¿Qué es el cumplimiento de HIPAA?

• La información de salud protegida (PHI, por sus siglas en inglés) es tu información médica, la mía o la de todos. PHI es el contenido que HIPAA trata de proteger y mantener privado. La regla de puerto seguro identifica qué tipo de datos debes eliminar para desclasificar la PHI.
• Las entidades cubiertas son personas en un campo de atención médica que usa y tiene acceso a la PHI. Son médicos, enfermeras y compañías de seguros.
• Los socios comerciales son personas y servicios que trabajan con una entidad cubierta en una capacidad no relacionada con el cuidado de la salud y también son responsables de mantener el cumplimiento de HIPAA como entidades cubiertas. Los abogados, contadores, administradores y personal de TI que trabajan en la industria de la salud y tienen acceso a la PHI son algunos ejemplos comunes de socios comerciales.

Cómo cumplir con HIPAA

• Desarrolla políticas: Lo primero que debes hacer es desarrollar e implementar estándares, políticas y procedimientos sólidos de seguridad cibernética. Todos tus sistemas y procedimientos administrativos deben cumplir con HIPAA y tu personal debe estar bien capacitado. Además, ten tu política bien documentada y difundida en toda la organización.
• Implementa salvaguardas: Mantener el cumplimiento de HIPAA se trata de tener fuertes salvaguardas de PHI, tanto física como digitalmente. Solo se debe permitir el acceso al personal autorizado a los espacios físicos de almacenamiento de PHI. También se deben implementar precauciones seguras de contraseña e inicio de sesión.
• Evaluaciones de riesgo: Cada entidad cubierta debe someterse a una evaluación de riesgo anual de HIPAA. Entonces, si aún no has comenzado este proceso para 2023, ahora es el momento. Las auditorías de riesgos deben cubrir todas las medidas de seguridad administrativas, físicas y técnicas implementadas por tu organización para lograr el cumplimiento de HIPAA.
• Investiga infracciones: En un mundo perfecto, toda tu organización cumplirá con HIPAA todos los días del año. Sin embargo, se producen fallas, ya sea que las detectes tú, un auditor o los reguladores. Si detectas una infracción, ten procesos implementados para realizar un análisis de la causa raíz y remediarlo para que el problema no persista.

Tres consejos de seguridad para el cumplimiento de HIPAA

• Medidas sólidas de inicio de sesión: Asegúrate que solo los usuarios autorizados tengan acceso a la PHI mediante la implementación de estándares sólidos para la complejidad de la identificación y la contraseña. Asegúrate que los usuarios cambien sus contraseñas predeterminadas de inmediato, así como de contar con sistemas que requieran que cambien las contraseñas con regularidad.
• Registro regular de actividades: Asegurarte que tu personal y sistemas de TI registren todo te ayudará a cumplir con HIPAA en el sentido que siempre estarás rastreando y documentando los eventos de PHI. Ten la tecnología adecuada de registro y monitoreo de datos para tener registros de dónde está la PHI, quién la ha visto y si se ha producido una infracción.
• Adopta un enfoque de varias capas: Los ID de usuario y los inicios de sesión son solo una capa de posibles infracciones de la HIPAA. También querrás examinar las medidas de seguridad tomadas en varias otras capas, incluidas la red, los sistemas, el software y los firewalls. No utilices simplemente las configuraciones predeterminadas, por ejemplo, que pueden ser más propensas a las infracciones.