Lo primero que todos deben entender sobre la seguridad en el cuidado de la salud es que no hay “cumplimiento” HIPAA. No existe un organismo rector que emita un certificado de cumplimiento.
Lo que sí existe es el Protocolo de auditoría OCR HIPAA. [1]
El programa de Auditoría HIPAA de OCR analiza procesos, controles y políticas de entidades cubiertas seleccionadas de conformidad con el mandato de auditoría de la Ley HITECH. OCR estableció un protocolo de auditoría integral que contiene los requisitos que se evaluarán a través de estas auditorías de desempeño. Todo el protocolo de auditoría se organiza en torno a módulos, que representan elementos separados de privacidad, seguridad y notificación de incumplimiento. La combinación de estos requisitos múltiples puede variar según el tipo de entidad cubierta seleccionada para su revisión.
- El protocolo de auditoría cubre los requisitos de la Regla de privacidad para (1) aviso de prácticas de privacidad para PHI, (2) derechos para solicitar protección de privacidad para PHI, (3) acceso de personas a PHI, (4) requisitos administrativos, (5) usos y divulgaciones de PHI, (6) enmienda de PHI, y (7) contabilidad de divulgaciones.
- El protocolo cubre los requisitos de la Regla de Seguridad para salvaguardas administrativas, físicas y técnicas
- El protocolo cubre los requisitos para la Regla de notificación de incumplimiento.
El protocolo está disponible para revisión pública y se puede buscar por palabra clave en la tabla a continuación.
También cubrí este tema exacto en septiembre del año pasado. [2]
Es realmente crítico para cualquier negocio de servicios o software de atención médica entender que sin una auditoría de un tercero realizada por una firma de CPA siguiendo los estándares de AICPA, realmente no tienen idea de cuán fuertes son sus prácticas de privacidad y seguridad. Si alguna vez hay una violación, todo el negocio corre el riesgo de no solo la violación, sino también las sanciones asociadas con la violación, la recuperación y la reparación. Cuanto más pequeña sea la compañía de atención médica, por supuesto, más difícil es hacer todos estos compromisos, lo que incluye el costo de una auditoría y certificación anual de terceros. “ David Barton – Director Gerente, UHY LLP
Las empresas en todas las direcciones reclaman el “cumplimiento HIPAA” cuando, de hecho, a menudo no tienen ni idea de lo que significa el Protocolo de auditoría de OCR. Satisfacer una auditoría OCR HIPAA es mucho más amplio que solo lo que se usa la seguridad o el cifrado. Abarca toda la tecnología, las personas y los procesos asociados con la responsabilidad de manejar PHI y PII en un entorno de atención médica. En ese sentido, se trata más bien de una cultura de seguridad dentro de una organización, y la única manera de probar la adhesión de uno al Protocolo de Auditoría es a través de una evaluación y certificación de terceros anualmente.
Preguntar simplemente qué es lo que constituye el cifrado de datos “Cumplimiento de HIPAA” es, por extensión, una pregunta completamente incompleta para la que no hay respuesta.
Nota al pie: El P en HIPAA significa “Portabilidad” y no (como muchos presumen incorrectamente) para “Privacidad”.
[1] HHS.gov – Privacidad de información de salud
[2] ¿Alguien está realmente ‘HIPAA’ en la asistencia sanitaria?