¿Qué es HIPAA? Aquí le mostramos cómo asegurarse de cumplir con HIPAA

Publicado: 2023-01-23

Nadie debe comprometer la salud y la seguridad, y esto es lo que garantiza HIPAA.

La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) se promulgó en 1996 para brindar a los pacientes un mejor acceso a su información de salud y para regular su protección. A lo largo de los años, HIPAA ha evolucionado para crear requisitos de notificación de violación de datos y determinar las entidades a las que se aplica.

Si trabaja en el cuidado de la salud, la gente a menudo habla de HIPAA, pero ¿qué es y cómo puede cumplir con sus requisitos?

¿Qué es la Ley de Portabilidad y Responsabilidad de los Seguros Médicos?

La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, por sus siglas en inglés) describe el uso y la divulgación adecuados de la información médica protegida (PHI, por sus siglas en inglés), cómo se debe asegurar y qué hacer en caso de incumplimiento. El Departamento de Salud y Servicios Humanos (HHS) regula la HIPAA, mientras que la Oficina de Derechos Civiles (OCR) hace cumplir la ley.

Cuando se presenta una queja por incumplimiento contra una organización de atención médica, la OCR investiga a la organización para determinar si los reclamos son ciertos. Si se determina que la organización ha violado HIPAA, se pueden imponer multas y acciones correctivas.

Las tres reglas de la Ley de Portabilidad y Responsabilidad del Seguro Médico

La regulación HIPAA consta de tres reglas principales. Las Reglas de notificación de infracciones, seguridad y privacidad de la HIPAA brindan pautas para que las organizaciones de atención médica compartan información, protejan la información confidencial de los pacientes y respondan e informen infracciones.

Regla de privacidad de HIPAA

La regla de privacidad de HIPAA se enfoca principalmente en usar y divulgar información de salud protegida. El uso y la divulgación de PHI solo están permitidos por motivos específicos, como tratamiento, pago y atención médica. Cualquier otro uso o divulgación requiere el consentimiento previo por escrito del paciente.

El estándar mínimo de HIPAA también requiere que se restrinja el acceso a la PHI. El acceso a la PHI solo debe otorgarse a los empleados que la necesitan para su trabajo. Este acceso también debe limitarse a la información necesaria para realizar sus funciones laborales.

Por ejemplo, un asistente administrativo podría necesitar acceso a cierta información del paciente para programar una cita. Es probable que este empleado necesite saber el nombre del paciente, el contacto, la información del seguro y, en algunos casos, la información procesal básica para determinar la duración de la cita. No necesitarán acceso al archivo completo del paciente.

Su Aviso de Prácticas de Privacidad (NPP) debe describir claramente cómo su organización usa y divulga la información del paciente. También debe discutir los derechos de los pacientes con respecto a su información. Los pacientes deben recibir un NPP para su revisión al momento de la admisión.

Los derechos de los pacientes (derecho de acceso de HIPAA) también se abordan en detalle en la Regla de privacidad. El estándar de derecho de acceso de HIPAA requiere que los proveedores de atención médica brinden a los pacientes acceso a sus registros médicos cuando lo soliciten. Los registros solicitados deben estar disponibles para el paciente dentro de los 30 días posteriores a la solicitud. Los pacientes también tienen derecho a recibir sus registros en el formato que solicitaron cuando corresponda.

Regla de seguridad HIPAA

La regla de seguridad de HIPAA requiere que se mantenga la confidencialidad, integridad y disponibilidad de la PHI. Esencialmente, esto significa que las organizaciones de atención médica deben proteger la privacidad de la PHI y evitar su alteración o destrucción sin autorización. Las medidas de seguridad de HIPAA ayudan a lograr una seguridad de datos óptima.

¿Qué son las salvaguardas de HIPAA?

Las medidas de seguridad de la HIPAA son medidas administrativas, técnicas y físicas que se toman para evitar el acceso, uso o divulgación no autorizados de la PHI.

Las salvaguardas administrativas son políticas y procedimientos que brindan a los empleados pautas para usar y divulgar correctamente la PHI. También describen los requisitos de evaluación de riesgos de seguridad y capacitación de HIPAA para los empleados.

Las salvaguardas técnicas son medidas para proteger la PHI electrónica (ePHI). Los ejemplos comunes de salvaguardas técnicas incluyen el cifrado, la autenticación de usuarios, los controles de acceso y los controles de auditoría.

  • Cifrado: codifica los datos para que las entidades no autorizadas no puedan leer la información.
  • Autenticación de usuario: proporciona a cada usuario una identificación de usuario única para acceder a la red de su organización.
  • Controles de auditoría: permita a los administradores monitorear fácilmente la actividad sospechosa en una red, como un usuario que accede a una red desde una ubicación sospechosa o múltiples intentos fallidos de inicio de sesión por parte de un usuario individual.
  • Controles de acceso: permita a los administradores designar diferentes niveles de acceso a la información del paciente según la función laboral del empleado.

Las medidas de seguridad físicas, como cerraduras y sistemas de alarma, protegen la ubicación física de una organización.

Regla de notificación de incumplimiento de HIPAA

La regla de notificación de incumplimiento de HIPAA requiere que las empresas cubiertas y los socios comerciales informen los incumplimientos de PHI.

No todos los incidentes son violaciones. Los ejemplos comunes de infracciones incluyen incidentes de piratería, acceso no autorizado a la PHI, divulgación de la PHI a una parte no autorizada, robo o pérdida de registros en papel y robo o pérdida de dispositivos electrónicos portátiles no cifrados.

Por ejemplo, el robo o la pérdida de una computadora portátil encriptada no es una violación ya que no se puede acceder a la información. Si la información en la computadora portátil no fuera segura y fuera accesible a personas no autorizadas, sería una violación.

Las infracciones de datos de pacientes son obligatorias para ser informadas. La organización violada debe notificar a los pacientes afectados por escrito dentro de los 60 días posteriores al descubrimiento del incidente. Las organizaciones también deben informar la infracción al Departamento de Salud y Servicios Humanos (HHS).

Si el incidente afecta a menos de 500 pacientes, las organizaciones tienen hasta sesenta días después del final del año calendario para informarlo al HHS. Si el incidente afecta a 500 o más pacientes, las organizaciones deben informarlo al HHS 30 días después del descubrimiento. Las infracciones que afecten a 500 o más pacientes también deben informarse a los medios de comunicación.

¿Qué información protege HIPAA?

HIPAA protege la información del paciente, conocida como Información de Salud Protegida (PHI). La PHI se define como cualquier información de salud identificable individualmente asociada con la provisión pasada, presente o futura de atención médica.

La información médica protegida electrónicamente (ePHI, por sus siglas en inglés) es PHI almacenada en un formato electrónico, como en una computadora portátil o en una plataforma de registros médicos electrónicos. ePHI también debe estar protegido por HIPAA.

18 identificadores HIPAA

El Departamento de Salud y Servicios Humanos (HHS) clasifica la información médica protegida en 18 identificadores únicos. Cada uno de los 18 identificadores se considera PHI si está asociado con la prestación de servicios de atención médica.

18 identificadores HIPAA

Fuente: Grupo de Cumplimiento

Los siguientes son los 18 identificadores de HIPAA:

  1. Nombres de pacientes
  2. Elementos geográficos, como una dirección, una ciudad, un condado o un código postal
  3. Fechas relacionadas con la salud o la identidad de las personas, incluidas las fechas de nacimiento, la fecha de ingreso, la fecha del alta, la fecha de la muerte o la edad exacta de un paciente mayor de 89 años
  4. Números telefónicos
  5. Números de fax
  6. Correos electrónicos
  7. Números de seguridad social
  8. Números de registros médicos
  9. Números de beneficiarios del seguro de salud
  10. números de cuenta
  11. Números de certificado o licencia
  12. Identificadores de vehículos
  13. Atributos del dispositivo o números de serie
  14. Identificadores digitales, como URL de sitios web
  15. Direcciones IP
  16. Elementos biométricos, incluidas huellas dactilares, retinales y de voz.
  17. Imágenes fotográficas de cara completa
  18. Otros números o códigos de identificación

¿Quién debe cumplir con HIPAA?

Un concepto erróneo común es que HIPAA se aplica cuando se accede o divulga información de salud. Si bien HIPAA restringe el uso y la divulgación de PHI, HIPAA solo se aplica a organizaciones involucradas en operaciones de tratamiento, pago u atención médica. Estas organizaciones se denominan "entidades cubiertas" y "socios comerciales".

Las organizaciones con el potencial de acceder a PHI o ePHI deben cumplir con HIPAA.

Entidades cubiertas

Las entidades cubiertas incluyen proveedores de atención médica, compañías de seguros y cámaras de compensación. Los médicos, dentistas, profesionales de la salud mental, quiroprácticos y proveedores de seguros de salud son entidades cubiertas.

Socios de negocio

Los socios comerciales son proveedores contratados por una entidad cubierta que puede tener acceso a la PHI. Las plataformas de registros médicos electrónicos (EHR), los proveedores de servicios de correo electrónico, los programadores de citas en línea y los proveedores de servicios administrados son ejemplos comunes de socios comerciales.

Cómo ser compatible con HIPAA

El cumplimiento de HIPAA implica varios pasos. Es más bien un pasa o falla. Eres obediente, o no lo eres. Debe cumplir con los requisitos de cada paso para cumplir con HIPAA y completar algunos de estos requisitos anualmente.

cumplimiento de la ley hipaa

Fuente: Grupo de Cumplimiento

Realice evaluaciones de riesgos de seguridad, identifique brechas e incorpore planes de remediación

Las evaluaciones de riesgos de seguridad (SRA) son esenciales para cumplir con los requisitos de HIPAA. Para cumplir con HIPAA, debe completar una evaluación de riesgos de seguridad de HIPAA anualmente. Esto se debe a que las SRA miden sus protecciones actuales frente a los estándares de la HIPAA. Se produce una brecha cuando su trabajo actual no es suficiente para cumplir con los estándares de HIPAA.

Las "brechas" son deficiencias que pueden resultar en infracciones y violaciones de HIPAA. Aquí es donde entran en juego los planes de remediación. Los planes de remediación crean pasos procesables para cerrar las brechas de cumplimiento. Para que sean efectivos, los planes de remediación deben ser específicos, incluido lo que se hará para cerrar la brecha, quién es responsable de la remediación y un cronograma para la remediación.

Implementar políticas y procedimientos

Las políticas y los procedimientos deben diseñarse teniendo en cuenta las tres reglas de HIPAA. Las políticas y procedimientos deben adaptarse al tipo y tamaño de una organización y revisarse y actualizarse anualmente para que sean efectivos.

Esquema de políticas y procedimientos:

  • Los usos y divulgaciones adecuados de la PHI por parte de su organización y sus empleados
  • Cómo su organización protege la PHI
  • Qué hacer en caso de incumplimiento o sospecha de incumplimiento

En el pasado, las organizaciones han utilizado manuales HIPAA para sus políticas y procedimientos. Sin embargo, debido a que los manuales de HIPAA están listos para usar, no abordan los matices de cómo opera su organización.

Las políticas y procedimientos apropiados para una práctica médica pequeña pueden no ser efectivos para un gran grupo de hospitales, al igual que las políticas y procedimientos escritos para una entidad cubierta pueden no ser aplicables a un socio comercial.

Llevar a cabo la capacitación HIPAA para los empleados

Los empleados con acceso potencial a PHI o ePHI deben recibir capacitación anualmente. La capacitación debe incluir las mejores prácticas de HIPAA, una descripción general de las políticas y procedimientos de su organización y las mejores prácticas de seguridad cibernética.

HIPAA informa que los empleados deben estar capacitados cuando son contratados, por lo que realizar un curso de capacitación una vez al año no es suficiente. Un programa flexible de capacitación de empleados de HIPAA es esencial para satisfacer las necesidades de capacitación.

Usar una herramienta de capacitación en línea es la mejor manera de lograrlo. Con un programa de capacitación en línea, se puede asignar capacitación a los empleados cuando sea necesario, completar su capacitación a su propio ritmo y los administradores pueden realizar un seguimiento del progreso de los empleados.

Sugerencia: El uso de un programa de capacitación independiente de HIPAA puede ayudarlo a cumplir con algunos requisitos de capacitación de HIPAA, pero asegúrese de que los empleados también estén capacitados en las políticas y procedimientos de su organización.

Firmar acuerdos de socios comerciales

Los acuerdos de socios comerciales de HIPAA (HIPAA BAA) son contratos legales que deben firmarse entre una entidad cubierta y su socio comercial (o entre dos socios comerciales). Los BAA de HIPAA deben firmarse antes de intercambiar PHI o ePHI. No todos los proveedores están dispuestos o pueden actuar como socios comerciales; si el proveedor no firma un BAA, no puede cumplir con ningún deber de socio comercial.

Supongamos que está buscando un programador de citas en línea que permita a los pacientes reservar sus propias citas. Encuentra un proveedor que satisface sus necesidades administrativas, pero no quiere firmar un acuerdo de afiliación. No puede contratar a este proveedor para la programación de pacientes hasta que firmen un BAA.

Gestión y respuesta a incidentes

Parte del cumplimiento de HIPAA es implementar un plan de respuesta a incidentes probado. Puede identificar, responder e informar incidentes rápidamente con un plan de respuesta a incidentes. Las organizaciones con un plan de respuesta a incidentes probado reducen drásticamente el tiempo necesario para recuperarse de un incidente y, al mismo tiempo, reducen sus costos.

Violaciones y multas de HIPAA

Si bien muchas infracciones resultan en violaciones de HIPAA, la infracción en sí nunca es la razón por la que se multa a una empresa. Las violaciones de HIPAA ocurren cuando una organización no cumple con los estándares de HIPAA. Se pueden imponer multas de HIPAA en función de la gravedad de la infracción.

violaciones de la ley hipaa

Fuente: Grupo de Cumplimiento

Los ejemplos comunes de violaciones de HIPAA incluyen fallas en:

  • Llevar a cabo una evaluación de riesgos precisa y exhaustiva
  • Proporcionar a los pacientes acceso oportuno a sus registros médicos.
  • Responda adecuadamente a las reseñas de pacientes en línea
  • Tener un acuerdo de socio comercial firmado con un socio comercial
  • Deseche adecuadamente los registros médicos de los pacientes.

Entonces, ¿cuándo se multaría a una organización por una infracción?

Las multas de HIPAA se emiten en función del nivel de negligencia percibida.

  • El nivel 1 es para las infracciones menos graves. Las sanciones de nivel 1 se imponen cuando se produce una infracción de la HIPAA porque una entidad cubierta o un socio comercial desconocía la regla que infringía. Para calificar como una sanción de Nivel 1, la infracción también debe ser una infracción que no podría haberse evitado si una organización hubiera utilizado una diligencia razonable para cumplir con HIPAA. Las multas a este nivel oscilan entre $120 y $60,226 por infracción.
  • Las infracciones de nivel 2 ocurren cuando una entidad cubierta o un socio comercial tiene conocimiento de la infracción cometida. Para calificar como una infracción de Nivel 2, la infracción es una que podría haberse evitado incluso con un grado razonable de cuidado. Las multas en este nivel oscilan entre $12,045 y $60,226 por infracción.
  • Las infracciones del Nivel 3 se consideran más graves que las del Nivel 1 o el Nivel 2 y están sujetas a multas más costosas. Las infracciones de nivel 3 se derivan de la negligencia deliberada de HIPAA. Para ser considerado un infractor de Nivel 3, la organización debe saber que violó HIPAA mientras realizaba la diligencia debida. Estas infracciones deben corregirse dentro de los 30 días para calificar como infracciones de Nivel 3. Las multas a este nivel oscilan entre $1205 y $12 045 por infracción.
  • Las infracciones de nivel 4 implican el descuido deliberado de las reglas de HIPAA. La OCR impone sanciones de Nivel 4 cuando la entidad cubierta o el socio comercial no ha intentado remediar la infracción. Las multas a este nivel oscilan entre $60,226 y $1,806,757 por infracción.

Las organizaciones que violan HIPAA a menudo están sujetas a monitoreo OCR y acciones correctivas. Los planes de acción correctiva son desarrollados por OCR al completar las investigaciones de violación de HIPAA cuando las organizaciones identifican deficiencias. Están diseñados para evitar más infracciones e incidentes al alinear el programa de cumplimiento de la organización con los estándares de HIPAA.

Manténgase en cumplimiento; mantente seguro

La Ley de Portabilidad y Responsabilidad de los Seguros Médicos debe ser una prioridad máxima para cualquier organización involucrada en la atención médica (entidad cubierta o socio comercial). En pocas palabras, para trabajar en el cuidado de la salud, debe cumplir con HIPAA.

Sin HIPAA, los datos de los pacientes son vulnerables al uso y divulgación no autorizados. Cuando se produce una infracción, los pacientes no solo pierden la confianza en la capacidad de una organización para proteger su información confidencial, sino que también pueden generar infracciones de HIPAA y multas costosas.

Al implementar un programa efectivo de cumplimiento de HIPAA que cumple con todos los estándares de HIPAA, mejora su postura de seguridad general y reduce la probabilidad de infracciones y violaciones.

Los pacientes ahora son más conscientes de HIPAA y sus derechos. El cumplimiento de HIPAA les da la tranquilidad de que pueden confiarle su información confidencial.

La gestión de la privacidad no termina con la obtención de un tipo de cumplimiento. Conozca todo sobre la gestión de la privacidad de los datos y la seguridad de su organización.