Por: José C. Nieves Pérez

HIPAA (Ley de Portabilidad y Responsabilidad del Seguro de Salud) y HITECH (Ley de Tecnología de la Información para la Salud y la Economía Clínica) son dos leyes que establecen normas para proteger la privacidad y la seguridad de la información de salud electrónica. Desde la perspectiva de sistemas de información, para estar en cumplimiento con estas leyes, es importante tomar las siguientes medidas:

1. Implementar medidas de seguridad técnicas y administrativas: Esto incluye medidas como la encriptación de datos, el uso de contraseñas seguras y la implementación de políticas y procedimientos de seguridad.
2. Desarrollar y mantener un plan de contingencia: Este plan debe detallar cómo se manejarán y protegerán los datos de salud en caso de desastres naturales, fallas en el sistema o cualquier otro evento imprevisto.
3. Realizar evaluaciones de riesgos regulares: Esto implica la identificación y evaluación de riesgos para la privacidad y seguridad de la información de salud, así como la implementación de medidas para mitigar dichos riesgos.
4. Establecer controles de acceso: Se deben implementar controles de acceso para garantizar que solo el personal autorizado tenga acceso a la información de salud.
5. Proporcionar capacitación y educación a los empleados: Todos los empleados que manejan información de salud deben recibir capacitación regular sobre las políticas y procedimientos de seguridad de la información de salud y las prácticas recomendadas.
6. Implementar medidas para monitorear el acceso y la actividad de los usuarios: Se deben establecer registros de auditoría y monitorear regularmente la actividad de los usuarios para detectar y responder a cualquier actividad sospechosa.

Posible plan de 18 meses con pasos a seguir y tiempos estimados.

La implementación de medidas de cumplimiento de HIPAA y HITECH es un proceso continuo que requiere un enfoque sistemático y planificado. A continuación, se presenta un plan con pasos específicos a seguir, junto con tiempos y fechas sugeridos, para ayudar a las organizaciones de atención médica a cumplir con estas leyes.

Paso 1: Identificar un equipo de cumplimiento y un oficial de privacidad y seguridad de la información (PSI)

• Tiempo sugerido: Mes 1

En este paso, la organización debe designar un equipo de cumplimiento de HIPAA y HITECH, que incluya un oficial de privacidad y seguridad de la información (PSI) designado. El equipo debe estar compuesto por representantes de los departamentos de tecnología de la información, recursos humanos, cumplimiento, finanzas y atención médica.

Paso 2: Realizar una evaluación de riesgos de seguridad de la información

• Tiempo sugerido: Mes 2-3

La organización debe llevar a cabo una evaluación de riesgos de seguridad de la información para identificar las vulnerabilidades, amenazas y riesgos potenciales para la información de salud electrónica. La evaluación de riesgos debe ser realizada por un experto en seguridad de la información y debe ser revisada y actualizada anualmente.

Paso 3: Desarrollar e implementar políticas y procedimientos de seguridad de la información

• Tiempo sugerido: Mes 4-5

La organización debe desarrollar e implementar políticas y procedimientos de seguridad de la información que aborden los riesgos identificados en la evaluación de riesgos y cumplan con los requisitos de HIPAA y HITECH. Las políticas y procedimientos deben ser comunicados y entrenados a todo el personal de la organización.

Paso 4: Implementar medidas de seguridad técnicas y administrativas

• Tiempo sugerido: Mes 6-7

La organización debe implementar medidas de seguridad técnicas y administrativas, como la encriptación de datos, la autenticación de usuarios y la monitorización de actividad, para proteger la información de salud electrónica. Las medidas de seguridad deben ser revisadas y actualizadas regularmente.

Paso 5: Establecer controles de acceso

• Tiempo sugerido: Mes 8-9

La organización debe establecer controles de acceso para garantizar que solo el personal autorizado tenga acceso a la información de salud electrónica. Los controles de acceso deben ser revisados y actualizados regularmente.

Paso 6: Proporcionar capacitación y educación a los empleados

• Tiempo sugerido: Mes 10-11

La organización debe proporcionar capacitación y educación a todo el personal de la organización sobre las políticas y procedimientos de seguridad de la información de salud y las prácticas recomendadas. La capacitación debe ser revisada y actualizada regularmente.

Paso 7: Establecer un plan de respuesta a incidentes

• Tiempo sugerido: Mes 12

La organización debe establecer un plan de respuesta a incidentes para abordar las brechas de seguridad o violaciones de la privacidad de la información de salud. El plan debe incluir los procedimientos para la notificación de incidentes y la mitigación de daños, y debe ser revisado y actualizado regularmente.

Paso 8: Realizar auditorías internas de seguridad de la información

• Tiempo sugerido: Mes 13-14

La organización debe realizar auditorías internas de seguridad de la información para evaluar la eficacia de sus políticas, procedimientos y controles de seguridad. Las auditorías deben ser realizadas por un experto en seguridad de la información y deben ser revisadas y actualizadas regularmente.

Paso 9: Realizar revisiones periódicas de cumplimiento

• Tiempo sugerido: Mes 15-16

La organización debe realizar revisiones periódicas de cumplimiento para garantizar que sus políticas, procedimientos y controles de seguridad sigan cumpliendo con los requisitos de HIPAA y HITECH. Las revisiones deben ser realizadas por un experto en cumplimiento de HIPAA y HITECH y deben ser revisadas y actualizadas regularmente.

Paso 10: Mantener registros de cumplimiento

• Tiempo sugerido: Mes 17-18

La organización debe mantener registros de cumplimiento de HIPAA y HITECH, incluyendo las evaluaciones de riesgos, las políticas y procedimientos de seguridad de la información, los controles de acceso, la capacitación y educación, el plan de respuesta a incidentes, las auditorías internas y las revisiones periódicas de cumplimiento. Los registros deben ser mantenidos en un lugar seguro y ser accesibles para la revisión por los auditores.

Recomendación de personal, títulos de los puestos y departamentos que deben intervenir.

1. Oficial de privacidad y seguridad de la información (PSI): Esta persona debe ser un experto en cumplimiento de HIPAA y HITECH, y ser el encargado de liderar y supervisar el programa de cumplimiento. El PSI debe tener un conocimiento profundo de la legislación, políticas y prácticas de seguridad de la información, y tener la capacidad de trabajar con otros departamentos para garantizar que se cumplan los requisitos de seguridad.
2. Equipo de cumplimiento: Este equipo estará compuesto por varios miembros de la organización, incluyendo al PSI, un experto en tecnología de la información, un experto en seguridad de la información y un experto en cumplimiento de leyes y regulaciones. Cada miembro del equipo debe tener conocimientos específicos y experiencia en su área de especialización para garantizar el éxito del programa de cumplimiento.
3. Departamento de Tecnología de la Información (TI): El departamento de TI debe trabajar en conjunto con el equipo de cumplimiento para desarrollar e implementar políticas y procedimientos de seguridad de la información, y establecer medidas de seguridad técnicas. El personal de TI debe asegurarse de que la infraestructura tecnológica de la organización esté diseñada y configurada adecuadamente para garantizar la privacidad y seguridad de la información.
4. Departamento de Recursos Humanos: El departamento de Recursos Humanos debe trabajar en conjunto con el equipo de cumplimiento para garantizar que los empleados reciban la capacitación y educación necesarias en materia de seguridad de la información y privacidad de la información de salud. El departamento de Recursos Humanos también debe asegurarse de que se realicen las verificaciones de antecedentes y referencias adecuadas para todos los empleados nuevos, y que se realicen las pruebas y evaluaciones necesarias para garantizar que los empleados comprendan y cumplan con las políticas y procedimientos de seguridad de la información.
5. Departamento legal: El departamento legal debe trabajar en conjunto con el equipo de cumplimiento para garantizar que todas las políticas y procedimientos de seguridad de la información cumplan con los requisitos de la legislación aplicable. El departamento legal también debe asegurarse de que se realicen las notificaciones y reportes necesarios en caso de una violación de la privacidad o seguridad de la información de salud.

Definiciones:

1. HIPAA: La Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) es una ley federal de los Estados Unidos que establece estándares para la privacidad y seguridad de la información de salud protegida (PHI).
2. HITECH: La Ley de Tecnología de la Información para la Salud y la Economía Clínica (HITECH) es una ley federal de los Estados Unidos que se implementó como parte de la Ley de Recuperación y Reinversión de Estados Unidos de 2009 (ARRA). HITECH establece requisitos adicionales de privacidad y seguridad de la información de salud protegida y promueve el uso de la tecnología de la información en el sector de la salud.
3. PHI: La información de salud protegida (PHI) es cualquier información sobre la salud de un individuo que se identifica o puede identificarse, y que se transmite o mantiene en cualquier formato.
4. PSI: El oficial de privacidad y seguridad de la información (PSI) es una posición clave en la implementación de un programa de cumplimiento de HIPAA y HITECH. El PSI es responsable de supervisar la privacidad y seguridad de la información de salud protegida en una organización.
5. Business Associate: Un asociado comercial es cualquier persona o entidad que realiza funciones o servicios en nombre de una entidad cubierta por HIPAA que involucran el uso o la divulgación de información de salud protegida.
6. Covered entity: Una entidad cubierta es cualquier entidad que proporciona servicios de atención médica o realiza ciertas transacciones electrónicas de información de salud protegida, incluidos los proveedores de atención médica, los planes de salud y los proveedores de servicios de salud.
7. BA Agreement: El Acuerdo de asociado comercial es un acuerdo legal entre una entidad cubierta y un asociado comercial que establece las obligaciones del asociado comercial en cuanto a la privacidad y seguridad de la información de salud protegida.
8. PHI Breach: Una violación de PHI es el acceso, uso o divulgación indebidos de información de salud protegida que compromete la privacidad o seguridad de la información.

Referencias:

1. Departamento de Salud y Servicios Humanos de EE. UU. (HHS). https://www.hhs.gov/hipaa/index.html
2. Oficina de Derechos Civiles (OCR) del HHS. https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/index.html
3. Centro Nacional de Coordinación de Información de Salud (ONC). (Privacy, Security, and HIPAA | HealthIT.gov
4. Asociación de Directores de Privacidad y Seguridad de la Información de la Salud (HIMSS). Healthcare Information and Management Systems Society | HIMSS