Pasar al contenido principal

HIPAA

¿A quién va dirigido?

La HIPAA es una Ley federal de los Estados Unidos de América desarrollada para los sectores sanitario y asegurador, de manera que sólo es aplicable a una organización que pertenezca a alguno de dichos sectores y opere en el citado país.

¿Qué es?

HIPAA es el acrónimo de Health Insurance Portability and Accountability Act, una Ley federal de 1996 de los Estados Unidos de América. Esta Ley se creó para modernizar el flujo de información en relación a la asistencia sanitaria en Estados Unidos, estipular cómo deben protegerse contra el fraude y el robo los datos personales que tratan los sectores de la asistencia sanitaria y los seguros médicos, y abordar las limitaciones de la cobertura de los seguros médicos en EEUU.

Desde el punto de vista de la seguridad, esta Ley requiere que todas las empresas que traten datos sanitarios cumplan las garantías administrativas, técnicas y físicas necesarias para proteger la privacidad y la seguridad de los datos de los clientes.

Esta Ley ha sido posteriormente modificada y complementada por legislación adicional, y actualmente su núcleo en términos técnicos lo componen 5 conjuntos de requisitos o Reglas, de las que 3 de ellas son relevantes desde el punto de vista de la seguridad:

  • HIPAA Privacy Rule
  • HIPAA Security Rule
  • Breach Notification Rule
  • Omnibus Rule
  • Enforcement Rule

En relación con la privacidad, la Regla establece los derechos de los afectados respecto al tratamiento de datos personales médicos que llevan a cabo las aseguradoras médicas de EEUU, y regula el uso que pueden realizar el personal médico respecto de ellos, bajo unos planteamientos que, en esencia, se pueden considerar parecidos, aunque no iguales a los que establece el RGPD en Europa, salvo que en este caso a un nivel mucho más específico.

En relación con la seguridad, la Regla determina la obligación de las aseguradoras médicas de garantizar la seguridad de la información que tratan, estableciendo medidas de seguridad de carácter técnico, físico y administrativo para lograr dicho objetivo.

En relación con la notificación de brechas, la Regla establece la obligatoriedad de notificar los incidentes de seguridad sufridos, los plazos asociados y los mecanismos que se deben utilizar para llevar a cabo dicha notificación.

Objetivos

Los objetivos de la Ley HIPAA se pueden resumir en los siguientes puntos:

  • Garantizar la portabilidad de los seguros médicos, eliminando el bloqueo del empleo debido a condiciones médicas preexistentes.
  • Reducir el fraude y los abusos en la atención sanitaria.
  • Hacer cumplir las normas relativas a la información sanitaria.
  • Garantizar la seguridad y privacidad de la información sanitaria.

Beneficios

La aplicación de las exigencias de la Ley HIPAA va a permitir que cualquier organización pueda disfrutar de los beneficios que ofrece:

  • Protección contra la pérdida de datos personales sanitarios: La pérdida de información sanitaria privada es una infracción grave, que pone en riesgo a los pacientes y sus datos sensibles, y la aplicación de la Ley HIPAA actúa como protección para la organización y sus empleados contra demandas asociadas al uso de datos personales sanitarios.
  • Mayor conciencia del bienestar del paciente: Proteger la información y los datos sensibles afecta al bienestar del paciente. El cumplimiento de la Ley HIPAA exige que los miembros del personal reciban formación sobre cómo manejar adecuadamente la información de los pacientes, y por tanto les permite servirles mejor y tener una mayor conciencia de cada interacción que mantienen con un paciente y sus repercusiones.
  • Desarrollo de la cultura de seguridad del paciente: Cuando las organizaciones sanitarias, tanto privadas como públicas, se adhieren a los programas de la HIPAA y los aplican, son capaces de desarrollar una cultura mucho más sólida centrada en el paciente, mostrando al personal del centro lo importante que es proteger los datos personales sanitarios del paciente, reduciendo el margen de error y garantizando que sus registros personales y médicos se mantienen privados y protegidos en todo momento.
  • Un mayor grado de satisfacción de las familias y los pacientes: Una de las formas más rápidas de perder la confianza de los pacientes o de fomentar la animadversión hacia la organización, y por tanto reducir su satisfacción, es sufrir una brecha de seguridad relacionada con los datos personales sanitarios. Además, una queja de un paciente o un familiar desencadenará una auditoría de cumplimiento de la Ley HIPAA por parte de las autoridades, lo que redundará en una satisfacción decreciente. Por el contrario, un adecuado cumplimiento de las exigencias de la Ley HIPAA contribuirán a que estas situaciones no se lleguen a dar.
  • Una reducción de la responsabilidad para su organización y sus directivos: No sólo los pacientes están más protegidos con la HIPAA, la organización y los directivos de la organización también reciben un mayor nivel de protección al cumplir con las exigencias de la Ley HIPAA, así como una menor responsabilidad en caso de brechas de seguridad si puede demostrar que su organización se adhiere a los requisitos de cumplimiento de la Ley HIPAA.

Factores a tener en cuenta para el cumplimiento de la Ley HIPAA

  • El sector y país de actividad de la organización
  • El tamaño de la organización
  • Las medidas de seguridad existentes
  • Las medidas de privacidad existentes
  • Otros aspectos organizativos.

Fases del proceso de adecuación a la Ley HIPAA

Fase 1. Lanzar el proyecto

La adecuación a la Ley HIPAA debe contar con la implicación de la alta dirección de la organización, tanto por el hecho en sí de aplicar una regulación trans-nacional como por las implicaciones que puedan tener los cambios operativos necesarios para cumplir con la citada exigencia.

Fase 2. Delimitar el alcance

La organización debe identificar y registrar los datos personales de salud que trata, los sistemas de información utilizados para dichos tratamientos y las personas asociadas a cada uno de dichos tratamientos, con el fin de delimitar el ámbito al que se debe circunscribir la aplicación de HIPAA.

Fase 3. Análisis de riesgos

Posteriormente se llevará a cabo un análisis de los riesgos de seguridad y privacidad asociados a cada uno de los tratamientos de datos personales. Se determinarán los riesgos asociados a los diferentes datos personales de salud tratados, considerando el impacto asociado a la destrucción, pérdida o alteración accidental o ilícita de dichos datos personales.

Fase 4. Establecimiento de medidas de seguridad

Como consecuencia de dicho análisis se establecerán, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, las medidas técnicas, físicas y administrativas necesarias para garantizar un nivel de seguridad y protección adecuado al riesgo.

Fase 5. Establecimiento de medidas de privacidad

Del mismo modo, se establecerán, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas operativas apropiadas para garantizar el adecuado cumplimiento de las obligaciones de la organización en relación con la observancia de los derechos de los interesados y a la protección de sus datos personales de salud.

Fase 6. Formación y concienciación

De manera complementaria se procederá a desarrollar un plan de formación y concienciación que permita que todo el personal afectado por la Ley HIPAA sea consciente de sus implicaciones y conozca las medidas de seguridad y privacidad desplegadas para garantizar su observancia, así como de la importancia de respetar la privacidad de los datos personales de salud de los pacientes y de garantizar la seguridad de su información.

Fase 7. Operación y mantenimiento

La organización deberá llevar a cabo los tratamientos de datos personales de salud de acuerdo con las medidas de privacidad y seguridad establecidas, operándolas y manteniéndolas de manera que los tratamientos de datos personales se mantengan siempre dentro de los parámetros previstos y no se produzcan violaciones de la seguridad de los datos de carácter personal, que, en caso de producirse, deberán ser gestionadas de acuerdo a lo establecido por la propia HIPAA.

¿Dónde recibir asesoramiento o contratar servicios de adecuación a la Ley HIPAA?

Desde el BCSC, se pone a disposición tanto de los organismos públicos como de las empresas privadas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios, con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.

El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.

BCSC Libro Blanco

Referencias

https://www.hipaaguide.net/

https://www.cancer.org/es/tratamiento/como-buscar-y-pagar-por-el-tratamiento/comprension-del-seguro-medico/leyes-de-los-seguros-medicos/que-es-hipaa.html

HIPAA en Wikipedia: https://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act

Compartir

Compartir en Linkedin