Para ser HIPAA compliant es necesario que toda la cadena que conforma tu negocio, incluidos quienes te proveen servicios acaten con las medidas de seguridad estipuladas en la Ley de Portabilidad y Responsabilidad de Seguros de Salud de Estados Unidos.

¿Qué significa HIPAA compliant? Que se obedece la normativa federal estadounidense que obliga a las empresas que emplean datos médicos, a proteger esa información a través de rigurosos protocolos y medidas de seguridad físicas y digitales.

En el artículo “¿Quién debe cumplir con HIPAA?” explicamos en detalle los alcances de la legislación y compartimos de una manera simplificada el test oficial de la Comisión Federal de Comercio de Estados Unidos para que puedas comprobar en algunos minutos si tu negocio debe adherir a esa certificación o no.

A continuación te detallamos todos los motivos por los cuales debés contratar empresas proveedoras con conocimientos en la Ley HIPAA; y te detallamos qué rubros deben ajustarse a la normativa.

En este artículo

Motivos por los cuales necesitas contratar empresas proveedoras HIPAA compliant

¿Qué tipo de empresas proveedoras deben ser HIPAA compliant?

¿Qué exige la HIPAA?

Si te dedicas a la industria healthtech, de acuerdo a lo que indica la normativa HIPAA no basta con que protejas la información de las personas a lo largo de todo el flujo de tu negocio sino también, debés constatar que las empresas que te proveen los insumos, tecnología y servicios y socios comerciales, también lo hagan. De esta manera te asegurás que no haya filtraciones de datos y se proteja la información médica (PHI).

Por ejemplo, los laboratorios de análisis que elevan los informes; las empresas de seguros de vida o de riesgo de trabajo; quienes proveen servicios de cobros; una empresa de catering en el marco de una celebración entre directivos o conferencia de prensa, y/o quienes se encargan de la limpieza de los establecimientos, están obligados a cumplir con la normativa.

Del mismo modo, debe cumplir con la normativa HIPAA una software factory que crea una aplicación web desde cero para que quienes realizan análisis clínicos puedan cargar informes y profesionales de la salud, acceder a ellos para diagnosticar pacientes. Incluso las proveedoras de servicios de software que sólo desarrollan una funcionalidad para un producto digital ya existente, deberán seguir la normativa ya que tienen acceso a información médica protegida (PHI) y deben desarrollar sistemas de transferencia y acceso a los mismos.

De lo contrario quienes utilicen esos sistemas estarían infringiendo la legislación federal estadounidense, HIPAA.

Las empresas proveedoras de entidades que brindan servicios de salud que deben cumplir con los protocolos de seguridad indicados en la normativa federal HIPAA son los socios comerciales. Es decir aquellas empresas que prestan servicios a empresas que operan con información médica. Entre ellas se encuentran quienes:

Por otra parte se le llama entidades cubiertas a organizaciones que trabajan activamente con PHI. Entran dentro de esta categoría: profesionales de la medicina y sus consultorios, hospitales, farmacias, compañías de seguros, organizaciones para el mantenimiento de la salud.

Las organizaciones que se adecúan a las medidas de seguridad y cifrado planteadas en el texto de la ley, deben pasar una auditoría y si todo está correctamente aplicado, se puede asegurar que cumple con la ley HIPAA.

No cumplir con la normativa o incluso, infringirla producto de filtraciones de información o por factores de fuerza mayor, requiere el pago de multas que llegan hasta 1.5 millones de dólares. Se considera incumplimiento no informar alguna infracción de HIPAA, el acceso no autorizado a información de personas pacientes, eliminación indebida de PHI, pérdida de dispositivos, instalación de un malware así sea de forma accidental; y falta de medidas de seguridad.

La normativa exige a las entidades cubiertas 4 aspectos. A continuación te dejamos la HIPAA compliance checklist:

Si querés conocer en detalle la ley federal de Estados Unidos, Health Insurance Portability and Accountability Act, ingresá acá.