Publicado el 7 de junio de 2018 por Karen Walsh • 4 min de lectura
Las violaciones de la HIPAA en el lugar de trabajo se aplican a todas las empresas, no solo a los proveedores de atención médica, sino también a las entidades cubiertas y sus socios comerciales. Los empleadores que brindan atención médica a sus empleados o que requieren información médica como parte de los beneficios por discapacidad pueden violar la HIPAA. Con la capacidad de que se produzca una violación de HIPAA en el lugar de trabajo como parte de las actividades diarias de Recursos Humanos, todas las empresas deben ser conscientes de cómo protegerse a sí mismas y a sus empleados.,
¿qué es HIPAA?
promulgada en 1996, la Ley de portabilidad y responsabilidad del seguro de salud (HIPAA) tiene la intención de proteger la información de salud de las personas cuando se trasladan de un trabajo a otro. El Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS, por sus siglas en inglés) también aprobó la norma de Privacidad en 2003, definiendo la información de salud protegida (PHI, por sus siglas en inglés) como «cualquier información en poder de una entidad cubierta que se refiera al estado de salud, la prestación de atención médica o el pago de atención médica que puede vincularse a un individuo.,»En 2005, la actualización de las reglas de seguridad de HIPAA se centró en la PHI almacenada electrónicamente (ePHI). Aunque independiente de la norma de privacidad, el mayor uso de plataformas digitales para compartir información sanitaria implica más sistemas de información que antes.
¿qué información del empleado califica como PHI o ePHI?
La regla de privacidad de HIPAA incorpora todos los registros médicos o registros de planes de salud que recopile para administrar los planes de atención médica de sus empleados. No se aplica a los registros de empleo, incluso si contienen información relacionada con la salud.,
por ejemplo, si le pide a un empleado que proporcione información de salud para documentar la licencia por enfermedad o la compensación para trabajadores, esta información no entra dentro de la regla de privacidad. Sin embargo, si se comunica con el proveedor de atención médica de su empleado, la información que el proveedor le da cae bajo la regla de privacidad.
¿qué necesita saber un departamento de Recursos Humanos?
muchos departamentos de Recursos Humanos incorporan beneficios médicos para los empleados., Si su empresa ofrece a los empleados un plan de salud cubierto, debe determinar si cumple con el umbral para cumplir con la regla de seguridad.
primero, debe analizar el tipo de plan que administra y el número de personas involucradas.
¿Su plan cubre 50 o más participantes?
si la respuesta es sí, entonces se aplica la regla de seguridad.
si la respuesta es no:
¿un tercero administra su plan de seguro médico?si la respuesta a esta pregunta es sí, debe preocuparse por las violaciones de las reglas de seguridad de HIPAA.,
¿funciona Usted como patrocinador de un plan de atención médica grupal (esto incluye el uso de un proveedor para sus cuentas de gastos flexibles y programas de asistencia al empleado)?
Lo más probable, sin embargo, la respuesta a esta última pregunta es «sí.»La parte confusa aquí es que incluso si solo patrocina el plan, es posible que siga funcionando como administrador del plan o alguien que necesita revisar a un proveedor externo. Por ejemplo, si ofrece a sus empleados una cuenta de gastos flexible o un programa de asistencia al empleado, se aplica la regla de seguridad.
¿qué es un proceso de gestión de seguridad?,
Su primer paso para proteger a su empresa de una violación de HIPAA en el lugar de trabajo radica en crear un análisis de riesgos. Debe determinar toda la información que alberga su organización, dónde residen los datos y los riesgos y vulnerabilidades potenciales que pueden afectar la confidencialidad, la integridad y la disponibilidad de ePHI.
una vez que complete el análisis de riesgos, debe crear medidas de seguridad para reducir la probabilidad de esos riesgos y vulnerabilidades. Para disminuir estos riesgos, debe establecer políticas, procedimientos y procesos que aseguren la información., Por ejemplo, es posible que desee crear protecciones físicas, como un bloqueo que mitigue el riesgo de robo de documentos o incorporar la autenticación multifactor para proteger los dispositivos del uso no autorizado.
después de establecer medidas de seguridad, debe asegurarse de que funcionen. Cuando revisas tus medidas de seguridad, quieres mirarlas desde un punto de vista técnico y no técnico., Durante esta evaluación, puede encontrar que una medida de seguridad ya no protege a su organización y, por lo tanto, debe ajustar sus controles para responder a los cambios tecnológicos, ambientales y de los empleados.
¿qué información del empleado debe protegerse para evitar una violación de HIPAA en el lugar de trabajo?
incluso si contrata a un administrador externo para administrar su programa de seguro médico, su departamento de recursos humanos todavía tiene acceso a PHI y ePHI., Si su departamento de Recursos Humanos y el personal de beneficios coordinan el plan de atención médica con su proveedor, la información contenida en esas conversaciones puede estar sujeta a HIPAA.
¿cómo puede una organización proteger PHI y ePHI en que su departamento de recursos humanos accede?
primero, su personal de Recursos Humanos y beneficios debe catalogar la información transmitida, cómo la almacenan y cómo la utilizan para realizar sus funciones administrativas.,
además, su departamento de Recursos Humanos y el personal de beneficios deben comprender que las comunicaciones con el proveedor de servicios externo caen bajo la regla de seguridad, al igual que cualquier información que los empleados puedan enviar a través de su intranet. Por lo tanto, debe crear políticas y procesos que protejan la información en reposo y en tránsito. Estas protecciones deben incorporar su intranet, internet y correos electrónicos con los proveedores.
finalmente, su departamento de TI necesita establecer controles de acceso., Estos deben incluir los tipos de funciones administrativas realizadas, los sistemas utilizados, las aplicaciones con sistemas, las funciones dentro de las aplicaciones, los archivos de datos y los campos dentro de los archivos. Luego, recursos humanos y TI deben trabajar juntos para determinar qué grupos de empleados necesitan acceso a cada uno de ellos y definir quién puede leer, crear, modificar, eliminar, buscar y cambiar la configuración de seguridad de los archivos.
¿Cómo puedo protegerme contra violaciones percibidas de HIPAA?,
la parte más difícil de determinar si se produjo una violación de HIPAA en su empresa es comprender quién compartió la información y cómo la obtuvieron.
HIPAA no considera archivos y registros personales PHI. Por lo tanto, incluso si los registros contienen información sobre la salud de su empleado, HIPAA no se aplica. Sin embargo, los empleados pueden no entender esto. Los empleados confundidos pueden presentar violaciones ante la Oficina de Derechos Civiles (OCR). Esta investigación luego cuesta tiempo y dinero para defenderse.,
Su departamento de recursos humanos debe desarrollar políticas y procedimientos que aseguren los registros que los empleados perciben como protegidos. Por ejemplo, es posible que desee capacitar a la administración con respecto a las preguntas inapropiadas que parecen invocar la PHI. Aunque HIPAA no regula estos, los empleados pueden no darse cuenta de que y tratar de establecer una reclamación.
cómo ZenGRC permite el cumplimiento de HIPAA
ZenGRC alivia la carga de cumplimiento al proporcionar a las organizaciones contenido semilla para mapear sus controles en una variedad de estándares y marcos. Esto acelera el proceso de incorporación y también permite el análisis de brechas.,
los proveedores de atención médica pueden elegir entre los marcos HITRUST, COBIT, COSO, ISO, PCI DSS y NIST para garantizar el cumplimiento adecuado de la HIPAA de TI. Además, los socios comerciales que buscan cumplir con HIPAA a medida que escalan pueden ver rápidamente su cumplimiento actual utilizando nuestra herramienta de análisis de brechas y determinar cuánto trabajo adicional necesitan hacer.
para obtener más información sobre el uso de ZenGRC para aliviar la carga de cumplimiento de HIPAA y acelerar el proceso de escalabilidad, programe una demostración.