?Qu¨¦ es la ley HIPAA?
¶Ù±ð´Ú¾±²Ô¾±³¦¾±¨®²Ô de la ley HIPAA
Establecida en 1996, la ?tiene como objetivo proteger la privacidad y seguridad de la informaci¨®n m¨¦dica confidencial.? ?
M¨¢s que en cualquier otro sector, el cumplimiento?es vital para las organizaciones sanitarias. La recopilaci¨®n y el procesamiento de informaci¨®n m¨¦dica protegida (PHI), incluidos los datos personales y m¨¦dicos, son necesarios para proporcionar a los pacientes opciones de atenci¨®n m¨¦dica optimizadas. Sin embargo, las consecuencias de una filtraci¨®n?de PHI pueden ser devastadoras. No solo puede provocar da?os a la reputaci¨®n, p¨¦rdida financiera y responsabilidad legal, sino que las filtraciones han provocado da?os a los pacientes.
Norma de seguridad de cumplimiento de HIPPA
La Norma de seguridad de la HIPAA protege un subconjunto de informaci¨®n cubierta por la Norma de privacidad de la HIPAA. B¨¢sicamente, se centra en lo que las organizaciones deben hacer para proteger la informaci¨®n m¨¦dica protegida electr¨®nica (e-PHI).
La norma de seguridad no dicta qu¨¦ medidas de seguridad se utilizan, si son efectivas. Sin embargo, requieren , tambi¨¦n conocidos como salvaguardas:?
- Administrativo: Se requiere un an¨¢lisis de riesgos para determinar qu¨¦ medidas de seguridad son necesarias para su organizaci¨®n. Este deber¨ªa ser un proceso continuo.?
- ¹ó¨ª²õ¾±³¦´Ç: Esto se refiere a la seguridad de las oficinas en las que se puede almacenar e-PHI. Las medidas de seguridad deben incluir medidas de control y acceso a las instalaciones y seguridad de estaciones de trabajo y dispositivos.?
- °Õ¨¦³¦²Ô¾±³¦´Ç: Las medidas, como los firewalls, el cifrado y la copia de seguridad de datos, se utilizan para mantener la e-PHI segura y las salvaguardas deben consistir en controles de acceso, controles de auditor¨ªa, controles de integridad y seguridad de transmisi¨®n.
Violaciones recientes de datos sanitarios
Seg¨²n un de 2022, la atenci¨®n sanitaria continu¨® con un gran pico de malware en 2021, con un 121 %. Mientras que el mayor salto en los ataques de malware de IoT perteneci¨® a la atenci¨®n sanitaria, que experiment¨® un aumento interanual del 71 %.?
Para arrojar luz sobre la importancia que puede tener el malware, es importante observar algunas filtraciones en los ¨²ltimos a?os que podr¨ªan haberse eludido cumpliendo las normas y salvaguardas de la HIPAA.
Rehoboth McKinley Christian Health Care Services (RMCHCS)
, se notific¨® a m¨¢s de 205 000 pacientes de RMCHCS sobre intentos de extorsi¨®n de datos que obligaron al hospital a perder tiempo en la historia cl¨ªnica electr¨®nica (HER). RMCHCS fue v¨ªctima de un ataque lanzado por Conti, un grupo de hackeo de ransomware?que se dirigi¨® activamente al sector sanitario a lo largo de 2020.
M¨¢s tarde se determin¨® que , incluidos n¨²meros de la seguridad social, pasaportes e informaci¨®n m¨¦dica protegida (PHI) de los pacientes, del sistema durante aproximadamente dos semanas desde el 21 de enero hasta el 5 de febrero. RMCHCS inform¨® de que hab¨ªan notificado a las fuerzas del orden inmediatamente, pero no comenzaron a enviar avisos hasta finales de abril, lo que es motivo de preocupaci¨®n.?
Dado que se trataba de un ataque de ransomware, existe una clara falta de garant¨ªas t¨¦cnicas y evaluaciones de riesgos peri¨®dicas. Aunque RMCHCS notific¨® a los pacientes la filtraci¨®n, la falta de puntualidad compromete a¨²n m¨¢s la seguridad personal y la integridad de la e-PHI. Los pacientes deben haber sido notificados de forma oportuna para que puedan cerrar o modificar sus gr¨¢ficos, actualizar el portal en l¨ªnea o la informaci¨®n bancaria, o solicitar un nuevo pasaporte.
Un punto de contacto
Este proveedor de correo e impresi¨®n de Hartland, Wisconsin, fue v¨ªctima de un ataque de ransomware el 28 de abril de 2022. ?se vieron afectadas por la filtraci¨®n.?
Se descubri¨® que los servidores de OneTouchPoint se vieron comprometidos solo un d¨ªa antes, dejando en riesgo los datos confidenciales. M¨¢s de seis semanas despu¨¦s, OneTouchPoint revel¨® que los archivos conten¨ªan datos de clientes junto con informaci¨®n confidencial de empleados actuales y antiguos. Esto inclu¨ªa nombres y direcciones de clientes y empleados, suscriptores e ID de miembros del sector sanitario, as¨ª como diagn¨®sticos y medicamentos de clientes. Esto ha llevado a muchos de los clientes de OneTouchPoint a ofrecer servicios de supervisi¨®n de cr¨¦dito y protecci¨®n contra robo de identidad a sus miembros a su propio coste.?
Se ha presentado al menos una ?contra OneTouchPoint por la filtraci¨®n de datos.
°ä¨®³¾´Ç cumplir con la HIPAA
Como parte de un mayor esfuerzo por ayudar al cumplimiento de la HIPAA dentro del espacio de ciberseguridad, el OCR aline¨® la HIPAA con el Marco de Tecnolog¨ªa y Est¨¢ndares del Instituto Nacional (NIST). Como uno de los est¨¢ndares m¨¢s grandes de la industria que se reconoce, si ya cumple con NIST, posteriormente es m¨¢s f¨¢cil cumplir con HIPAA.?
Para garantizar que se mantienen altos est¨¢ndares y concienciaci¨®n, muchas empresas proporcionan formaci¨®n y credenciales de cumplimiento de HIPAA. Hay muchas consultor¨ªas que proporcionan formaci¨®n, incluido el OCR, que ofrece diferentes m¨®dulos de formaci¨®n para adaptarse a la amplia gama de entidades que deben cumplir con la HIPAA.
Cumplimiento de HIPPA: pr¨¢cticas recomendadas
Las siguientes pr¨¢cticas recomendadas pueden ayudarle a lograr el cumplimiento:
Comprender las reglas de la HIPAA
?establece c¨®mo se puede utilizar y divulgar la PHI en el sector sanitario. Una descripci¨®n general de la regla le proporciona informaci¨®n sobre los derechos de los pacientes, incluido el derecho a acceder a su historia cl¨ªnica y a solicitar correcciones.
?le proporciona las protecciones t¨¦cnicas, f¨ªsicas y administrativas necesarias para proteger la PHI del cliente.
?requiere que se notifique a los pacientes, los medios de comunicaci¨®n y el Departamento de Salud y Servicios Humanos (HHS) de EE. UU. si se produce una filtraci¨®n de datos.
Realizar una evaluaci¨®n de riesgos
Esto implica identificar toda la PHI que su organizaci¨®n recopila, procesa y almacena. Su evaluaci¨®n de riesgos tambi¨¦n debe identificar las vulnerabilidades de su organizaci¨®n que podr¨ªan poner en riesgo la PHI. Esto incluye ciberamenazas internas o externas conocidas, robo o p¨¦rdida de dispositivos f¨ªsicos y la probabilidad de su organizaci¨®n de un ataque basado en su ?ndice de ciberriesgo.
Implementar pol¨ªticas y procedimientos
Bas¨¢ndose en los resultados de su evaluaci¨®n de riesgos, desarrolle e implemente pol¨ªticas y procedimientos que aborden cada riesgo identificado. Esto incluye ¨¢reas como control de acceso, copia de seguridad y recuperaci¨®n de datos, respuesta ante incidentes y formaci¨®n de concienciaci¨®n sobre seguridad para empleados. Revise y actualice estas pol¨ªticas y procedimientos regularmente para asegurarse de que siguen siendo relevantes.
Capacitar a los empleados
Aseg¨²rese de que sus empleados est¨¦n actualizados sobre las pol¨ªticas y procedimientos de su organizaci¨®n. Todos los empleados que manejan la PHI deben ser conscientes de c¨®mo proteger la PHI y reconocer las consecuencias del incumplimiento. Es necesaria una formaci¨®n peri¨®dica de concienciaci¨®n sobre seguridad para garantizar que los empleados se mantengan al d¨ªa con las ¨²ltimas amenazas y est¨¦n familiarizados con las pr¨¢cticas recomendadas para proteger la PHI.
Supervisi¨®n y auditor¨ªa
Revise con frecuencia las medidas de seguridad de su organizaci¨®n, someta a pruebas de penetraci¨®n?y realice evaluaciones de vulnerabilidad. Esto les mantendr¨¢ a usted y a sus equipos al d¨ªa sobre los riesgos o amenazas emergentes para la PHI y c¨®mo gestionar adecuadamente una filtraci¨®n. La auditor¨ªa peri¨®dica es clave para mantener el cumplimiento y la preparaci¨®n.