Garantizar que su tecnología médica cumple con la HIPAA: Lo que hay que saber

La escritora técnica independiente Kayla Matthews habla de cómo asegurarse de que su producto de tecnología médica es Cumplimiento de la HIPAAt. 

Prestar una ayuda competente y de calidad a los necesitados es la máxima prioridad del atención de la salud sector. These days, data security and integrity comes in at a very close second.  Mantener la seguridad de la información sanitaria protegida de los pacientes (PHI) es la razón de ser de la HIPAA (Ley de Portabilidad y Responsabilidad de la Información Sanitaria), y la razón por la que ha sido objeto de varias actualizaciones desde que la tecnología y las expectativas de seguridad han madurado más.

Uno de estos cambios, conocido como la Ley HITECH de 2009, reforzó la HIPAA eliminando las lagunas explotables para las organizaciones de atención sanitaria y crear incentivos para que la comunidad sanitaria haga la transición a las historias clínicas electrónicas (HCE). La atención sanitaria moderna -incluidos los registros históricos y recientes de los pacientes- debe ser móvil, segura y capaz de seguir a los pacientes entre médicos y centros.

Trabajar en el sector sanitario significa practicar la diligencia debida y establecer una cultura que respete la HIPAA y la soberanía e importancia de los datos precisos de los pacientes. Las expectativas se han vuelto más estrictas a lo largo de los años, ya que la comunidad médica ha encontrado nuevas formas de recopilar y poner en práctica los datos de los pacientes.

Descubra lo que se necesita para que la tecnología médica -medtech- cumpla con el conjunto de requisitos de la HIPAA, en constante evolución.

¿Por qué es esencial el cumplimiento de la HIPAA en el sector de la tecnología médica?

El cumplimiento de la HIPAA no es opcional para los proveedores de servicios médicos, conocidos como Entidades Cubiertas. A medida que los datos sanitarios han adquirido un papel central en los entornos asistenciales de todo tipo, las entidades han tenido que reevaluar las técnicas que utilizan para capturar, almacenar, transmitir y comunicar los registros de los pacientes.

Financial concerns are the first and probably most significant worry for salud providers. In 2018, Fresenius Medical Care North America was ha recibido una multa de $3,5 millones por la Oficina de Derechos Civiles y el Departamento de Salud y Servicios Humanos. FMCNA aceptó las condiciones, incluida la exigencia de elaborar un plan de acción de alcance total para corregir las múltiples violaciones de la HIPAA.

Las pérdidas financieras son una parte importante del motivo por el que las organizaciones sanitarias deben garantizar el cumplimiento estricto de los requisitos de la HIPAA. La reputación comprometida es otra. 

FMCNA proporciona productos y servicios a 170.000 pacientes y emplea a más de 60.000 personas en múltiples ubicaciones y tipos de instalaciones. Una multa como esta conduce casi invariablemente a la pérdida de confianza y de negocio.

Ahora que sabemos por qué es esencial para las entidades sanitarias, ¿por qué la tecnología médica y la HIPAA son vitales para los pacientes?

Para empezar, la información sanitaria protegida es algunos de los datos más valiosos en el mercado negro, más que los datos financieros, incluidos los números de tarjetas de crédito. Las violaciones de la PHI pueden tardar más en detectarse que la pérdida de datos financieros, pero no son menos útiles para los ciberdelincuentes.

Con la PHI, los piratas informáticos pueden pedir dispositivos médicos y recetas con el nombre de otra persona, cometer fraudes a las aseguradoras y llevar a cabo cualquier otra serie de delitos que pueden hacer retroceder considerablemente a los pacientes y a los centros asistenciales.

Considere algunos de los requisitos específicos que deben cumplir las organizaciones sanitarias cuando adoptan tecnologías médicas y buscan nuevas formas de mejorar los resultados de los pacientes.

1. Las copias de seguridad de los datos deben ser completas y encriptadas

De acuerdo con la HIPAA, las organizaciones sanitarias deben ser coherentes en cuanto a la forma, la frecuencia y la duración de las copias de seguridad de los datos de los pacientes. Estos requisitos se dividen en dos categorías: el plan de copia de seguridad de datos de la organización sanitaria y el periodo de retención requerido.

La HIPAA exige a las organizaciones sanitarias que mantengan copias de seguridad completas, recuperables y cifradas de todos los historiales médicos electrónicos de los pacientes. Los detalles adicionales incluyen: 

• Codificación: Los datos en reposo deben estar encriptados con un cifrado AES de 256 bits.
• Redundancia: Al menos dos o tres lugares de almacenamiento separados.
• Datos en tránsito: Los datos transferidos a través de redes públicas deben estar encriptados con AES de 256 bits.
• Monitorización: Las organizaciones deben supervisar las copias de seguridad de los datos y los planes de copia de seguridad para detectar errores y fallos en las copias de seguridad.

Además, los depósitos físicos de datos -como las salas de servidores- deben contar con sólidos controles de acceso para garantizar que sólo pueda entrar el personal cualificado y autorizado.

En cuanto a los periodos de conservación, las cosas se complican un poco. Los estados tienen sus propias leyes sobre el tiempo que los proveedores deben conservar los registros médicos. En Florida, son cinco años después del último contacto con el paciente. Sin embargo, la HIPAA exige que las organizaciones de atención médica conserven la documentación relacionada con la HIPAA durante seis años, incluyendo:

• Autorizaciones de divulgación de la PHI
• Registros de actualización y registro de PHI
• Expedientes de análisis y evaluación de riesgos
• Documentación relativa a las notificaciones de infracción
• Revisiones de seguridad y cambios o auditorías del sistema 
• Avisos sobre las prácticas de privacidad de la organización

Los proveedores de servicios sanitarios gestionados por Medicare y Medicaid tienen otros requisitos, como conservar los informes de costes durante cinco y diez años, respectivamente.

2. Los canales de comunicación deben estar asegurados

Mantener la atención médica conformidad bajo la HIPAA se extiende también a los métodos de comunicación utilizados por las Entidades Cubiertas. Los canales de comunicación modernos, como el teléfono, el correo electrónico, el fax y los mensajes de texto, son todos un poco diferentes cuando se trata de cumplir con la HIPAA médica.

La HIPAA no prohíbe el uso de mensajes de texto para transmitir la PHI. Si la entidad cubierta ha informado al paciente de los riesgos, y éste ha dado su consentimiento, los proveedores de atención sanitaria pueden enviar mensajes de texto con la PHI a esa persona y a ninguna otra. La HIPAA exige controles de auditoría para la creación y transmisión de la PHI, pero esto es difícil dado el número de herramientas de comunicación y sistemas operativos en uso.

En la mayoría de las situaciones, es mejor utilizar otros métodos. Sea cual sea la herramienta de comunicación utilizada, las Entidades Cubiertas deben tener en cuenta lo siguiente:

• Fuertes controles de acceso para los dispositivos que envían y reciben textos
• Encriptación de extremo a extremo: una preocupación abordable en el marco de la HIPAA
• Prevención de pérdidas para dispositivos fácilmente extraviados o robados

El envío de faxes forma parte de la comunidad médica desde hace mucho tiempo. De hecho, algo así como 75% de toda la comunicación en el sector sanitario de Estados Unidos se produce a través del fax. Los sistemas de fax electrónicos basados en la nube proporcionan el ecosistema estructurado, seguro y cifrado necesario para intercambiar este tipo de información de forma segura entre las partes.

A diferencia de los sistemas de fax tradicionales, en los que todos los registros permanecen en las instalaciones y corren el riesgo de ser robados, los faxes electrónicos proporcionar seguridad de acceso y auditabilidad para las entidades cubiertas. Los sistemas de e-fax almacenan toda la información de las comunicaciones -incluidos los propios mensajes, además de todos los datos históricos que los acompañan- fuera de las instalaciones del proveedor en una ubicación secundaria segura.

Las Entidades Cubiertas deben tener en cuenta varias protecciones esenciales a la hora de comunicar los registros, entre ellas

• Contraseñas fuertes o autenticación biométrica 
• Cifrado estándar del sector en el dispositivo
• Planes exhaustivos para eliminar la PHI de los dispositivos antes de retirarlos
• Protección física y digital para las redes Wi-Fi y la infraestructura informática
• Actualizaciones de firmware y software para todos los tipos de dispositivos tan pronto como estén disponibles

3. Las entidades sanitarias deben realizar análisis de riesgo exhaustivos

El hecho de no realizar un análisis de riesgos en toda la organización es una de las principales razones por las que las organizaciones sanitarias son multadas por violar la HIPAA. Las entidades cubiertas deben realizar análisis de riesgos regularmente, incluso cada vez que su infraestructura digital cambie. Cancer Care Group, Lahey Hospital & Medical Center, Cardionet y Oregon Health & Science University han tenido que pagar multas. entre $750.000 y $2,7 millones por descuidos de esta naturaleza.

El methodology and results of the risk analysis will look a little different to varying organizations, but the mission and the reasons are always the same:

• Definir cómo fluye la PHI en toda la organización: ¿Cómo entra la PHI en el sistema? ¿Dónde se almacena? ¿Cómo sale? ¿Existen lugares potenciales para las fugas?
• Contabilizar todo el ciclo de vida de la IPS: ¿Qué terceros entran en contacto con la PHI? ¿Otros socios comerciales? ¿Empresas de reciclaje o trituración? ¿Servicios de reparación o gestión de ordenadores?
• Conozca sus vulnerabilidades específicas: No hay dos organizaciones sanitarias exactamente iguales. Los puntos débiles pueden ser la negligencia interna, la formación incompleta de los empleados para evitar el phishing, las contraseñas de baja calidad, las amenazas físicas a las ubicaciones de almacenamiento de datos, como los cortes de energía y las condiciones meteorológicas extremas, los ciberataques deliberados, etc.
• Priorizar las amenazas por probabilidad e impacto: Todas las vulnerabilidades de la organización deben recibir un nivel de amenaza bajo, medio o alto para garantizar que los equipos asignan los fondos de forma adecuada, y la empresa puede profundizar en la formación, la contratación o los fallos de procedimiento que provocan la pérdida de datos.

Para conocer con más detalle los requisitos de análisis de riesgos de la HIPAA, el gobierno tiene una hoja de trabajo disponible para las organizaciones sanitarias que quieran asegurarse de que no se han dejado nada en el tintero. La hoja de trabajo se revisa regularmente a medida que el sector y las tecnologías cambian.

Proveedores de servicios médicos conformes para un futuro más saludable

Good public health should be a priority for any civilized society. These days, however, health goes hand-in-hand with cybersecurity. The three areas above are the most frequently cited in terms of organizational non-compliance. To fix this problem, organizations must ensure they promote ongoing learning and attention to details.

La HIPAA y sus cambios a lo largo de los años nos recuerdan lo valiosos que pueden ser los datos sanitarios, tanto para los pacientes como para los posibles ladrones de datos.

Necesito ayuda con Cumplimiento de la HIPAA o desarrollar un producto de tecnología médica? Consulte a los expertos autónomos sobre Kolabtree. Es gratis publicar su proyecto y obtener presupuestos.