Una guía práctica de Infracciones comunes de HIPAA y cómo evitarlas

Esta guía explica Infracciones comunes de HIPAA y cómo evitarlas de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.

Las infracciones de HIPAA generalmente provienen de brechas operativas cotidianas en lugar de ataques dramáticos: un análisis de riesgo omitido, un empleado con demasiado acceso, un proveedor sin un acuerdo de socio comercial, un dispositivo perdido, un registro de paciente enviado a la persona equivocada o tecnología de seguimiento colocada en un flujo de trabajo de cara al paciente sin comprender lo que revela.

HIPAA se aplica a entidades cubiertas y socios comerciales. Las reglas principales son la regla de privacidad, la regla de seguridad y la regla de notificación de infracciones, aplicadas por la Oficina de Derechos Civiles del HHS (descripción general de la aplicación del HHS HIPAA). Si tu organización maneja información de salud protegida (PHI), las herramientas de analítica y marketing merecen un escrutinio especial porque pueden revelar silenciosamente comportamientos de navegación relacionados con la salud.

1. Análisis de riesgos incompleto

Un análisis de riesgos no es un trámite opcional. La guía del HHS dice que el proceso de análisis de riesgos de la regla de seguridad ayuda a las organizaciones a identificar riesgos y vulnerabilidades en dispositivos electrónicos PHI (guía de análisis de riesgos del HHS). Muchos casos de cumplimiento comienzan con la conclusión de la OCR de que una organización nunca realizó un análisis preciso a nivel empresarial.

Prevención:

• Sistemas de inventario que crean, reciben, mantienen o transmiten ePHI.
• Incluya herramientas en la nube, scripts de analítica, grabaciones de llamadas, herramientas de soporte, copias de seguridad y registros.
• Calificar amenazas y vulnerabilidades por probabilidad e impacto.
• Asignar propietarios y plazos de remediación.
• Repetir después de cambios importantes en el sistema, el proveedor o el flujo de trabajo.

2. Acceso no autorizado

El concepto mínimo necesario de HIPAA y los controles de acceso de reglas de seguridad requieren que el acceso de la fuerza laboral coincida con las tareas laborales. Las infracciones ocurren cuando los empleados comparten inicios de sesión, conservan el acceso después de cambios de roles, examinan registros por curiosidad o usan cuentas de administrador amplias para el trabajo de rutina.

Prevención:

• Utiliza cuentas únicas y autenticación multifactor.
• Aplicar controles de acceso basados en roles.
• Revisar el acceso trimestralmente.
• Eliminar el acceso inmediatamente cuando el personal se vaya.
• Supervisar los registros de auditoría para detectar accesos inusuales a registros.
• Capacitar a los gerentes para solicitar cambios de acceso cuando cambian las funciones.

3. Controles de auditoría débiles

La regla de seguridad HIPAA incluye controles de auditoría como protección técnica (Resumen de reglas de seguridad del HHS). Si no puede ver quién accedió a PHI, lo exportó, lo cambió o lo envió a un proveedor, no podrá investigar los incidentes adecuadamente.

Prevención:

• Registre el acceso a PHI, acciones administrativas, exportaciones, inicios de sesión fallidos y cambios de permisos.
• Proteger los registros de la alteración.
• Revisar eventos de alto riesgo, no solo después de una infracción.
• Garantizar que los proveedores de SaaS proporcionen pistas de auditoría.

4. Acuerdos de socios comerciales faltantes o débiles

Se requiere un acuerdo de socio comercial cuando un proveedor crea, recibe, mantiene o transmite PHI en nombre de una entidad cubierta u otro socio comercial. Los proveedores de análisis, correo electrónico, alojamiento, centros de llamadas, soporte y almacenamiento de datos pueden entrar en esta categoría dependiendo de lo que reciben.

Prevención:

• No envíe PHI a un proveedor hasta que se firme el BAA.
• Verificar usos y divulgaciones permitidas.
• Confirmar los plazos de notificación de incumplimiento.
• Revisar términos de subcontratación.
• Reevaluar a los proveedores cuando se habiliten nuevas funciones de seguimiento, registro o IA.

5. Fallos en el acceso del paciente

HIPAA otorga a las personas el derecho de acceder a sus registros médicos. La OCR ha tratado esto como una prioridad de cumplimiento a través de su iniciativa de Derecho de Acceso, con múltiples acuerdos anunciados por el HHS (Cumplimiento del Derecho de Acceso).

Prevención:

• Crear un proceso de admisión claro para las solicitudes de acceso.
• Seguimiento de plazos.
• Capacitar al personal para que no verifique en exceso ni cree barreras innecesarias.
• Proporcionar registros en el formato solicitado cuando sea necesario y factible.
• Documentar cualquier denegación legal.

6. Dispositivos no seguros y cifrado deficiente

Las computadoras portátiles perdidas, los teléfonos robados y los medios extraíbles no cifrados siguen siendo fuentes comunes de vulneración. El cifrado no es la única protección, pero puede reducir drásticamente el impacto de una infracción cuando se pierde un dispositivo.

Prevención:

• Cifrar portátiles, dispositivos móviles y copias de seguridad.
• Utiliza la administración de dispositivos móviles para el borrado remoto.
• Prohibir descargas locales de PHI a menos que sea necesario.
• Desactive las exportaciones USB cuando sea práctico.
• Requerir mensajería segura en lugar de correo electrónico personal o SMS para PHI.

7. Errores de tecnología de seguimiento y análisis

Las organizaciones de atención médica utilizan cada vez más analítica web, píxeles, repetición de sesiones y plataformas publicitarias en páginas de citas, síntomas, pagos o portales. Eso puede revelar PHI o inferencias relacionadas con la salud a terceros. Advertencia importante para 2024: el HHS señala que un tribunal anuló parte del boletín de seguimiento de la OCR aplicado a una dirección IP más una visita a ciertas páginas web públicas no autenticadas, por lo que los equipos deben evaluar el seguimiento de páginas públicas en contexto en lugar de tratar cada vista de página de salud pública como PHI de forma predeterminada. El riesgo sigue siendo mayor para los portales, citas, admisión, pagos, páginas autenticadas y flujos de trabajo donde los usuarios divulgan información de salud. La FTC también ha perseguido casos de privacidad de la salud digital fuera de HIPAA, incluidas acciones que involucran aplicaciones de salud y el intercambio de datos confidenciales (herramienta de aplicación de salud móvil de la FTC).

Prevención:

• Mantén los rastreadores de terceros fuera de los portales autenticados y las páginas de salud sensibles a menos que se revisen.
• No envíe el tipo de cita, el nombre del proveedor, los términos de diagnóstico, las identificaciones de los pacientes, los correos electrónicos o el porta la URLs a Analytics.
• Utiliza análisis sin cookies y que prioricen la privacidad para el contenido público cuando sea posible.
• Firmar BAA donde interviene PHI.
• Pruebe las solicitudes de red antes del lanzamiento.

8. Mala respuesta a las infracciones

La regla de notificación de infracciones HIPAA requiere notificaciones después de infracciones de PHI no seguras, con detalles que dependen de la escala y el riesgo (regla de notificación de infracciones del HHS). La demora en la respuesta aumenta el daño legal y reputacional.

Prevención:

• Mantener un plan de respuesta a incidentes específico de PHI.
• Definir quién evalúa si estuvo involucrado PHI.
• Conservar registros rápidamente.
• Involucrar a los equipos legales, de privacidad, de seguridad y de comunicaciones.
• Practica con ejercicios de mesa.

El cumplimiento de HIPAA no se resuelve con una carpeta de políticas. Es un conjunto de controles operativos que deben afectar el acceso, los proveedores, los dispositivos, la analítica, el soporte y la respuesta a incidentes. El programa de análisis de atención médica más seguro mide solo lo que se necesita, evita divulgaciones a terceros de forma predeterminada y trata cada nueva función de seguimiento como un desencadenante de revisión de privacidad.

Seguimiento de comprobaciones de prevención de infracciones

Para el análisis de atención médica, separe la medición de la educación pública de los flujos de trabajo autenticados, de citas, de portal, de admisión, de pagos, de condiciones específicas y de autenticación. Mantén las cargas útiles de analítica libres de nombres, correos electrónicos, números de pacientes o registros, detalles de citas, textos de formularios, cadenas de consultas confidenciales e identificadores que puedan vincular a un visitante con la atención.

Antes de que se envíe cualquier nueva función de seguimiento, se requiere una clasificación de páginas, una revisión de la carga útil, una verificación de la función del proveedor, una decisión sobre BAA, una configuración de retención y una prueba de red. Esto convierte el seguimiento de una idea de último momento en un paso normal de control de cambios.