¿Cómo se cumple con la HIPAA? Hospitales y asistencia sanitaria
¿Qué es la HIPAA?
La Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) es una ley federal que se promulgó para salvaguardar la información sanitaria protegida (PHI) de los ciudadanos estadounidenses. El Congreso de los Estados Unidos aprobó esta ley en 1996 para regular el manejo e intercambio de los datos de los pacientes. Con los avances de la tecnología se hizo más fácil para los médicos compartir rápidamente los datos de los pacientes con el fin de proporcionar una mejor atención de salud. Sin embargo, esto también se convirtió en una fuente de abusos. Por esta razón se aprobó la HIPAA, para ayudar a proteger tanto a los pacientes como a los profesionales sanitarios.
La ley exige a los proveedores de atención médica que protejan los datos sanitarios de los pacientes, los mantengan confidenciales y tomen precauciones al transferirlos electrónicamente. La normativa incorpora normas para todo el sector en cuanto al procesamiento de la facturación de la atención sanitaria y otros datos de salud. A través de cuidadosas políticas, la HIPAA reduce el riesgo de fraude y abuso tanto para el paciente como para el proveedor de servicios sanitarios. Una característica esencial de la HIPAA es que garantiza la cobertura del seguro médico de los empleados cuando estos cambian de trabajo.
¿Qué es la información sanitaria protegida?
Cualquiera que trabaje en el sector sanitario debe saber cómo manejar los datos de los pacientes. La HIPAA establece qué se considera información sanitaria protegida. ¿Cuál es la definición de PHI según la normativa?
La HIPAA establece las mejores prácticas y medidas de seguridad para garantizar la confidencialidad, integridad y disponibilidad de la información sanitaria protegida. Los siguientes datos se consideran PHI:
- nombres
- cualquier ubicación geográfica menor que el estado de una persona
- fechas de nacimiento
- números de teléfono o fax
- direcciones de correo electrónico
- números de la Seguridad Social
- números de identificación de la historia clínica
- números de cuenta
- números de licencia
- datos de beneficiarios de seguros médicos
- imágenes faciales completas
- huellas dactilares o de voz
Hay otros muchos datos que podrían considerarse de identificación personal y que aparecen recogidos en las historias clínicas. Si no figuran explícitamente en la regulación, el personal sanitario suele guiarse por el sentido común y no divulgar ningún dato sin el consentimiento del paciente.
¿Se aplica la HIPAA fuera de EE.UU.?
Algunas personas pueden preguntarse si los ciudadanos estadounidenses que reciben tratamiento médico fuera de los Estados Unidos siguen estando bajo la jurisdicción de la HIPAA. La HIPAA no tiene jurisdicción internacional o extraterritorial, ya que las normas de la HIPAA sólo se aplican a las personas tratadas dentro de los Estados Unidos, ya sean estos ciudadanos o no. Por otra parte, como la gestión de la información es una tarea compleja, muchas empresas sanitarias que manejan grandes cantidades de datos de pacientes subcontratan el procesamiento y almacenamiento de dichos datos a empresas que no están ubicadas en Estados Unidos.
Esta es un área en la que la HIPAA sí se compara con otras legislaciones de privacidad relacionadas con el cliente como la Regulación General de Protección de Datos y la Ley de Privacidad del Consumidor de California. Estas leyes de privacidad del consumidor se aplican a cualquiera que quiera hacer negocios con los residentes de determinadas áreas. En particular, la HIPAA establece que las empresas que brindan servicios de datos a organizaciones o agencias sujetas a la HIPAA deben cumplir también con dichas regulaciones.
¿Cambian las pandemias las leyes de la HIPAA?
En medio de una emergencia mundial como la actual pandemia de COVID19, muchas personas pueden preguntarse si leyes como la HIPAA seguirán aplicándose. No hay una respuesta concreta a esta pregunta, ya que las disposiciones de la HIPAA permiten que las directrices que deben seguir los proveedores de atención sanitaria se modifiquen en tiempos de emergencia. Dicho esto, la aplicabilidad y el alcance de la HIPAA se reducen a garantizar que la salud y la seguridad del público sean una prioridad sobre la privacidad de los datos de un solo paciente.
Esto no quiere decir que los proveedores de atención sanitaria no sigan siendo responsables de salvaguardar la PHI de sus pacientes. Lo que ha cambiado con el aumento de la pandemia es que, a discreción de los proveedores, se comparte información para ayudar a los departamentos de salud y otras agencias a determinar el nivel de la enfermedad en la comunidad. Esto también puede incluir datos que pueden ayudar a ciertas agencias federales con el rastreo de contactos.
¿Qué se define como una filtración de datos según la HIPAA?
La HIPAA estipula que todas las agencias, empresas u organizaciones bajo su jurisdicción informen de cualquier caso de filtración de datos dentro de su sistema. Según la HIPAA, una filtración de datos se define como: “el uso o divulgación inadmisible según la Regla de Privacidad que compromete la seguridad o la privacidad de la información sanitaria protegida”. La HIPPA establece las siguientes directrices o análisis de riesgo:
- El proveedor de atención médica y el paciente deben comprender la naturaleza y la magnitud de los datos implicados en la filtración, incluidos los tipos específicos de identificadores (fechas de nacimiento, números de la Seguridad Social, etc.) robados y cómo estos datos podrían utilizarse para la reidentificación.
- Se debe averiguar a quién se ha revelado la información y su posible relación con el uso fraudulento de los datos.
- Alguien debería determinar si los datos sanitarios protegidos fueron realmente adquiridos o vistos, o si sólo se sospecha de ello.
- Se deben realizar esfuerzos con el fin de reducir el riesgo adicional para el paciente y evitar futuras violaciones.
¿Qué significa cumplir con la HIPAA?
Muchas empresas y organismos sanitarios afirman que cumplen con la HIPAA, sin embargo, la HIPPA no ofrece una definición única sobre lo que significa cumplir con lo que ella establece. Según Tim Cimbura, director general e ingeniero de software, no existe una definición real de cumplimiento con la HIPAA.
Por ejemplo, según la Oficina de Derechos Civiles, una empresa puede afirmar que cumple con la HIPAA si “realiza esfuerzos razonables de fe para seguir la normativa de privacidad sanitaria”. En general, si las empresas buscan cumplir con la HIPAA, deben poner en marcha los siguientes pasos:
- Programar regularmente un análisis de riesgos de seguridad (SRA) y haber realizado uno recientemente.
- Planificar, iniciar y aplicar un proceso activo de gestión de riesgos.
- Entrenar a sus empleados y disponer de un manual de políticas y procedimientos que especifique cómo deben protegerse los datos.
- Tener archivados los acuerdos de privacidad firmados por todo el personal y los asociados comerciales.
- Impartir anualmente cursos sobre políticas de privacidad con asistencia obligatoria para todos los empleados.
- Mantener documentación que demuestre que la empresa ha realizado todas las tareas anteriores y ha subsanado cualquier deficiencia. Esto podría incluir opciones de formación adicional para el personal que se contrate después de que se impartió el curso anual sobre políticas de privacidad.
¿Sabe dónde se encuentra su información sanitaria protegida?
Una parte esencial del cumplimiento de la HIPAA es tener un control fiable de sus datos. Cuando una agencia o empresa sanitaria busca el asesoramiento de un experto para que le ayude a revisar sus políticas de privacidad, una de las primeras preguntas que le hace el asesor es: “¿Puede mostrarme dónde se encuentra su información sanitaria protegida?” Si la respuesta es encogerse de hombros o mirar al techo, eso significa que la institución sanitaria ya ha fracasado.
Cualquier entidad que deba cumplir con la HIPAA debe saber dar respuesta a tres preguntas fundamentales:
- ¿Qué datos de información sanitaria protegida manejan?
- ¿Dónde se encuentra la información sanitaria protegida en su sistema?
- ¿Cómo se procesa la información sanitaria protegida?
Salvaguardar la información sanitaria protegida es esencial para garantizar el cumplimiento de la HIPAA. Una vez que se tengan respuestas concretas a las preguntas anteriores sobre el tipo de información sanitaria protegida que se maneja, se habrá construido la primera línea de defensa. Los datos deben permanecer seguros el 100% del tiempo, hay que erigir muros, cavar fosos, lo que sea necesario para que su sistema de seguridad detenga cualquier filtración antes de que penetre en esta área
Las violaciones ocurren y hay hackers inteligentes que buscan implicarse en acciones criminales. Las normas de la HIPAA están en vigor para garantizar que los proveedores de servicios sanitarios tomen medidas de precaución para proteger los datos bajo su custodia. Ya las instituciones sanitarias encriptan o anonimizan los datos almacenados para que la información, en caso de ser robada, no pueda ser descifrada. La idea es estar preparado como empresa para afrontar cualquier tormenta.