¿Qué estándares de seguridad y cifrado debe cumplir una empresa de servicios de mensajería de seguridad para cumplir con HIPAA?

Lo primero que todos deben entender sobre la seguridad en el cuidado de la salud es que no hay “cumplimiento” HIPAA. No existe un organismo rector que emita un certificado de cumplimiento.

Lo que sí existe es el Protocolo de auditoría OCR HIPAA. [1]

El programa de Auditoría HIPAA de OCR analiza procesos, controles y políticas de entidades cubiertas seleccionadas de conformidad con el mandato de auditoría de la Ley HITECH. OCR estableció un protocolo de auditoría integral que contiene los requisitos que se evaluarán a través de estas auditorías de desempeño. Todo el protocolo de auditoría se organiza en torno a módulos, que representan elementos separados de privacidad, seguridad y notificación de incumplimiento. La combinación de estos requisitos múltiples puede variar según el tipo de entidad cubierta seleccionada para su revisión.

  • El protocolo de auditoría cubre los requisitos de la Regla de privacidad para (1) aviso de prácticas de privacidad para PHI, (2) derechos para solicitar protección de privacidad para PHI, (3) acceso de personas a PHI, (4) requisitos administrativos, (5) usos y divulgaciones de PHI, (6) enmienda de PHI, y (7) contabilidad de divulgaciones.
  • El protocolo cubre los requisitos de la Regla de Seguridad para salvaguardas administrativas, físicas y técnicas
  • El protocolo cubre los requisitos para la Regla de notificación de incumplimiento.

El protocolo está disponible para revisión pública y se puede buscar por palabra clave en la tabla a continuación.

También cubrí este tema exacto en septiembre del año pasado. [2]

Es realmente crítico para cualquier negocio de servicios o software de atención médica entender que sin una auditoría de un tercero realizada por una firma de CPA siguiendo los estándares de AICPA, realmente no tienen idea de cuán fuertes son sus prácticas de privacidad y seguridad. Si alguna vez hay una violación, todo el negocio corre el riesgo de no solo la violación, sino también las sanciones asociadas con la violación, la recuperación y la reparación. Cuanto más pequeña sea la compañía de atención médica, por supuesto, más difícil es hacer todos estos compromisos, lo que incluye el costo de una auditoría y certificación anual de terceros. “ David Barton – Director Gerente, UHY LLP

¿Cuáles son algunas aplicaciones importantes del intercambio electrónico de datos en el campo de la salud?

¿Por qué significa esta prueba médica y por qué motivo un médico puede solicitar esta prueba?

¿Cuáles son algunas de las nuevas empresas de cuidado de la salud en la India?

¿Alguna puesta en marcha proporciona la lista de pruebas de patología de todos los principales laboratorios de NABL en la India en línea?

Las empresas en todas las direcciones reclaman el “cumplimiento HIPAA” cuando, de hecho, a menudo no tienen ni idea de lo que significa el Protocolo de auditoría de OCR. Satisfacer una auditoría OCR HIPAA es mucho más amplio que solo lo que se usa la seguridad o el cifrado. Abarca toda la tecnología, las personas y los procesos asociados con la responsabilidad de manejar PHI y PII en un entorno de atención médica. En ese sentido, se trata más bien de una cultura de seguridad dentro de una organización, y la única manera de probar la adhesión de uno al Protocolo de Auditoría es a través de una evaluación y certificación de terceros anualmente.

Preguntar simplemente qué es lo que constituye el cifrado de datos “Cumplimiento de HIPAA” es, por extensión, una pregunta completamente incompleta para la que no hay respuesta.

Nota al pie: El P en HIPAA significa “Portabilidad” y no (como muchos presumen incorrectamente) para “Privacidad”.

[1] HHS.gov – Privacidad de información de salud
[2] ¿Alguien está realmente ‘HIPAA’ en la asistencia sanitaria?

Supreme Content

HIPAA no tiene estándares específicos a seguir para el cifrado. Debe decidir qué es razonable y apropiado en su entorno para cumplir con sus obligaciones de proteger la información de salud.

Eso no significa que pueda omitir el cifrado, simplemente significa que necesita pasar por sus amenazas y vulnerabilidades para encontrar lo que los bestsellers protegen su PHI. Además, debe poder explicar (con la documentación) sus decisiones que toma sobre todas las protecciones de PHI durante al menos los próximos 6 años.

No existe una verificación real de los detalles de la caja cuando se trata de los requisitos de cumplimiento para HIPAA.

Además de lo que dijo Dan Munro a partir de este punto.

Donna Grindle

Depende del tipo de mensaje y cómo se entrega. Hay algunos tipos de mensajes que simplemente no se pueden proteger como el correo electrónico y / o SMS. Si lo hace como un solo sistema unificado, siempre que cumpla con los requisitos de cifrado en tránsito y encriptado en reposo, y tenga una buena autenticación con un buen control de acceso. Aunque muchas personas usan SSL, otros estándares de seguridad como PCI-DSS han prohibido a favor de TLS. Consulte las preguntas relacionadas sobre los requisitos o la computación en la nube en general y servicios específicos. Por ejemplo, el análisis sintáctico y el PaaS relacionado no son aceptables. Como mínimo, cada proveedor de la cadena debe ser BA. Como Dan Munro me corrigió levemente en otra pregunta, ya que BA no rebasa la seguridad / el cumplimiento total (no existe el cumplimiento completo) debe buscar un proveedor que se especialice en HIPAA (como él señala que AWS no lo hace, por ejemplo). )

Donna Grindle

More Interesting