La segunda de las tres reglas de la HIPAA se refiere a la protección de los datos de salud en los medios electrónicos: la Regla de Seguridad. Esta regla establece, a nivel nacional, estándares para mantener y proteger la información de salud que se mantiene o transmite electrónicamente, y dichos parámetros también se pueden aplicar en su clínica para una mayor seguridad de sus pacientes y sus datos.
La Regla de Seguridad requiere que las aseguradoras, clínicas, consultorios, etc., adopten medidas administrativas, técnicas y físicas razonables y apropiadas para la seguridad de los datos de salud. Dentro de estas medidas, es necesario considerar y asegurar:
- Confidencialidad, integridad y viabilidad de toda la información y los registros de salud personal que se crean, reciben, mantienen o transmiten;
- Identificar y proteger contra amenazas a la seguridad (dentro de aquellas que pueden ser predecibles) o amenazas a la integridad de la información;
- Garantir que su equipo trabaje dentro de las políticas de seguridad establecidas.
La regla considera la confidencialidad cuando la información de salud personal y los registros médicos no están disponibles o no se divulgan a personas no autorizadas. El concepto de integridad significa que los registros médicos y la información de salud no deben modificarse ni destruirse sin autorización previa. Ya la viabilidad dice que esta información debe estar disponible en todo momento según sea necesario por personas autorizadas.
Y, por supuesto, la Regla de seguridad debe basarse y tener en cuenta las pautas de las Reglas de privacidad. Puede ver esta regla con más detalle en nuestro blog en el artículo "Reglas de privacidad según HIPAA".
Antes de continuar, precisamos saber: ¿usted utiliza software médico seguro para realizar sus citas? Te invitamos a descubrir Ninsaúde Apolo, un software online que se puede utilizar en una tableta, smartphone o de forma tradicional, en ordenadores. Obtenga más información en nuestro sitio web apolo.app.
Seguridad Administrativa
Para la parte administrativa, la norma exige que exista un análisis de riesgos como rutina de todos los procesos de seguridad. Este análisis de riesgo puede incluir evaluar la probabilidad de que ocurra un riesgo, implementar medidas que reconozcan los riesgos y documentar las medidas de seguridad tomadas y, cuando sea necesario, también documentar por qué se están tomando estas medidas. Además, por supuesto, de mantener de forma continua y racional las protecciones de seguridad.
Las clínicas y consultorios pueden designar a una persona de confianza para manejar los asuntos de seguridad, desarrollarlos e implementarlos, controlando el acceso a la información según sea necesario utilizando el concepto de "mínimo necesario" presentado en la Regla de Privacidad. Todo el personal debe tener capacitación en reglas de seguridad, y debe tener una autorización única para trabajar con información de salud personal, y periódicamente realizar una evaluación de todo el proceso para identificar qué tan bien está la seguridad.
Seguridad física
Las clínicas, oficinas, hospitales, planos de salud y otras organizaciones que se ocupan de información sobre la salud de las personas, registros médicos y datos protegidos por ley, deben limitar el acceso a esta información a terceros, al tiempo que se garanta que los empleados que necesiten acceder a ella puedan trabajar los datos de forma segura.
La seguridad física también incluye procedimientos que especifican el uso adecuado escritorios de trabajo y medios electrónicos como las computadoras de la recepción, tabletas, etc. Además, es importante contar con hardware, software o mecanismos que identifiquen quién está accediendo a los equipos y la información de salud, o incluso transmitiéndolos.
Dentro de la seguridad física, también se puede incluir la protección frente a fenómenos naturales y accidentes. Por ejemplo, en caso de incendio, esta información de salud personal no se puede perder, por lo que guardar copias de seguridad debe ser parte de la rutina del equipo.
Seguridad tecnológica
El software y los programas utilizados deben tener algún nivel de protección, como el cifrado de los datos ingresados o transmitidos por el sistema. Además, es necesario tener formas de controlar, a través de contraseñas u otras formas de restricción, los usuarios que acceden o no a la información de salud.
En general, la regla no limita el uso de una tecnología específica, ya que entiende que este campo está en constante movimiento y cambio, y que la tecnología avanza muy rápido, variando mucho. Así, los planes de salud, aseguradoras, clínicas y consultorios e incluso los hospitales son libres de elegir la tecnología que mejor se adapte a su vida diaria, siempre que se cumplan los elementos mínimos de seguridad.
En estos asuntos, Ninsaúde Apolo cumple plenamente con las reglas de HIPAA, puedes consultarlo con más detalle en el artículo "HIPAA y Ninsaúde Apolo - Cómo mantener tu clínica segura".
¿Aún no eres cliente de Ninsaúde Apolo? Póngase en contacto con nuestro equipo y programe una demostración o solicite un test gratuito.
Fuente: HHS - Security Rule