nordpass logo

Contraseñas seguras para el cumplimiento HIPAA

  • Garantiza el tratamiento seguro de datos sanitarios confidenciales

Resumen general del cumplimiento HIPAA

Los datos sanitarios de los pacientes son una cuestión confidencial y privada, por lo que deben tratarse con sumo cuidado. Pero, por suerte, tenemos medidas legales para garantizar su seguridad. Infórmate a continuación sobre el cumplimiento HIPAA y cómo ayuda a tu empresa a proteger los datos sanitarios.

¿Qué es el cumplimiento HIPAA?

La HIPAA es la Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996. Es la ley que supervisa la seguridad de los datos sanitarios en EE. UU. El cumplimiento HIPAA garantiza la privacidad de los datos privados de los pacientes (o la información sanitaria protegida) y se asegura de que las empresas y organizaciones de atención médica eviten que dichos datos se manipulen de forma indebida en el plano interno o acaben filtrándose.

La información sanitaria protegida (o PHI, por sus siglas en inglés) incluye todos los datos personales que podrían identificar a un paciente u otro cliente de una institución específica. Engloba desde números de teléfono hasta historiales médicos. Por lo tanto, el cumplimiento HIPAA garantiza que la organización manipule este tipo de información de forma segura y adopte todas las medidas de seguridad necesarias. No hacerlo puede conllevar penas legales graves.

¿Quién necesita el cumplimiento HIPAA?

El cumplimiento HIPAA se aplica a dos tipos de organizaciones: entidades cubiertas y sus socios comerciales. Las entidades cubiertas son organizaciones que trabajan activamente con PHI, por ejemplo, proveedores de atención médica y de seguros de salud. Los socios comerciales son empresas que prestan servicios a entidades cubiertas. Pueden ser desarrolladores de aplicaciones, proveedores de infraestructura de TI, contratistas externos, empresas de seguridad, servicios de cáterin, etc. Podría tratarse de cualquier negocio que trate con una entidad cubierta y PHI.

Por ejemplo, una empresa de TI que desarrolla un gestor de ficheros que los hospitales utilizan para acceder a PHI debe cumplir con la HIPAA. De lo contrario, cualquier hospital que utilice la aplicación correría el riesgo de infringir las normas de la HIPAA. Cualquier aplicación que tenga algún tipo de conexión con PHI debe cumplir la HIPAA y garantizar las cifrado y otras medidas de seguridad necesarias.

Lista de verificación de cumplimiento HIPAA

Los requisitos de cumplimiento HIPAA se clasifican en dos categorías: abordables y necesarios. En el caso de la segunda categoría, todas las organizaciones deben aplicar estrictamente la disposición. La otra categoría permite cierta flexibilidad a la hora de aplicarse, o puede no exigirse en ciertas entidades. Los reglamentos HIPAA necesarios son:

  1. Implementación y medios de control de acceso. Cada usuario debe disponer de acceso protegido por separado.

  2. Introducción de registros de actividad y controles de auditoría. La organización debe realizar un seguimiento de cómo se utilizan los datos y mantener registros de actividad.

  3. Políticas para el uso/posicionamiento de las estaciones de trabajo. La organización debe supervisar cuidadosamente las estaciones de trabajo y restringir el acceso a las mismas.

  4. Políticas y procedimientos para dispositivos móviles. La organización debe tener un plan sobre cómo eliminar PHI de los dispositivos móviles si los empleados ya no los usan.

  5. Realización de evaluaciones de riesgo. La organización debe identificar riesgos y áreas vulnerables en la gestión de los PHI.

  6. Presentación de una política de gestión de riesgos. La organización debe contar con políticas y medidas sobre cómo mitigar estos riesgos.

  7. Desarrollo de un plan de contingencia. Una entidad cubierta debe proteger la PHI y operar en caso de emergencia.

  8. Restringir el acceso de terceros. Los terceros no autorizados no deben acceder a los datos.

Infracciones de la HIPAA y filtraciones de datos

Las infracciones de la HIPAA son el resultado de no cumplir correctamente con los requisitos anteriores. Por ejemplo, alguien podría perder un dispositivo, acceder sin autorización, instalar malware de forma accidental, etc.

Una institución sanitaria que sufra una filtración significativa que afecte a más de 500 personas debe notificarlo en un plazo de 60 días. Las infracciones leves (que afecten a menos de 500 personas) pueden notificarse una vez al año. Además, las entidades también deben informar a los pacientes afectados individualmente.

Si una filtración se produce como resultado de una causa de fuerza mayor que la empresa no haya podido prever, no se contabilizará necesariamente como una infracción. Sin embargo, no informar del incidente sí que constituiría una infracción.

Normas de privacidad y seguridad de la HIPAA

La Norma de Privacidad de la HIPAA protege la privacidad de los pacientes y su derecho a obtener datos de PHI. Supervisa las medidas de seguridad para garantizar la privacidad y también establece las condiciones en las que una organización puede divulgar datos sin el consentimiento del paciente.

Los pacientes también pueden obtener datos de PHI y solicitar modificaciones en caso de ser necesarias. Las organizaciones deben responder a las solicitudes de datos de sus pacientes en un plazo de 30 días. Si quieren utilizar los datos de alguien con fines de marketing, recaudación de fondos o investigación, el paciente debe dar su consentimiento por escrito.

Cómo proteger los datos sanitarios privados

Aquí te mostramos algunos consejos de ciberseguridad online sobre cómo gestionar los datos privados de los pacientes:

  • Utiliza una VPN para cifrar el tráfico de tu organización. Es fundamental cuando los datos están en tránsito y los fisgones pueden intentar interceptarlos.

  • Cifra los archivos PHI para que no se pueda acceder a ellos en caso de filtración.

  • Implementa el cierre de sesión automático en caso de que un usuario deje un dispositivo desatendido.

  • Programa una formación de seguridad periódica para tus empleados.

  • Haz siempre una copia de seguridad de tus datos.

  • Utiliza aplicaciones de mensajería seguras con cifrado de extremo a extremo y «perfect forward secrecy».

  • Actualiza siempre el software de seguridad de tu empresa.

  • Asegúrate de que tus empleados utilicen medidas de precaución para evitar el malware. Deben eliminar las aplicaciones que no reconozcan, nunca descargar archivos de sitios web de dudosa reputación ni abrir enlaces, archivos adjuntos o mensajes sospechosos.

  • En caso de duda, comprueba a través de un método de comunicación alternativo que tanto tú como tus empleados compartís los datos con la persona adecuada.

  • Utiliza servicios de correo electrónico seguros y cifrados.

  • Utiliza un software seguro que cumpla con las normas de la HIPAA.

  • Asegúrate de utilizar siempre contraseñas seguras para acceder a las cuentas y bases de datos de tu organización.

Te recomendamos que utilices un gestor de contraseñas para memorizar contraseñas complejas. Prueba nuestro NordPass seguro y fácil de usar. Cifra todas tus contraseñas y las almacena en un depósito seguro para que solo puedan acceder a ellas los empleados autorizados.