¿Qué es el cumplimiento de HIPAA y por qué es importante?

Publicado: 2021-06-22

¿Qué significa HIPAA?

¿Qué es exactamente HIPAA y qué debe hacer usted como empresa para mantenerse en el lado correcto de sus regulaciones asociadas?

HIPAA significa Ley de Portabilidad y Responsabilidad del Seguro Médico, que fue aprobada por el Congreso en 1996.

Desde entonces, HIPAA se ha actualizado y desarrollado, sobre todo con la ley HITECH de 2009 (Tecnología de información de salud para la salud económica y clínica) y la Regla ómnibus de 2013.

Estos juntos ampliaron la responsabilidad hacia los socios comerciales y sus subcontratistas, así como protecciones más estrictas sobre cómo se puede usar la PHI con respecto a la comercialización y las ventas.

Si bien HIPAA se refiere a varias áreas, incluida la cobertura de atención médica para personas que pierden o cambian su trabajo y las disposiciones relacionadas con los impuestos, nuestro enfoque principal estará en el Título II de la ley, que trata sobre el intercambio, la seguridad y la privacidad de los datos de salud y lo que preocupa a la gran mayoría de las empresas cuando se trata de cumplimiento.

Empecemos y analicemos todo lo que necesita saber sobre HIPAA y cuáles son las claves del éxito para el cumplimiento de HIPAA.

Impacto suscribirse al banner del blog

¿Cuál es el propósito de HIPAA?

Como acabamos de señalar, HIPAA tiene varios propósitos fuera de la protección de datos, específicamente relacionados con la reforma de la ley de seguros de salud.

Sin embargo, para la mayoría de las organizaciones que investigan HIPAA, su objetivo principal es saber qué deben hacer para cumplir con sus regulaciones y evitar las multas que surgen del incumplimiento.

Esta área de HIPAA tiene que ver con la protección de datos y la privacidad en relación con la divulgación y el uso de información de salud protegida, o PHI.

El cumplimiento de HIPAA y la seguridad de la PHI son fundamentales para las organizaciones de salud en la actualidad.

Imagen de un hombre con una mano y la palabra HIPAA encima | ¿Qué es HIPAA?

¿Quién tiene que cumplir con HIPAA?

Las entidades que tienen que cumplir con el cumplimiento de HIPAA se conocen como entidades cubiertas.

Las entidades cubiertas son personas o empresas que almacenan, manejan y procesan PHI.

Las entidades cubiertas, además de cumplir con HIPAA, también son responsables de informar las violaciones relacionadas con ella.

Las siguientes personas y organizaciones constituyen entidades cubiertas:

Proveedores de servicios de salud

  • medicos
  • Clínicas
  • psicólogos
  • dentistas
  • quiroprácticos
  • Hogares de ancianos
  • Farmacias
  • Planes de salud

Compañías de Seguros de Salud

  • HMO
  • planes de salud de la empresa
  • Planes de atención médica proporcionados por el gobierno

Cámaras de compensación de atención médica

  • Estas son entidades que facilitan el procesamiento de información de salud no estándar en elementos de datos estándar. Estos son efectivamente intermediarios entre los proveedores de atención médica y los pagadores de seguros.

Socios de negocio

  • Un “socio comercial” crea, recibe, mantiene o transmite información médica protegida (PHI) en nombre de una entidad cubierta u otro socio comercial que actúa como subcontratista.

Subcontratistas

  • Un subcontratista que crea, mantiene o transmite información de salud protegida (PHI) en nombre de un socio comercial tiene las mismas responsabilidades legales que un socio comercial bajo HIPAA. En otras palabras, las responsabilidades legales relacionadas con la privacidad y la seguridad fluyen “aguas abajo” hacia los subcontratistas que realizan trabajos para un socio comercial.

Entidades híbridas

  • Una entidad híbrida realiza funciones cubiertas y no cubiertas por HIPAA como parte de su negocio. Una corporación grande que tiene un plan de salud autoasegurado para sus empleados puede optar por ser tratada como una entidad híbrida. Otros ejemplos son una universidad con un centro médico o una tienda de comestibles que tiene una farmacia.

¿Qué abarca la PHI?

La información de salud personal (PHI, por sus siglas en inglés) se refiere a cualquier información demográfica que pueda usarse para identificar a un paciente, cliente u otra entidad.

Hay 18 identificadores que hacen que la información relacionada con la salud se considere PHI. Estos son:

  1. nombres
  2. Fechas, excepto año
  3. Datos geográficos
  4. Números de FAX
  5. Números de Seguro Social
  6. Correos electrónicos
  7. Números de registros médicos
  8. números de cuenta
  9. Números de beneficiarios del plan de salud
  10. Números de certificado/licencia
  11. Identificadores de vehículos y números de serie, incluidos los números de matrícula
  12. Números de teléfono
  13. URL web
  14. Identificadores de dispositivos y números de serie
  15. Direcciones de protocolo de Internet (IP)
  16. Fotos de cara completa e imágenes comparables
  17. Identificadores biométricos (huellas dactilares, por ejemplo)
  18. Cualquier número o código que identifique de manera única a alguien

Estos son los tipos de datos e información que deben protegerse para cumplir con HIPAA.

¿Qué se considera una violación de HIPAA?

Una violación de HIPAA ocurre cuando una entidad no cumple con el cumplimiento, y hay literalmente cientos de formas en que las personas y las organizaciones pueden infringir el cumplimiento de HIPAA.

Las violaciones comunes de HIPAA generalmente involucrarán uno de los siguientes:

  • Divulgación no autorizada, inadmisible o innecesaria de PHI
  • Acceso no autorizado a PHI
  • Eliminación incorrecta de PHI
  • Falta de evaluación de riesgos realizada por la entidad
  • Falta de gestión de riesgos con respecto a la PHI
  • No establecer un acuerdo de cumplimiento de HIPAA con terceros al proporcionar acceso a la PHI
  • No brindar conciencia de seguridad sobre la capacitación de HIPAA a los empleados
  • Robo de PHI
  • Compartir PHI sin permiso previo
  • Mal manejo/envío injustificado de PHI
  • No notificar al individuo sobre un incidente de seguridad que involucre PHI dentro de los 60 días posteriores al descubrimiento de la infracción
  • No hay documentación de protocolos de cumplimiento, procedimientos y gestión.

¿Qué sucede si se viola HIPAA?

Una violación de HIPAA ocurre cuando se contraviene cualquier aspecto de las normas y disposiciones de HIPAA.

Puede encontrar un resumen completo de todas las regulaciones de HIPAA, publicado por la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos, aquí.

Si se informa una infracción, la entidad cubierta está sujeta a sanciones, ya sean civiles o penales; las sanciones pueden variar significativamente, según la infracción.

Por lo general, la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de EE. UU. investigará las infracciones, e investigará a todas las entidades cubiertas que informen infracciones de más de 500 registros.

Si la OCR determina que un caso en particular es penal en lugar de civil, lo remitirá al Departamento de Justicia.

En la mayoría de los casos, las personas pueden esperar pagar $100 por infracción; las infracciones repetidas pueden causar multas de hasta $25,000.

En los casos en que las personas hayan mostrado un descuido deliberado de las reglamentaciones de HIPAA y no hayan intentado corregir sus políticas y procedimientos, se puede incurrir en una multa mínima de $50,000, hasta un máximo de $1.5 millones.

En casos penales, son posibles sentencias menores de $50,000 y hasta un año de prisión, con una multa de $250,000 y hasta 10 años de prisión como máximo.

Para los procedimientos civiles, las infracciones se clasifican en niveles, siendo 4 el más grave.

Son los siguientes:

  • Nivel 1: Una violación de la que la entidad cubierta no estaba al tanto y no pudo haberla evitado.
  • Nivel 2: Una infracción de la que la entidad cubierta debería haber tenido conocimiento pero que no pudo evitar.
  • Nivel 3: Una infracción que ocurrió como resultado directo de negligencia deliberada, pero en la que se intentó rectificar la infracción.
  • Nivel 4: Una infracción que constituye negligencia deliberada en la que no se hizo ningún intento por corregir la infracción.

Las sanciones por incumplimiento de HIPAA para cada nivel son las siguientes:

  • Nivel 1: Multa mínima de $100 por infracción hasta $50,000
  • Nivel 2: Multa mínima de $1,000 por infracción hasta $50,000
  • Nivel 3: Multa mínima de $10,000 por infracción hasta $50,000
  • Nivel 4: Multa mínima de $50,000

Los procesos penales son un poco diferentes, con tres niveles y castigos mucho más severos que los procesos civiles.

Son los siguientes:

  • Nivel 1: causa razonable o desconocimiento de la infracción
  • Nivel 2: Obtención de PHI bajo falsos pretextos
  • Nivel 3: Obtener PHI para beneficio personal o con intenciones maliciosas

Penalidades criminales:

  • Nivel 1: Hasta un (1) año en la cárcel
  • Nivel 2: Hasta cinco (5) años en la cárcel
  • Nivel 3: Hasta 10 años en la cárcel

Imagen de un hombre con una mano y la palabra HIPAA encima | ¿Qué es HIPAA?

¿Puedo obtener la certificación HIPAA?

Al momento de escribir esto, no existe tal cosa como la certificación o verificación de cumplimiento de HIPAA.

Los terceros pueden ofrecer una forma de "certificación HIPAA", pero el HHS no ofrece una certificación obligatoria o respaldada oficialmente.

No existe una norma o especificación de implementación que requiera que una entidad cubierta "certifique" el cumplimiento. El estándar de evaluación § 164.308(a)(8) requiere que las entidades cubiertas realicen una evaluación técnica y no técnica periódica que establezca hasta qué punto las políticas y los procedimientos de seguridad de una entidad cumplen con los requisitos de seguridad. Oficina de Derechos Civiles (OCR)

Por lo tanto, si bien no existe una certificación HIPAA, muchos MSSP de terceros pueden realizar evaluaciones periódicas cuando sea necesario y garantizar que cumpla con HIPAA.

¿Qué es un oficial de HIPAA?

Un oficial de HIPAA es un oficial de cumplimiento.

Ya sea que sean internos o contratados como terceros, su trabajo principal será garantizar el cumplimiento de HIPAA al asegurarse de que sus protocolos de seguridad y privacidad para los datos de PHI se apliquen correctamente.

En los casos en que no exista tal política, el oficial de HIPAA será responsable de desarrollar e implementar un plan de cumplimiento para el individuo u organización.

Luego estarán a cargo de mantener y monitorear el programa, investigar e informar cuando sea legalmente necesario y garantizar que los datos del paciente o cliente estén protegidos según lo exigen las leyes estatales y federales.

¿Cuál es la clave del éxito para el cumplimiento de HIPAA?

Si ha estado leyendo este artículo (o hojeándolo) y sintió que se le aceleraba un poco el pulso al ver las sanciones por incumplimiento, entonces no se preocupe.

No se necesita mucho para asegurarse de cumplir con HIPAA, pero ciertamente hay algunas claves para el éxito en el cumplimiento de HIPAA que las organizaciones harían bien en seguir.

Primero, debe buscar un proveedor de servicios de seguridad administrado que realice evaluaciones de HIPAA para que venga y audite sus sistemas para verificar el cumplimiento de HIPAA.

Una vez que hayan realizado la evaluación de riesgos, podrán recomendar y llevar a cabo las implementaciones que necesita para asegurarse de que está haciendo todo lo posible para mantener el cumplimiento.

¿Qué es una evaluación de riesgos de HIPAA?

Publicación relacionada: ¿Qué sucede durante una auditoría de riesgos de ciberseguridad?

Una auditoría de cumplimiento de HIPAA es la evaluación realizada por un oficial de cumplimiento que profundizará en sus sistemas y protocolos de seguridad.

Primero, deberán colaborar con usted para determinar el alcance de la auditoría, principalmente en relación con sus obligaciones (en este caso, HIPAA es la principal prioridad, aunque es posible que también deba cumplir con otras regulaciones).

Luego elaborarán un cronograma para la auditoría y pasarán a la siguiente etapa; ejecución. Esta parte implica el escaneo de vulnerabilidades, las pruebas de penetración y un análisis de brechas.

En el caso de una evaluación de riesgos para el cumplimiento de HIPAA, será esencial un análisis de brechas, ya que aquí es donde el oficial de cumplimiento de HIPAA detallará lo que se debe hacer para que usted o su empresa cumplan.

Una vez que concluya la auditoría de cumplimiento de HIPAA, el oficial de cumplimiento hará sus recomendaciones y podrá obtener una comprensión clara de lo que se debe hacer.

También puede aprovechar esta oportunidad para delegar la implementación de estas recomendaciones al MSSP, en cuyo caso puede firmar un contrato a largo plazo con ellos, lo que le permite iniciar y administrar su negocio mientras el proveedor de servicios de seguridad administrada se encarga del cumplimiento. .

Si desea obtener más información sobre el cumplimiento de HIPAA y lo que un proveedor de servicios de seguridad administrados puede hacer por usted, consulte nuestra página de Servicios de cumplimiento.