Directrices de la HIPAA para empleados

Aunque la HIPAA lleva afectando a la industria de la salud desde finales de los 90, demasiadas empresas siguen luchando por cumplir con las distintas facetas de la ley. Un área particular de debilidad para las entidades cubiertas involucra la protección de la información de salud protegida de sus pacientes. Una y otra vez, no salvaguardan adecuadamente la información de identificación personal que se les ha confiado. Naturalmente, estas defensas tan laxas pueden dar lugar a una serie de problemas como el robo de datos, el fraude, la pérdida de confianza de los clientes, multas e incluso penas de cárcel.

A lo largo de los años, una de las principales causas de incumplimiento de la HIPAA es el resultado de un error humano. En la mayoría de los casos, los empleados, sin saberlo, abren las compuertas a las miradas indiscretas o a los ciberdelincuentes por una simple falta de comprensión, educación o previsión. Aunque este tipo de acciones no suelen ser malintencionadas, la ignorancia no es una excusa fácilmente aceptada por el Departamento de Salud y Servicios Humanos. Por lo tanto, es crucial que se asegure de que los miembros de su equipo cumplan con las normas y reglamentos de la HIPAA.

¡Consulte nuestras directrices de la HIPAA para empleados aquí!

¿Están los empleadores obligados por la HIPAA?

Si su negocio se encuentra fuera del ámbito de la sanidad, es posible que se pregunte a su equipo de RRHH: «¿Están los empresarios obligados por la HIPAA?». Aunque usted no sea una entidad cubierta, sigue recopilando la información de salud de sus empleados para cosas como la compensación de los trabajadores o la Ley de Estadounidenses con Discapacidades .

En general, la HIPAA sólo se aplica a las «entidades cubiertas». Estas se definen como:

  1. Planes de salud
  2. Proveedores de atención médica que almacenan, comparten o envían electrónicamente la PHI
  3. Centros de compensación de atención médica
  4. En resumen, la HIPAA típicamente no se aplica al acto directo de recopilar la información de salud personal de su empleado; sin embargo, se aplicará a la entidad de atención médica de la que usted está recopilando dicha información.

    Evalúe su cumplimiento de la HIPAA / HITECH

    Según los límites establecidos por la HIPAA, las entidades cubiertas sólo pueden revelar información sanitaria protegida del paciente cuando el individuo lo permita. En un sentido amplio, una entidad cubierta puede revelar la PHI para fines de tratamiento; después de eso, las limitaciones de revelación se vuelven más estrictas. Normalmente, lo que se puede revelar está sujeto a la limitación «mínima necesaria» establecida en la HIPAA. Según la sección 164.512 de la HIPAA:

    Una entidad cubierta puede utilizar o revelar información de salud protegida sin la autorización escrita del individuo, como se describe en la sección 164.508, o la oportunidad de que el individuo esté de acuerdo o se oponga como se describe en la sección 164.510, en las situaciones cubiertas por esta sección, sujeto a los requisitos aplicables de esta sección. Cuando la entidad cubierta está obligada por esta sección a informar al individuo de, o cuando el individuo puede estar de acuerdo con, el uso o la divulgación permitidos por esta sección, la información de la entidad cubierta y el acuerdo del individuo pueden darse oralmente.

    Asociados comerciales

    En 2009, la Ley de Reinversión y Recuperación de Estados Unidos (ARRA) amplió el paraguas de la HIPAA para cubrir a los asociados comerciales, que son definidos por el HHS como: «Una persona o entidad que realiza determinadas funciones o actividades que implican el uso o la divulgación de información sanitaria protegida en nombre de una entidad cubierta o que le presta servicios. Un miembro de la plantilla de la entidad cubierta no es un asociado comercial. Un proveedor de atención médica cubierto, un plan de salud o un centro de compensación de atención médica pueden ser asociados comerciales de otra entidad cubierta.»

    Ejemplos de funciones y actividades del asociado de negocios pueden incluir:

  • Análisis de datos
  • Procesamiento de datos
  • Administración de datos
  • Procesamiento de reclamaciones
  • Administración de reclamaciones
  • Utilización revisión
  • Aseguramiento de la calidad
  • Facturación
  • Gestión de prestaciones
  • Gestión de la práctica
  • Representación
  • Por tanto, los servicios de asociados de negocios pueden cubrir cualquiera de las siguientes ocupaciones:

    • Legal
    • Contabilidad
    • Administración
    • Consultoría
    • Agregación de datos
    • Datos gestión
    • Acreditación de datos
    • Financieros
      • Directrices de la HIPAA para empleados

        ¿Qué es la PHI?

        Si su empresa es una entidad cubierta o un asociado comercial, es esencial que usted y sus empleados tengan especial cuidado con la información sanitaria protegida de sus clientes. Pero, ¿qué se considera PHI? Según la revista HIPAA es:

        Cualquier información sanitaria identificable que sea utilizada, mantenida, almacenada o transmitida por una entidad cubierta por la HIPAA o por un asociado comercial de una entidad cubierta por la HIPAA, en relación con la prestación de asistencia sanitaria o el pago de servicios sanitarios. No es sólo la información sanitaria pasada y actual la que se considera PHI según las normas de la HIPAA, sino también la información futura sobre las condiciones médicas o la salud física y mental relacionadas con la prestación de atención o el pago de la misma. La PHI es información de salud en cualquier forma, incluyendo registros físicos, registros electrónicos o información hablada.

        Los 18 identificadores que califican como PHI son:

        • Números de cuenta
        • Cualquier número o código de identificación único
        • Identificadores biométricos (huellas dactilares, escáner de retina)
        • Números de certificado/licencia
        • Fechas, excepto el año
        • Identificadores de dispositivos y números de serie
        • Direcciones de correo electrónico
        • Números de fax
        • Fotos de rostro completo e imágenes comparables
        • Datos geográficos
        • Números de beneficiarios de planes de salud
        • Direcciones de protocolo de Internet
        • Números de números de registro médico
        • Nombres
        • Números de la Seguridad Social
        • Números de teléfono
        • Identificadores y números de serie de vehículos, incluidas las matrículas
        • Los URL de la web
        • Protecciones administrativas

          Si usted es una entidad cubierta o un asociado comercial, la Regla de Seguridad dicta que su empresa introduzca las siguientes salvaguardas administrativas:

          • Proceso de gestión de la seguridad – Las entidades cubiertas están obligadas a identificar y analizar los riesgos potenciales para la ePHI. Una vez hecho esto, están obligadas a añadir protocolos y procedimientos de seguridad para disminuir dichos riesgos.
          • Funcionario de seguridad – Deben designar un funcionario de seguridad que se encargue de crear y aplicar los protocolos y procedimientos de seguridad.
          • Gestión del acceso a la información – Debe limitar el uso y la divulgación de la PHI al «mínimo necesario».
          • Formación y gestión de la plantilla – Tiene la obligación legal de asegurarse de que proporciona tanto la supervisión como la formación adecuadas a cualquier empleado que maneje la ePHI. Esto incluye instruirlos sobre las políticas de seguridad, los procedimientos y las sanciones por incumplimiento.

          Si su empresa maneja información sensible de clientes de forma habitual, está obligado por la ley a proteger esa información. Al imponer la formación sobre el cumplimiento de la HIPAA, usted toma las precauciones preventivas adecuadas y, en caso de fallos, puede luego demostrar a fuentes externas que hizo todo lo que estaba en su mano para formar a sus empleados para que actuaran correctamente.

          Infracciones y pasos en falso comunes de los empleados de la HIPAA

          Como se ha mencionado, los empleados son la causa más común de las infracciones de la HIPAA. La gran mayoría de estos casos de mala conducta son simplemente el resultado de la pereza y la falta de formación. Los empleados no saben lo que hacen, aunque deberían, y actúan por incompetencia. Teniendo esto en cuenta, es su deber educar regularmente a sus empleados sobre los peligros del incumplimiento de la HIPAA, tanto para ellos personalmente como para la empresa para la que trabajan.

          La formación sobre el cumplimiento de la HIPAA tiene como objetivo enseñar a los empleados a manejar adecuadamente la ePHI para que:

  1. Garantizar la confidencialidad, integridad y disponibilidad de toda la e-PHI que creen, reciban, mantengan o transmitan;
  2. Identificar y proteger contra las amenazas razonablemente anticipadas a la seguridad o integridad de la información;
  3. Proteger contra los usos o divulgaciones razonablemente anticipados e inadmisibles;
  4. Asegurar el cumplimiento por parte de su personal.
  5. Para ayudarle en la tarea de crear una lista de comprobación del cumplimiento de la HIPAA por parte del empleador, es fundamental que conozca las infracciones más comunes que suelen cometer los empleados, así como las medidas preventivas que puede adoptar. Estas incluyen:
    • Fisgonear en los archivos de los pacientes
    • Según el HIPAA Journal:

    El fisgoneo fue la mayor causa de exposición de la información sanitaria de los pacientes según la encuesta, con un 27% de haber experimentado una infracción cuando un empleado consultó los historiales médicos de amigos y familiares, mientras que el 35% se produjo cuando los empleados revisaron los historiales médicos de sus compañeros de trabajo.

    Un empleado que accede ilegalmente a la PHI de los clientes con fines no relacionados con el trabajo está actuando de forma poco profesional y arrogante. Ya sea que lo hagan por malicia, curiosidad o amistad, hacerlo es ilegal y puede causar graves daños a su negocio.

    Las medidas que puede tomar para evitar este tipo de acciones incluyen restringir el acceso a los expedientes de los pacientes o de los empleados a menos que se requiera explícitamente para fines laborales.

    • Manejo incorrecto de los registros médicos – La HIPAA exige que cualquier registro médico impreso que contenga PHI se guarde en un lugar seguro. Si una enfermera deja el archivo de un paciente anterior en la sala de exámenes y ese archivo puede ser leído, accedido o robado por otro paciente, eso es una clara violación de la HIPAA.Por lo tanto, cubra los gráficos para que los nombres de los pacientes o la información identificable no sean visibles. Además, no deje los registros o la PHI similar desatendida; en su lugar, introduzca una política de almacenamiento inmediato de los historiales, pruebas y otros documentos de los pacientes al finalizar un examen.
    • Medios de comunicación social – La ineptitud en los medios de comunicación social ha causado su parte justa de dolores de cabeza tanto para las empresas como para los individuos. Publicar fotos de las caras de los clientes, especialmente sin su consentimiento expreso, es una de las formas más sencillas en las que se puede violar la HIPAA. A menos que el paciente te dé luz verde, publicar una foto suya podría exponerlo a que otros descubran que acude a ese médico concreto por lo que puede ser un motivo privado y/o embarazoso.Si quieres evitar errores en las redes sociales, deja muy claro a la persona encargada de tus redes sociales y/o a los empleados que tengan mucho cuidado con lo que publican o no. Transmítales cómo incluso una publicación inocente podría causar potencialmente una serie de ramificaciones negativas para ellos, el negocio y, lo que es más importante, el paciente.
    • Empleados que discuten la información del paciente – Ya sea en el trabajo o en casa, los empleados nunca deben hablar o cotillear sobre un paciente visto anteriormente, a menos que estén trabajando actualmente en su caso. Esto es especialmente cierto cuando se mantienen conversaciones de este tipo en lugares en los que empleados o pacientes no relacionados podrían escuchar y, por lo tanto, obtener la PHI. Muchos empleados cometen el error de hablar de los pacientes con amigos, familiares u otros compañeros de trabajo, lo que constituye una grave infracción de la HIPAA.Anime a sus empleados a evitar hablar de los pacientes o incluso referirse a ellos por su apellido cuando estén en presencia de otras personas que no tengan relación con su caso. Además, destaque el hecho de que la difusión verbal de la PHI es una infracción tan grave como el acto de compartir físicamente los documentos de los pacientes.
    • Dispositivos perdidos o robados: los teléfonos, las tabletas o los ordenadores portátiles del trabajo son un tipo especial de amenaza para la seguridad, sobre todo porque son mucho más vulnerables al robo, la pérdida o la intrusión cibernética.Si un empleado pierde o le roban un dispositivo de trabajo, es crucial que lo comunique inmediatamente. Además, cualquier dispositivo relacionado con el trabajo que tenga acceso a la PHI debe tener medidas de seguridad instaladas para evitar el acceso injustificado. Las medidas que puede tomar incluyen:
    • Encriptación
    • Contraseñas de doble autenticación
    • Escaneos biométricos
    • Inicios de sesión en la red privada de internet
    • Mensajes con información del paciente – Algunas entidades cubiertas utilizarán sistemas de mensajería o sus teléfonos para compartir información particular. Incluso si esto se hace simplemente por comodidad y rapidez, incluir la PHI a través de una aplicación de mensajería expone esa información a ojos curiosos.Si quiere que los empleados puedan discutir la información del paciente a través de mensajes o textos, es esencial que cada empleado instale una aplicación de cifrado con el fin de proteger esos datos.
    • Exponer la PHI en los ordenadores de casa – Naturalmente, los médicos necesitan poder revisar los casos desde la comodidad de sus hogares. Esto puede significar que su ordenador o portátil contenga PHI. Por sí misma, tal acción no es una violación de la HIPAA; sin embargo, si dejaran esa información en la pantalla sin vigilancia, podría ser vista por ojos no deseados. Esto es una violación de la HIPAA.

    Como empleador, anime a sus empleados a cerrar sus ordenadores si están trabajando desde casa y necesitan alejarse de sus tareas. Además, asegúrese de que todos los dispositivos tienen contraseñas de doble autenticación, encriptación y otros protocolos de seguridad similares.

    Alerta y formación de sus empleados

    Es vital que sus empleados sean conscientes de que sus acciones, ya sean intencionadas o no, pueden tener graves ramificaciones no sólo para ellos, sino también para la empresa y sus pacientes. En caso de que sean declarados culpables de una infracción de la HIPAA, especialmente de una infracción de la que eran plenamente conscientes, pueden enfrentarse a duras sanciones, como multas monetarias y penas de cárcel.

    Si desea proteger su negocio, debe tomar las precauciones adecuadas para asegurarse de que sus empleados han recibido la formación adecuada de acuerdo con las directrices de la HIPAA. Puede hacerlo contratando a RSI security para que evalúe los procesos, controles, políticas y procedimientos de formación de su organización. Nuestra exhaustiva auditoría puede ayudarle a identificar las lagunas entre las prácticas y los requisitos de la HIPAA y, a continuación, proporcionar acciones prescriptivas y la formación de los empleados.

    ¿Está interesado? Póngase en contacto hoy mismo y podemos ayudarle a garantizar que los empleados no sean la perdición de su negocio.

    Descargue nuestra guía completa para navegar por el cumplimiento de la normativa sanitaria

    ¿No está seguro de si sus esfuerzos de cumplimiento de la HIPAA o de la normativa sanitaria están a la altura? ¿No está seguro de por dónde empezar? Descargue la guía completa de RSI Security para navegar por el laberinto del cumplimiento de la HIPAA y de la asistencia sanitaria. Al rellenar este breve formulario recibirá el libro blanco por correo electrónico.

    Fuentes

    Escuela de Derecho de Cornell. 45 CFR 164.512. Usos y divulgaciones. https://www.law.cornell.edu/cfr/text/45/164.512

    HHS. Asociados de negocios. https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/business-associates/index.html

    HHS. Resumen de la regla de seguridad de la HIPAA. https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html

    División de Tecnología de la Información de la Universidad del Norte de Illinois. Regla de seguridad de la HIPAA: Explicación y orientación. https://www.niu.edu/doit/policies_root/HIPAA%20Security%20Rule.shtml

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *