A su vez, esos contratos deberán revisarse y actualizarse anualmente.

  6. Realizar evaluaciones de riesgos periódicamente. El objetivo es detectar potenciales amenazas a la seguridad de la PHI electrónica o física, como potenciales hackeos, robo de datos o filtraciones y, en caso de ser necesario, actualizar las políticas, protocolos y medidas de seguridad, así también como informar a las personas que integran la organización.

También resulta una buena práctica para el cumplimiento de HIPAA, documentar todos los procesos, desde las políticas de privacidad y seguridad, hasta los procedimientos de evaluaciones de riesgos y auditorías, con sus respectivos resultados y soluciones; los planes de contingencias y las sesiones de capacitación del personal.

Habitualmente nos consultan si existe una certificación de cumplimiento de HIPAA. La realidad es que el Departamento de Salud y Servicios Humanos (HHS) de Estados Unidos no otorga certificados que visibilicen que la empresa sigue los protocolos y requerimientos de la normativa.

Si necesitás más información para comprender qué es HIPAA te dejamos este artículo. A continuación te vamos a contar en detalle qué es la información médica protegida para después poder explicarte qué requisitos deben cumplir los software para alinearse a la legislación HIPAA.

¿Qué se considera información médica protegida (PHI)?

Antes de continuar, es conveniente aclarar qué se considera información médica protegida para poder comprender cómo debe ser cuidada. Existen tres tipos de PHI:

  • Información de salud identificable (IHI): cualquier dato relacionado a la condición de un o una paciente, ya sea prestación pasada, presente o futura de atención médica, o el pago de la misma, junto con cualquier identificador clave en el mismo conjunto de registros.

  • Información identificable personal (PII): hay 18 identificadores clave entre los que se encuentran: nombre, fecha de nacimiento, correo electrónico, seguridad social, teléfono, dirección IP, etc. Con el entrecruzamiento de datos, estos elementos permiten inferir la identidad de una persona.

  • Información de historia clínica o tratamientos: lo relacionado a los datos netamente médicos. Por ejemplo: “20 mg de dextroanfetamina”, “deterioro de la salud mental debido a Alzheimer”, “presión arterial baja de 105/80”.

Todos estos datos en sí mismos no son PHI. Se convierten en ella cuando son recolectados por profesionales de la medicina, aseguradoras, obras sociales o prepagas con la finalidad de brindar servicios de salud o de facturación.

¿Qué requisitos debe tener un software para cumplir con HIPAA?

Para desarrollar un software que cumpla con HIPAA es muy importante garantizar que el tratamiento de la PHI cumpla con criterios de seguridad, privacidad y encriptación en todo el proceso de recopilación, almacenamiento y transmisión. También, que el equipo de programación esté capacitado en la normativa, para que al momento de trabajar con esos datos lo haga siguiendo los protocolos establecidos.

Si bien desarrollar aplicaciones y páginas web HIPAA compliant es muy complejo, a continuación te presentamos 5 requisitos fundamentales que debe seguir un software para cumplir con HIPAA:

  1. Controlar el acceso a los datos. Restringir el acceso a la PHI mediante una combinación de caducidad de sesión, contraseñas seguras y autenticación multifactor. Además, advertir a las personas usuarias que están manipulando información sensible.

  2. Garantizar la fiabilidad de las personas usuarias y solicitarles autorización para el uso de PHI. Por un lado, trabajar continuamente en el mantenimiento de contraseñas seguras, autenticación en varios pasos, etc. Por otra parte, incluir checkbox para que las y los pacientes den su consentimiento al software respecto de cómo recopila, utiliza y con quién comparte la información.

  3. Auditar actividad. Para llevar un registro del manejo de la PHI, las personas deben acceder con usuario y contraseña. Debe quedar documentados los intentos fallidos, la información visualizada, cargada, descargada, almacenada y enviada.

  4. Sistema íntegro. Los datos y toda la PHI debe estar cifrada de extremo a extremo en todo momento, ya sea que esté almacenada o en tránsito.

  5. Seguridad de transmisión de información. Garantizar el uso seguro de la PHI, generar copias de seguridad a través de proveedores HIPAA compliant.

Esta lista de verificación de cumplimiento de HIPAA, te servirá como guía de pasos para hacer que tu trayecto sea más sencillo.

Tipos de incumplimiento de HIPAA

Para terminar de comprender cómo cumplir con la Ley HIPAA, resulta revelador visualizar concretamente qué acciones se consideran como incumplimiento. De esa manera se podrá estar más alerta y pendiente de cuidar todas las instancias de circulación de información:

  1. Fuga de datos por falta de seguridad.

  2. Acceso no autorizado o divulgación de PHI.

  3. Formación deficiente al personal de salud, administrativo o cualquier persona que está en contacto con la PHI.

  4. No notificar a las autoridades pertinentes cualquiera de los incumplimientos arriba mencionados.

Hay que tener presente que las penalidades por incumplimiento de HIPAA pueden ser muy costosas. De acuerdo a la severidad de la infracción las multas oscilan entre 100 y 1.500.000 dólares. Quien se encarga de auditar y definir las sanciones de acuerdo a la gravedad y grado de negligencia es la Oficina de Derechos Civiles (OCR) de Estados Unidos.

Ejemplos de incumplimiento de HIPAA

Para graficar mejor situaciones en las que se podría incumplir con la Ley HIPAA inventamos un ejemplo.

La secretaria de la médica Ana renuncia. La institución médica contrata una nueva asistente, Sofía, para que se incorpore de inmediato y no evalúa sus conocimientos en materia de protección de datos.

Ana le entrega a Sofía órdenes médicas ya firmadas y selladas por ella, porque sus pacientes irán a retirarlas ese día. La secretaria las deja arriba de su escritorio toda la jornada, y a la vista de todas las personas que se acerquen para ser atendidas.

Al finalizar la jornada, Ana pasa por el escritorio de su secretaria, ve los papeles allí arriba y le explica por qué no es correcto y se va a su casa.

Aquí hay varios errores. El primero es que la institución no garantizó que Sofía esté correctamente capacitada en protección y seguridad de datos. Lo que desencadena en los errores siguientes.

La médica confió en una persona que, por no estar capacitada en HIPAA, no estaba autorizada a acceder a PHI, recetas médicas con el nombre y apellido del paciente, diagnóstico, tratamiento y número de la obra social.

Sofía dejó durante muchas horas, papeles con datos médicos protegidos a la vista de personas que pudieron leer, memorizar o incluso fotografiar esos datos. Y por último, Ana al advertir el error de Sofía, si bien indicó cómo corregir la situación, no notificó a las autoridades correspondientes de la potencial filtración de información.

Esperamos que hayas tomado nota de todas las recomendaciones para que tu negocio y tus productos digitales cumplan con HIPAA. Si te quedan dudas podés escribirnos a hola@xoor.io; y si querés recibir asesoramiento para crear una aplicación o página web de salud que cumpla con las regulaciones estadounidenses o canadienses, agendá una reunión acá.