¿Cómo se logra exactamente el cumplimiento HIPAA?

El cumplimiento HIPAA no es algo que logre. No hay puntos de inicio y final con un simple mapa de ruta o lista de verificación.

Se supone que debe esforzarse por un sólido programa de cumplimiento HIPAA que cumpla con su obligación de cumplir de manera razonable y apropiada para su entorno.

Solo una auditoría de OCR puede decirle qué tan bien lo está haciendo en su programa. Esa opinión sobre una auditoría también solo se aplica a lo que auditaron y no a dónde se encuentra el día siguiente. Su programa HIPAA debe estar en curso y en constante cambio.

Si usted es una Entidad Cubierta (CE) HIPAA, tiene requisitos más amplios que los HIPAA Business Associates (BA). Sin embargo, muchos de los requisitos son los mismos.

A menudo, los CE creen erróneamente que tienen la HIPAA “cubierta” porque cumplieron con los requisitos de la Regla de Privacidad y usan una aplicación de EHR certificada. Eso no es correcto, los requisitos de la Norma de Privacidad, Seguridad y Violación van más allá de esa suposición.

Los BA creen erróneamente que solo tienen que preocuparse por los requisitos de la Norma de Seguridad. Eso tampoco es correcto Deben preocuparse por ciertos elementos de la Regla de Privacidad relacionada con los Usos y Divulgaciones, los requisitos de Notificación de Incumplimiento más otras inquietudes basadas en los Acuerdos de Asociados Comerciales (BAA) que firmaron.

Tanto los BA como los CE requieren:

  1. Los oficiales de cumplimiento capacitados regularmente cuyo trabajo está claramente definido para incluir responsabilidades de cumplimiento
  2. Plan de gestión de documentación (debe demostrar que está haciendo el trabajo requerido por HIPAA con una amplia documentación)
  3. Plan de Gestión de Acuerdo de Asociado Comercial (BA) debe gestionar muchos más acuerdos que CE porque tienen BAA con todos sus clientes CE, BA, BA y subcontratistas BA. Eso no significa que los CE no tengan mucho que hacer por sí mismos. lista, sin embargo)
  4. Informes de evaluación de seguridad y análisis de riesgos de seguridad documentados dentro de un marco de tiempo razonable (ninguno realizado en 2005 y nada desde)
  5. Mitigación documentada de riesgos y plan de gestión
  6. Políticas escritas relacionadas con la regla de seguridad, la regla de privacidad y los requisitos de notificación de incumplimiento que abordan esos requisitos de una manera que sea razonable y apropiada en su entorno.
  7. Procedimientos escritos que explican cómo se implementarán, aplicarán, evaluarán y auditarán periódicamente las políticas.
  8. Programa de capacitación de la fuerza de trabajo de HIPAA completamente documentado
  9. Programa de entrenamiento de fuerza de trabajo de conciencia de seguridad
  10. Plan de evaluación regular y actualizaciones de Security Risk Analysis basadas en las necesidades y cambios del negocio

Por supuesto, los elementos de esta lista son amplios, al igual que los requisitos de la ley HIPAA. Pero, si trabajó de esta lista para asegurarse de que su programa tuviera todos estos elementos cubiertos, sin duda podría argumentarse que es un sólido programa de cumplimiento HIPAA que aborda su obligación de cumplir de manera razonable y apropiada para su entorno.

Soy cofundador de Catalyze, que ofrece infraestructura compatible con HIPAA para proveedores de tecnología de la salud. Hemos pasado por 3 auditorías (2 HIPAA y 1 HITRUST) en el último año. Lanzamos Catalyze después de crear aplicaciones compatibles para grandes sistemas de salud. Antes de eso en medicina, experimenté el lado clínico de HIPAA. Antes de la escuela de medicina, realicé pruebas de seguridad y pruebas de red como parte de las auditorías HIPAA para grandes organizaciones de atención médica y contribuyentes públicos y privados.

Hay una multitud de requisitos para cumplir con HIPAA, y son técnicos y no técnicos. El cifrado, tanto en tránsito como en reposo, es sin duda parte de los requisitos tecnológicos, pero está lejos de todos. Y HIPAA no es preceptivo en muchas de sus reglas.

Al más alto nivel, el espíritu de HIPAA impide el acceso no autorizado a PHI ( https://catalyze.io/learn/hipaa/ …) /. Para lograr esto, debe seguir una larga lista de requisitos. En un nivel muy granular, OCR publica aquí una lista de verificación -http: //www.hhs.gov/ocr/privacy/h…. En Catalyze intentamos hacer eso un poco más simple aquí. ¿Estoy en conformidad con HIPAA? Toma esta autoevaluación para averiguarlo. También puede ver todas las cosas que hacemos para aprobar las auditorías de cumplimiento aquí -https: //catalyze.io/hipaa/.

Reclamar el cumplimiento de HIPAA es algo que cualquiera puede hacer porque no existe un proceso de certificación como PCI; desafortunadamente, no significa mucho reclamar el cumplimiento si no puede probarlo a los hospitales y clientes de las compañías de seguros. HITRUST fue creado para ofrecer una certificación, y eso está comenzando a ponerse de moda en la industria, especialmente con jugadores más grandes. Muchas personas asocian lograr el cumplimiento con la realización de una auditoría HIPAA de terceros.

Bridgette Gregory-O’Connor

Una nota para tener en cuenta primero: ser compatible con HIPAA hoy no garantiza que usted seguirá cumpliendo con HIPAA mañana. Las reglas y regulaciones de HIPAA cambian todos los días, a medida que cambia la tecnología y la seguridad. Hace que sea aún más importante que con quien elijas trabajar se concentre en HIPAA, y no es solo un subproducto de su servicio de hosting.

Entre muchos otros requisitos, HIPAA requiere ciertas medidas administrativas, físicas y técnicas para estar en su lugar, según el Departamento de Salud y Servicios Humanos de los EE. UU. Ejemplos de estas protecciones incluyen:

  • Obstáculos físicos para limitar el acceso y control de las instalaciones.
  • Barreras técnicas que permiten que solo el personal autorizado acceda a los datos de salud electrónicos. El control de acceso incluye el uso de identificadores de usuario únicos, un procedimiento de acceso de emergencia, desconexión automática y cifrado y descifrado.
  • Registros de seguimiento que mantienen registros de actividades tanto en hardware como en software. Esto ayuda a identificar la fuente o causa de cualquier violación de seguridad.
  • Políticas técnicas que incluyen controles de integridad o medidas para confirmar que los registros de salud electrónicos del paciente no se hayan alterado o destruido.
  • Seguridad de transmisión para proteger contra el acceso público no autorizado de registros de pacientes. Esto se refiere a todos los métodos de transmisión de datos, ya sea correo electrónico, Internet o incluso a través de una red privada.
Travis Good

Los siguientes factores que debe tener en cuenta para el cumplimiento de la hippa:

Las salvaguardas físicas incluyen acceso y control limitados de las instalaciones, con acceso autorizado en el lugar. Todas las entidades cubiertas, o empresas que deben cumplir con HIPAA, deben tener políticas sobre uso y acceso a estaciones de trabajo y medios electrónicos. Esto incluye la transferencia, eliminación, eliminación y reutilización de los medios electrónicos y la información de salud protegida electrónica (ePHI) .

  • Las salvaguardas técnicas requieren control de acceso para permitir que solo el autorizado tenga acceso a los datos de salud electrónicos protegidos. El control de acceso incluye el uso de identificadores de usuario únicos, un procedimiento de acceso de emergencia, desconexión automática y cifrado y descifrado.
  • Los informes de auditoría o los registros de seguimiento deben implementarse para mantener registros de la actividad en el hardware y el software. Esto es especialmente útil para identificar la fuente o causa de cualquier violación de seguridad.
  • Las políticas técnicas también deberían abarcar los controles de integridad o las medidas establecidas para confirmar que ePHI no ha sido alterado o destruido. La recuperación de desastres de TI y la copia de seguridad externa son clave para garantizar que cualquier error o falla de los medios electrónicos pueda remediarse rápidamente y que la información de salud del paciente se pueda recuperar de manera precisa e intacta.
  • La seguridad de red o transmisión es la última protección técnica requerida de los hosts que cumplen con HIPAA para proteger contra el acceso público no autorizado de ePHI. Esto se refiere a todos los métodos de transmisión de datos, ya sea correo electrónico, Internet o incluso a través de una red privada, como una nube privada.
Bridgette Gregory-O’Connor

Ya es hora de asegurar las redes con auditorías y documentación periódicas. He estado usando Opsfolio y sus soportes para nuestro marco de riesgo de seguridad cibernética, realizando evaluaciones integrales, implementando estándares de seguridad cibernética y documentando su infraestructura, amenazas y vulnerabilidades.

Opsfolio es un software de evaluación y gestión de riesgos de seguridad cibernética, su servicio integral de evaluación de seguridad cibernética ayuda a descubrir amenazas y vulnerabilidades en nuestros dispositivos, selecciona un marco de gestión de riesgos, categoriza y resuelve (o planea resolver) problemas de ciberseguridad, y lo más importante proporciona contenido completo que podemos incluir su aplicación 510 (K).

Stephanie Shaykin

¿Su empresa trabaja con alguna organización en la industria de la salud? De ser así, existe una buena posibilidad de que esté sujeto a la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). Diseñada para proteger la transferencia y el almacenamiento de la información médica protegida (PHI), HIPAA consiste en una serie de verificaciones, saldos y pautas que las organizaciones deben seguir por ley.

El incumplimiento de HIPAA puede generar multas sustanciales en su negocio. Si ocurre una violación de la PHI, podría incluso resultar en cargos criminales o demandas civiles. Baste decir que no quieres ser insatisfactorio.

Ahí es donde entramos. Hoy, vamos a repasar una lista de todo lo que necesita para cumplir con HIPAA. Antes de comenzar, sin embargo, es importante aclarar que bajo HIPAA, hay dos tipos de organizaciones.

fuente: La lista de verificación de cumplimiento HIPAA: todo lo que necesita saber para proteger los datos del paciente | Liberty Center One

Stephanie Shaykin

El cumplimiento de HIPAA se logra a través de un largo proceso implementando procedimientos de privacidad, analizando el riesgo y asegurando los activos. Existen numerosas políticas y procedimientos para documentar e implementar. Un buen lugar para comenzar es con una lista de todos los lugares donde almacena información de salud protegida y una lista de con quién la comparte. Luego, encuentre formas de proteger mejor esa información.

William Davis