La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) de los Estados Unidos se estableció para garantizar que la información médica protegida (PHI) no se divulgara sin el consentimiento del paciente. La HIPAA incluye una norma de seguridad que establece medidas de protección para las organizaciones que almacenan información médica protegida (PHI) en formato electrónico (ePHI), así como una norma de privacidad que establece límites y condiciones sobre los usos y divulgaciones que se pueden hacer de dicha información sin la autorización del paciente.
Aunque las regulaciones de la HIPAA están más estrechamente alineadas con las «entidades cubiertas», como los planes de salud, los centros de intercambio de información sanitaria y algunos proveedores de atención médica, también se aplican a los «socios comerciales», es decir, a los proveedores externos que tienen acceso a la PHI. Esto amplía drásticamente el número de organizaciones que deben cumplir con los requisitos de la HIPAA, así como el número de terceros que los proveedores deben evaluar.
Cómo define la HIPAA la información protegida: privacidad y seguridad
La Norma de Privacidad de la HIPAA define la Información Médica Protegida (PHI) como «cualquier información en poder de una entidad cubierta que se refiera al estado de salud, la prestación de asistencia sanitaria o el pago de la asistencia sanitaria y que pueda vincularse a una persona».
La Norma de Seguridad de la HIPAA se ocupa específicamente de la protección de la información médica protegida (PHI) almacenada electrónicamente (ePHI). Establece que la ePHI que una organización (conocida como entidad cubierta) crea, recibe, mantiene o transmite debe protegerse contra amenazas, peligros y usos y/o divulgaciones no permitidos que sean razonablemente previsibles. La Norma de Seguridad de la HIPAA establece reglas generales en torno a los estándares de seguridad, incluyendo medidas de protección administrativas, técnicas y físicas. Los requisitos organizativos y las políticas y procedimientos documentados completan las especificaciones legislativas.
¿Cómo se relaciona el riesgo de terceros con la HIPAA?
Las organizaciones deben ser conscientes de los riesgos que corren las informaciones críticas tanto dentro de su propia entidad como con terceros que tienen acceso a la ePHI. La HIPAA lo establece como requisito y amplía el término «organización» a las entidades cubiertas y los socios comerciales. La sección 164.308(a)(1)(ii)(A) establece lo siguiente:
ANÁLISIS DE RIESGOS (obligatorio).
Realizar una evaluación precisa y exhaustiva de los riesgos y vulnerabilidades potenciales para la confidencialidad, integridad y disponibilidad de la información sanitaria protegida electrónica que obra en poder de la [organización].
Puede evaluar la preparación de un proveedor para cumplir con sus expectativas de seguridad mediante una evaluación de riesgos del proveedor.
Lista de verificación: Requisitos de la HIPAA para socios comerciales
Las organizaciones sanitarias y afines deben garantizar que sus socios comerciales y otros terceros cuenten con los controles de seguridad y privacidad necesarios para impedir accesos no deseados que puedan afectar a la confidencialidad, integridad o disponibilidad de la ePHI. Para ello, las empresas deben llevar a cabo evaluaciones exhaustivas de los riesgos de los proveedores. La siguiente tabla resume los principales requisitos de la HIPAA que deben evaluarse.
| Requisitos de la HIPAA | Qué significa |
|---|---|
| Proceso de gestión de la seguridad Garantías administrativas (§ 164.308(a)(1))(A) Análisis de riesgos (OBLIGATORIO) Una entidad cubierta o un socio comercial debe realizar una evaluación precisa y exhaustiva de los riesgos y vulnerabilidades potenciales para la confidencialidad, integridad y disponibilidad de la información médica protegida electrónica que posee la entidad cubierta o el socio comercial. |
El primer paso para cumplir con las regulaciones de la HIPAA es realizar una evaluación exhaustiva de los riesgos, tanto internos como de terceros que puedan tener acceso a la PHI. Aunque algunas organizaciones intentan hacerlo mediante cuestionarios en hojas de cálculo, ese enfoque no es escalable. |
| Proceso de gestión de la seguridad Garantías administrativas (§ 164.308(a)(1))(B) Gestión de riesgos (OBLIGATORIO) Implementar medidas de seguridad suficientes para reducir los riesgos y vulnerabilidades a un nivel razonable y adecuado para cumplir con [las normas de seguridad de la HIPAA]. |
Una vez identificados los riesgos, las organizaciones deben implementar controles para minimizarlos. |
| Proceso de gestión de la seguridad Garantías administrativas (§ 164.308(a)(1))(D) Revisión de la actividad del sistema de información (OBLIGATORIO) Implementar procedimientos para revisar periódicamente los registros de la actividad del sistema de información, como registros de auditoría, informes de acceso e informes de seguimiento de incidentes de seguridad. |
Dado que pueden producirse muchos cambios entre las evaluaciones anuales, las organizaciones deben realizar un seguimiento continuo de los riesgos, el cumplimiento de los contratos y los acuerdos de nivel de servicio (SLA). |
| Contratos con socios comerciales y otros acuerdos (§ 164.308(b)(1))Una entidad cubierta puede permitir que un socio comercial cree, reciba, mantenga o transmita información médica protegida en formato electrónico en nombre de la entidad cubierta solo si esta obtiene garantías satisfactorias, de conformidad con § 164.314(a), de que el socio comercial protegerá adecuadamente la información. Una entidad cubierta no está obligada a obtener tales garantías satisfactorias de un socio comercial que sea un subcontratista. |
Se requieren contratos con socios comerciales, pero los equipos inteligentes de cumplimiento normativo y seguridad exigirán pruebas de cumplimiento y controles. |
| Proceso de gestión de la seguridad, salvaguardias administrativas § 164.308(a)(6)Especificación de implementación: Respuesta y notificación (OBLIGATORIO) Identificar y responder a incidentes de seguridad sospechosos o conocidos; mitigar, en la medida de lo posible, los efectos perjudiciales de los incidentes de seguridad que sean conocidos por la entidad cubierta o el socio comercial; y documentar los incidentes de seguridad y sus resultados. |
Es posible que algunos proveedores no sepan cuándo han sufrido una violación de seguridad o que no informen rápidamente de los incidentes, lo que puede retrasar el tiempo medio de detección (MTTD) y el tiempo medio de resolución (MTTR), exponiendo a la organización a posibles ataques. |
| Proceso de gestión de la seguridad, salvaguardias administrativas § 164.308(a)(8)Norma: Evaluación. Realizar una evaluación periódica técnica y no técnica, basada inicialmente en las normas implementadas en virtud de la presente norma y, posteriormente, en respuesta a los cambios ambientales u operativos que afecten a la seguridad de la información sanitaria protegida electrónica, que establezca en qué medida las políticas y procedimientos de seguridad de una entidad cubierta o de un socio comercial cumplen los requisitos de la presente subparte. |
Todas las organizaciones experimentan cambios de personal e implementan periódicamente nuevas políticas y procedimientos. Las entidades cubiertas deben supervisar continuamente la inteligencia cibernética, empresarial y financiera para tener visibilidad de los cambios significativos en el perfil de riesgo de un proveedor entre las evaluaciones anuales de control interno. |
| Políticas, procedimientos y requisitos de documentación (§ 164.316(b)(1))Norma: Documentación (i) Mantener por escrito (que puede ser en formato electrónico) las políticas y procedimientos implementados para cumplir con esta subparte; y (ii) Si esta subparte exige que se documente una acción, actividad o evaluación, mantener un registro escrito (que puede ser en formato electrónico) de la acción, actividad o evaluación. |
En caso de incidente o auditoría, o en el transcurso de una relación comercial, las organizaciones deben presentar pruebas que respalden las políticas, los riesgos identificados y los controles. |
Próximos pasos para el cumplimiento de la HIPAA
El cumplimiento de la HIPAA requiere una visión interna y externa completa de los controles establecidos para todos los socios comerciales. Gestionar este proceso de manera eficiente entre cientos de terceros con hojas de cálculo manuales es imposible. A nivel básico, las organizaciones deben:
- Automatizar la incorporación y salida de proveedores asociados al negocio para garantizar procesos coherentes.
- Perfil, nivel y puntuación del riesgo inherente para orientar las decisiones sobre la evaluación completa del riesgo.
- Evalúa a tus socios comerciales con contenido estandarizado que simplifica el mapeo de normativas y estándares.
- Centralizar toda la documentación de los socios comerciales, incluidos los contratos, los informes y las pruebas.
- Realizar un seguimiento continuo de la ciberseguridad, la información comercial/reputacional y financiera para correlacionar los riesgos con los resultados de la evaluación.
- Elabore informes periódicos sobre los acuerdos de nivel de servicio (SLA), el rendimiento y el cumplimiento utilizando plantillas estandarizadas y predefinidas.
- Aprovechar las directrices sobre mejores prácticas para orientar las decisiones de remediación de acuerdo con la propensión al riesgo de la organización.
Para obtener una lista completa de los requisitos de gestión de riesgos de terceros de la HIPAA y cómo se ajustan las capacidades de Prevalent, lea la Lista de verificación de cumplimiento de terceros de la HIPAA o solicite una demostración hoy mismo. Para saber cómo se aplica la gestión de riesgos de terceros a más de 20 normativas diferentes, descargue el Manual de cumplimiento de la gestión de riesgos de terceros.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
