¿Cuál es la forma más fácil de cumplir con HIPAA? No como un proveedor que posee o almacena ningún registro médico, sino como un socio comercial.

Puedo dar una opinión ya que se relaciona con Business Associates basados en software.

“Fácil” equivale algo a Costo / Tiempo. Si está buscando la forma “más rápida” de cumplir con HIPAA, debe gastar el dinero para trabajar con socios de confianza que asumen varias partes de los riesgos de HIPAA.

Piense en cumplimiento basado en 3 cubos:

Tecnología
Infraestructura
Administración

Los controles HIPAA se asignan a esos segmentos. La forma más rápida y más rápida de satisfacer el segmento de Administración es encontrar recursos gratuitos para ayudar a administrar todos los aspectos comerciales de HIPAA. El mejor recurso que puedo darte son las políticas de empresa de código abierto que mi compañía emitió bajo una licencia de Creative Commons hace años y que desde entonces han sido utilizadas por cientos de empresas para este segmento: Contribuciones de código abierto de Datica.

Para la tecnología, la mejor ruta es incorporar las mejores prácticas de seguridad. Si estás seguro, es probable que cumplas.

Para Infraestructura, esa es la parte más difícil del cumplimiento. Usted puede construirlo usted mismo, pero la magnitud de las responsabilidades es muy alta y es muy costoso y requiere mucho tiempo hacerlo usted mismo. Por ejemplo, lea el modelo de responsabilidad compartida de AWS aquí: Modelo de responsabilidad compartida – Amazon Web Services (AWS)

Por lo tanto, la ruta más fácil, por el momento, para cumplir con ese límite es usar un socio como Datica, vinculado anteriormente a las políticas de código abierto. Sé que me estoy promocionando a mí mismo, pero es genuino: aproximadamente el 40% de su auditoría de cumplimiento se cubre de la noche a la mañana al firmar un BAA con un socio como Datica y utilizarlos para el segmento de Infraestructura.

Luego, después de todo eso, usted se relacionaría con un auditor para demostrar su cumplimiento. Siempre que tenga cuidado de concentrarse en los 3 segmentos, debería estar bien.

Carreras en ciencias de la vida: ¿valdría la pena obtener un doctorado / doctorado en lugar de un doctorado para alguien que tiene la intención de trabajar en la industria biomédica, biotecnológica o farmacéutica?

¿Cuáles son las complicaciones de la cirugía de pilas?

Si su empresa trata con proveedores de atención médica o datos de atención médica, es probable que haya oído hablar de la Ley de Portabilidad y Responsabilidad del Seguro Médico o HIPAA. Si tiene que cumplir con HIPAA, aquí hay algunas maneras fáciles de comenzar.

El Departamento de Salud y Servicios Humanos de EE. UU. (HHS) es responsable de la administración de HIPAA y publica un gran recurso llamado “HIPAA para profesionales”. En 2009, la Ley de Tecnología de la Información de Salud para la Salud Clínica y Económica (HITECH Act) agregó controles adicionales que pretenden promover el uso de la tecnología. Con esto en mente, es importante que el oficial de seguridad de HIPAA comprenda los estándares de seguridad de los que son responsables. Una guía para las leyes HIPAA

Las entidades cubiertas se definen como una de las siguientes: Proveedores de atención médica (como un dentista, farmacia u otra práctica médica), Planes de salud (como una compañía de seguros médicos) o Centros de información sobre atención médica.

Si hace negocios con una entidad cubierta o en nombre de ella y maneja información de salud protegida (PHI), le exigirán que firme un Acuerdo de Asociado Comercial (BAA). Los acuerdos de socios comerciales son contratos legalmente vinculantes que lo obligan a cumplir con algunos o todos los mandatos de HIPAA como socio comercial.

El cumplimiento de HIPAA puede ser complicado, pero la utilización de una herramienta de cumplimiento como ZenGRC facilita el análisis de riesgos y la carga de los controles de auditoría. ZenGRC viene precargado con contenido para NIST 800-53, ISO 27001/27002 y HITRUST CSF. También contiene contenido consolidado para ayudar a mapear las brechas entre sus programas existentes y los nuevos requisitos relacionados con HIPAA.

Kris Gösser

Lamentablemente, no existe una forma “fácil” de cumplir. Si está buscando una forma simple, hay muchas empresas de consultoría, como mi empresa o proveedores de plantillas.

Lo primero que debe hacer para avanzar hacia el cumplimiento es realizar un análisis de riesgos, que es donde una empresa de consultoría es útil. Luego debe crear políticas y procedimientos y proporcionar capacitación a todos los miembros de la fuerza de trabajo.

Ser totalmente imposible cumplir con la ‘HIPAA’ es considerado por la mayoría como posible: ¿es posible cumplir con HIPAA?

Kris Gösser