HIPAA for dummies – Seguridad en entorno sanitario (I)
Desde que estoy en Accenture, he trabajado en diferentes proyectos y clientes de un tamaño mucho mayor a lo que me había encontrado hasta ahora. He trabajado con grandes bancos, multinacionales IT, operadores de telecomunicaciones, … y uno muy interesante: un gran cliente del entorno sanitario.
Dentro de este tipo de clientes, me he topado con algo que tampoco conocía. El gran control sobre los datos sensibles sanitarios en E.E.U.U., es un punto que se lleva muchas horas dentro de la seguridad de un proyecto. Entender, clasificar y defender correctamente este tipo de información es crucial…
Cuando arranqué mi primer proyecto de este tipo, me enfrenté por primera vez con la Health Insurance Portability and Accountability Act of 1996, HIPAA para los amigos. Con esta serie de entradas, trato de hacer un resumen de todo lo aprendido en este tiempo, espero que os sirva si os llega algún proyecto con este requisito:
- HIPAA for dummies – Seguridad en entorno sanitario (I)
- HIPAA for dummies – Seguridad en entorno sanitario (II)
- HIPAA for dummies – Seguridad en entorno sanitario (III)
¿Por qué se creó HIPAA?
Health Insurance Portability and Accountability Act (HIPAA) se creó principalmente con el objetivo de modernizar el flujo de infomación relativa a la atención médica, hablamos de todo tipo de información mantenida por centros médicos e industrias de seguros de salud. Dicha información debe protegerse contra fraude, robo y fuga (en cuanto a portabilidades de personas con condiciones preexistentes).
Cuando se aprobó la Ley en 1996, solo requería que el Secretario de Salud y Servicios Humanos (HSS) propusiera normas para proteger la información de salud identificable individualmente. El primer conjunto de estándares no se publicó hasta 1999, y las primeras propuestas para la Regla de Privacidad solo surgieron en el año 2000.
La legislación HIPAA ha evolucionado significativamente desde entonces. No solo se ha modificado el lenguaje de la Ley para abordar los avances en tecnología, sino que el alcance de la Ley se ha ampliado para abarcar a los Asociados Comerciales, proveedores de servicios externos que realizan una función en nombre de una Entidad Cubierta por HIPAA que implica el uso o divulgación de información de salud protegida (PHI).
Las regulaciones de HIPAA están controladas por la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de los EEUU. Los Procuradores Generales del Estado también pueden tomar medidas contra las Entidades Cubiertas y los Asociados Comerciales que no cumplan con HIPAA. Tanto OCR como los Fiscales Generales del Estado tienen la autoridad de imponer sanciones financieras a las Entidades Cubiertas y a los Asociados Comerciales por violaciones de la HIPAA.
¿Cuál es el propósito de HIPAA?
Además del propósito original de HIPAA, la forma en que se implementa cambia constantemente para adaptarse a los avances tecnológicos y los cambios en las prácticas de trabajo, lo que ha resultado en nuevas amenazas para la privacidad del paciente y la seguridad de los PHI. Para entender esto es importante tener en cuenta que la legislación original de HIPAA se redactó ocho años antes de que Facebook surgiera y once años antes del lanzamiento del primer iPhone.
Por lo tanto, desde la Regla de Privacidad original, ha habido una serie de nuevas Reglas de HIPAA, además de que OCR ha emitido una guía frecuente sobre cómo las Entidades Cubiertas y los Asociados Comerciales deben abordar temas como las políticas BYOD o computación en la nube.
Gran parte del lenguaje original de HIPAA ha permanecido inalterado porque, a pesar del cambiante panorama tecnológico, fue escrito para cubrir una gran cantidad de escenarios diversos. Por lo tanto, si una Entidad cubierta es un centro médico que mantiene registros de pacientes o una compañía de seguros que transfiere los derechos de atención médica de una persona que está cambiando de trabajo, el propósito de HIPAA sigue siendo el mismo que en 1996.
HIPAA también es neutral en tecnología y no favorece una forma de abordar una vulnerabilidad de seguridad sobre otra, siempre que el mecanismo introducido para corregir una falla o vulnerabilidad esté sujeto a una evaluación de riesgos y se registre la razón para implementarlo en lugar de una medida específica.
Entendiendo HIPAA «for dummies»
De forma rápida y sencilla, se detallan a continuación los dieciocho identificadores personales que podrían permitir que se identifique a una persona. Cuando estos identificadores personales se combinan con datos de salud, la información se conoce como «Información de salud protegida» o «PHI». Cuando se almacena o comunica electrónicamente, el acrónimo «PHI» está precedido por una «e», es decir, «ePHI».
Nombres o parte de nombres | Cualquier otra característica de identificación única |
Identificadores geográficos | Fechas directamente relacionadas con una persona |
Detalles del número de teléfono | Detalles del número de fax |
Detalles de las direcciones de correo electrónico | Detalles de la Seguridad Social |
Números de registros médicos | Números de beneficiarios de seguros de salud |
Detalles de cuenta bancaria | Certificado o números de licencia |
Detalles de la matrícula del vehículo | Identificadores del dispositivo y números de serie |
Webs URLs | Detalles de la dirección IP |
Huellas dactilares, retina y huellas de voz | Cara completa o cualquier imagen fotográfica comparable |
La conclusión principal para el cumplimiento de HIPAA es que cualquier empresa o individuo que entre en contacto con PHI debe promulgar y aplicar políticas, procedimientos y salvaguardas apropiadas para proteger los datos. Las infracciones de la HIPAA ocurren cuando no se han promulgado y aplicado políticas, procedimientos y salvaguardas apropiadas, incluso cuando una persona no autorizada no ha revelado o accedido a la PHI.
Las violaciones habituales de HIPAA suelen estar relacionadas con:
- Falta de análisis de riesgo adecuados
- Falta de capacitación integral de los empleados
- Acuerdos inadecuados de socios comerciales
- Divulgaciones inapropiadas de PHI
- La ignorancia de la regla mínima necesaria
- No informar infracciones dentro del plazo prescrito
Algunas violaciones de HIPAA son delitos accidentales, por ejemplo, dejar un documento que contiene PHI en un escritorio a la vista de cualquier persona que pase. Sin embargo, OCR no considera que la ignorancia sea una excusa adecuada para las violaciones de HIPAA.
En próximos programas…
Espero que esta introducción a HIPAA os haya parecido interesante, sobre todo si os enfrentáis a un proyecto que tenga que estar sujeto a esta regulación. En breve continuaré ampliando información de este tema, no te lo pierdas!
- GuardDuty: Un viaje a través del tiempo en AWS Security - 21 noviembre, 2023
- Webinar – Seguridad para familias - 11 enero, 2021
- SecurityInside Live: CISO Day 2020 - 17 septiembre, 2020
mexican drugstore online: online mexican pharmacy – purple pharmacy mexico price list
reputable mexican pharmacies online
http://cmqpharma.com/# mexico pharmacies prescription drugs
medication from mexico pharmacy
Thanks for sharing. I read many of your blog posts, cool, your blog is very good.
mexican mail order pharmacies: cmq mexican pharmacy online – mexican mail order pharmacies
buying prescription drugs in mexico online
https://cmqpharma.online/# п»їbest mexican online pharmacies
mexican mail order pharmacies
canadian pharmacy near me: canadian pharmacy india – my canadian pharmacy
indian pharmacy paypal: indian pharmacy – cheapest online pharmacy india
canadian pharmacy king reviews canadian pharmacy service legitimate canadian mail order pharmacy
india pharmacy: indian pharmacies safe – world pharmacy india
canadian pharmacy drugs online: reliable canadian pharmacy – thecanadianpharmacy
online pharmacy india india online pharmacy mail order pharmacy india
safe canadian pharmacy: canadian pharmacy no scripts – onlinecanadianpharmacy
canadian pharmacy phone number: canadian online drugs – recommended canadian pharmacies
canadian pharmacy king: canadian pharmacy king – canadian online drugstore
mexico pharmacy purple pharmacy mexico price list medicine in mexico pharmacies
top 10 pharmacies in india: reputable indian online pharmacy – buy prescription drugs from india
http://foruspharma.com/# mexican drugstore online
Online medicine order: india pharmacy – reputable indian pharmacies
canadian pharmacy price checker: buy canadian drugs – canadian pharmacy online ship to usa
https://amoxildelivery.pro/# amoxicillin for sale
http://paxloviddelivery.pro/# paxlovid pharmacy
doxycycline tablets over the counter: doxycycline price compare – how to get doxycycline without prescription
https://paxloviddelivery.pro/# paxlovid price
http://ciprodelivery.pro/# ciprofloxacin generic price
http://clomiddelivery.pro/# where to buy generic clomid without dr prescription
https://clomiddelivery.pro/# where buy generic clomid without rx
http://clomiddelivery.pro/# where to buy generic clomid no prescription
how can i get doxycycline over the counter: doxycycline usa – doxycycline pills buy
https://ciprodelivery.pro/# п»їcipro generic
Every weekend i used to pay a visit this site, because i wish for enjoyment, as
this this site conations genuinely nice funny material too.