Con HIPAA, la formación no cuesta nada. Se amortiza.

El número de violaciones de datos por año es el más alto jamás registrado. Lo mismo ocurre con el coste medio de esas violaciones, especialmente en el sector sanitario. Según SecurityIntelligence de IBM , el coste medio de las violaciones de datos sanitarios supera ahora los 10 millones de dólares, lo que las hace más caras que las de cualquier otro sector. De hecho, esto supone más del doble del coste medio de las violaciones en todos los sectores. Las mega violaciones de datos sanitarios, que implican la violación de más de 50 millones de registros, tienen un coste medio de 401 millones de dólares por incidente, según la revista HIPAA Journal.

Una violación de datos sanitarios o de atención médica casi siempre implica la divulgación no autorizada de información médica protegida (PHI). La PHI está protegida por la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996, o HIPAA.

El Departamento de Salud y Servicios Humanos (HHS) de los Estados Unidos define una violación como «un uso o divulgación no permitidos según la Norma de Privacidad que compromete la seguridad o la privacidad de la PHI». La Norma de Privacidad es uno de los tres pilares de la HIPAA. La Norma de Notificación de Violaciones es otro de esos tres pilares. Esta norma establece los requisitos que deben cumplir las organizaciones si se sospecha que se ha producido una violación de la PHI.

Aunque existen numerosas formas en las que puede producirse una violación de datos sanitarios o de salud, la mayoría se debe a piratería informática o a un incidente relacionado con la tecnología de la información (TI). Practice Resources informó este mes de una violación de la información médica protegida (PHI) de casi un millón de personas. Esa cifra fue superada una semana antes por una violación en OneTouchPoint, según el portal de informes de violaciones del HHS.

En una carta reciente dirigida al Departamento de Salud y Servicios Humanos (HHS), el senador estadounidense Angus King y el representante Mike Gallagher afirmaron: «Dado el crecimiento exponencial de las amenazas cibernéticas, debemos dar prioridad a la resolución de las deficiencias en materia de ciberseguridad del sector sanitario». King y Gallagher son copresidentes de la Comisión Cyberspace Solarium. Se encuentran entre los numerosos expertos que alertan sobre un problema que crece rápidamente.

Las clínicas y los hospitales conectan cada vez más sus sistemas a través de plataformas que facilitan la transferencia electrónica de datos. Sin embargo, no siempre se aplican las medidas de seguridad necesarias, lo que los convierte en un objetivo lucrativo. Otros factores que aumentan el número de violaciones de seguridad son el aumento del número de trabajadores remotos y una mayor prevalencia de los dispositivos móviles, en particular los dispositivos personales utilizados para el trabajo.

Dado que los sistemas sanitarios y sus socios y asociados comerciales comparten datos continuamente entre sí, la situación es propicia para que los piratas informáticos accedan a este tesoro de datos valiosos. Los piratas informáticos pueden vender en la web oscura los nombres, direcciones, números de la seguridad social, fechas de nacimiento y otros identificadores obtenidos, así como nombres de usuario y contraseñas.

Para ayudar a combatir estos riesgos, es fundamental realizar cursos periódicos de formación sobre la HIPAA. La formación sobre la HIPAA de Syntrio incluye las mejores prácticas para evitar y notificar las violaciones de datos. La formación sobre la HIPAA para los nuevos empleados y los cursos de actualización periódicos para el resto del personal son un requisito legal para determinados puestos y sectores. Aunque el HHS no especifica la frecuencia con la que debe completarse la formación sobre la HIPAA, sí exige una formación continua para mantener los requisitos de la HIPAA en primer plano.

Las infracciones, los gastos legales incurridos, la mala publicidad, la reducción de la actividad comercial, las horas de trabajo perdidas por los empleados, la pérdida de confianza de los clientes y socios comerciales, las costosas multas y, sobre todo, el estrés emocional de las víctimas superan con creces el coste de la formación sobre la HIPAA. La formación continua para ayudar a prevenir las infracciones se traduce en un enorme ahorro de costes.

Syntrio ofrece la solución ideal con dos interesantes series de módulos. La serie HIPAA y atención al paciente está dirigida a quienes trabajan directamente con pacientes, mientras que HIPAA Essentials está pensada para personas que no interactúan directamente con pacientes, pero que sí manejan información médica protegida (PHI). Ambas series explican el motivo de la HIPAA, las tres normas que la componen y sugerencias para ayudar a evitar costosas infracciones.

La formación recién publicada por Syntrio, creada en colaboración con expertos en la materia, contiene las últimas directrices del Departamento de Salud y Servicios Humanos (HHS) y del Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST). La formación emplea escenarios realistas, funciones interactivas para aumentar la participación y la retención del aprendizaje, ejercicios significativos basados en situaciones y frecuentes comprobaciones de conocimientos. Incluye las mejores prácticas para el uso de dispositivos móviles y redes sociales, así como para las medidas de seguridad administrativas, físicas y técnicas de la información médica protegida electrónica (ePHI).

Agradecemos la oportunidad de analizar cómo nuestra formación puede proporcionar a su personal los conocimientos necesarios para ayudar a proteger a su organización y a aquellos a quienes presta servicio contra el uso indebido y la pérdida de información médica protegida.