Información de identificación personal: Mejores prácticas de la HIPAA

author
9 minutes, 14 seconds Read

Para la mayoría de las organizaciones sanitarias, la protección de la privacidad del paciente es el aspecto más importante de la HIPAA, y el más difícil. La HIPAA utiliza el término Información Sanitaria Protegida (PHI) para referirse a los datos protegidos, pero el concepto es muy similar al término Información Personalmente Identificable (PII), que se utiliza en otros regímenes de cumplimiento. Entender cómo se solapan la IIP y la IPS puede ayudar a las organizaciones a unificar los esfuerzos de cumplimiento en todos los regímenes, reduciendo el riesgo, el coste y la complejidad de mantener los datos seguros.

IPS frente a IPS:

Como su nombre indica, la información de identificación personal es cualquier dato que pueda identificar a una persona. Cierta información como el nombre completo, la fecha de nacimiento, la dirección y los datos biométricos se consideran siempre IIP. Otros datos, como el nombre, la inicial del nombre y los apellidos o incluso la altura o el peso, sólo pueden considerarse IIP en determinadas circunstancias o cuando se combinan con otra información.

Por ejemplo, es poco probable que un registro que se refiera al «Sr. Smith en Nueva York» contenga suficiente información para revelar la identidad del sujeto. Sin embargo, si el paciente tuviera un nombre menos común y viviera en una ciudad pequeña, probablemente contaría como IIP, ya que sería fácil deducir quién era el sujeto.

Aunque no aborda explícitamente la información de identificación personal, la HIPAA regula situaciones como ésta bajo el término Información Sanitaria Protegida. La PHI incluye cualquier cosa utilizada en un contexto médico que pueda identificar a los pacientes, como:

  • Nombre
  • Dirección
  • Fecha de nacimiento
  • Número de tarjeta de crédito
  • Licencia de conducir
  • Historias clínicas

La PHI está sujeta a estrictos requisitos de confidencialidad y divulgación que no se aplican a la mayoría de las demás industrias de Estados Unidos. En otras palabras, la protección de la PHI es siempre un requisito legal, pero la protección de la PII sólo es obligatoria en algunos casos.

Desarrollo de un enfoque de cumplimiento unificado

Estados Unidos es inusual por no tener una única norma de privacidad y protección de datos o entidad gubernamental. En su lugar, las empresas estadounidenses se enfrentan a leyes específicas del sector, junto con normas de cumplimiento municipales, estatales e internacionales.

Aunque esto permite a muchas industrias utilizar los datos de los consumidores de forma más amplia, también crea graves riesgos de cumplimiento. Por ejemplo, dado que California tiene leyes más estrictas en materia de información personal que otros estados, una empresa que rastrea legalmente a los usuarios de Nevada cuando visitan su sitio web podría incumplir la normativa si un californiano entrara en él.

Aunque los requisitos en materia de información personal son estrictos, una lista de comprobación del cumplimiento de la HIPAA no abordará necesariamente la PCI, las leyes de protección de datos de la UE y otras normativas. En lugar de desarrollar programas individuales para cada régimen, las organizaciones deben aplicar las mejores prácticas de seguridad de la IPI en todos los ámbitos, y luego iterar para cumplir con las normas restantes, específicas del régimen.

Auditar la IPI: desarrollar una seguridad preparada para el cumplimiento

La buena seguridad comienza con la identificación de la IPI en toda la organización, ya sea en las bases de datos médicas, en el correo electrónico, en las copias de seguridad o en el entorno de TI de un socio. A continuación, es necesario clasificar la IIP en función del daño que podría causar una filtración, una medida conocida como nivel de impacto de la confidencialidad. El NIST recomienda tener en cuenta los siguientes factores:

  • Identificabilidad: ¿Es fácil identificar de forma exclusiva al individuo que utiliza la IIP?
  • Cantidad de IIP: ¿Cuántas identidades podrían verse comprometidas por una violación? La forma en que se organizan los datos es un factor. Por ejemplo, es probable que una clínica tenga más IIP en riesgo si comparte una base de datos con clínicas aliadas que si mantiene una base de datos separada.
  • Sensibilidad de los campos de datos: ¿Cuánto daño podrían causar los datos, si fueran violados? Un número de teléfono es menos sensible que una tarjeta de crédito o un número de la seguridad social, por ejemplo. Sin embargo, si una violación del número de teléfono podría comprometer también el nombre, el número de la seguridad social u otros datos personales, ese número de teléfono debería considerarse sensible.
  • Contexto de uso: ¿Afecta la forma en que se utiliza la información a su impacto? Por ejemplo, imagine que su hospital tiene un boletín informativo dirigido a pacientes, médicos, organizaciones y otros miembros de la comunidad. Una lista de suscriptores del boletín contendría la IIP de algunos pacientes, pero esa información sería menos sensible que la misma IIP en los registros médicos de los pacientes, ya que no indicaría necesariamente el estado del paciente.
  • Obligaciones de proteger la confidencialidad: ¿Qué información debe proteger según la HIPAA, la HITECH, la PCI y otros regímenes? Obviamente, esta es una consideración clave para las organizaciones sanitarias.
  • Acceso y ubicación de la IIP: La información de identificación personal que regula la HIPAA a menudo es almacenada, transportada y procesada por servicios de TI de terceros, a la que acceden fuera de las instalaciones profesionales médicos que no son empleados de la organización y que es procesada por una variedad de socios comerciales. Esto crea riesgos que no estarían presentes, por ejemplo, si la IIP estuviera encerrada en una cámara acorazada y sólo pudiera acceder a ella un médico.

Implementación de las mejores prácticas de seguridad de la IIP

Cualquier dato que almacene es potencialmente vulnerable. Recoger menos datos y purgar la IIP innecesaria de sus registros es la forma más fácil de reducir esa vulnerabilidad. También debe desidentificar los datos siempre que sea posible. Cuando se hace correctamente, medidas como la anonimización de los comentarios de los pacientes y la eliminación o tokenización de la IIP pueden sacar esos datos del ámbito de la HIPAA por completo.

El control del acceso es otra valiosa práctica de seguridad de la IIP. La información sensible sólo debe ser accesible para las personas que la necesitan para hacer su trabajo. Por ejemplo, el personal de recepción que no se encarga de la facturación no necesita acceder a los historiales médicos completos.

En cualquier régimen de cumplimiento, toda la información sensible debe estar cifrada por defecto. El correo electrónico que cumple con la HIPAA y el almacenamiento encriptado en la nube evitan que los hackers descifren la PII, incluso si la interceptan.

Las políticas explícitas y la formación periódica pueden ayudar a garantizar que sus trabajadores utilicen un correo electrónico y un almacenamiento seguros, pero conseguir que los pacientes utilicen el cifrado del correo electrónico es más complicado. Muchos se resisten a la incomodidad de los portales sanitarios, lo que hace que las tasas de adopción sean muy bajas. Virtru Pro permite a los pacientes utilizar sus propias cuentas de correo electrónico y cifrar los mensajes y los archivos adjuntos con un solo clic, eliminando los inconvenientes que impiden un uso significativo.

Más allá de la información de identificación personal – Asociados comerciales de la HIPAA

La HIPAA va más allá de las mejores prácticas de seguridad de la información de identificación personal en sus requisitos para las organizaciones asociadas. En virtud de la norma de privacidad de la HIPAA, los proveedores de atención sanitaria tienen una considerable responsabilidad legal por las infracciones causadas por los asociados comerciales.

Los servicios en la nube, los contratistas, los procesadores de reclamaciones médicas y la mayoría de las demás organizaciones que utilizan, almacenan o procesan la PHI cuentan como asociados comerciales. Debe firmar Acuerdos de Asociados Comerciales (BAA) con cada una de estas organizaciones, en los que se describa:

  • El uso apropiado de la PHI
  • Las salvaguardias para proteger las infracciones
  • Las medidas para remediar las infracciones y los incumplimientos
  • Los procedimientos de notificación de infracciones

Su organización debe evaluar cuidadosamente a los asociados comerciales para asegurarse de que realmente son capaces de cumplir su parte del trato. Las organizaciones deben contar con políticas y prácticas de seguridad de datos claramente documentadas antes de firmar un BAA, y deben someterse voluntariamente a auditorías periódicas para garantizar su cumplimiento.

Más allá de la información de identificación personal: avisos y notificaciones de la HIPAA

La HIPAA también tiene requisitos estrictos sobre cómo puede utilizarse y divulgarse la información sanitaria, y exige que se proporcione al paciente un aviso de prácticas de privacidad. El aviso de privacidad debe cubrir una serie de información, incluyendo:

  • Cómo la organización puede utilizar y divulgar la información del paciente
  • Los derechos del paciente
  • La obligación de la organización de proteger la información, y otros deberes legales
  • A quién debe dirigirse el paciente para obtener más información

La HIPAA también tiene normas específicas para la notificación de violaciones. Según las mejores prácticas de cumplimiento de la HIPAA, las organizaciones deben notificar a cualquier persona cuyos datos se hayan visto comprometidos dentro de los 60 días siguientes a la violación. Asegurarse de que sus socios utilizan el cifrado es crucial. Los datos encriptados están exentos de la notificación de violaciones, a menos que la clave esté expuesta también. En muchos casos, esto puede marcar la diferencia entre una notificación de infracción cercana y una costosa.

Seguir las mejores prácticas de seguridad de la información personal ayuda a las organizaciones a pecar de precavidas. La HIPAA no es un conjunto de normas arcanas y arbitrarias para complicarle la vida, sino un marco útil para garantizar un alto nivel de atención y confidencialidad para sus pacientes. Un enfoque de mejores prácticas en materia de PII simplifica el cumplimiento convirtiéndolo en un único conjunto de normas que puede utilizarse en toda la organización. Esto facilita la seguridad de los pacientes y garantiza que la información confidencial no se pierda.

Conozca cómo Virtru protege el cumplimiento de la HIPAA en la nube o póngase en contacto con nosotros para programar una demostración.

Similar Posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada.