HIPAA requiere que las organizaciones de atención médica de todos los tamaños protejan la información médica protegida (PHI), pero ¿cómo pueden las entidades cubiertas proteger la información del paciente? Si se le pregunta cómo asegura la información del paciente, ¿podría proporcionar una respuesta?
¿Cómo Puede Proteger La Información Del Paciente?
HIPAA requiere que las organizaciones de atención médica y sus socios comerciales implementen medidas de seguridad para garantizar la confidencialidad, integridad y disponibilidad de la información médica protegida, aunque en las regulaciones de HIPAA se proporcionan pocos detalles sobre cómo proteger la información del paciente.
Esto es intencional, ya que el ritmo al que avanza la tecnología es mucho mayor que la velocidad a la que se puede actualizar HIPAA. Si se incluyeran detalles, pronto quedarían obsoletos.
La tecnología cambia constantemente y se descubren nuevas vulnerabilidades en sistemas y software que antes se consideraban seguros. Por lo tanto, proteger la información de los pacientes no se trata de implementar soluciones de seguridad y olvidarse de ellas. Para proteger verdaderamente la información del paciente, debe revisar regularmente sus controles de seguridad, actualizar las políticas y procedimientos, mantener el software y las soluciones de seguridad, y actualizarlas cuando se desarrollen soluciones nuevas y mejores.
No existe una solución de seguridad única que se pueda utilizar para proteger la información del paciente. Para mantener segura la información del paciente, debe implementar defensas en capas, una gama de mecanismos de protección que ralentizan cualquier ataque potencial y dificultan mucho el acceso a los datos. Esto a menudo se conoce como defensa en profundidad.
Las medidas de seguridad típicas que se pueden implementar como parte de una estrategia de seguridad por capas incluyen:
- Un firewall para evitar que personas no autorizadas accedan a su red y datos
- Un filtro de spam para bloquear correos electrónicos maliciosos y malware
- Una solución antivirus para bloquear y detectar malware en su sistema
- Un filtro web para evitar que los empleados accedan a sitios web maliciosos
- Controles de acceso y privacidad para evitar el acceso incorrecto desde dentro de la organización
- Cifrado de datos en todos los dispositivos portátiles
- Cifrado para proteger los datos en tránsito: correo electrónico cifrado, por ejemplo
- A seguro (compatible con HIPAA) plataforma de mensajería que encripta todas las comunicaciones
- Un sistema de detección de intrusos que monitoriza los cambios de archivos y la actividad irregular de la red
- Soluciones de auditoría que monitorizan el acceso incorrecto a la información del paciente
- Controles de recuperación ante desastres para garantizar el acceso continuo a los datos en caso de emergencia
- Copias de seguridad extensas para garantizar que la información del paciente nunca se pierda
- Soluciones de seguridad que permiten la eliminación remota de los datos almacenados en dispositivos móviles en caso de pérdida o robo
- Conciencia de seguridad y anti-phishing capacitación para el personal
- Controles físicos para evitar el robo de datos y equipos
- Análisis de vulnerabilidades y pruebas de penetración para identificar vulnerabilidades antes de que sean descubiertas por hackers
- Buenas políticas de administración de parches para garantizar que el software se mantenga actualizado y libre de vulnerabilidades
Las entidades cubiertas por HIPAA pueden implementar todos o una selección de estos controles de seguridad, o pueden externalizar estos servicios al proveedor de servicios administrados (MSP).
Los pacientes podrían preguntar Cómo se Asegura Su PHI
Si un paciente le preguntara cómo se asegura la información del paciente, ¿podría usted proporcionarles una respuesta? Para muchos médicos, la respuesta sería no. Los médicos se preocupan por brindar atención a los pacientes, no por lo esencial de implementar soluciones de seguridad y salvaguardias para garantizar la confidencialidad, integridad y disponibilidad de la información médica protegida. Esa tarea a menudo se deja a sus departamentos de TI y al individuo a cargo del cumplimiento de HIPAA. Muchos profesionales de la salud estarían en un barco similar.
Sin embargo, dado el volumen de violaciones de datos de atención médica que se están produciendo ahora y el riesgo de daño y pérdida como resultado del robo de la información médica protegida, muchos pacientes están preocupados por la seguridad de los datos y pueden hacer la pregunta.
Los pacientes desean que se les asegure que cualquier información proporcionada, creada y mantenida por sus proveedores de atención médica es segura y sigue siendo confidencial. Puede ser útil saber qué medidas se han utilizado para proteger su información, para que pueda proporcionar información en términos generales.
En la mayoría de los casos, una explicación simple es todo lo que se requiere. Los pacientes solo quieren que se les asegure que su información de salud está segura y seguirá siendo confidencial.
En términos generales, puede explicar que asegura la información del paciente al::
- Cifrar la PHI en reposo y en tránsito (si es el caso)
- Almacenar solo la PHI en sistemas internos protegidos por firewalls
- Almacenar gráficos en ubicaciones seguras a los que solo pueden acceder personas autorizadas
- Usar controles de acceso para evitar que personas no autorizadas accedan a la PHI
- Compartir solo la PHI con personas u organizaciones para facilitar coordinación o administración de la atención médica y servicios relacionados, como pagos y facturación
- Compartir la información médica protegida con un grupo limitado de terceros después de se ha celebrado un contrato para garantizar que cumplan con reglas estrictas que cubren los usos y divulgaciones de la información médica protegida y la seguridad de los datos
- Volver a capacitar a todo el personal (anualmente) para mantener altos estándares de privacidad y seguridad de los datos
- Usted utiliza las últimas versiones de software y se asegura de que todo el software y el sistema operativo se mantengan actualizados y use soluciones antivirus para bloquear malware
Si los pacientes requieren más información o desean detalles, puede explicarle que, por razones de seguridad, no puede proporcionar información detallada información sobre los controles de seguridad que tiene implementados. Del mismo modo que no le diría a nadie dónde se encuentra su caja fuerte y cuántas vueltas del dial se requieren para abrirla.