La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, por sus siglas en inglés ) es la ley federal que protege a los pacientes de la divulgación de su información médica confidencial sin su permiso. Esta ley, promulgada en 1996, estableció estándares nacionales para la protección de cierta información médica personal. El Departamento de Salud y Servicios Humanos se encarga de su cumplimiento. Las organizaciones que deben cumplir con la ley se denominan entidades cubiertas, que incluyen planes de salud, centros de intercambio de información sobre atención médica y cualquier proveedor de atención médica, así como los socios comerciales o trabajadores contratados que realizan funciones en nombre de la entidad cubierta.
¿Por qué es importante el cumplimiento de HIPAA?
Diversas organizaciones e industrias deben cumplir con la HIPAA. No se trata solo de las empresas de atención médica; cualquier corporación u organización que tenga acceso a la información médica de los pacientes debe cumplir con la HIPAA.
A medida que los tiempos cambian y el sector sanitario evoluciona, también lo hace la ley. Se han añadido varias adendas a la ley, incluyendo la Norma de Seguridad, que se aplica a la información electrónica de salud del paciente (e-PHI). Esta norma exige que las entidades sujetas y sus socios comerciales mantengan medidas de seguridad administrativas, técnicas y físicas razonables y adecuadas para proteger la e-PHI.
Plan de Cumplimiento
Oficial de Cumplimiento
Comité de Cumplimiento
Formación y educación
Monitoreo y Auditoría
Lograr el cumplimiento de la HIPAA
Para lograr el cumplimiento de la HIPAA , las entidades cubiertas y sus socios comerciales deben cumplir siete requisitos fundamentales. Las empresas deben: establecer un plan de cumplimiento integral por escrito que incluya políticas, procedimientos y normas de conducta; designar un responsable y un comité de cumplimiento; impartir formación y capacitación; establecer canales de comunicación eficaces en relación con el plan de cumplimiento; realizar supervisión y auditoría internas; garantizar el cumplimiento del plan mediante directrices disciplinarias bien establecidas; y responder con rapidez a las infracciones mediante la adopción de medidas correctivas.
Mantener el cumplimiento de la HIPAA
Con el aumento de contratistas trabajando para entidades reguladas, la constante evolución de las normas y regulaciones, y el panorama de amenazas de ciberseguridad en constante evolución, mantener el cumplimiento normativo es difícil y complejo. Sin embargo, el cumplimiento normativo es fundamental, ya que su incumplimiento puede conllevar multas cuantiosas, de hasta 1,5 millones de dólares al año.
Para mantener el cumplimiento normativo, las empresas deben asegurarse de cumplir con los siete principios fundamentales mencionados anteriormente. También deben estar preparadas para una auditoría de HIPAA en cualquier momento. Las empresas pueden hacerlo mediante la autopreparación y la documentación detallada. Otro factor importante para mantener el cumplimiento normativo es comprender el papel de la ciberseguridad.
Un programa eficaz de ciberseguridad le ayudará a cumplir con la HIPAA y otras normativas, ya que protege los datos contra filtraciones. Con la proliferación de historiales médicos electrónicos, una sola filtración de datos en un proveedor de atención médica podría causar miles de infracciones de la HIPAA si se filtra información del paciente. Para garantizar la protección de su empresa y los historiales médicos de sus pacientes, un buen plan de ciberseguridad debe incluir el uso de firewalls, protección para todos los dispositivos móviles, directrices estrictas para los empleados, software antivirus de alta calidad, un plan para gestionar filtraciones o errores de los empleados, acceso controlado a información confidencial, acceso limitado a la red y acceso restringido a los dispositivos.