HIPAA: Guía de cumplimiento para el líder de seguridad

Aug 23, 2023
Share

En el sector sanitario, la seguridad y la privacidad de los datos son pilares fundamentales para brindar y recibir atención de calidad. La confianza es primordial; debe mantenerse, pues una vez perdida, es casi imposible recuperarla. Es comprensible que las personas esperen que su información médica personal se mantenga confidencial.

Con el tiempo se han desarrollado regulaciones para compañías de seguros, proveedores de servicios y profesionales de la salud por igual para ayudarlos a emplear y hacer cumplir políticas y procedimientos de privacidad de datos. De hecho, las reglas se aplican a cualquier persona que acceda o utilice información sanitaria protegida (PHI). La principal ley de este tipo en los EE. UU. es la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA).

¿Qué es HIPAA?

La HIPAA establece "estándares nacionales para proteger la información confidencial de salud de los pacientes e impedir que se divulgue sin su consentimiento o conocimiento".

En el núcleo de HIPAA hay cinco Títulos Modificaciones que mejoran la administración y la cobertura de los seguros de salud y de vida. Además de la privacidad, existen varias normas específicas, como seguridad, cumplimiento, seguridad del paciente y notificación de violaciones de seguridad.

Para los líderes centrados en los datos tanto desde la perspectiva de la seguridad como de la privacidad, el Título II (Simplificación Administrativa de HIPAA), la Regla de Privacidad y la Regla de Seguridad son las más relevantes.

El Título II establece “normas nacionales para las transacciones electrónicas de atención médica e identificadores nacionales para proveedores, planes de salud y empleadores. […] La adopción de estas normas mejorará la eficiencia y la eficacia del sistema de atención médica del país al fomentar el uso generalizado del intercambio electrónico de datos en la atención médica”.

El Regla de privacidad Afirma “el derecho de las personas a comprender y controlar cómo se utiliza su información de salud”.

El Regla de seguridad de HIPAA Esto tiene implicaciones más amplias para la información de salud protegida electrónica (e-PHI) con el fin de "garantizar la confidencialidad, la integridad y la disponibilidad" de dichos datos.

¿Qué es PHI?

FI” se utiliza como un término genérico para datos de salud… “paciente”, “personal”, “privado”, “protegido”, etc., dependiendo del sitio que consulte. Según el Departamento de EE. UU. Resumen del HHS Según la ley, el término "protegido" es el preferido y se aplica a metadatos, registros, transacciones/intercambio, planes y pagos. Pero, ¿existe algún dato personal que no califique como información de salud protegida (PHI)?

Sí. El Título II define 18 términos únicos “identificadores” de la información electrónica de salud protegida (como el número de registro de un documento de tratamiento), pero los datos “anonimizados” —información a la que se le han eliminado u ocultado todos los marcadores que la asocian con una persona en particular— no están sujetos a las mismas restricciones o regulaciones.

Según la sección 164.514 En el texto final de la norma, los siguientes se consideran identificadores de datos (HIPAA se aprobó hace más de veinte años y desde entonces se han introducido muchas tecnologías nuevas. Podría haber nuevos tipos de datos que no se ajusten a estos atributos):

  1. Nombres
  2. Estado, dirección postal, ciudad, condado, distrito, código postal y sus geocódigos equivalentes.
  3. Fechas (excepto el año), incluyendo nacimiento, ingreso, alta, defunción; edades mayores de 89 años.
  4. Números de teléfono
  5. Números de fax
  6. Direcciones de correo electrónico
  7. números de seguridad social
  8. números de historial médico
  9. Número de beneficiarios del plan de salud
  10. Números de cuenta
  11. Números de certificado/licencia
  12. Identificadores y números de serie del vehículo, incluidos los números de matrícula.
  13. Identificadores de dispositivos y números de serie
  14. Localizadores uniformes de recursos web (URL)
  15. Números de direcciones del Protocolo de Internet (IP)
  16. Identificadores biométricos, incluyendo huellas dactilares y de voz.
  17. Imágenes fotográficas de rostro completo y cualquier imagen comparable.
  18. Cualquier otro número, característica o código de identificación único.

¿Cómo puede Cyera ayudarme a cumplir con los requisitos de datos de HIPAA?

Cyera ofrece un enfoque integral para el descubrimiento de información de salud, lo que le permite proteger mejor la privacidad de sus clientes mediante el análisis y la generación de informes sobre la ubicación, el tipo, el estado, la antigüedad y otros datos contextuales. Este contexto se puede utilizar para anonimizar, eliminar y controlar los datos, cumpliendo así con los requisitos de la HIPAA.

1. Desidentificación

Dado que es probable que los datos de su organización existan en muchos lugares y para muchos usos, primero debe inventariarlos y clasificarlos, lo que aborda directamente la sección 164.502-(B)(2)(d) relativa a los "usos y divulgaciones de información sanitaria protegida anonimizada" en la norma.

Cyera le indica si los datos están anonimizados o no, y su formato (enmascarado, hash, cifrado, anonimizado o tokenizado). Si dispone de información de salud protegida (PHI) que no esté anonimizada, deberá procesarla y anonimizarla antes de poder divulgarla o utilizarla.

2. Gestión del ciclo de vida de los datos

La Sección 164.530(iv)(2) exige un período de retención para la documentación de una entidad cubierta: “seis años a partir de la fecha de su creación o la fecha en que estuvo vigente por última vez, lo que ocurra más tarde”. Sin embargo, la información de salud protegida (PHI) difiere de la documentación de sistemas. El período de retención no se aplica a la PHI, sino a los registros contenidos en los registros de seguridad, planes de continuidad del negocio y recuperación ante desastres (BCDR), políticas, etc., que se utilizan para administrar el sistema de procesamiento de datos. La HIPAA no tiene requisitos de retención para los registros de pacientes, aparte de la regla de acceso de seis años, que diferencia a una entidad cubierta (por ejemplo, un hospital) de una que procesa datos pero no los posee (por ejemplo, una plataforma de almacenamiento).

Cyera resume las fechas de sus datos, incluyendo la fecha de creación y la de última modificación, lo que le ayuda a determinar qué archivos cumplen o no con los requisitos. Esto evita la eliminación accidental antes de que finalice el período y permite migrar datos (como los de más de dos años) a almacenamiento en frío para ahorrar costes.

3. Control de acceso

La Regla de Seguridad de HIPAA cita el principio de “mínimo necesario”, también conocido como “acceso mínimo del usuario”, para reducir la exposición en estos casos alentando a los administradores a restringir el uso de datos según el rol, la clasificación, la asociación de grupo u otros criterios manejables. Específicamente, “una entidad cubierta debe desarrollar e implementar políticas y procedimientos que restrinjan el acceso y el uso de [PHI] en función de los roles específicos de los miembros de su personal”.

Cyera te ayuda a implementar políticas de gobernanza de acceso a datos (DAG). Cyera te indica el nivel de riesgo que presentan los datos. Al comprender el riesgo de los datos, podrás decidir mejor qué controles de acceso son los más adecuados.

Además, Cyera te informa quién tiene acceso a la información de salud protegida (PHI), incluyendo a empleados actuales y exempleados. Con esta información, puedes limitar el acceso solo a quienes necesitan los datos y revocar el acceso a los exempleados.

4. Clasificación dinámica

El nivel de seguridad necesario para un activo depende no solo del riesgo actual, sino también del riesgo futuro. Si un archivo pierde relevancia en seis meses, probablemente no necesite cifrado cuántico. Pero si la información de salud protegida (PHI) debe conservarse durante seis años, deberá garantizar que los datos permanezcan seguros durante ese mismo período. Las salvaguardias administrativas de la Regla de Seguridad proporcionan información adicional sobre la supervisión de datos, como evaluaciones de riesgos y vulnerabilidades y planes de respuesta. Estos, en particular, están sujetos a una auditoría HIPAA (u otra).

Dado que los datos son dinámicos, su comprensión de los mismos también debe serlo. Cyera le informa sobre el estado cambiante y, por lo tanto, la sensibilidad de sus datos. En un momento dado, los datos pueden referirse a un menor de edad. Meses después, esos mismos datos pueden referirse a un adulto. El contexto sobre lo que representan sus datos en diferentes momentos le ayudará a aplicar los niveles adecuados de gobernanza de la información.

La forma en que gestionas tus datos también depende de su identificabilidad, es decir, si esos datos pueden vincularse a una persona específica. Cyera te indica cuándo los datos se muestran como texto plano o anonimizados en tu entorno. 

5. Salvaguardias

De la sección 164.530-(c)(1), “Una entidad cubierta debe mantener salvaguardas administrativas, técnicas y físicas razonables y apropiadas para prevenir la divulgación intencional o no intencional de [PHI…] y para limitar su uso incidental […]”. Dichas salvaguardas técnicas (164.312(a, b, c)) podrían incluir controles de acceso basados ​​en roles (RBAC), sistemas de detección de intrusiones e incluso capacitación en seguridad para los empleados.

Cyera te informa sobre el contexto de tus controles de seguridad. El contexto indica si los datos fueron censurados, cifrados, transformados mediante otro método o expuestos como texto sin formato. El contexto también te mostrará si el almacén de datos es accesible y quién puede acceder a él (por ejemplo, si está abierto a todos los empleados, a un solo departamento, a personas específicas o a internet).

Apoye el cumplimiento de HIPAA con Cyera.

Los requisitos técnicos, legales y de procedimiento bajo HIPAA son variados y complejos. Pero con el enfoque adecuado, puede comprender la profundidad y distribución de la información de salud protegida (PHI) en su organización, y Cyera lo preparará para la auditoría con un descubrimiento profundo y un análisis de la postura de seguridad de los datos adaptado a sus necesidades. organización de atención médica.

La plataforma de seguridad de datos de Cyera proporciona un contexto profundo sobre sus datos, aplicando controles correctos y continuos para garantizar la ciberresiliencia y el cumplimiento normativo.

Cyera adopta un enfoque de seguridad centrado en los datos, evaluando la exposición de sus datos tanto en reposo como en uso y aplicando múltiples capas de defensa. Gracias a que Cyera aplica un contexto de datos profundo e integral a todo su entorno de datos, somos la única solución que permite a los equipos de seguridad saber dónde se encuentran sus datos, qué los expone a riesgos y tomar medidas inmediatas para corregir las vulnerabilidades y garantizar el cumplimiento normativo sin interrumpir las operaciones comerciales.

Para obtener más información sobre cómo puede respaldar el cumplimiento de HIPAA con Cyera, Programa una demostración hoy.

Share