Contraseñas seguras para el cumplimiento HIPAA

Los datos sanitarios de los pacientes son una cuestión confidencial y privada, por lo que deben tratarse con sumo cuidado. Pero, por suerte, tenemos medidas legales para garantizar su seguridad. Infórmate a continuación sobre el cumplimiento de la HIPAA y de cómo ayuda a tu empresa a proteger los datos sanitarios.

La HIPAA es la Ley de Portabilidad y Responsabilidad de los Seguros de Salud, una legislación pionera de 1996 que protege la confidencialidad y seguridad de los datos de los pacientes. El cumplimiento de la HIPAA garantiza que las empresas y las organizaciones sanitarias protejan los datos privados de los pacientes o la información sanitaria protegida (PHI) frente a infracciones de privacidad, mala gestión interna o filtraciones de datos.

La información sanitaria protegida (o PHI, por sus siglas en inglés) incluye todos los datos personales que podrían identificar a un paciente u otro cliente de una institución específica. Engloba desde números de teléfono hasta historiales médicos. Comprender los requisitos de cumplimiento de la HIPAA es fundamental para los proveedores de atención médica, las aseguradoras y las empresas que manejan información de pacientes porque el incumplimiento de los requisitos de la HIPAA puede dar lugar a sanciones elevadas, problemas legales y la pérdida de la confianza del público.

El cumplimiento de la HIPAA se aplica a dos tipos de organizaciones: entidades cubiertas y sus socios comerciales. Las entidades cubiertas son organizaciones que trabajan activamente con PHI, por ejemplo, proveedores de atención médica y de seguros de salud. Los socios comerciales son empresas que prestan servicios a entidades cubiertas. Pueden ser desarrolladores de aplicaciones, proveedores de infraestructura de TI, contratistas externos, empresas de seguridad, servicios de cáterin, etc. Podría tratarse de cualquier negocio que trate con una entidad cubierta y PHI.

Por ejemplo, una empresa de TI que desarrolla un gestor de ficheros que los hospitales utilizan para acceder a PHI debe cumplir con la HIPAA. De lo contrario, cualquier hospital que utilice la aplicación correría el riesgo de infringir las normas de la HIPAA. Cualquier aplicación que tenga conexiones con la PHI debe cumplir con la HIPAA y garantizar la seguridad de la información protegida cifrado y otras medidas de seguridad.

La organización que cumpla con las normas de la HIPAA puede recibir la certificación de la HIPAA. En la mayoría de los casos, las organizaciones que desean recibir la certificación se someten a auditorías externas. Sin embargo, es importante señalar que, según el Departamento de Salud y Servicios Humanos (HHS) de EE. UU. los proveedores de atención médica no están obligados a obtener la certificación HIPAA.

Los requisitos de cumplimiento de la HIPAA se clasifican en dos categorías: abordables y necesarios. En el caso de la segunda categoría, todas las organizaciones deben aplicar estrictamente la disposición. La otra categoría permite cierta flexibilidad a la hora de aplicarse, o puede no exigirse en ciertas entidades. Los reglamentos HIPAA necesarios son:

1. Implementación y medios de control de acceso. Cada usuario debe tener un acceso protegido e individual.

2. Introducción de registros de actividad y controles de auditoría. La organización debe hacer un seguimiento de cómo se utilizan los datos y mantener registros de actividades.

3. Políticas para el uso y posicionamiento de las estaciones de trabajo. Una organización debe supervisar a conciencia los puestos de trabajo y restringir su acceso.

4. Políticas y procedimientos para dispositivos móviles. Una organización debe tener un plan sobre cómo eliminar la PHI de los dispositivos móviles que los empleados ya no utilicen.

5. Realización de evaluaciones de riesgo. La organización debe identificar los riesgos y las áreas vulnerables en el manejo de PHI.

6. Presentación de una política de gestión de riesgos. Una organización debe tener políticas y medidas sobre cómo mitigar esos riesgos.

7. Desarrollo de un plan de contingencia. Una entidad cubierta debe proteger la PHI y actuar en caso de emergencia.

8. Restringir el acceso de terceros. Los terceros no autorizados no deben acceder a los datos.

En resumen, una infracción de la HIPAA es cualquier incumplimiento del programa de cumplimiento de una organización que ponga en peligro la integridad de la PHI o la ePHI. Sin embargo, no todas las filtraciones de datos son infracciones de la HIPAA. Si una filtración se produjo por factores de fuerza mayor que la organización no podía controlar, no se considera necesariamente una infracción. Sin embargo, la omisión de informar sobre las infracciones de la HIPAA sí lo es, sin lugar a dudas.

Una filtración de datos se convierte en una infracción de la HIPAA cuando la filtración se debe a un programa de cumplimiento de la HIPAA ineficaz, incompleto o anticuado. Algunos ejemplos de infracción de la HIPAA son el acceso no autorizado a la información del paciente, la eliminación indebida de PHI y la falta de medidas de seguridad adecuadas.

Una institución sanitaria que sufra una filtración significativa que afecte a más de 500 personas debe notificarlo en un plazo de 60 días. Las filtraciones leves (que afecten a menos de 500 personas) pueden notificarse una vez al año. Además, las entidades también deben informar a los pacientes afectados individualmente.

Las multas por incumplimiento de la HIPAA oscilan entre 100 y 50 000 $ por incidente, dependiendo del nivel de negligencia. Si se detecta que la organización no ha realizado un «esfuerzo de buena fe» para cumplir con la HIPAA, las multas pueden llegar a dispararse. Con más de 40 millones de dólares pagados en multas desde 2016, el cumplimiento de la HIPAA es una parte esencial de cualquier organización que maneje información sanitaria protegida (PHI).

Las infracciones de la HIPAA son el resultado de no cumplir correctamente con los requisitos anteriores. Por ejemplo, alguien podría perder un dispositivo, acceder sin autorización o instalar malware de forma accidental.

La norma de privacidad de la HIPAA protege la intimidad de los pacientes y su derecho a obtener datos de PHI. También supervisa las medidas de seguridad con las que garantizar la privacidad y establece las condiciones en las que una organización puede divulgar datos sin el consentimiento del paciente.

Los pacientes también pueden obtener datos de PHI y solicitar modificaciones en caso de ser necesarias. Una organización debe responder a la solicitud de datos de un paciente en un plazo de 30 días. Si quieren utilizar los datos de alguien con fines de marketing, recaudación de fondos o investigación, el paciente debe dar su consentimiento por escrito.

Aquí te mostramos algunos consejos de ciberseguridad online sobre cómo gestionar los datos privados de los pacientes:

• Utiliza una VPN para cifrar el tráfico de tu organización. Es especialmente importante cuando los datos están en tránsito y alguien podría intentar interceptarlos.

• Cifra los archivos de PHI para que no se pueda acceder a ellos en caso de que haya una filtración.

• Activa el cierre de sesión automático en caso de que un usuario deje un dispositivo sin vigilancia.

• Imparte formación periódica sobre seguridad a los empleados.

• Haz siempre una copia de seguridad de tus datos.

• Utiliza aplicaciones de mensajería segura con cifrado de extremo a extremo y secreto perfecto hacia adelante.

• Actualiza siempre el software de seguridad de tu empresa.

• Asegúrate de que los empleados tomen medidas de precaución para evitar el malware. Por lo que deben eliminar las aplicaciones que no reconozcan, no descargar nunca archivos de sitios web poco fiables ni abrir enlaces, archivos adjuntos o mensajes sospechosos.

• En caso de duda, comprueba por otros medios de comunicación que tanto tú como tus empleados compartís los datos con la persona adecuada.

• Utiliza servicios de correo electrónico seguros y cifrados.

• Utiliza un software seguro que cumpla con las normas de la HIPAA.

• Asegúrate siempre de utilizar contraseñas seguras para acceder a las cuentas y bases de datos de tu organización.

Un aspecto fundamental del cumplimiento de la HIPAA es aplicar una política de seguridad de datos sólida y eficaz. Un administrador de contraseñas que cumpla con la HIPAA, como NordPass puede ofrecer mayor seguridad, control centralizado y una mejora en la productividad de los empleados, lo que la convierte en una solución muy beneficiosa para las organizaciones que necesitan cumplir con la normativa HIPAA.

Al ofrecer funciones de cifrado y autenticación multifactor, un gestor de contraseñas minimiza el riesgo de acceso no autorizado a información sanitaria protegida (PHI). El control centralizado mediante el Panel de Administración de NordPass Business también permite a las organizaciones supervisar el acceso, implantar políticas de contraseñas seguras y revocar el acceso cuando sea necesario, al tiempo que simplifica el proceso de cumplimiento. Además, un gestor de contraseñas para empresas que cumpla con la HIPAA mejora la productividad de los empleados al eliminar la necesidad de recordar varias credenciales, lo que reduce el riesgo de contraseñas poco seguras o reutilizadas.

Utilizar un gestor de contraseñas que cumpla con la HIPAA es una decisión sensata para las empresas que trabajan en el sector sanitario. Al proteger de forma eficaz la información confidencial de los pacientes, un gestor de contraseñas no solo ayuda a las organizaciones a cumplir con la normativa del sector, sino que también protege su reputación y evita las costosas sanciones por infringir la HIPAA. Invertir en un gestor de contraseñas que cumpla con la HIPAA es un paso esencial para garantizar la seguridad y la privacidad de los datos de los pacientes.