Apenas pasa un día sin un informe de noticias de un hospital, plan de salud o profesional de la salud que viola la HIPAA, pero ¿qué es una violación de la HIPAA y qué sucede cuando ocurre una violación?
¿Qué es una infracción de HIPAA?
La Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 es una ley histórica que se introdujo para simplificar la administración de la atención médica, eliminar el desperdicio, prevenir el fraude en la atención médica y garantizar que los empleados puedan mantener la cobertura de atención médica cuando estén entre trabajos.
Se han realizado actualizaciones notables de HIPAA para mejorar la protección de la privacidad de los pacientes y los miembros del plan de salud a lo largo de los años, lo que ayuda a garantizar que los datos de atención médica estén protegidos y la privacidad de los pacientes. esta protegido. Esas actualizaciones incluyen la Regla de privacidad de HIPAA, la Regla de seguridad de HIPAA, la Regla de omnibus de HIPAA y la Regla de notificación de incumplimiento de HIPAA.
Una violación de HIPAA es un incumplimiento de cualquier aspecto de las normas y disposiciones de HIPAA detalladas en 45 CFR Partes 160, 162 y 164.
El texto combinado de todas las regulaciones de HIPAA publicadas por el Departamento de La Oficina de Salud y Servicios Humanos para los Derechos Civiles tiene 115 páginas y contiene muchas disposiciones. Hay cientos de formas en que se pueden violar las Reglas de la HIPAA, aunque las violaciones más comunes de la HIPAA son:
- Divulgaciones inadmisibles de información médica protegida (PHI)
- Acceso no autorizado a PHI
- Eliminación inadecuada de la PHI
- No realizar un análisis de riesgo
- No gestionar los riesgos a la confidencialidad, integridad y disponibilidad de la PHI
- No implementar salvaguardas para garantizar la confidencialidad, integridad y disponibilidad de la PHI
- No mantener y monitorear los registros de acceso a la PHI
- No celebrar un acuerdo de socio comercial que cumpla con la HIPAA con los proveedores antes de dar acceso a la PHI
- No proporcionar a los pacientes copias de su PHI a pedido
- No implementar controles de acceso para limitar quién puede ver la PHI
- No rescindir los derechos de acceso a la PHI cuando ya no se requieren
- La divulgación de más PHI de la necesaria para realizar una tarea en particular
- Fai señuelo para brindar capacitación sobre HIPAA y capacitación en concientización sobre seguridad
- Robo de registros de pacientes
- Divulgación no autorizada de PHI a personas no autorizadas para recibir la información
- Compartir la PHI en línea oa través de las redes sociales sin permiso
- Manejo incorrecto o incorrecto de la PHI
- Enviar mensajes de texto PHI
- No cifrar la PHI o utilizar una medida alternativa equivalente para evitar el acceso / divulgación no autorizados
- No notificar a una persona (o la Oficina de Derechos Civiles) de un incidente de seguridad que involucre PHI dentro de los 60 días posteriores al descubrimiento de una infracción
- No documentar los esfuerzos de cumplimiento
¿Cómo se descubren las infracciones de la HIPAA?
Las entidades cubiertas por la HIPAA descubren muchas infracciones de la HIPAA mediante auditorías internas. Los supervisores pueden identificar a los empleados que han violado las Reglas de HIPAA y los empleados a menudo informan por sí mismos las violaciones de HIPAA y las posibles violaciones por parte de sus compañeros de trabajo.
La Oficina de Derechos Civiles del HHS es el principal encargado de hacer cumplir las Reglas de HIPAA e investiga las quejas de Violaciones de HIPAA informadas por empleados de atención médica, pacientes y miembros del plan de salud. La OCR también investiga a todas las entidades cubiertas que informan sobre infracciones de más de 500 registros y realiza investigaciones sobre determinadas infracciones menores. La OCR también realiza auditorías periódicas de las entidades y socios comerciales cubiertos por la HIPAA.
Los fiscales generales estatales también tienen el poder de investigar infracciones y, a menudo, se realizan investigaciones debido a quejas sobre posibles infracciones de la HIPAA y cuando se informa de infracciones de los registros de pacientes se reciben.
¿Cuáles son las sanciones por infracciones de las reglas de HIPAA?
Las sanciones por infracciones de las normas de HIPAA pueden ser graves. Los fiscales generales estatales pueden emitir multas de hasta un máximo de $ 25,000 por categoría de infracción, por año calendario. La OCR puede emitir multas de hasta $ 1.5 millones por categoría de infracción, por año. Se pueden emitir, y se han emitido, multas multimillonarias.
Si bien los proveedores de atención médica, los planes de salud y los socios comerciales de las entidades cubiertas pueden ser multados, también existen multas potenciales para las personas que violen las Reglas de HIPAA y las sanciones penales pueden ser apropiadas. Una pena de cárcel por infringir la HIPAA es una posibilidad, y algunas infracciones conllevan una pena de hasta 10 años de cárcel.
Puede obtener más información sobre las sanciones por infracciones de la HIPAA en esta página.
Las sanciones por infracciones recientes de HIPAA y la estructura de sanciones de HIPAA se detallan en la siguiente infografía.
Sanciones por infracciones de HIPAA
Preguntas frecuentes
¿Cómo puede saber si una organización infringe la HIPAA?
La HIPAA exige que las entidades cubiertas y los socios comerciales lleven a cabo análisis de riesgo con regularidad. Los análisis de riesgo deben identificar cualquier área de incumplimiento que indique que la organización está violando la HIPAA. No realizar ni documentar un análisis de riesgo es una violación de la propia HIPAA, al igual que no abordar los problemas identificados en un análisis de riesgo.
¿Cuál es la diferencia entre una evaluación de riesgos y un análisis de riesgos?
Si bien la mayoría de las entidades considerarían una evaluación de riesgos como una investigación de posibles amenazas y un análisis de riesgos como un cálculo de la probabilidad de que ocurran esas amenazas, hay una falta de claridad en la HIPAA. Por ejemplo, según la sección de análisis de riesgos de las Salvaguardias administrativas de la regla de seguridad (45 CFR § 164.308 (a)), la entidad o el socio comercial cubiertos deben: «Realizar una evaluación precisa y exhaustiva de los posibles riesgos y vulnerabilidades a la confidencialidad, integridad y disponibilidad de información médica protegida electrónica en poder de la entidad cubierta o socio comercial ”.
Cuando se identifican riesgos y vulnerabilidades potenciales, ¿qué sucede después?
También bajo 45 CFR § 164.308 ( a), las entidades cubiertas y los socios comerciales deben implementar medidas de seguridad suficientes para reducir los riesgos y las vulnerabilidades a un nivel razonable y apropiado. Para determinar qué constituye un «nivel razonable y apropiado», las organizaciones deben tener en cuenta (según 45 CFR § 164.306 (b)):
- El tamaño, la complejidad y las capacidades de la organización
- La infraestructura técnica, el hardware y la capacidad de seguridad del software de la organización. es
- El costo de las medidas de seguridad razonables y apropiadas
- La probabilidad y criticidad de los riesgos potenciales para la integridad de ePHI ”
¿Qué significa ¿Qué significa «criticidad de los riesgos potenciales»?
El término criticidad de los riesgos potenciales se refiere a la escala de la lesión que podría ser causada por una violación de la HIPAA. Por ejemplo, un volumen de almacenamiento en la nube, que contiene los detalles de pago y los números de seguro social de miles de pacientes, que se deja abierto a la Internet pública tiene el potencial de causar más lesiones que dos enfermeras que discuten las opciones de tratamiento para el paciente A al alcance del oído del paciente B.