HIPAA: Guía de cumplimiento para el líder de seguridad

En la industria de la salud, la seguridad y la privacidad de los datos son uno de los principios más importantes para brindar y recibir atención de calidad. La confianza es fundamental: debe mantenerse; una vez perdida, es casi imposible recuperarla. Es comprensible que las personas esperen que su información de salud personal se mantenga en secreto.

Con el tiempo se han desarrollado regulaciones para compañías de seguros, proveedores de servicios y profesionales de la salud por igual, con el fin de ayudarles a implementar y hacer cumplir políticas y procedimientos de privacidad de datos. De hecho, las reglas aplican a cualquiera que acceda o use información de salud protegida (PHI). La principal ley de este tipo en EE. UU. es la Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 (HIPAA).

¿Qué es HIPAA?

HIPAA establece “estándares nacionales para proteger la información sensible de salud del paciente de ser divulgada sin el consentimiento o conocimiento del paciente.” 

En el núcleo de HIPAA hay cinco Títulos / enmiendas que mejoran la administración y la cobertura tanto de los seguros de salud como de vida. Además de la privacidad, existen varias reglas individuales, a saber: seguridad, cumplimiento, seguridad del paciente y notificación de violaciones.

Para los líderes enfocados en los datos tanto desde la perspectiva de seguridad como de privacidad, el Título II (Simplificación Administrativa de HIPAA), la Regla de Privacidad y la Regla de Seguridad son los más relevantes.

El Título II promulga “estándares nacionales para las transacciones electrónicas de atención médica e identificadores nacionales para proveedores, planes de salud y empleadores. […] La adopción de estos estándares mejorará la eficiencia y la eficacia del sistema de atención médica del país al fomentar el uso generalizado del intercambio electrónico de datos en la atención médica.”

La Regla de Privacidad afirma “los derechos de las personas a comprender y controlar cómo se utiliza su información de salud.”

La Regla de Seguridad de HIPAA tiene implicaciones más amplias para la PHI electrónica (e-PHI) a fin de “garantizar la confidencialidad, la integridad y la disponibilidad” de dichos datos.

¿Qué es la PHI?

“PHI” se usa como un término general para datos de salud… “paciente”, “personal”, “privado”, “protegido”, etc., según el sitio que leas. Según el resumen del HHS de la ley, “protegida” es el apodo preferido y aplica a metadatos, registros, transacciones/compartición, planes y pagos. Pero ¿existen datos personales que no califiquen como PHI?

Sí. El Título II define 18 “identificadores” únicos de e-PHI (como el número de registro de un documento de tratamiento), pero los datos “desidentificados”, es decir, la información a la que se le han eliminado u ofuscado cualquier marcadores que la asocien con una persona en particular, no están sujetos a las mismas restricciones ni regulaciones.

De acuerdo con la sección 164.514 del texto de la regla final, lo siguiente se considera identificadores de datos (la HIPAA se aprobó hace más de veinte años y desde entonces se han introducido muchas tecnologías nuevas; podría haber nuevos tipos de datos que no encajen en estos atributos):

1. Nombres
2. Estado, dirección, ciudad, condado, distrito electoral, código postal y sus geocódigos equivalentes
3. Fechas (excepto el año), incluyendo nacimiento, ingreso, alta, fallecimiento; edades mayores de 89
4. Números telefónicos
5. Números de fax
6. Direcciones de correo electrónico
7. Números de seguro social
8. Números de expediente médico
9. Números de beneficiarios del plan de salud
10. Números de cuenta
11. Números de certificados/licencias
12. Identificadores y números de serie de vehículos, incluidos los números de placas
13. Identificadores de dispositivos y números de serie
14. Localizadores Uniformes de Recursos web (URL)
15. Números de direcciones de Protocolo de Internet (IP)
16. Identificadores biométricos, incluidos las huellas dactilares y de voz
17. Imágenes fotográficas de rostro completo y cualquier imagen comparable
18. Cualquier otro número, característica o código único de identificación

¿Cómo puede Cyera ayudarme a cumplir con los requisitos de datos de HIPAA? 

Cyera ofrece un enfoque integral para el descubrimiento de información de salud, lo que te permite proteger mejor la privacidad de los clientes al analizar y reportar la ubicación, el tipo, el estado, la antigüedad y otros contextos relacionados con los datos. Este contexto puede utilizarse para anonimizar, eliminar y controlar los datos a fin de cumplir con los requisitos de HIPAA.

1. Desidentificación

Dado que los datos en tu organización probablemente existen en muchos lugares y para muchos usos, primero necesitas inventariarlos y clasificarlos, lo cual aborda directamente la sección 164.502-(B)(2)(d) sobre “usos y divulgaciones de información de salud protegida desidentificada” en el estándar.

Cyera te indica si los datos están desidentificados o no, y su formato, ya sea enmascarado, con hash, cifrado, redactado o tokenizado. Si tienes PHI cubierta que no está desidentificada, debe procesarse y anonimizarse antes de que pueda divulgarse o utilizarse.

2. Gestión del ciclo de vida de los datos 

La Sección 164.530(iv)(2) establece un periodo de retención para la documentación de una entidad cubierta: “seis años a partir de la fecha de su creación o de la fecha en que estuvo vigente por última vez, lo que ocurra más tarde”. Sin embargo, la PHI difiere de la documentación de sistemas. El periodo de retención en realidad no aplica a la PHI, sino a los registros contenidos en bitácoras de seguridad, planes de BCDR, políticas, etc., que se utilizan para administrar el sistema de procesamiento de datos. HIPAA no tiene requisitos de retención para los expedientes de pacientes, más allá de la regla de acceso de seis años, diferenciando a una entidad cubierta (p. ej., un hospital) de una que procesa datos pero no es propietaria de ellos (p. ej., una plataforma de almacenamiento). 

Cyera resume las fechas de tus datos, incluidas la de creación y la de última modificación, lo que te ayuda a determinar qué archivos están dentro o fuera de cumplimiento. Esto ayuda a prevenir la eliminación accidental antes de que termine el periodo y permite migrar datos (por ejemplo, de más de 2 años) a almacenamiento en frío para ahorrar costos.

3. Control de acceso

La Regla de Seguridad de HIPAA cita el principio de “mínimo necesario”, también conocido como “acceso mínimo del usuario”, para reducir la exposición en estos casos al incentivar a los administradores a restringir el uso de datos según el rol, la clasificación, la asociación de grupo u otros criterios manejables. En específico, “una entidad cubierta debe desarrollar e implementar políticas y procedimientos que restrinjan el acceso y el uso de la [PHI] con base en los roles específicos de los integrantes de su fuerza laboral.”

Cyera te ayuda a aplicar políticas de Gobierno de Acceso a Datos (DAG). Cyera te indica el nivel de riesgo que presenta la información. Al comprender el riesgo de los datos, estás en una mejor posición para decidir qué controles de acceso son más adecuados para esos datos.

Además, Cyera te indica quién tiene acceso a la PHI, incluidos empleados actuales y anteriores. Con esta información, puedes limitar el acceso únicamente a quienes necesitan los datos y retirar el acceso a ex empleados. 

4. Clasificación dinámica

El nivel de seguridad que necesita un activo depende no solo del riesgo de hoy, sino también del de mañana. Si un archivo pierde importancia en seis meses, probablemente no necesites cifrado cuántico. Pero si la PHI debe conservarse durante seis años, tendrás que asegurarte de que los datos permanezcan protegidos por igual durante todo ese tiempo. Las Salvaguardas Administrativas de la Regla de Seguridad brindan contexto adicional sobre la supervisión de datos, como evaluaciones de riesgo y vulnerabilidad y planes de respuesta. Estas, en particular, están sujetas a una auditoría de HIPAA (u otra).

Debido a que los datos en sí son dinámicos, tu comprensión de los datos también debe ser dinámica. Cyera te informa sobre el estado cambiante y, por lo tanto, la sensibilidad de tus datos. En un momento dado, los datos pueden referirse a un titular de datos que es menor de edad. Meses después, esos mismos datos pueden referirse a un adulto. El contexto sobre lo que representan tus datos en distintos momentos puede ayudarte a aplicar los niveles adecuados de gobernanza de la información a los datos. 

La forma en que gestionas tus datos también depende de su identificabilidad, es decir, si esos datos pueden vincularse a una persona específica. Cyera resalta cuándo los datos están expuestos como texto sin formato o desidentificados en tu entorno. ‍

5. Salvaguardas

De la sección 164.530-(c)(1): “Una entidad cubierta debe mantener salvaguardas administrativas, técnicas y físicas razonables y apropiadas para evitar la divulgación intencional o no intencional […] de [PHI …] y para limitar su uso incidental […].” Tales salvaguardas técnicas (164.312(a, b, c)) pueden incluir controles de acceso basados en roles (RBAC), sistemas de detección de intrusiones e incluso capacitación en seguridad para empleados.

Cyera te indica el contexto de tus controles de seguridad. El contexto señala si los datos fueron redactados, cifrados, transformados por otro método o expuestos como texto sin formato. El contexto también te mostrará si el almacén de datos es accesible y por quién (p. ej., si está abierto a todos los empleados, a un solo departamento, a personas específicas o a internet).

Apoya el cumplimiento de HIPAA con Cyera

Los requisitos técnicos, legales y procedimentales bajo HIPAA son variados y complejos. Pero con el enfoque adecuado, puedes comprender la profundidad y la distribución de la PHI en tu organización, y Cyera te dejará listo para auditorías con una detección profunda y un análisis de la postura de seguridad de datos adaptados a tu organización de atención médica.

La plataforma de seguridad de datos de Cyera ofrece un contexto profundo sobre tus datos y aplica controles correctos y continuos para garantizar la ciberresiliencia y el cumplimiento.

Cyera adopta un enfoque centrado en los datos para la seguridad, evaluando la exposición de tus datos en reposo y en uso y aplicando múltiples capas de defensa. Debido a que Cyera aplica un contexto profundo de los datos de forma holística en todo tu panorama de datos, somos la única solución que puede facultar a los equipos de seguridad para saber dónde están sus datos, qué los expone a riesgos y tomar medidas inmediatas para remediar exposiciones y asegurar el cumplimiento sin interrumpir el negocio.

Para obtener más información sobre cómo puede respaldar el cumplimiento de la HIPAA con Cyera, programe una demostración hoy mismo.