¿Qué es la ley HIPAA?
Definición de la ley HIPAA
Establecida en 1996, la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) tiene como objetivo proteger la privacidad y seguridad de la información médica confidencial.
Más que en cualquier otro sector, el cumplimiento es vital para las organizaciones sanitarias. La recopilación y el procesamiento de información médica protegida (PHI), incluidos los datos personales y médicos, son necesarios para proporcionar a los pacientes opciones de atención médica optimizadas. Sin embargo, las consecuencias de una filtración de PHI pueden ser devastadoras. No solo puede provocar daños a la reputación, pérdida financiera y responsabilidad legal, sino que las filtraciones han provocado daños a los pacientes.
Norma de seguridad de cumplimiento de HIPPA
La Norma de seguridad de la HIPAA protege un subconjunto de información cubierta por la Norma de privacidad de la HIPAA. Básicamente, se centra en lo que las organizaciones deben hacer para proteger la información médica protegida electrónica (e-PHI).
La norma de seguridad no dicta qué medidas de seguridad se utilizan, si son efectivas. Sin embargo, requieren tres estándares de implementación, también conocidos como salvaguardas:
- Administrativo: Se requiere un análisis de riesgos para determinar qué medidas de seguridad son necesarias para su organización. Este debería ser un proceso continuo.
- Físico: Esto se refiere a la seguridad de las oficinas en las que se puede almacenar e-PHI. Las medidas de seguridad deben incluir medidas de control y acceso a las instalaciones y seguridad de estaciones de trabajo y dispositivos.
- Técnico: Las medidas, como los firewalls, el cifrado y la copia de seguridad de datos, se utilizan para mantener la e-PHI segura y las salvaguardas deben consistir en controles de acceso, controles de auditoría, controles de integridad y seguridad de transmisión.
Violaciones recientes de datos sanitarios
Según un informe de amenazas cibernéticas de SonicWall de 2022, la atención sanitaria continuó con un gran pico de malware en 2021, con un 121 %. Mientras que el mayor salto en los ataques de malware de IoT perteneció a la atención sanitaria, que experimentó un aumento interanual del 71 %.
Para arrojar luz sobre la importancia que puede tener el malware, es importante observar algunas filtraciones en los últimos años que podrían haberse eludido cumpliendo las normas y salvaguardas de la HIPAA.
Rehoboth McKinley Christian Health Care Services (RMCHCS)
En mayo de 2021, se notificó a más de 205 000 pacientes de RMCHCS sobre intentos de extorsión de datos que obligaron al hospital a perder tiempo en la historia clínica electrónica (HER). RMCHCS fue víctima de un ataque lanzado por Conti, un grupo de hackeo de ransomware que se dirigió activamente al sector sanitario a lo largo de 2020.
Más tarde se determinó que los agentes de Conti extrajeron datos, incluidos números de la seguridad social, pasaportes e información médica protegida (PHI) de los pacientes, del sistema durante aproximadamente dos semanas desde el 21 de enero hasta el 5 de febrero. RMCHCS informó de que habían notificado a las fuerzas del orden inmediatamente, pero no comenzaron a enviar avisos hasta finales de abril, lo que es motivo de preocupación.
Dado que se trataba de un ataque de ransomware, existe una clara falta de garantías técnicas y evaluaciones de riesgos periódicas. Aunque RMCHCS notificó a los pacientes la filtración, la falta de puntualidad compromete aún más la seguridad personal y la integridad de la e-PHI. Los pacientes deben haber sido notificados de forma oportuna para que puedan cerrar o modificar sus gráficos, actualizar el portal en línea o la información bancaria, o solicitar un nuevo pasaporte.
Un punto de contacto
Este proveedor de correo e impresión de Hartland, Wisconsin, fue víctima de un ataque de ransomware el 28 de abril de 2022. Más de 2,6 millones de personas en al menos 34 organizaciones se vieron afectadas por la filtración.
Se descubrió que los servidores de OneTouchPoint se vieron comprometidos solo un día antes, dejando en riesgo los datos confidenciales. Más de seis semanas después, OneTouchPoint reveló que los archivos contenían datos de clientes junto con información confidencial de empleados actuales y antiguos. Esto incluía nombres y direcciones de clientes y empleados, suscriptores e ID de miembros del sector sanitario, así como diagnósticos y medicamentos de clientes. Esto ha llevado a muchos de los clientes de OneTouchPoint a ofrecer servicios de supervisión de crédito y protección contra robo de identidad a sus miembros a su propio coste.
Se ha presentado al menos una demanda colectiva contra OneTouchPoint por la filtración de datos.
Cómo cumplir con la HIPAA
Como parte de un mayor esfuerzo por ayudar al cumplimiento de la HIPAA dentro del espacio de ciberseguridad, el OCR alineó la HIPAA con el Marco de Tecnología y Estándares del Instituto Nacional (NIST). Como uno de los estándares más grandes de la industria que se reconoce, si ya cumple con NIST, posteriormente es más fácil cumplir con HIPAA.
Para garantizar que se mantienen altos estándares y concienciación, muchas empresas proporcionan formación y credenciales de cumplimiento de HIPAA. Hay muchas consultorías que proporcionan formación, incluido el OCR, que ofrece diferentes módulos de formación para adaptarse a la amplia gama de entidades que deben cumplir con la HIPAA.
Cumplimiento de HIPPA: prácticas recomendadas
Las siguientes prácticas recomendadas pueden ayudarle a lograr el cumplimiento:
Comprender las reglas de la HIPAA
La norma de privacidad de la HIPAA establece cómo se puede utilizar y divulgar la PHI en el sector sanitario. Una descripción general de la regla le proporciona información sobre los derechos de los pacientes, incluido el derecho a acceder a su historia clínica y a solicitar correcciones.
La Norma de seguridad de la HIPAA le proporciona las protecciones técnicas, físicas y administrativas necesarias para proteger la PHI del cliente.
La Norma de notificación de filtraciones de la HIPAA requiere que se notifique a los pacientes, los medios de comunicación y el Departamento de Salud y Servicios Humanos (HHS) de EE. UU. si se produce una filtración de datos.
Realizar una evaluación de riesgos
Esto implica identificar toda la PHI que su organización recopila, procesa y almacena. Su evaluación de riesgos también debe identificar las vulnerabilidades de su organización que podrían poner en riesgo la PHI. Esto incluye ciberamenazas internas o externas conocidas, robo o pérdida de dispositivos físicos y la probabilidad de su organización de un ataque basado en su Índice de ciberriesgo.
Implementar políticas y procedimientos
Basándose en los resultados de su evaluación de riesgos, desarrolle e implemente políticas y procedimientos que aborden cada riesgo identificado. Esto incluye áreas como control de acceso, copia de seguridad y recuperación de datos, respuesta ante incidentes y formación de concienciación sobre seguridad para empleados. Revise y actualice estas políticas y procedimientos regularmente para asegurarse de que siguen siendo relevantes.
Capacitar a los empleados
Asegúrese de que sus empleados estén actualizados sobre las políticas y procedimientos de su organización. Todos los empleados que manejan la PHI deben ser conscientes de cómo proteger la PHI y reconocer las consecuencias del incumplimiento. Es necesaria una formación periódica de concienciación sobre seguridad para garantizar que los empleados se mantengan al día con las últimas amenazas y estén familiarizados con las prácticas recomendadas para proteger la PHI.
Supervisión y auditoría
Revise con frecuencia las medidas de seguridad de su organización, someta a pruebas de penetración y realice evaluaciones de vulnerabilidad. Esto les mantendrá a usted y a sus equipos al día sobre los riesgos o amenazas emergentes para la PHI y cómo gestionar adecuadamente una filtración. La auditoría periódica es clave para mantener el cumplimiento y la preparación.