COVID-19 y el cumplimiento de la HIPAA

COVID-19 y el cumplimiento de la HIPAA

Publicado porCristina Moldovan Publicado enConformidad Data Loss Prevention

A medida que la pandemia del COVID-19 se extiende por todo el mundo, cada vez más empresas piden a sus empleados que trabajen desde sus casas a la luz de las nuevas regulaciones gubernamentales y por su propio bienestar. Esta crisis sanitaria sin precedentes ha hecho que muchos sectores tengan que adaptarse a las nuevas condiciones y aceptar el trabajo remoto a pesar de los recelos del pasado.

La renuencia a adoptar políticas de trabajo remoto está a menudo relacionada con el grado de sensibilidad de la información que procesa una organización. Las industrias sanitarias o financieras que tienen requisitos de protección de datos más estrictos se han opuesto durante mucho tiempo al trabajo remoto. Sin embargo, debido a los sucesos recientes, muchos se han visto obligados a cambiar su actitud y permitir que sus empleados trabajen desde casa.

Hoy en día, los datos personales sobre la salud son considerados altamente sensibles en la mayoría de los países. En los Estados Unidos, por ejemplo, estos datos quedan comprendidos en el ámbito de la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) que regula la información sobre la salud protegida (PHI) y es aplicada por la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de EE. UU. (HHS).

La HIPAA y la atención médica virtual

En respuesta a la actual pandemia del COVID-19, el HHS reconoció la necesidad de que los proveedores de atención médica se comuniquen y brinden servicios de salud a los pacientes virtualmente a través de tecnologías de comunicación remota. Estas acciones no cumplían con las reglas de la HIPAA, pero el HHS ha anunciado que ahora están permitidas debido a las circunstancias actuales.

Asimismo, la OCR no impondrá sanciones por incumplimiento de la HIPAA en relación con la atención médica virtual durante la emergencia de salud pública COVID-19. También ofreció una lista de aplicaciones recomendadas que permiten tener conversaciones con video, que incluyen Skype, FaceTime y Zoom.

Los requisitos de la HIPAA siguen siendo obligatorios

Aunque algunas normas se hayan relajado debido a la situación actual, vale la pena señalar que los requisitos de la HIPAA siguen en pie. Esto significa que, aunque las organizaciones de salud puedan tener una mayor libertad de maniobra de las herramientas que utilizan para continuar con sus negocios, la información confidencial sobre la salud que recopilan, almacenan y procesan aún debe protegerse.

El HHS establece que, en una situación de emergencia, las organizaciones comprendidas en el ámbito de la HIPAA deben continuar implementando salvaguardias razonables para proteger la información del paciente contra usos y divulgaciones intencionales o accidentales. También deben aplicar las salvaguardias administrativas, físicas y técnicas detalladas en la Regla de Seguridad de la HIPAA.

Protección de la información confidencial sobre la salud mientras se trabaja de forma remota

Una vez que los proveedores de atención médica decidan implementar planes de trabajo remotos, es esencial que se aseguren de que los datos sobre la salud estén protegidos incluso cuando se recopilan fuera de las redes seguras de la empresa. Esto comienza desde los dispositivos que los empleados usarán de forma remota: deben estar cifrados, protegidos con contraseña y tener instalados firewalls y softwares antivirus actualizados.

Las Redes Privadas Virtuales (VPN) deben utilizarse para acceder a la red de la empresa de forma remota. Se debe exigir a los empleados que se desconecten al final de cada día laboral para asegurarse de que sus equipos no permanezcan conectados más tiempo del necesario a la red de la empresa.

Las empresas deben usar soluciones como las herramientas de Prevención de Pérdida de Datos (DLP) para garantizar que los datos sobre la salud no se puedan copiar en ningún dispositivo externo no aprobado por la organización. De esta manera, los posibles dispositivos malware no se podrán conectar a un equipo, y los datos en reposo no se podrán robar ni almacenar sin cumplir con la HIPAA.

Protección física de archivos

Trabajar desde casa también puede significar que los empleados puedan imprimir información o recibir información sobre la salud por correo. Por lo tanto, es esencial que almacenen este tipo de información en un lugar seguro, ya sea en un gabinete cerrado o en una oficina en casa a la que nadie más que ellos tengan acceso. Cuando esa información ya no sea necesaria, los archivos físicos deben triturarse o destruirse de otra manera.

También es importante que los empleados trabajen en un espacio privado donde nadie pueda ver ni escuchar la información con la que están trabajando o que están transmitiendo. No se debe permitir que otras personas, excepto los propios empleados, accedan a los equipos en los que se almacena la información sobre la salud protegida.

Supervisión y registro de la información sobre la salud

Por último, los datos sobre la salud se deben supervisar en todo momento para garantizar el cumplimiento normativo y ayudar a las empresas a detectar cualquier práctica arriesgada que sus empleados puedan tener la tentación implementar mientras trabajan desde casa. Si la OCR lo requiere, las organizaciones también pueden registrar los movimientos de la información sobre la salud como forma de cumplimiento normativo.

Artículos Relacionados:

OBTENGA UNA DEMO
* No compartimos su información personal con nadie. Consulte nuestra Política de privacidad para más información.

De confianza para