Saltar al contenido
Cosas Tecnológicas

Los desafíos únicos que rodean los datos sanitarios

The Unique Challenges Surrounding Healthcare Data 3

Un acrónimo de la Ley de Portabilidad y Responsabilidad de Seguros de Salud, HIPAA se refiere a un conjunto de estándares regulatorios firmados como ley hace un cuarto de siglo. La HIPAA fue diseñada para establecer disposiciones de seguridad en torno a la privacidad de los datos con el objetivo de mantener la información médica segura para los pacientes. HIPAA es un estándar obligatorio por ley en toda la industria de la salud de los Estados Unidos, ya sea un proveedor u organización de servicios de salud, un hospital o cualquier otro organismo asociado que tenga acceso a la Información de salud protegida (PHI) de los pacientes.

Mucho ha cambiado en los 25 años desde que se firmó la HIPAA. La ciberseguridad estaba en pañales en 1996, en la medida en que la ley ni siquiera contenía disposiciones o directrices para esta área. Sin embargo, la importancia de estas reglas solo se ha visto aumentada por el cambio tecnológico en los años posteriores.

A medida que más y más proveedores de atención médica y otras organizaciones en el campo hacen la transición a operaciones computarizadas en todos los dominios de la práctica médica, la necesidad de proteger adecuadamente los datos confidenciales de los pacientes se ha vuelto cada vez más profunda.

Salvaguardar la información del paciente

Con más datos que nunca llevados a cabo y almacenados digitalmente, la HIPAA es necesaria para salvaguardar la información del paciente y los proveedores de atención médica. Una posible violación de seguridad podría dañar a los pacientes, dañar la reputación de los proveedores de atención médica y hacer que estos últimos sean multados o sujetos a medidas disciplinarias por cortesía de los Centros de Servicios de Medicare y Medicaid (CMS) o la Oficina de Derechos Civiles de EE. UU. (OCR). Algunas sanciones por violar las reglas de HIPAA pueden llegar hasta $ 1,500,000 por año para cada categoría de violación.

Desafortunadamente, el campo de la salud continúa sufriendo violaciones y ciberataques. Estos ataques van desde ransomware diseñado para cifrar o exfiltrar archivos vitales, incluidos datos de pacientes, y luego extorsionar a los propietarios legítimos por dinero para su devolución a través de devastadores ataques distribuidos de denegación de servicio (DDoS) destinados a interrumpir las organizaciones al desconectar servicios vitales fuera de línea.

Entre enero y noviembre de 2020, se estima que el 79% de las violaciones de datos involucraron a organizaciones de atención médica de algún tipo. Entre noviembre de 2020 y enero de 2021, hubo un aumento del 45% en los ciberataques realizados contra las organizaciones de salud. No parece que esta tendencia se desacelere en el corto plazo. En cambio, parece probable que continúe aumentando.

El proyecto de ley de puerto seguro de HIPAA

En este contexto, el proyecto de ley de puerto seguro de la HIPAA (también conocido como HR 7898) se firmó el 5 de enero de 2021. El proyecto de ley enmendó la ley HITECH existente anteriormente y requería que el Departamento de Salud y Servicios Humanos (HHS) incentivara a quienes implementan buenas medidas de ciberseguridad. para cumplir con las reglas de HIPAA. Esencialmente, significa que, siempre que hayan hecho todo lo posible para cumplir con las pautas correctas de la Regla de seguridad de HIPAA, las multas y otros castigos serán más indulgentes incluso cuando se investigue una violación de datos potencialmente grave.

No disminuye la gravedad de las infracciones, pero recompensa a quienes han tomado las medidas de protección técnica adecuadas para mitigar el riesgo.

Esta nueva incorporación a la ley llega en un momento en que existe una mayor conciencia del panorama cambiante de amenazas para la atención médica. Los equipos de seguridad deben encontrar formas de utilizar presupuestos a menudo limitados para centrarse adecuadamente en las amenazas de mayor riesgo. El proyecto de ley de puerto seguro de HIPAA ofrece una especie de alivio a quienes toman las medidas correctas para protegerse, pero para cosechar los beneficios de esto deben, por supuesto, tomar esas medidas preventivas.

Hay varias medidas que pueden tomar. Una de las medidas más importantes para una organización es utilizar una lista de verificación de cumplimiento para HIPAA para asegurarse de que cumplen con todas las medidas administrativas, técnicas y otras medidas de protección requeridas por la ley. Esto incluye requisitos sobre la privacidad y las reglas de notificación de violación de datos de la HIPAA. Cubre auto-auditorías, planes de remediación, políticas, procedimientos, capacitación de empleados, documentación adecuada, manejo de incidentes y más.

Actuar de buena fe

Más allá de esto, las organizaciones deben implementar fuertes medidas de seguridad de datos para demostrar un esfuerzo de “buena fe” y minimizar la probabilidad, el impacto y el alcance de una infracción.

Una de las salvaguardias técnicas que deben tomar las organizaciones implica el control de acceso, asegurándose de que solo las personas correctas y autorizadas puedan acceder a la información confidencial, sin embargo, se almacena.

Otro es el control de auditoría que rastrea los intentos de acceso a la información de salud protegida electrónicamente (ePHI) y lo que ha sucedido con este acceso posterior. Otro involucra controles de integridad para asegurarse de que este ePHI no se altere o destruya de manera inapropiada. Otra es la seguridad de transmisión, que establece que las entidades que se ocupan de la ePHI recibida o transmitida a través de una red electrónica la protegen adecuadamente.

Los desafíos que rodean los datos de atención médica y las amenazas consiguientes no van a desaparecer. Si bien Safe Harbor de HIPAA permite que algunos respiren aliviados, sabiendo que están tomando todas las precauciones posibles, este grupo aún no involucra a todos los que operan en este sector.

Asegurarse de unirse a ellos si aún no lo ha hecho, es de suma importancia.