La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) establece un conjunto de estándares para proteger los datos confidenciales de los pacientes. Las empresas que manejan Información Médica Protegida (PHI) deben implementar medidas de seguridad administrativas, físicas y técnicas para cumplir con la HIPAA.
¿Qué es la PHI?
PHI significa Información de Salud Pública.
La Regla de Privacidad de HIPAA brinda protección federal a la PHI en poder de las entidades reguladas. La Regla de Privacidad también permite la divulgación de la PHI necesaria para la atención al paciente y otros fines importantes.
Entidades cubiertas
Las entidades cubiertas son cualquier persona que brinde tratamiento, acepte pagos o trabaje en el sector sanitario, así como sus socios comerciales. Esto incluye a cualquier persona que tenga información de pacientes y brinde apoyo en el tratamiento, los pagos o las operaciones. Todas las entidades cubiertas deben cumplir con la HIPAA. Los subcontratistas y otros socios comerciales también deben cumplir con la HIPAA.
Para determinar si está cubierto, siga este vídeo .
Reglas Generales
Las Reglas Generales de Seguridad requieren que las entidades cubiertas mantengan salvaguardas administrativas, técnicas y físicas razonables y apropiadas para proteger la PHI.
- Garantizar la confidencialidad, integridad y disponibilidad de toda la información PHI cubierta que las entidades crean, reciben, mantienen o transmiten.
- Identificar y proteger contra amenazas razonablemente anticipadas a la seguridad o integridad de la información.
- Proteger contra usos o divulgaciones no permitidos y razonablemente anticipados.
- Garantizar el cumplimiento por parte del personal de las entidades cubiertas.
Salvaguardias físicas
- Acceso y control de instalaciones
Una entidad cubierta debe limitar el acceso físico a sus instalaciones y garantizar que se permita el acceso autorizado. - Seguridad de estaciones de trabajo y dispositivos
Una entidad sujeta a la ley debe implementar políticas y procedimientos que especifiquen el uso y acceso adecuados a las estaciones de trabajo y los medios electrónicos. Asimismo, debe contar con políticas y procedimientos para la transferencia, eliminación, disposición y reutilización de medios electrónicos, a fin de garantizar la protección adecuada de la PHI.
Garantías administrativas
- Proceso de gestión de seguridad
Una entidad cubierta debe identificar y analizar los riesgos potenciales a la PHI, y debe implementar medidas de seguridad que reduzcan los riesgos y las vulnerabilidades a un nivel razonable y apropiado.
- Personal de seguridad
Una entidad cubierta debe designar un funcionario de seguridad que sea responsable de desarrollar e implementar sus políticas y procedimientos de seguridad.
- Gestión del acceso a la información
Una entidad cubierta debe implementar políticas y procedimientos para autorizar el acceso a PHI solo cuando dicho acceso sea apropiado en función del rol del usuario o destinatario.
- Capacitación y gestión de la fuerza laboral
Una entidad cubierta debe proporcionar la autorización y supervisión adecuadas de los miembros del personal que trabajan con PHI. - Evaluación
Una entidad cubierta debe realizar una evaluación periódica de qué tan bien sus políticas y procedimientos de seguridad cumplen con los requisitos de la Norma de Seguridad.
Salvaguardias técnicos
- Control de Acceso
Una entidad cubierta debe implementar políticas y procedimientos técnicos que permitan que sólo las personas autorizadas accedan a la información médica electrónica protegida (e-PHI).
- Controles de auditoría
Una entidad cubierta debe implementar hardware, software y/o mecanismos de procedimiento para registrar y examinar el acceso y otras actividades en los sistemas de información que contienen o utilizan e-PHI.
- Controles de integridad
Una entidad sujeta a la ley debe implementar políticas y procedimientos para garantizar que la información médica protegida electrónica (e-PHI) no se altere ni destruya indebidamente. Se deben implementar medidas electrónicas para confirmar que la e-PHI no se ha alterado ni destruido indebidamente. - Controles de transmisión
Una entidad cubierta debe implementar medidas de seguridad técnicas que protejan contra el acceso no autorizado a la información médica electrónica (e-PHI) que se transmite a través de una red electrónica.