Cómo asegurarse de que tus empleados remotos cumplan con la HIPAA
Comparte esto
Mantener el cumplimiento con la HIPAA para empleados remotos puede ser todo un quebradero de cabeza, pero no tiene por qué serlo. Sigue leyendo para averiguar cómo el acceso y la asistencia técnica remotos pueden allanar el camino.
La mayoría de las empresas de atención médica se han ido asentando cómodamente en sus procesos de cumplimiento de la HIPAA durante años. Sin embargo, en los últimos dos años, el panorama ha cambiado significativamente con el aumento del trabajo remoto, la teleasistencia médica y el aumento de las amenazas cibernéticas a la información de salud protegida (PHI).
Gartner estimó recientemente que el 51 % de los trabajadores del conocimiento realizarn su trabajo de forma remota a principios de 2022. Este cambio al trabajo remoto acarrea implicaciones significativas para las empresas que deben cumplir con las regulaciones de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).
¿Son los trabajadores remotos un riesgo de cumplimiento de la HIPAA?
No, los trabajadores remotos por sí solos no suponen un riesgo inherente. Sin embargo, los equipos de TI que no están preparados para equipar a los trabajadores remotos con los recursos necesarios para cumplir con las normas de privacidad de datos sí que son un riesgo. Un artículo de 2021 Healthcare IT News señaló que solo 2 de cada 10 equipos de TI dijeron que han proporcionado herramientas y recursos adecuados para respaldar a los empleados que trabajan de forma remota a largo plazo. Esta falta de preparación pone a las empresas en riesgo de violar las normas de protección de datos y registros médicos electrónicos (EMR) de la HIPAA.
De hecho, el Departamento de Salud y Servicios Humanos de EE. UU. (HHS) señaló específicamente el riesgo de cumplimiento de la HIPAA cuando los trabajadores usan sistemas de acceso remoto que carecen de características de cumplimiento de la HIPAA.Al describir la necesidad de revisar y modificar periódicamente las políticas de seguridad para adaptarse a la HIPAA, el HHS declaró: "Esto es particularmente relevante para las empresas que permiten el acceso remoto a EPHI (Información de salud electrónica protegida) a través de dispositivos portátiles o en sistemas o hardware externos que no son de la propiedad o que no están gestionados por la entidad cubierta".
Las violaciones de la HIPAA son una previsión costosa
Las multas por infracciones de la HIPAA pueden subir rápidamente, alcanzando hasta los 1,8 millones de dólares por infracción. Además de eso, se recomienda el requisito de seguir un costoso plan de acción correctivo (PAC) para evitar futuras violaciones. Las sanciones y los requisitos del CAP fueron establecidos por la Ley de tecnología de la información sanitaria para la salud económica y clínica (HITECH) que entró en vigor en marzo de 2013. Se aplican a muchas más empresas que solo proveedores de atención médica: seguros de salud, cámaras de compensación de atención médica, todas las entidades cubiertas y socios comerciales de entidades cubiertas.
Por ejemplo, un artículo reciente de National Law Review describió cómo Peachstate Health Management, Inc. negoció su multa por violación de HIPAA hasta 25 000 $. Sin embargo, el CAP que tuvieron que implementar vino con costes mucho más altos, porque requería que Peachstate hiciera lo siguiente:
Llevar a cabo un análisis de riesgos de toda la empresa
Desarrollar e implementar un plan de gestión de riesgos.
Desarrollar políticas y procedimientos diseñados para el cumplimiento de la ley de seguridad de la HIPAA
Distribuir las políticas y procedimientos
Desarrollar materiales de formación para la plantilla laboral.
Designar a un supervisor independiente
Presentar informes de implementación, informes de incumplimiento e informes anuales
La contratación de un supervisor independiente experto superaría con creces la multa de 25 000 $, especialmente porque deben ser aprobados por la OCR (la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de EE. UU.).
¿Cómo pueden ayudarte con el cumplimiento normativo las soluciones de asistencia y acceso remotos de Splashtop?
Primero, y lo más importante que hay que tener en cuenta, Splashtop no tiene acceso a la información o registros del paciente (EMR, PACS, etc.). Las soluciones de Splashtop procesan la transmisión de escritorio en un acceso remoto encriptado o una sesión de asistencia. Al hacerlo, Splashtop nunca tiene acceso a los datos de la sesión.
No acceder a los datos de la sesión es una distinción importante. Significa que Splashtop puede proporcionar acceso remoto y servicios de asistencia bajo la regla de excepción de conducto de la HIPAA. La excepción del conducto se limita a los servicios de transmisión (ya sean digitales o en papel), incluido cualquier almacenamiento temporal de los datos transmitidos relacionados con dicha transmisión. Esto excluye servicios como Splashtop de tener que celebrar acuerdos de socios comerciales con entidades cubiertas.
Esto permite a nuestros clientes implementar rápidamente soluciones Splashtop sin la necesidad de contratos extensos vinculados a la HIPAA. Además, saben que la información y los registros de sus pacientes permanecen dentro de su sistema, sin traspasar nunca el perímetro de su empresa.
Medidas de seguridad adicionales de Splashtop que garantizan la seguridad de tus datos
Splashtop ha desarrollado "Políticas de seguridad" como un subconjunto de nuestras Medidas técnicas y organizativas (TOM). Estas describen las medidas y controles de seguridad implementados y mantenidos por Splashtop para proteger y asegurar los datos que almacenamos y procesamos. Nuestras políticas de seguridad de TI son revisadas y modificadas regularmente por nuestros expertos en seguridad de TI.
Además de eso, los empleados de Splashtop completan la formación en seguridad de la información dos veces al año. Como parte de esta formación, aceptan cumplir con las políticas de conducta comercial ética, confidencialidad y seguridad tal como se establece en nuestro "Código de conducta".
Las políticas de seguridad de Splashtop están respaldadas por una potente arquitectura de seguridad de datos que tiene muchas funciones. El cifrado y el control de acceso son los dos más importantes para mantener la protección de datos cuando tus empleados trabajan de forma remota.
Cifrado: Splashtop cifra todos los datos de los usuarios en tránsito y en reposo, y todas las sesiones de los usuarios se establecen de forma segura mediante TLS. El contenido al que se accede dentro de cada sesión siempre se cifra a través de AES de 256 bits.
Control de acceso: Splashtop ha implementado controles de acceso para administrar el acceso electrónico a datos y sistemas. Nuestros controles de acceso se basan en niveles de autoridad, niveles de necesidad de saber y la separación de funciones para quienes acceden al sistema. Hacemos un seguimiento del acceso basado en roles con revisiones periódicas de la cuenta, control de acceso y registro.
El acceso remoto de Splashtop presenta aún más funciones de seguridad, como autenticación de dispositivos, autenticación de dos factores (2FA), inicio de sesión único (SSO) y más. Si deseas obtener más información, hemos reunido una lista completa de las funciones de seguridad compatibles con la HIPAA de Splashtop.
Haz que tu empresa cumpla con la HIPAA con acceso y asistencia remotos
Con el trabajo remoto que ha llegado para quedarse, muchas empresas están aprovechando el acceso remoto y las soluciones de asistencia para manejar de manera segura los EMR y otros datos de los pacientes. Para que tu empresa cumpla con la ley HIPAA, debes adoptar un acceso y asistencia remotos seguros y protegidos.
Splashtop ofrece a cientos de empresas de atención médica acceso y asistencia remotos seguros y protegidos, de conformidad con la HIPAA y otras normativas de privacidad del consumidor. Para descubrir cómo Splashtop puede permitir que tu empresa mantenga a los trabajadores remotos en cumplimiento con la HIPAA, ponte en contacto con un experto de Splashtop hoy mismo.
