Cómo asegurarse de que sus empleados a distancia cumplen con la HIPAA

Mantener el cumplimiento de la HIPAA para los empleados remotos puede ser una tarea desalentadora, pero no tiene por qué serlo. Siga leyendo para saber cómo el acceso y la asistencia remotos pueden facilitarlo.

La mayoría de las organizaciones sanitarias han estado cómodamente instaladas en sus procesos de cumplimiento de la HIPAA durante años. Sin embargo, en los últimos dos años el panorama ha cambiado significativamente con el aumento del trabajo a distancia, la telesalud y las crecientes amenazas cibernéticas a la información sanitaria protegida (PHI).

Gartner estimó recientemente que el 51% de los trabajadores del conocimiento realizarán su trabajo a distancia a principios de 2022. Este cambio hacia el trabajo a distancia tiene importantes implicaciones para las organizaciones que deben cumplir con la normativa de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).

¿Son los trabajadores a distancia un riesgo para el cumplimiento de la HIPAA?

No, los trabajadores remotos en sí mismos no son un riesgo inherente. Sin embargo, los equipos de TI que no están preparados para dotar a los trabajadores remotos de los recursos necesarios para cumplir con la normativa sobre privacidad de datos sí son un riesgo. Un artículo de 2021 de Healthcare IT News señalaba que sólo 2 de cada 10 equipos de TI afirmaban haber proporcionado las herramientas y recursos adecuados para apoyar a los empleados que trabajan a distancia a largo plazo. Esta falta de preparación pone a las organizaciones en riesgo de violar las normas de protección de datos y de registros médicos electrónicos (EMR) de la HIPAA.

De hecho, el Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS) señaló específicamente el riesgo de cumplimiento de la HIPAA cuando los trabajadores utilizan sistemas de acceso remoto que carecen de características de cumplimiento de la HIPAA. Al describir la necesidad de revisar y modificar periódicamente las políticas de seguridad para alinearlas con la HIPAA, el HHS declaró: "Esto es particularmente relevante para las organizaciones que permiten el acceso remoto a EPHI (Electronic Protected Health Information) a través de dispositivos portátiles o en sistemas o hardware externos que no son propiedad o están gestionados por la entidad cubierta."

Las infracciones de la HIPAA son una costosa supervisión

Las sanciones por violación de la HIPAA pueden aumentar rápidamente, alcanzando hasta 1,8 millones de dólares por violación. Además, se recomienda seguir un costoso plan de acción correctiva (PAC) para evitar futuras infracciones. Las sanciones y los requisitos del PAC fueron establecidos por la Ley de Tecnologías de la Información Sanitaria para la Salud Económica y Clínica (HITECH) que entró en vigor en marzo de 2013. Se aplican a muchas más organizaciones que a los proveedores de atención sanitaria: planes de salud, centros de intercambio de información sanitaria, todas las entidades cubiertas y los asociados comerciales de las entidades cubiertas.

Por ejemplo, en un artículo reciente de National Law Review se describe cómo Peachstate Health Management, Inc. negoció su sanción por violación de la HIPAA hasta 25.000 dólares. Sin embargo, el PAC que tenían que aplicar tenía unos costes mucho más elevados, porque requería que Peachstate hiciera lo siguiente:

  • Realizar un análisis de riesgos en toda la empresa
  • Desarrollar y aplicar un plan de gestión de riesgos
  • Desarrollar políticas y procedimientos diseñados para el cumplimiento de la regla de seguridad de la HIPAA
  • Distribuir las políticas y procedimientos
  • Desarrollar materiales de formación para los trabajadores
  • Designar un monitor independiente
  • Presentar informes de aplicación, informes de incumplimiento e informes anuales

La contratación de un monitor independiente experto superaría con creces la multa de 25.000 dólares, sobre todo porque tienen que ser aprobados por la OCR (la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de Estados Unidos).

¿Cómo pueden ayudarle las soluciones de asistencia y acceso remoto de Splashtop a cumplir la normativa?

En primer lugar, y lo más importante a tener en cuenta, Splashtop no tiene acceso a la información o a los registros de los pacientes (EMR, PACS, etc.). Las soluciones Splashtop procesan la transmisión del escritorio en una sesión encriptada de acceso o soporte remoto. Al hacerlo, Splashtop nunca tiene acceso a los datos de la sesión.

No acceder a los datos de la sesión es una distinción importante. Significa que Splashtop puede proporcionar acceso remoto y servicios de soporte bajo la regla de excepción de conducto de la HIPAA. La excepción de conducto se limita a los servicios de transmisión (ya sea digital o en papel), incluyendo cualquier almacenamiento temporal de los datos transmitidos incidente a dicha transmisión. Esto excluye a los servicios como Splashtop de tener que celebrar acuerdos de asociación empresarial con las entidades cubiertas.

Esto permite a nuestros clientes implementar rápidamente las soluciones de Splashtop sin necesidad de extensos contratos vinculados a la HIPAA. Además, saben que la información y los registros de sus pacientes permanecen dentro de su sistema, sin salir nunca del perímetro de su organización.

Medidas de seguridad adicionales de Splashtop que garantizan la seguridad de sus datos

Splashtop ha desarrollado "Políticas de Seguridad" como un subconjunto de nuestras Medidas Técnicas y Organizativas (TOMs). Estas describen las medidas y controles de seguridad implementados y mantenidos por Splashtop para proteger y asegurar los datos que almacenamos y procesamos. Nuestras políticas de seguridad informática son revisadas y modificadas regularmente por nuestros expertos en seguridad informática.

Además, los empleados de Splashtop realizan una formación sobre seguridad de la información dos veces al año. Como parte de esta formación, se comprometen a cumplir las políticas de conducta empresarial ética, confidencialidad y seguridad, tal y como se recoge en nuestro "Código de Conducta".

Las políticas de seguridad de Splashtop están respaldadas por una robusta arquitectura de seguridad de datos que tiene muchas características. El cifrado y el control de acceso son las dos más importantes para mantener la protección de los datos cuando sus empleados trabajan a distancia.

  • Cifrado: Splashtop cifra todos los datos del usuario en tránsito y en reposo, y todas las sesiones de usuario se establecen de forma segura utilizando TLS. El contenido al que se accede dentro de cada sesión está siempre encriptado mediante AES de 256 bits.
  • Control de acceso: Splashtop ha implementado controles de acceso para gestionar el acceso electrónico a los datos y sistemas. Nuestros controles de acceso se basan en los niveles de autoridad, los niveles de necesidad de conocimiento y la separación de funciones para quienes acceden al sistema. Hacemos un seguimiento del acceso basado en funciones con revisiones periódicas de las cuentas, control de acceso y registro.

El acceso remoto de Splashtop introduce aún más características de seguridad, como la autenticación de dispositivos, la autenticación de dos factores (2FA), el inicio de sesión único (SSO) y más. Si desea obtener más información, hemos elaborado una lista completa de las funciones de seguridad compatibles con la HIPAA de Splashtop.

Mantenga su organización en conformidad con la HIPAA con acceso y soporte remoto

Dado que el trabajo a distancia ha llegado para quedarse, muchas organizaciones están aprovechando el acceso remoto y las soluciones de soporte para manejar de forma segura los registros médicos electrónicos y otros datos de los pacientes. Para que su organización siga cumpliendo la HIPAA, debe adoptar un acceso y un soporte remotos seguros.

Splashtop proporciona a cientos de organizaciones sanitarias un acceso y un soporte remotos seguros, en consonancia con la HIPAA y otras normativas de privacidad del consumidor. Para saber cómo Splashtop puede permitir a su organización mantener a los trabajadores remotos en cumplimiento de la HIPAA, contacte con un experto de Splashtop hoy mismo.

Manténgase al día de las últimas noticias sobre seguridad suscribiéndose a nuestro Security Feed.

Contenido relacionado

Banner de Prueba Gratuita en la Parte Inferior del Blog