fbpx
INMEDIATUM
Get In Touch
1201 3rd Avenue Seattle, WA 98101, US
(HQ) Av. Punto Sur 31, Tlajomulco de Zúñiga, Jal 45050, MX
Carrera 11B # 99 - 25, Btá, 110221, CO
Let's talk
hello@inmediatum.com
Ph: +1 (650) 603 0883
Sales attention M - F 9am - 5pm (CT)
Get support
Careers
Endless inspiration and meaningful work
See open positions
Back
Ingeniería
12 min read

HIPAA y TI: Guía y consideraciones

  • Pavel Sandoval
  • Author Pavel Sandoval
  • Published noviembre 19, 2020

Para los proveedores y profesionales de la salud, incluyendo salud mental, la confidencialidad con los pacientes es un deber absoluto. Por ejemplo, las conversaciones entre médico y paciente, por lo general, deben ser en privado.  y es posible que un paciente prefiera que su médico le llame al teléfono móvil en lugar de al teléfono fijo de casa. Ni siquiera los familiares directos están necesariamente autorizados recibir información sobre la situación de su ser querido por que en este artículo hablaremos de HIPAA y TI : Guía y consideraciones

HIPAA

A toda persona se le reconoce este derecho a la confidencialidad a menos que autorice expresamente revelar su información.  En algunos países se crearon legislaciones específicas para regular esta situación. En USA esa legislación es la HIPAA (Health insurance Portability and Accountability Act). Las reglas de HIPAA protegen la información de los pacientes, asegurando que está almacenada de forma segura y que que es utilizada correctamente.

HIPAA y sus reglas aplican a proveedores médicos, planes médicos y otras entidades que manejan información médica. Los socios comerciales de estas entidades cubiertas que reciben y manejan información médica protegida también deben cumplir con las reglas de HIPAA.

Estas reglas funcionan en múltiples niveles y requieren de métodos específicos para ser implementadas. Muchas empresas consideran esto una tarea abrumadora, así que aquí trataremos de hacer una explicación más simple de las reglas y consideraciones que implica HIPAA.

Regla de Privacidad

La Regla de Privacidad PHI de HIPAA le da derechos a consumidores sobre su información y pone límites en quién puede ver y recibir información médica protegida de consumidores. Dicha Regla se aplica a toda forma de información médica protegida, ya sea oral, electrónica o escrita. Esta regla se basa en tres derechos fundamentales:

  • El derecho a autorizar la divulgación de su información y registros médicos.
  • El derecho a ver y obtener copias de su historial médico cuando lo desee.
  • El derecho a solicitar cambios si considera que hay errores.

Algunas veces los profesionales de la salud son requeridos por ley para desvelar cierta información, en general si la enfermedad puede representar un peligro para los demás. Por ejemplo, ciertas enfermedades infecciosas, o cuando los profesionales de la salud que detectan signos de maltrato, abusos o negligencia en niños, adultos o ancianos deben notificarlo de forma sistemática a los servicios de protección.

Regla de Seguridad

La Regla de Seguridad de HIPAA en un subconjunto de la regla de privacidad. Protege información médica privada que existe en forma electrónica (ePHI) y requiere que entidades cubiertas bajo HIPAA mantengan resguardos razonables para asegurar que la información médica privada electrónica esté segura.

Esta regla es la que involucra principalmente a los departamentos de IT y otros servicios necesarios. Es posible resumirla en los siguientes puntos:

  • Implementar controles de auditoría robustos y sustanciales.
  • Monitorear y evaluar la actividad dentro de los sistemas.
  • Implementar controles de accesos e identidad, registrando cada acceso y notificando a los administradores si hay cambios en las configuraciones.
  • Instalar un plan y sistema de recuperación en caso de desastre (DRP y DRS), y respaldar toda la información.
  • Hacer constantemente pruebas de penetración, revisión de código y escaneo de vulnerabilidades en cada parte de la infraestructura.
  • Firmar acuerdos comerciales con cada uno de los proveedores de servicios y socios, estableciendo expectativas y requisitos sobre cómo debe ser tratada la información de médica, y como se debe responder en caso de infracción.
  • Controlar el acceso, asegurándose de que los usuarios sean únicos. Hacer uso de cierres de sesión automáticos, procesos de autenticación complejos y manejo de grupos y políticas.
  • Encriptar toda la información confidencial implementando estrategias específicas para datos en reposo y movimiento.
  • Asegurar las transmisiones mediante el uso de claves  y protocolos de cifrado avanzado como SSL y AES 256.

Regla de Aviso de Filtración

Incluso cuando existen medidas de seguridad, es posible que se produzca una infracción. La Regla de Aviso de Filtración de HIPAA requiere que entidades cubiertas bajo esta y sus socios comerciales notifiquen a consumidores afectados cuando ocurren casos de filtración de datos desprotegidos que corresponden a información médica protegida.

Lo primero que debemos saber, es cómo evaluar una infracción, para ello se utilizan estos criterios:

  • La naturaleza de la información en riesgo, incluyendo los datos de identificación.
  • La identidad de la persona no autorizada que recibió o utilizó la información.
  • La información pudo ser desencriptada y vista.
  • A qué punto está solucionado el problema que causó la filtración.

A veces la información puede ser filtrada sin haber un problema de seguridad. Por ejemplo:

  • Cuando la información es adquirida involuntariamente por un empleado que actuó de buena fe y dentro del alcance de su autoridad.
  • Cuando la información es divulgada inadvertidamente entre un empleado autorizado y otro para el cual esa información no es relevante, de una manera que no está cubierta por las políticas de privacidad.

Este tipo de filtraciones también deben ser reveladas y notificadas. Las divulgaciones personales deben ser notificadas personalmente a los afectados. Si más de 500 personas se ven afectadas, se debe notificar a los medios de comunicación.

De esta forma se asegura que las entidades se hagan responsables de proteger la información y asegur que los pacientes sean notificados si su información médica personal se ha visto comprometida.

Reglas para empresas de TI y Cloud Hosting

Las organizaciones que deben cumplir con las regulaciones de HIPAA están cada vez más preocupadas por cómo pueden proceder en la adopción de servicios en la nube, uno de los cuales es el alojamiento en la nube o la infraestructura como servicio (IaaS).

La “Guía sobre HIPAA y TI o HIPPA & Cloud Computing”, señala que las preocupaciones más importantes para las empresas de TI son las reglas de Seguridad, Privacidad y  Notificación de Infracciones.  Como indican, estas reglas juntas protegen los datos de salud del paciente a través de restricciones sobre su divulgación y uso, y los derechos de las personas sobre sus datos electrónicos.

En cuanto a “La nube” aclaran que un proveedor de “IaaS” que maneja cualquier dato electrónico de salud, debe ser tratado como un “Socio Comercial”, incluso si sólo está en contacto con registros de salud que están encriptados y para los cuales no posee una clave.

De esta manera al ser un socio comercial, se debe firmar un acuerdo donde el proveedor debe cumplir con las demandas y especificaciones de HIPAA. Este acuerdo es fundamental para definir cómo funcionará el servicio en la nube. Los acuerdos serán diferentes según los servicios que se estén prestando.

Otro componente necesario en HIPAA es el Acuerdo de nivel de Servicio (SLA)”. Estos documentos establecen lo que se espera de la relación entre un cliente y un proveedor de servicios IaaS. Este acuerdo debe incluir incluso aquellas situaciones en que el proveedor de IaaS maneja datos encriptados y no tiene acceso a una llave.

Ser consciente de los riesgos y debilidades de tu propia infraestructura física en sitio, te dará una mejor idea de las vulnerabilidades que pueden existir en la nube. Contratar infraestructura en la nube no asegura en absoluto que se cumplan con los parámetros establecidos en HIPAA. Siempre debes revisar cuidadosamente los acuerdos con cada uno de tus socios comerciales y asegurarte que ellos también cumplan con todos los requerimientos de HIPAA.

Para las organizaciones de atención médica y los proveedores de servicios que manejan información de pacientes, es esencial saber que si infraestructura cumple con este reglamento. Realizar una evaluación de riesgos de HIPAA y revisar cuidadosamente sus acuerdos con sus socios comerciales le dará una idea de dónde tiene debilidades.

[pofo_button pofo_button_style=”style3″ pofo_button_preview_image=”style3″ pofo_button_type=”large” pofo_button_text=”url:https%3A%2F%2Finmediatum.com%2Fcontacte-a-un-experto%2F%3Futm_source%3Dwebsite%26utm_medium%3Dblog%26utm_campaign%3Dorganic%26utm_content%3Dsi-esto-le-paso-a-walmart-te-puede-pasar-a-ti-tambienservice-of-interest%3Decommerce|title:Contacte%20a%20un%20experto||” pofo_button_text_color=”#ffffff” pofo_button_border_color=”#dd9933″ pofo_button_hover_bg_color=”#1e73be” pofo_button_hover_text_color=”#ffffff” pofo_button_hover_border_color=”#1e73be” css=”.vc_custom_1586313729245{background-color: #dd9933 !important;}”]
Tagged with:
Pavel Sandoval
Pavel Sandoval

Related Posts

autenticación multifactor
diciembre 22, 2020
4 min read

Como agregar autenticación multifactor a mi proyecto con NodeJS

La autenticación multifactor combina dos credenciales independientes: lo...

Read More
mvvm
diciembre 21, 2020
9 min read

MVVM - Qué es y como funciona.

¡Qué tal! Eduardo Rodríguez de este lado del...

Read More
seguridad de HIPPA
diciembre 14, 2020
6 min read

HIPAA: Requerimientos para contraseñas.

Como explicamos en un post anterior sobre HIPAA,...

Read More

We use cookies to give you the best experience. Cookie Policy