Los datos relacionados con la salud se están moviendo cada vez más desde los registros en papel a los electrónicos, determinando los cambios en cómo las organizaciones de atención médica u otras industrias que procesan los registros de salud están administrando y protegiendo sus datos en la actualidad. Las empresas que participan de alguna manera con el uso o la gestión de la PHI (información personal de salud) de las personas deben asegurarse de proteger sus datos confidenciales contra pérdidas o fugas, siguiendo las pautas de seguridad, como HIPAA, para evitar penalizaciones.
Que es HIPAA
La Ley de Responsabilidad y Portabilidad de Seguros Médicos de 1996, HIPAA, brinda privacidad de datos y medidas de seguridad para proteger la información médica. La legislación está diseñada para proteger el ePHI (información médica protegida) de individuos, como números de seguridad social, números de identificación médica, números de tarjetas de crédito, números de licencia de conducir, domicilio, números de teléfono, registros médicos y otros datos críticos. En 2009, la legislación se actualizó con HITECH (Tecnología de Información de Salud para la Salud Clínica y Económica), que brinda estándares de cumplimiento adicionales a las empresas vinculadas a la atención médica.
¿Qué organizaciones se ven afectadas por HIPAA?
Las organizaciones afectadas por HIPAA son aquellas que crean, almacenan, procesan, transmiten o tocan información de salud protegida de individuos. Esta legislación no solo se aplica a las compañías de atención médica, sino también a las empresas que están asociadas con ellas, como firmas de abogados, empresas de TI, empresas de contabilidad, compañías de facturación, compañías de seguros de salud, sistemas de información de gestión de salud comunitaria, etc.
Lea nuestro Estudio de caso sobre un proveedor de atención médica que logró cumplir con las estrictas leyes de HIPAA para proteger los datos de los pacientes con Endpoint Protector DLP.
Los puntos clave de HIPAA
Las tres reglas de HIPAA: privacidad, seguridad y notificación de incumplimiento están destinadas a proteger la privacidad y seguridad de la información de salud y proporcionar a las personas ciertos derechos a sus registros de salud.
De acuerdo con cms.gov :
La regla de privacidad
Establece estándares nacionales para cuando la información de salud protegida (PHI en ingles) puede ser utilizada y divulgada. PHI incluye información relacionada con:
La condición o salud física o mental pasada, presente o futura del individuo
La provisión de asistencia sanitaria al individuo
El pago pasado, presente o futuro por la provisión de atención médica a la persona
PHI incluye muchos identificadores comunes, como nombre, dirección, fecha de nacimiento y número de seguro social.
La regla de seguridad
Especifica las salvaguardas que las entidades cubiertas y sus socios comerciales deben implementar para proteger la confidencialidad, integridad y disponibilidad de la información de salud protegida electrónica (ePHI). Las entidades cubiertas deben:
Garantizar la confidencialidad, integridad y disponibilidad de todos los ePHI que crean, reciben, mantienen o transmiten
Identificar y proteger contra amenazas razonablemente anticipadas a la seguridad o integridad del ePHI
Proteger contra usos o divulgaciones razonablemente anticipadas e inadmisibles
Asegurar el cumplimiento por parte de su fuerza de trabajo
La regla de notificación de incumplimiento
Requiere que las entidades cubiertas notifiquen a las personas afectadas, al Departamento de Salud y Servicios Humanos de los EE. UU. (HHS) y, en algunos casos, a los medios de comunicación sobre una violación de la PHI no segura. La mayoría de las notificaciones se deben proporcionar a más tardar 60 días después del descubrimiento de una infracción. Las notificaciones de infracciones más pequeñas que afectan a menos de 500 personas pueden enviarse al HHS anualmente.
Incumplimiento de datos y sanciones
Un estudio reciente muestra que 2016 fue el año con el mayor número de casos de violación de HIPAA desde el año 2009. La mayoría de las causas de las violaciones de datos fueron las malas políticas de seguridad o la falta de interés en los problemas de seguridad de datos. Los correos electrónicos de phishing, violación de datos de tarjetas de crédito, computadoras portátiles robadas, fuga de datos de pacientes, etc., son solo algunos ejemplos de las principales causas del año pasado de violaciones de datos en el cuidado de la salud. Las multas por incumplimiento de HIPAA pueden llegar desde $ 50K a $ 1.5 millones por año.
Cómo DLP ayuda a cumplir con el cumplimiento HIPAA
En la industria del cuidado de la salud, es absolutamente necesario garantizar que la información esté segura y solo se pueda acceder según la necesidad de saber. Los registros médicos y personales no deben salir de las instalaciones del proveedor de servicios médicos o de las empresas asociadas a menos que estén encriptados o transmitidos a canales seguros y autorizados. Las soluciones de Data Loss Prevention son una gran ayuda en esa dirección.
DLP permite a las organizaciones controlar y controlar el movimiento de datos. Puede escanear documentos antes de que se transfieran y bloquearlos en caso de que contengan información delicada, como números de seguro médico, números de seguridad social, direcciones, etc. Con una solución DLP, los administradores de TI pueden detectar e impedir que los usuarios envíen mensajes de correo electrónico. que podría contener PHI, detectar y evitar la copia de PHI en dispositivos de almacenamiento portátiles, obtener informes con incidentes detectados y muchas otras acciones.
A continuación, presentamos un desglose de las políticas realizadas por Endpoint Protector DLP con respecto a los datos confidenciales de atención médica:
Rastreo y bloqueo de transferencias de documentos que contienen medicamentos reconocidos por la FDA, firmas farmacéuticas, códigos ICD-10 e ICD-9 y léxico de diagnóstico
Monitoreo y bloqueo de transferencias de información que contiene información de identificación personal: correo electrónico, dirección, número de teléfono, número de seguro social (SSN), licencia de conducir, identificación fiscal, número de pasaporte y otros
Detectando y bloqueando información protegida por HIPAA en el cuerpo del correo electrónico (Outlook, Mozilla Thunderbird, IBM Lotus Notes) y datos adjuntos (Outlook, Mozilla Thunderbird, IBM Lotus, Windows Live Mail, Opera Mail y otros clientes de correo electrónico)
Escanear documentos y contenido para palabras clave de atención médica específicas agregadas por los administradores de TI en diccionarios y detener transferencias en caso de que se encuentren datos confidenciales
Utilizar políticas de solo informe para supervisar la actividad de los usuarios relacionada con las transferencias de datos y restringir las transferencias en función de la información descubierta
Creación de listas blancas basadas en el archivo, la ubicación del archivo, el recurso compartido de red, el dominio del correo electrónico y el nombre de URL para que los empleados puedan realizar sus tareas diarias sin interrupciones
Incluyendo en las políticas HIPAA otros canales de salida además del correo electrónico, tales como: navegadores web, uso compartido de archivos en la nube, mensajería instantánea, redes sociales, dispositivos de almacenamiento portátiles, recursos compartidos de red, copiar / pegar, impresoras o pantallas de impresión
Además de las soluciones de prevención de pérdida de datos, las organizaciones de la industria de la salud, pero no limitadas a esto, deben tener una protección en capas, utilizando múltiples herramientas de seguridad, desde software antivirus, cortafuegos, cifrado, gestión de dispositivos móviles y otros. Sobre todo, se deben realizar auditorías y evaluaciones periódicas de riesgos (preferiblemente con auditores externos), no solo para evaluar el nivel de cumplimiento, sino también la eficiencia de las soluciones de seguridad implementadas.